Firmeo LogoFirmeo
FR
S'inscrire
Prospection à froid et droit

Prospection à froid conforme au RGPD : ce qui est permis en B2B

La prospection à froid par courriel et téléphone est possible en B2B, mais elle est soumise à des règles. Ce guide explique les deux niveaux, les règles de prospection et le RGPD, et comment travailler proprement en pratique.

20 juin 2026, 10 min de lecture
Prospection à froid conforme au RGPD : ce qui est permis en B2B

Qui veut gagner de nouveaux clients en B2B peut rarement éviter le contact actif. En même temps, la prospection à froid est encadrée en France par des règles précises. Beaucoup de mythes circulent : les uns tiennent tout cold email pour interdit, les autres pour totalement inoffensif tant qu'il s'agit de clients professionnels. Les deux se trompent. L'important à comprendre, c'est qu'il existe deux niveaux distincts que vous devez respecter tous les deux : les règles de prospection commerciale, qui déterminent si vous pouvez adresser un message publicitaire, et la protection des données au titre du RGPD. Ce guide sépare proprement les deux, explique ce qui compte dans chaque cas et montre à quoi ressemble un processus de prospection solide. Il ne remplace pas un conseil juridique, mais offre des repères.

Deux niveaux que l'on confond souvent

L'erreur de raisonnement la plus fréquente est de mettre dans le même sac les règles de prospection commerciale et la protection des données. Elles répondent à des questions différentes. Les règles de prospection commerciale précisent si vous pouvez ne serait-ce que vous adresser à quelqu'un à des fins publicitaires. La protection des données précise comment vous traitez les données personnelles nécessaires pour cela. Les deux niveaux doivent être respectés en même temps. Un contact peut être bien justifié en matière de protection des données et tout de même inadmissible au regard des règles de prospection, ou l'inverse. Qui ne pense qu'à l'un des deux niveaux passe régulièrement à côté de l'autre. C'est pourquoi nous les considérons ci-dessous séparément.

Niveau 1 : les règles de prospection, ai-je le droit de contacter ?

Les règles de prospection commerciale déterminent si une sollicitation publicitaire est admissible. Pour le courriel, le droit français distingue nettement le B2C et le B2B. Vis-à-vis des particuliers, le principe est l'opt-in : un consentement préalable est requis. En B2B, la CNIL applique un principe d'opt-out : un professionnel peut être contacté par courriel sans consentement préalable, à condition que la sollicitation soit en lien avec sa fonction, c'est-à-dire que l'objet du message corresponde à la profession de la personne démarchée. En pratique, cela veut dire qu'un cold email adressé à un professionnel reste possible, mais dans un cadre précis : la personne doit être informée au moment de la collecte de ses données et disposer d'un moyen simple de s'opposer à tout envoi. Ce qui compte n'est donc pas tant d'écrire à une personne plutôt qu'à une entreprise, mais de respecter ces conditions et la finalité liée à la fonction professionnelle.

La prospection téléphonique obéit à des règles distinctes du courriel. Vis-à-vis des consommateurs, le démarchage téléphonique est encadré par le dispositif Bloctel, la liste d'opposition sur laquelle un particulier peut s'inscrire pour ne plus être démarché, et appeler un numéro inscrit est en principe interdit hors relation contractuelle en cours. En B2B, la marge est un peu plus large, mais la prospection téléphonique reste soumise au respect de la personne contactée et à un intérêt objectif lié à son activité. Les détails évoluent et la réglementation se durcit, c'est pourquoi vous devriez faire vérifier votre cas concret par un spécialiste. Les affirmations tranchées du type appeler est toujours autorisé ou envoyer des courriels est toujours interdit sont trop courtes et trompeuses.

Niveau 2 : le RGPD, comment traiter les données ?

Même si le contact est défendable au regard des règles de prospection, vous traitez des données personnelles, par exemple le nom et le courriel d'une interlocutrice. Pour cela, vous avez besoin d'une base légale au titre du RGPD. En B2B, on invoque ici fréquemment l'intérêt légitime selon l'art. 6.1.f du RGPD, qui exige une mise en balance entre votre intérêt et les intérêts de la personne concernée. Cette mise en balance n'est pas un chèque en blanc, mais un examen réel : plus votre contact est pertinent et mesuré, plus il est probable que votre intérêt l'emporte. Plus il est large et insistant, plus il est probable que les intérêts des personnes concernées l'emportent.

En pratique, cela signifie entre autres :

  • Transparence : la personne contactée doit pouvoir comprendre d'où vous tenez ses données et comment vous les traitez.
  • Minimisation des données : ne collectez et ne conservez que ce dont vous avez vraiment besoin pour le contact.
  • Opposition : une voie simple pour s'opposer au traitement doit être possible à tout moment, et une opposition doit être appliquée immédiatement.
  • Documentation : notez d'où proviennent les données et sur quelle base vous vous appuyez.

La balance des intérêts en pratique

La mise en balance dans l'intérêt légitime sonne abstrait, mais elle peut se concrétiser. En faveur de votre intérêt plaide le fait que votre offre ait un lien objectif reconnaissable avec l'activité de l'entreprise contactée et que le contact soit mesuré et pertinent. Contre vous plaident un contact de masse large et générique sans lien, le traitement de données d'origine incertaine ou le fait d'ignorer les oppositions. Il en découle une règle pratique : ce qui fait une bonne prospection, à savoir la pertinence, la mesure et des données traçables, renforce en même temps votre position en matière de protection des données. La prospection propre et la défendabilité juridique tirent dans la même direction.

Ce que cela implique pour votre processus de prospection

Travailler proprement ne veut pas dire ne pas prospecter du tout, mais bâtir le processus de façon solide. Des données fraîches et recherchées de façon traçable sont ici plus précieuses que les listes de masse achetées d'origine incertaine, parce que vous pouvez attester la source et l'actualité. Un contact personnalisé avec un lien objectif reconnaissable avec l'entreprise contactée n'est pas seulement plus efficace, il est aussi plus facile à justifier au sens de la balance des intérêts qu'un courriel de masse générique. Un droit d'opposition simple et d'effet immédiat appartient à chaque message, et chaque opposition doit être documentée et appliquée. Ainsi naît un processus qui non seulement fonctionne mieux, mais qui est aussi traçable en cas de litige.

Liste de contrôle pour une base solide

  • Des données de source traçable plutôt que des listes achetées anonymes.
  • Un lien objectif entre votre offre et l'entreprise contactée.
  • Un contact personnalisé et mesuré plutôt que de la masse générique.
  • De la transparence sur l'origine et la finalité du traitement des données.
  • Un droit d'opposition simple et d'effet immédiat dans chaque message.
  • La documentation de l'origine, de la base légale et des oppositions.

D'où peuvent provenir les données ?

Une question centrale est l'origine des données. Les informations professionnelles accessibles au public, par exemple sur un site d'entreprise ou dans un registre officiel, se justifient en principe plus facilement que des données d'origine incertaine issues de listes achetées. L'essentiel est que vous puissiez remonter et attester d'où vient une information. Les données disponibles publiquement sont aussi soumises au RGPD dès qu'elles se rapportent à une personne, c'est-à-dire que leur traitement a toujours besoin d'une base légale et doit se faire de façon transparente. Public ne signifie donc pas librement utilisable sans aucune règle, mais seulement que la collecte elle-même est moins intrusive. Qui documente la source est en meilleure position, à tous égards, que quelqu'un avec une liste achetée anonyme.

Sous-traitance et prestataires

Dès que vous employez des outils ou des prestataires qui traitent des données personnelles pour votre compte, par exemple un outil d'envoi ou de recherche, la sous-traitance entre en jeu. Le RGPD exige dans ces cas un contrat de sous-traitance qui règle la façon dont le prestataire traite les données. Important aussi : où les données sont traitées. Un traitement au sein de l'UE est moins compliqué en protection des données qu'un transfert vers des pays tiers, qui déclenche des exigences supplémentaires. En France justement, beaucoup de clients tiennent à l'hébergement dans l'UE. Qui choisit ses prestataires avec soin et conclut les contrats nécessaires ne remplit pas seulement une obligation, mais crée aussi de la confiance auprès de ses propres partenaires commerciaux.

Obligations d'information (art. 13 et 14)

Le RGPD exige que les personnes concernées soient informées du traitement de leurs données. Quand vous collectez des données non pas directement auprès de la personne, mais auprès d'autres sources, par exemple des registres publics, l'art. 14 entre en jeu avec des obligations d'information particulières. En pratique, cela signifie que la personne contactée doit pouvoir comprendre qui vous êtes, d'où vous tenez ses données, à quelle fin vous les traitez et sur quelle base légale vous vous appuyez. Cette transparence peut s'intégrer avec élégance dans le premier contact et dans une notice de confidentialité liée. Ce n'est pas un mal bureaucratique, mais un signal de confiance : qui révèle d'où il vient paraît plus sérieux que celui qui tait sa source.

Mettre en œuvre correctement le droit d'opposition

Toute personne concernée a le droit de s'opposer au traitement de ses données à des fins publicitaires, et cette opposition doit être simple et possible à tout moment. En pratique, cela signifie : chaque message comporte une voie claire et simple pour se désinscrire ou s'opposer. Une opposition doit être appliquée immédiatement et entièrement, sans obstacle et sans nouvelles relances. Ignorer ou compliquer une opposition n'est pas seulement délicat juridiquement, mais aussi néfaste pour les affaires, parce que cela agace et nuit à votre propre réputation. Un processus propre note qui s'est opposé et garantit que ces personnes ne soient plus jamais contactées de façon permanente. Cela vous protège juridiquement tout en préservant votre bonne réputation.

Durée de conservation et politique d'effacement

Les données ne peuvent pas être conservées indéfiniment. Le RGPD exige que les données personnelles ne soient conservées que le temps nécessaire à la finalité concernée. Pour la prospection, cela signifie avoir un concept de quand les données sont effacées ou anonymisées, par exemple quand un contact ne montre durablement aucun intérêt ou s'est opposé. Une politique d'effacement simple fixe des délais et veille à ce qu'ils soient aussi respectés. Cela évite qu'au fil des ans s'accumule un tas croissant de données périmées, non seulement problématique juridiquement, mais aussi pratiquement inutile. La minimisation des données et le nettoyage régulier ne sont donc pas seulement une obligation, mais aussi un intérêt propre.

Documentation et responsabilité (accountability)

Le RGPD connaît le principe de responsabilité, l'accountability : vous ne devez pas seulement agir de façon licite, mais pouvoir le prouver. En pratique, cela signifie documenter les décisions et les bases essentielles, à savoir d'où proviennent les données, sur quelle base légale vous vous appuyez, comment a tourné la balance des intérêts et comment vous traitez les oppositions. Cette documentation sonne comme un effort, mais en cas de litige c'est votre protection la plus importante. Elle vous oblige en outre à penser clairement votre propre processus, ce qui en relève la qualité d'ensemble. Qui documente proprement dès le départ, au lieu de devoir le reconstituer après coup, s'épargne beaucoup de peine et se trouve en bien meilleure position face à un contrôle.

B2B et B2C : une différence importante

L'appréciation juridique diffère selon que vous vous adressez à des clients professionnels ou à des particuliers. Vis-à-vis des consommateurs, les barrières au contact publicitaire sont en règle générale plus hautes : le courriel et le SMS y sont soumis à l'opt-in. En B2B, il y a un peu plus de marge, par exemple via le principe d'opt-out et l'intérêt légitime, mais cette marge est plus étroite que beaucoup ne le supposent et n'exempte pas des obligations de base. Important aussi : la frontière n'est pas toujours nette. Une indépendante avec une sphère professionnelle et privée ne se range pas clairement dans une catégorie. Dans le doute, l'appréciation la plus prudente est la plus sûre. Cette distinction est un bon exemple de pourquoi les affirmations tranchées trompent et pourquoi c'est le cas concret qui compte.

Idées reçues fréquentes sur la prospection à froid

  • En B2B, tout est permis : faux, en B2B aussi le RGPD et les règles de prospection s'appliquent avec des limites claires.
  • Les données publiques, je peux les utiliser librement : faux, les données personnelles publiques nécessitent aussi une base légale et de la transparence.
  • Des mentions légales valent consentement : faux, l'indication obligatoire d'une adresse de contact n'est pas une autorisation de prospection.
  • Un lien de désinscription suffit à tout : il est important, mais ne remplace ni la base légale nécessaire ni les obligations d'information.
  • Ce qui se fait aux États-Unis se fait aussi ici : faux, le cadre juridique en France est nettement plus strict.

Comment Firmeo crée une base saine

C'est justement là qu'intervient Firmeo : au lieu de listes périmées, Firmeo recherche les bonnes entreprises en direct depuis des sources publiques, les confronte à leur propre site et documente les sources, de sorte que l'origine et l'actualité restent traçables. Le contact se fait personnalisé depuis votre propre boîte avec un lien objectif reconnaissable, et les séquences s'arrêtent immédiatement dès la réponse ou l'opposition. Le traitement est hébergé dans l'UE avec un contrat de sous-traitance depuis l'Autriche. Cela ne remplace pas un examen juridique de votre cas concret, mais crée une base documentée et traçable sur laquelle vous pouvez construire.

Conclusion

La prospection à froid conforme au RGPD n'est pas une contradiction en soi, mais elle exige du soin. L'idée la plus importante de ce guide est la séparation des deux niveaux : les règles de prospection commerciale précisent si vous pouvez vous adresser à quelqu'un à des fins publicitaires, la protection des données précise comment vous traitez les données nécessaires pour cela. Les deux doivent être respectés en même temps, et les deux sont gérés en France de façon plus exigeante que beaucoup ne le supposent. Qui intègre cela évite les idées reçues les plus fréquentes, par exemple la supposition qu'en B2B tout est permis ou que les données publiques peuvent s'utiliser librement.

La bonne nouvelle, c'est que le soin juridique et la bonne prospection ne se contredisent pas, mais tirent dans la même direction. Des données traçables de source attestable, un lien objectif avec l'entreprise contactée, un contact mesuré et personnalisé et un droit d'opposition simple et d'effet immédiat renforcent à la fois votre position en protection des données et vos taux de réponse. S'y ajoutent les obligations qui tournent en arrière-plan : obligations d'information, une durée de conservation réfléchie, une politique d'effacement et la documentation de vos propres décisions. Cela sonne comme un effort, mais c'est avant tout un signe de professionnalisme et, en cas de litige, votre meilleure protection.

Cet article ne remplace pas un conseil juridique et ne peut pas apprécier le cas concret de façon définitive, car les limites sont souvent floues et dépendent des détails. Ce qu'il peut offrir, ce sont des repères : il montre ce qui compte et rend clair qu'un processus de prospection solide est possible si on le bâtit proprement dès le départ, au lieu de le réparer après coup. Qui fait en plus vérifier son processus concret par une personne qualifiée prospecte non seulement avec plus de succès, mais aussi la conscience plus tranquille.

Questions fréquentes

À lire aussi

Prospection à froid B2B : ce qui fonctionne vraiment en 2026
Prospection à froid et droit

Prospection à froid B2B

La prospection à froid a mauvaise réputation, le plus souvent à juste titre, parce qu'elle est générique. Bien menée, c'est le canal de croissance le plus prévisible du B2B. Ce guide montre pas à pas ce qui compte vraiment.

Lire l'article
Acquisition de clients B2B : du hasard au système
Génération de leads

Acquisition de clients B2B

Pour croître de façon prévisible en B2B, il faut un processus de prospection reproductible plutôt que de la chance. Ce guide montre chaque brique, du public cible à la qualité des données, au lead scoring et à la première réponse.

Lire l'article
Vente B2B : le processus moderne du lead à la signature
Vente B2B et IA

Vente B2B

La vente B2B moderne n'est pas une affaire d'instinct, mais un processus. Qui le construit proprement et le soutient avec l'IA et l'automatisation aux bons endroits gagne des clients de façon prévisible, au lieu d'attendre les recommandations.

Lire l'article

Une prospection propre et automatisée

Firmeo recherche en direct, documente ses sources et envoie en conformité RGPD depuis votre propre boîte mail. Réservez votre place sur la liste d'attente, avec 7 jours d'essai gratuit au lancement.

S'inscrire