RGPD et prospection automatisée : ce que vous devez savoir avant de lancer vos campagnes
Avant de lancer une campagne de prospection automatisée, la plupart des PME se posent la même question : « Est-ce que je risque quelque chose avec le RGPD ? »
La réponse courte : non, si vous respectez 5 obligations précises. Mais beaucoup d'entreprises commettent des erreurs évitables — et les sanctions CNIL sont en hausse constante depuis 2022.
Ce guide vous donne le cadre légal exact, les 5 obligations concrètes, une checklist de 15 points à cocher avant d'activer vos séquences, et les sanctions réelles observées en France pour vous calibrer sur le niveau de risque réel.
RGPD et prospection : le cadre légal en 3 minutes
Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018 dans toute l'Union européenne. En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui en assure le contrôle et prononce les sanctions.
Les chiffres à connaître :
- Amende maximale : 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — le montant le plus élevé s'applique.
- Délai de réponse aux demandes de droits : 1 mois maximum.
- Plaintes reçues par la CNIL en 2024 : plus de 16 000, en hausse constante.
Le RGPD s'applique dès lors que vous traitez des données personnelles de personnes résidant en UE — peu importe où est hébergé votre outil d'automatisation. Un workflow n8n qui envoie des emails à des DRH parisiens depuis un serveur américain est soumis au RGPD.
Données personnelles en prospection B2B : le nom, le prénom, l'adresse email professionnelle, le numéro de téléphone direct, le poste occupé — tout cela constitue des données personnelles au sens du RGPD, même si ces informations sont publiques sur LinkedIn.
B2B vs B2C : des règles différentes
C'est le point que la plupart des guides ratent. Le RGPD et la directive ePrivacy (transposée en droit français via l'article L34-5 du Code des postes et communications électroniques) distinguent clairement deux régimes.
En B2C (particuliers) : le consentement préalable est obligatoire. Vous ne pouvez pas envoyer un email marketing à un particulier sans qu'il ait coché une case explicite au préalable. Pas de case pré-cochée, pas d'acceptation des CGU valant consentement.
En B2B (professionnels) : la prospection est autorisée sans consentement préalable, sous trois conditions cumulatives :
- L'objet du message est en lien avec la profession du destinataire (ex. : proposer un logiciel de gestion à un DAF, une solution RH à un DRH).
- Le prospect a été informé que ses données peuvent être utilisées à des fins de prospection.
- Il peut s'opposer facilement à tout moment — via un lien de désinscription dans chaque email, par exemple.
La CNIL le précise explicitement : un email à contact@entreprise.fr ou info@entreprise.fr
n'est pas soumis aux mêmes règles, car ces adresses génériques
appartiennent à une personne morale, pas à un individu identifiable.
La souplesse B2B a des limites. Cibler un directeur commercial avec une offre de voyage sans rapport avec son activité professionnelle, c'est sortir du cadre de l'intérêt légitime — et s'exposer à une sanction.
→ Voir aussi : Prospection automatisée LinkedIn : le guide complet pour PME
Les 5 obligations RGPD pour vos campagnes de prospection
Obligation 01 — Base légale : l'intérêt légitime en B2B
En prospection B2B, la base légale retenue est l'intérêt légitime (article 6.1.f du RGPD). Vous n'avez pas besoin du consentement du prospect — mais vous devez documenter votre analyse.
Concrètement, cela signifie passer le test en trois étapes :
- Finalité légitime : votre objectif commercial est-il réel, actuel et licite ? (oui, développer votre clientèle l'est)
- Nécessité : le traitement de ces données est-il nécessaire pour atteindre cet objectif ?
- Mise en balance : vos intérêts commerciaux ne priment-ils pas de façon excessive sur les droits du prospect ? C'est là que le lien avec la fonction professionnelle est décisif.
Documentez cette analyse dans votre registre de traitements. En cas de contrôle CNIL, c'est la première chose demandée.
Obligation 02 — Information des prospects
Chaque prospect doit être informé que ses données sont utilisées à des fins de prospection. Cette information peut intervenir au moment de la collecte ou dans le premier email de prospection lui-même.
La mention minimale dans un cold email B2B doit inclure :
- L'identité du responsable du traitement (votre entreprise, votre nom)
- La finalité du traitement (prospection commerciale)
- La base légale (intérêt légitime)
- Les droits du destinataire (accès, rectification, opposition)
- Un lien vers votre politique de confidentialité
Exemple de mention courte à placer en bas d'email : « Vos données (nom, email, poste) sont traitées par [Société] sur la base de notre intérêt légitime à des fins de prospection commerciale. Vous pouvez vous y opposer à tout moment : [lien de désinscription] | [Politique de confidentialité]. »
Obligation 03 — Droit d'opt-out : lien de désinscription fonctionnel
Chaque email de prospection doit contenir un lien de désinscription opérationnel. Ce n'est pas une recommandation — c'est une obligation légale.
- Le lien doit être visible (pas en taille 6 en gris clair sur fond blanc)
- Il doit mener à une désinscription effective en un clic, sans demander de créer un compte
- La désinscription doit être traitée immédiatement
- Le contact désinscrit doit être ajouté à une liste de suppression pour ne jamais être recontacté
Dans un workflow n8n : créez un webhook qui reçoit les
désinscriptions, met à jour un champ opted_out = true dans
votre CRM, et exclut automatiquement ces contacts de toutes les
séquences futures.
Obligation 04 — Durée de conservation des données
La CNIL recommande une durée maximale de 3 ans à compter du dernier contact émanant du prospect (pas d'une simple ouverture d'email — un vrai contact : réponse, clic, demande de démo). Passé ce délai sans interaction, les données doivent être supprimées ou anonymisées.
Cas particuliers :
- Prospect converti en client : 3 ans à compter de la fin de la relation commerciale
- Données d'opposition (liste noire) : conservées au moins 3 ans pour prouver la conformité en cas de contrôle
En pratique : programmez une purge automatique dans n8n — un workflow planifié qui s'exécute chaque semaine, vérifie la date du dernier contact, et supprime ou archive les prospects inactifs depuis plus de 3 ans.
Obligation 05 — Sécurité des données
Le RGPD impose de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données (article 32 du RGPD). Pour une campagne de prospection automatisée, cela signifie :
- Chiffrement des données en transit (HTTPS) et au repos
- Accès limité aux données de prospects (pas toute l'équipe sur le même fichier Excel partagé)
- Journalisation des accès et des modifications
- Contrats de sous-traitance (DPA) signés avec chaque outil tiers : outil d'emailing, CRM, enrichisseur de données
n8n self-hosted = avantage concret : vos données de prospects restent sur votre propre serveur. Elles ne transitent pas chez un éditeur SaaS américain soumis au Cloud Act. C'est un argument de conformité réel, notamment si vous traitez des données sensibles ou des volumes importants.
RGPD et LinkedIn : les règles spécifiques
LinkedIn est la source de données B2B la plus utilisée en prospection automatisée. Et c'est aussi là que les erreurs de conformité sont les plus fréquentes.
Données publiques ≠ librement exploitables. Même si un profil LinkedIn est visible publiquement, extraire et réutiliser ces données à des fins de prospection constitue un traitement de données personnelles soumis au RGPD. La CNIL l'a rappelé dans ses recommandations de juin 2024 : le caractère public d'une donnée ne supprime pas les obligations du responsable de traitement.
Ce que vous pouvez faire légalement :
- Contacter directement sur LinkedIn via InMail ou message de connexion — conforme aux CGU de LinkedIn
- Exporter vos connexions LinkedIn (via les paramètres natifs) pour les contacter par email — à condition d'avoir informé ces personnes et de respecter les 5 obligations
- Utiliser Sales Navigator pour identifier des prospects et les contacter via la messagerie LinkedIn — légal, dans le respect des CGU
Ce qui expose à une sanction :
- Scraper des profils LinkedIn avec des outils tiers pour extraire emails et numéros sans que les personnes aient limité leur visibilité — risque élevé depuis la sanction KASPR
- Extraire les données de profils à visibilité restreinte — c'est exactement ce qui a valu 240 000 € d'amende à KASPR en décembre 2024
- Revendre ou partager les données extraites sans base légale
→ Voir aussi : Scraping LinkedIn légal : extraire des données de prospects sans risquer son compte
RGPD et cold email : les règles spécifiques
Le cold email B2B est légal sous RGPD. Mais trois points sont non négociables.
L'objet de l'email ne doit pas être trompeur. Un objet du type « Re: notre échange » alors qu'il n'y a jamais eu d'échange, c'est une pratique trompeuse — sanctionnable à la fois par la CNIL et par la DGCCRF.
La mention RGPD dans le corps de l'email est obligatoire dès le premier message. Deux lignes en bas d'email suffisent — mais elles doivent être présentes.
La gestion des opt-outs doit être immédiate et permanente. Un prospect qui se désinscrit ne doit plus jamais recevoir de message de votre part, même si vous changez d'outil d'envoi ou de séquence. La liste de suppression doit être centralisée et partagée entre tous vos outils.
Trois bonnes pratiques supplémentaires :
-
Envoyez depuis une adresse email professionnelle identifiable (pas
noreply@, pas une adresse jetable) - Mentionnez clairement l'entreprise au nom de laquelle vous prospectez
- Limitez les séquences de relance à 3-4 emails maximum — au-delà, le rapport intérêt légitime / nuisance penche défavorablement
→ Voir aussi : Automatisation cold email : les 7 étapes pour des campagnes qui convertissent
Comment n8n facilite la conformité RGPD
n8n n'est pas juste un outil d'automatisation — c'est une infrastructure de conformité quand il est bien configuré.
Self-hosted = données sur vos serveurs. Contrairement à des outils SaaS comme Lemlist, Instantly ou Waalaxy, une instance n8n hébergée sur votre VPS signifie que vos listes de prospects ne quittent jamais votre périmètre. Pas de transfert vers des serveurs américains, pas de sous-traitance implicite à un éditeur tiers.
Logs d'opt-out automatiques. Vous pouvez configurer un webhook dans n8n qui capture chaque désinscription, l'horodate, et l'enregistre dans une base de données dédiée. En cas de contrôle CNIL, vous avez une preuve datée et traçable de chaque opt-out traité.
Suppression automatique après 3 ans. Un workflow planifié (cron job hebdomadaire) peut interroger votre base de données, identifier les prospects inactifs depuis plus de 3 ans, et les supprimer ou les anonymiser automatiquement. Zéro intervention manuelle.
Moins de sous-traitants à déclarer. n8n self-hosted réduit le nombre de sous-traitants de données. Moins de DPA à signer, moins de risques de transfert hors UE non encadré.
Pour les PME qui gèrent des volumes de 500 à 5 000 prospects par mois, c'est une combinaison imbattable : puissance d'automatisation + maîtrise des données + conformité documentable.
Découvrez nos solutions d'automatisation de processus et nos agents IA pour PME.
Checklist RGPD complète avant de lancer vos campagnes
Avant d'activer votre première séquence, passez en revue ces 15 points. Chaque case non cochée est un risque.
Base légale et documentation
- J'ai documenté l'analyse d'intérêt légitime dans mon registre de traitements (finalité, nécessité, mise en balance)
- Mon registre de traitements est à jour et inclut la campagne de prospection en cours
- J'ai signé un DPA (Data Processing Agreement) avec chaque outil tiers utilisé (CRM, emailing, enrichissement)
Collecte et qualité des données
- Les données de prospects ont été collectées légalement (source identifiable, pas de scraping de profils à visibilité restreinte)
- L'offre contenue dans mes emails est en lien direct avec la fonction professionnelle des destinataires
- Je n'utilise pas d'adresses email génériques (info@, contact@) comme cibles de prospection personnalisée
Information et transparence
- Chaque email contient une mention RGPD avec identité du responsable, finalité, base légale et droits des personnes
- Un lien vers ma politique de confidentialité est présent dans chaque email
- L'objet de l'email est honnête et non trompeur
Opt-out et droits des personnes
- Chaque email contient un lien de désinscription fonctionnel en un clic
- Les désinscriptions sont traitées dans un délai maximum de 72 heures
- Une liste de suppression centralisée est partagée entre tous mes outils de prospection
Conservation et sécurité
- Une purge automatique est programmée pour supprimer les prospects inactifs depuis plus de 3 ans
- Les données de prospects sont chiffrées et l'accès est limité aux personnes qui en ont besoin
- Les logs d'opt-out sont conservés et horodatés pour prouver la conformité en cas de contrôle
Les sanctions réelles observées en France (2023-2024)
Les chiffres abstraits ne convainquent pas. Voici ce qui s'est passé concrètement.
KASPR — 240 000 € (décembre 2024)
KASPR proposait une extension Chrome pour extraire des coordonnées professionnelles depuis LinkedIn. La CNIL a constaté que l'outil collectait des données de profils ayant restreint leur visibilité — soit exactement l'inverse de ce que le RGPD autorise. S'y ajoutaient une conservation excessive des données, une information insuffisante des personnes concernées, et des réponses incomplètes aux demandes d'accès. Résultat : 240 000 € d'amende et injonction de mise en conformité.
Orange — 50 millions d'euros (2024)
Orange a été sanctionné pour avoir envoyé des emails de prospection commerciale sans consentement préalable valable. L'opérateur s'appuyait sur des mécanismes de consentement non conformes — cases pré-cochées, consentement global non spécifique. 50 millions d'euros, c'est le montant le plus élevé jamais prononcé par la CNIL pour un manquement lié à la prospection.
ESN — 150 000 € (2024)
Une société de services informatiques a été sanctionnée pour des manquements cumulés : consentement non conforme en prospection électronique et durée de conservation excessive des données prospects. Le double manquement a aggravé la sanction.
Bilan CNIL 2024 : 87 sanctions, 55 millions d'euros d'amendes totales. La prospection commerciale est explicitement citée comme l'un des axes prioritaires de contrôle. Le consentement mal géré et la conservation excessive des données sont les deux motifs les plus fréquents — et les deux plus faciles à corriger avec un workflow n8n bien configuré.
FAQ : RGPD et prospection automatisée
01 Ai-je besoin du consentement de mes prospects en B2B ?
Non, pas en règle générale. En B2B, la CNIL admet l'intérêt légitime comme base légale pour la prospection par email ou LinkedIn, à condition que l'offre soit en lien avec la fonction professionnelle du destinataire, que celui-ci soit informé, et qu'il puisse s'opposer facilement. Le consentement préalable n'est obligatoire qu'en B2C (particuliers).
02 Combien de temps puis-je conserver les données de mes prospects ?
La CNIL recommande 3 ans maximum à compter du dernier contact émanant du prospect (réponse, clic, demande de démo). Passé ce délai sans interaction, les données doivent être supprimées ou anonymisées. Les données d'opposition (liste noire) doivent elles être conservées au moins 3 ans pour prouver la conformité.
03 Un lien de désinscription suffit-il pour être conforme ?
C'est nécessaire mais pas suffisant. Le lien doit être fonctionnel, visible, et mener à une désinscription effective en un clic. Mais vous devez aussi avoir informé le prospect dès le premier email, documenté votre base légale, et centralisé les opt-outs dans une liste de suppression partagée entre tous vos outils.
04 Les données LinkedIn publiques sont-elles librement utilisables pour prospecter ?
Non. Le caractère public d'une donnée ne supprime pas les obligations RGPD. Vous pouvez utiliser des données LinkedIn publiques pour prospecter, mais vous devez respecter les 5 obligations (base légale, information, opt-out, durée de conservation, sécurité). Et vous ne pouvez pas extraire les données de profils ayant restreint leur visibilité — c'est exactement ce qui a valu 240 000 € d'amende à KASPR en 2024.
05 n8n self-hosted est-il vraiment un avantage pour la conformité RGPD ?
Oui, concrètement. Une instance n8n hébergée sur votre propre serveur signifie que vos données de prospects ne transitent pas chez un éditeur SaaS tiers. Vous réduisez le nombre de sous-traitants à déclarer, évitez les transferts hors UE non encadrés, et pouvez configurer des workflows de purge automatique et de gestion des opt-outs directement dans votre infrastructure.
Sources utiles
- CNIL — La prospection commerciale par courrier électronique ↗
- CNIL — La prospection commerciale (page hub) ↗
- CNIL — Sanction KASPR 240 000 € (décembre 2024) ↗
- CNIL — Les sanctions prononcées par la CNIL ↗
- CNIL — Durées de conservation des données ↗
- Légifrance — Article L34-5 CPCE (prospection électronique) ↗
- Automatisation de processus métier — Simon Digital Services
- Agents IA sur mesure — Simon Digital Services
- Contactez Simon Digital Services