Dans le monde de la prospection digitale, l’argument de vente « 100% GDPR Compliant » est devenu la norme pour des plateformes comme Apollo, Lusha, Kaspr ou Cognism. Pourtant, la CNIL continue de sanctionner des entreprises qui utilisent précisément ces outils. Comment est-ce possible ?
La réponse tient en une distinction juridique fondamentale que beaucoup de directeurs marketing ignorent : la différence entre la conformité de l’outil et la licéité de votre traitement.
✨ Prêt à tester la conformité RGPD votre prochaine campagne ? Accédez gratuitement à l’espace ⚖️ Gem Audit RGPD Prospection B2C / B2B et posez votre scénario concret. (en savoir plus sur le Gem Audit RGPD)
1. L’outil est le « Fournisseur », vous êtes le « Responsable »
C’est le point de rupture n°1. Les éditeurs de logiciels sont, au sens du RGPD, des sous-traitants (ou parfois des responsables de traitement indépendants pour leur propre base). Ils s’assurent que leurs serveurs sont sécurisés, que leurs algorithmes sont audités (SOC2, ISO 27001) et qu’ils répondent aux demandes de suppression.
Cependant, selon l’Article 5.2 du RGPD (Principe de Responsabilité), c’est à VOUS — le Responsable de Traitement — de prouver que chaque email envoyé est licite.
L’analogie de l’expert : Acheter une voiture homologuée (l’outil) ne vous autorise pas à rouler à 200 km/h en ville (votre stratégie de cold mailing). L’outil est conforme aux normes de construction, mais c’est votre conduite qui est illégale.
2. Le piège de la « Collecte Indirecte » (Article 14)
La quasi-totalité de ces outils repose sur de la collecte indirecte (scraping de LinkedIn, bases de données partenaires). Or, l’Article 14 du RGPD impose une obligation d’information très stricte : vous devez informer la personne que vous détenez ses données au plus tard lors de la première communication.
Si vous utilisez Apollo ou Lusha pour extraire 1 000 contacts et que vous leur envoyez un email sans préciser :
- D’où viennent les données (Source).
- Quelles données vous avez (Identité, email, poste).
- Comment ils peuvent s’opposer.
… alors vous êtes en infraction, même si l’outil qui a trouvé l’email est « conforme ». La CNIL a d’ailleurs lourdement sanctionné la société KASPR (240 000 € en décembre 2024) pour avoir collecté des données sur LinkedIn sans informer correctement les personnes concernées.
3. Le mythe du « B2B Open Bar »
Beaucoup d’outils justifient leur conformité par l’intérêt légitime en B2B. S’il est vrai que l’opt-out (prospection sans consentement préalable) est toléré en B2B, il est soumis à deux conditions que l’outil ne peut pas remplir à votre place :
- La pertinence métier : L’objet de votre email doit être en rapport direct avec la fonction du prospect.
- Le test de mise en balance : Vos intérêts commerciaux ne doivent pas écraser les droits du prospect. Envoyer un email de masse via une base « enrichie » à quelqu’un qui n’a jamais entendu parler de vous est souvent jugé disproportionné par la jurisprudence (SAN-2020-018).
4. Analyse comparative des outils du marché
| Catégorie | Outils | Risque Juridique Majeur | Verdict Gem Audit |
| Bases B2B | Apollo, ZoomInfo, Cognism | Opacité sur la source et l’info préalable. | 🟠 Usage très surveillé |
| Enrichissement | Dropcontact, Hunter, Prospeo | Reconstitution d’emails nominatifs. | 🟢 Le plus « Privacy-ready » |
| Scrapers | Kaspr, Lusha, PhantomBuster | Collecte déloyale sans info (Art. 14). | 🔴 Danger de sanction |
| Outreach | Snov.io, ListKit | Défaut de gestion de l’opposition. | 🟠 Risque modéré |
Apollo, ZoomInfo ou Cognism fonctionnent à partir de bases de données B2B constituées à grande échelle, regroupant des informations professionnelles telles que les emails, numéros de téléphone ou fonctions occupées.
D’un point de vue juridique, le principal risque lié à leur utilisation concerne l’obligation de transparence prévue par l’article 14 du RGPD. Lorsqu’une entreprise contacte un prospect à partir de données collectées indirectement, elle doit être en mesure de l’informer clairement de l’origine des données.
En pratique, de nombreux prospects ignorent totalement que leurs coordonnées figurent dans ces bases. Une prospection sans information explicite sur la source peut donc être considérée comme non conforme. Pour limiter ce risque, il est essentiel de mentionner l’origine des données dès le premier email et de s’assurer que la prise de contact est en lien direct avec la fonction professionnelle du destinataire, dans le cadre de l’intérêt légitime.
Contrairement aux bases de données commerciales, des outils comme Dropcontact, Hunter ou Prospeo ne reposent pas sur la revente de fichiers de contacts. Ils permettent principalement de reconstituer ou de vérifier des emails professionnels à partir d’informations déjà détenues par l’entreprise, comme un nom et un nom de domaine.
Cette approche est généralement considérée comme plus respectueuse du RGPD, car elle limite la collecte massive de données tierces et s’inscrit dans une logique de Privacy by Design. Le point clé reste toutefois la licéité de la source initiale : les données utilisées pour l’enrichissement doivent avoir été collectées de manière loyale (relation commerciale, réseau professionnel, événement, etc.).
Dans ce cadre, ces outils sont souvent privilégiés pour nettoyer et structurer un CRM sans augmenter inutilement le niveau de risque juridique.
Le scraping LinkedIn consiste à extraire automatiquement des données personnelles depuis des profils accessibles publiquement, à l’aide d’outils comme Kaspr, Lusha ou PhantomBuster.
La CNIL rappelle régulièrement qu’une donnée rendue publique par un utilisateur ne devient pas librement réutilisable à des fins commerciales. L’absence d’information préalable des personnes concernées peut caractériser une collecte déloyale, contraire aux principes du RGPD.
Cette position a été confirmée par plusieurs décisions récentes, notamment la sanction de la société Kaspr en 2024, qui illustre les risques concrets liés à ce type de pratiques. Pour être conforme, un tel usage nécessiterait la mise en place d’un processus d’information immédiat, ce qui reste complexe à déployer opérationnellement.
Les outils d’envoi comme Brevo, Lemlist ou Snov.io sont légalement neutres : ce n’est pas l’outil qui pose problème, mais l’usage qui en est fait.
En matière de prospection, l’obligation la plus souvent négligée concerne le droit d’opposition prévu par l’article 21 du RGPD. Chaque destinataire doit pouvoir s’opposer simplement et gratuitement à la réception de futurs messages.
Concrètement, cela implique la présence d’un lien de désinscription clair et fonctionnel, ainsi qu’un traitement effectif et rapide des demandes. Il est également important de rappeler qu’en prospection B2C, le consentement préalable (opt-in) est obligatoire, ce qui exclut le cold emailing sans accord explicite.
Une stratégie de prospection non conforme peut exposer une entreprise à plusieurs types de sanctions. La CNIL dispose d’un pouvoir de sanction financière, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Au-delà de l’amende, la publication de la décision peut entraîner une atteinte durable à la réputation, en particulier pour les entreprises B2B. Enfin, la CNIL peut ordonner la suppression totale des bases de données de prospection, ce qui peut paralyser l’activité commerciale.
La conformité RGPD ne dépend pas d’un logiciel “clé en main”, mais d’une analyse globale de la stratégie de prospection : sources de données, messages envoyés, base légale invoquée et respect des droits des personnes.
Un audit ciblé permet d’identifier les points de non-conformité les plus fréquents et de mettre en place des ajustements simples mais efficaces, comme l’amélioration des mentions d’information, la clarification de l’intérêt légitime ou l’optimisation des mécanismes d’opposition.
5. Ce que les outils ne vous disent pas dans leurs CGU
En lisant les « petites lignes » (Data Processing Agreement), vous trouverez souvent une clause du type : « L’utilisateur garantit qu’il dispose des bases légales nécessaires pour utiliser les données fournies par notre service. »
En clair : ils vous fournissent le moteur, mais vous signez un contrat où vous prenez l’entière responsabilité juridique des accidents.
⚖️ Gem Audit RGPD : Votre Assistant IA pour décider sans crainte
Pour rendre ces règles lisibles et concrètes, j’ai développé le « Gem Audit RGPD Prospection B2C / B2B » sur Google Gemini. Cet outil gratuit permet aux TPE et indépendants d’obtenir un diagnostic instantané avant de lancer une campagne.
Un audit structuré en 5 étapes clés :
- Synthèse du Risque : Verdict immédiat (🔴 Élevé / 🟠 Moyen / 🟢 Faible).
- Analyse des Frictions : Identification précise des failles (Base légale, Source, Transparence).
- Points de Vigilance : Rappel de la jurisprudence (ex: délibération SAN-2020-018 sur le scraping).
- Plan d’Action : Recommandations pragmatiques pour corriger la stratégie (ex: ajout de mention Art. 14).
- Évaluation Post-Changement : Mesure du niveau de conformité une fois les corrections appliquées.
🛡️ Comment sécuriser votre usage ?
Pour que votre usage de ces outils devienne réellement conforme, vous devez intégrer ces 3 piliers dans vos process :
- Le Registre des Traitements : Documentez l’usage de chaque outil (ex: « Enrichissement via Dropcontact pour prospection B2B »).
- La « Mention de Source » obligatoire : Votre premier email doit impérativement dire : « Nous avons traité vos coordonnées professionnelles issues de LinkedIn et enrichies par [Nom de l’outil] au titre de notre intérêt légitime… »
- Le Filtrage des adresses perso : Ne contactez jamais une adresse
@gmail.comou@orange.frissue de ces outils sans consentement (Opt-in), sous peine de sanction immédiate.
Au final : Un outil n’est jamais « conforme » par magie. Il est un levier technique qui nécessite un cadre juridique métier pour ne pas devenir une bombe à retardement pour votre entreprise.
✨ Prêt à tester la conformité RGPD votre prochaine campagne ? Accédez gratuitement à l’espace ⚖️ Gem Audit RGPD Prospection B2C / B2B et posez votre scénario concret. (en savoir plus sur le Gem Audit RGPD)
Ressources utiles
- Délibération SAN-2020-018 : Sanction pour usage de données publiques sans consentement à des fins de prospection.
- Guide CNIL Prospection Commerciale : Fiche pratique détaillant les règles B2B/B2C et la gestion du consentement.
- Lignes directrices WP260 sur la Transparence : Document de référence européen sur l’obligation d’information des personnes (Articles 13 et 14).
- Guide📘 Le RGPD pour les nuls : 10 règles pour prospecter sans stress en respectant le RGPD
- Podcast RGPD : La Prospection B2B & B2C pour les nuls : Pour un résumé clair des règles à respecter en prospection B2B et B2C.
Toolkit de Conformité : Modèles de Mentions et Registres
Modèle d’Email de Prospection (avec mentions Art. 14)
L’objectif ici est d’informer le prospect de l’origine de ses données dès le premier contact, tout en restant fluide commercialement.
Objet : [Sujet pertinent pour le prospect]
Corps de l’email :
Bonjour [Prénom],
[Votre message commercial personnalisé et pertinent par rapport à sa fonction].
…
Bien cordialement,
[Votre Signature]
Mentions d’information (à intégrer en bas d’email, en gris clair/petite police) :
Cette communication s’inscrit dans le cadre de notre intérêt légitime à vous proposer des solutions en lien avec votre activité professionnelle de [Fonction]. Vos données (Nom, Prénom, Email pro) ont été traitées par [Nom de votre société].
- Origine des données : Vos coordonnées nous ont été transmises par notre partenaire [Nom de l’outil : Apollo / ZoomInfo / etc.] ou collectées via des sources publiques professionnelles (LinkedIn).
- Vos droits : Vous disposez d’un droit d’accès, de rectification et de suppression de vos données. Vous pouvez vous opposer à tout moment à recevoir nos sollicitations en cliquant sur le lien de désinscription ci-dessous ou en répondant simplement « STOP » à cet email.
- Lien : [Lien de désinscription]
Modèle de Registre de Traitement (Fiche de traitement)
Pour être conforme à l’Article 30, vous devez documenter cette activité de « Prospection Commerciale » dans votre registre. Voici les champs à remplir :
| Champ du Registre | Contenu à renseigner |
|---|---|
| Nom du traitement | Prospection commerciale et acquisition B2B |
| Finalité | Développement commercial, prise de rendez-vous et vente de [Produit/Service] |
| Base Légale | Intérêt Légitime(Art. 6.1.f du RGPD) – Test de balance effectué (B2B, message pertinent) |
| Catégories de données | Identité (Nom, Prénom), Vie professionnelle (Poste, Entreprise, Email pro, Profil LinkedIn) |
| Source des données | Collecte indirecte via [Outil utilisé : Kaspr, Apollo, etc.] |
| Destinataires | Service Commercial, Service Marketing, Sous-traitant d’envoi [Lemlist/Brevo] |
| Durée de conservation | 3 ans à compter du dernier contact ou de la fin de la relation commerciale |
| Mesures de Sécurité | Accès restreint (MFA), liste d’exclusion (Blacklist) pour les désinscrits |
Ressources utiles
- Modèle de registre de la CNIL : Le format officiel (Excel/OpenDocument) pour documenter vos activités.
- Fiche CNIL sur l’Intérêt Légitime : Pour comprendre comment justifier votre prospection sans consentement préalable en B2B.
- Lignes directrices WP260 sur la Transparence : Précise les modalités de l’article 14 (collecte indirecte) citées dans le modèle d’email.
Disclaimer : Cet article et le Gem Audit RGPD – un assistant de sensibilisation au RGPD – ne remplacent pas le conseil personnalisé d’un juriste ou d’un DPO.
Sommaire
- 1. L’outil est le « Fournisseur », vous êtes le « Responsable »
- 2. Le piège de la « Collecte Indirecte » (Article 14)
- 3. Le mythe du « B2B Open Bar »
- 4. Analyse comparative des outils du marché
- 5. Ce que les outils ne vous disent pas dans leurs CGU
- ⚖️ Gem Audit RGPD : Votre Assistant IA pour décider sans crainte
- Toolkit de Conformité : Modèles de Mentions et Registres
Vous appréciez nos analyses durables et nos guides pratiques sur les technologies, les médias et les télécoms ? Rejoignez la communauté EC TMT pour ne rien manquer ! Abonnez-vous à notre newsletter pour recevoir nos dernières publications directement dans votre boîte mail. Retrouvez-nous aussi sur YouTube, WhatsApp, X (anciennement Twitter), LinkedIn, Facebook, Instagram, Threads et TikTok Google Profile EC TMT pour rester informé de nos dernières actualités et échanges.
Vous appréciez EC TMT ? Donnez votre avis directement sur la page Google Business EC TMT.