Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
RGPD

Prospection commerciale RGPD : sanctions et règles 2026

Prospection commerciale et RGPD : consentement ou intérêt légitime, opt-in B2C/B2B, sanctions CNIL et checklist pour éviter l'amende. Guide 2026.

L’essentiel. La prospection commerciale est l’une des zones les plus sanctionnées du RGPD. Les règles dépendent du canal : la prospection par email ou SMS en B2C exige un consentement préalable (opt-in) ; le B2B tolère la prospection professionnelle sous conditions ; et le démarchage téléphonique bascule vers un régime de consentement préalable en août 2026. La CNIL a déjà prononcé des amendes lourdes — jusqu’à 500 000 € dans l’affaire Futura Internationale. Les manquements les plus fréquents : non-respect de l’opposition, champs libres remplis de données excessives, transferts hors UE non encadrés.

Prospecter, c’est traiter des données personnelles. Et parce que la prospection est souvent vécue comme une nuisance, elle concentre les plaintes, les contrôles et les sanctions. Une erreur de cadrage juridique peut coûter très cher : la CNIL a infligé une amende de 500 000 € à une entreprise dont le bénéfice annuel avoisinait précisément ce montant — l’amende a donc, en pratique, absorbé une année entière de résultat.

Cet article fait le point sur les règles applicables selon le canal, décrypte une affaire emblématique pour en tirer des enseignements opérationnels, et propose une checklist de conformité. L’objectif n’est pas de pointer du doigt, mais de permettre à d’autres organisations d’éviter les mêmes écueils.

Les règles selon le canal : opt-in, opt-out, B2B

La première question à se poser n’est pas « ai-je le droit de prospecter ? » mais « par quel canal, et vers qui ? ». Les régimes diffèrent fortement.

Canal / cible Régime Fondement
Email / SMS vers un particulier (B2C) Opt-in : consentement préalable art. L.34-5 CPCE, ePrivacy
Email vers un client existant (produits/services analogues) Opt-out (soft opt-in) : possible avec droit d’opposition simple Exception « clients » de l’art. L.34-5 CPCE
Email professionnel (B2B) vers une personne dans le cadre de sa fonction Possible sans consentement préalable, si information + droit d’opposition Doctrine CNIL
Démarchage téléphonique (B2C) Opt-in à compter d’août 2026 (auparavant opt-out via BLOCTEL) Réforme du démarchage téléphonique
Courrier postal / prospection non électronique Intérêt légitime possible, avec droit d’opposition art. 6(1)(f) RGPD

Deux points de vigilance sur ce tableau. D’abord, un email professionnel du type prenom.nom@societe.fr reste une donnée personnelle : la souplesse du B2B ne dispense pas d’informer la personne et de lui offrir un droit d’opposition. Ensuite, le régime du démarchage téléphonique change en profondeur : une réforme, entrant en vigueur en août 2026, fait basculer le démarchage téléphonique vers un régime de consentement préalable (opt-in), en lieu et place du système d’opposition fondé sur la liste BLOCTEL. Les organisations qui appellent des particuliers doivent anticiper ce changement dès maintenant.

Pour choisir la bonne base juridique, deux options coexistent : le consentement et l’intérêt légitime. L’intérêt légitime doit être documenté par un triple test, et il ne peut jamais servir à contourner l’obligation de consentement propre à la prospection électronique. Notre guide sur l’opt-in et l’opt-out détaille les mécanismes de recueil.

L’affaire à 500 000 € décryptée

L’affaire est classique pour quiconque connaît la conformité RGPD. Une entreprise décide de prospecter par téléphone pour vendre des prestations d’isolation de bâtiments. Elle fait appel à des centres d’appels situés hors de l’Union européenne. Ces sous-traitants appellent des prospects en masse, sans enregistrer leurs oppositions au démarchage. Inévitablement, une personne démarchée à répétition — malgré son opposition et un courrier recommandé — saisit la CNIL.

Prospection commerciale RGPD : sanction CNIL

Un contrôle sur place révèle une série de manquements : de nombreuses oppositions non respectées, des commentaires excessifs sur les clients (insultes, remarques sur leur état de santé) dans des champs libres, et l’enregistrement de conversations à l’insu des personnes. Mise en demeure de se mettre en conformité, l’entreprise ne s’exécute pas. Une procédure de sanction est alors engagée et menée à son terme, aboutissant à l’amende de 500 000 €. Quatre manquements méritent d’être analysés.

Manquement 1 : non-respect de l’opposition des personnes

La prospection B2C est un traitement à risque : elle génère mécaniquement des plaintes si les processus ne sont pas construits. Une personne qui s’oppose au démarchage ne doit jamais être rappelée. L’absence de processus fiable garantit le contentieux : dès que l’activité monte en volume, ce n’est qu’une question de temps avant qu’une personne saisisse la CNIL. Sur le fond, cette exigence découle directement du droit d’opposition.

Les actions attendues : maintenir une liste d’opposition centralisée, tester régulièrement son effectivité, et créer des « profils-témoins » dans la base (renvoyant vers les personnes en charge de la conformité) pour détecter rapidement toute défaillance du processus.

Manquement 2 : collecte de données excessives (champs libres)

Les champs libres — surtout dans les CRM — posent un problème structurel : ils permettent aux opérateurs de saisir des données sans limite. Le résultat est souvent désastreux : commentaires excessifs, parfois des données sur la santé, qui n’ont aucune raison d’être là. La CNIL vérifie systématiquement l’existence de champs libres lors d’un contrôle.

Un champ libre n’est pas interdit, mais il doit respecter le principe de minimisation : les données saisies doivent rester adéquates, pertinentes et limitées aux finalités. Les actions attendues : encadrer ou supprimer les champs libres, sensibiliser les opérateurs de saisie, et extraire/vérifier régulièrement le contenu pour purger les données non pertinentes.

Manquement 3 : transferts hors UE non encadrés

Sous-traiter la prospection dans des pays francophones hors UE semble économique — jusqu’à ce que le coût de la conformité RGPD apparaisse. Le transfert hors UE est possible, mais il suppose de valider le cadre juridique du transfert (clauses contractuelles types, décision d’adéquation le cas échéant) et de vérifier le respect effectif des obligations par le sous-traitant sur l’ensemble des outils. Ce cadre relève à la fois de l’encadrement des transferts et du contrat de sous-traitance de l’article 28 du RGPD.

Sur un traitement aussi sensible que la prospection, il faut évaluer le coût complet — y compris les coûts cachés de conformité — avant de délocaliser. Les actions attendues : chiffrer le coût réel de la mise en conformité du centre d’appels, et, le cas échéant, rapatrier l’activité dans l’UE.

Manquement 4 : défaut de coopération avec la CNIL

Depuis l’entrée en application du RGPD, la marge de manœuvre en cas de mise en demeure s’est fortement réduite (art. 83). Ne pas répondre point par point aux observations de la Commission est une erreur stratégique majeure : c’est souvent ce qui transforme une mise en demeure en sanction, et une sanction modérée en sanction lourde. Une réponse sérieuse et documentée à chaque grief aurait vraisemblablement permis de réduire significativement le montant.

La leçon : en cas de contrôle ou de mise en demeure, faites traiter chaque point par des professionnels de la conformité. Pour un panorama des risques, voir notre synthèse des sanctions RGPD à connaître.

Le cadre légal : RGPD + ePrivacy + CPCE

La prospection commerciale se situe à l’intersection de deux corps de règles :

  • Le RGPD, qui exige une base légale (consentement ou intérêt légitime), le respect des principes (minimisation, finalité, durée limitée) et des droits des personnes (information, opposition, accès).
  • La réglementation « ePrivacy », transposée notamment à l’article L.34-5 du Code des postes et des communications électroniques (CPCE), qui impose le consentement préalable pour la prospection électronique B2C et encadre le démarchage.

Les deux se cumulent : respecter le RGPD ne dispense pas des règles spécifiques à la prospection électronique, et inversement. C’est cette double exigence qui rend la matière piégeuse. Notre article dédié à la prospection commerciale et au RGPD approfondit l’articulation de ces textes.

B2B et B2C : les nuances qui piègent

La frontière entre B2B et B2C est moins nette qu’il n’y paraît, et c’est là que se logent la plupart des erreurs.

  • L’adresse professionnelle nominative reste une donnée personnelle. prenom.nom@societe.fr identifie une personne physique : le régime B2B assoupli n’efface pas les obligations d’information et d’opposition. Seules les adresses génériques (contact@, info@) sortent largement du champ de la prospection encadrée.
  • La cohérence produit compte. En B2B, la prospection est admise si le message porte sur un bien ou service en rapport avec la profession de la personne. Envoyer une offre sans rapport avec son activité fragilise le fondement juridique.
  • Le B2C ne se limite pas aux particuliers « grand public ». Prospecter un auto-entrepreneur sur son adresse personnelle relève souvent, en pratique, du régime B2C.

En cas de doute, la voie la plus sûre reste le consentement, assorti d’une preuve horodatée du recueil.

SMS, réseaux sociaux, cookies : les autres canaux

La prospection ne se limite pas à l’email et au téléphone. Chaque canal a ses règles.

  • SMS / MMS : régime aligné sur l’email en B2C — consentement préalable, sauf exception « clients » pour des produits analogues, avec opt-out à chaque message.
  • Messagerie des réseaux sociaux : un message commercial non sollicité relève de la prospection électronique ; le consentement s’apprécie de la même manière, et l’usage de données issues de profils publics ne dispense pas d’une base légale ni de l’information (article 14).
  • Cookies et traceurs publicitaires : la personnalisation publicitaire repose sur le consentement au dépôt de traceurs. Un ciblage sans consentement valable expose à des sanctions distinctes, souvent cumulées avec les manquements « prospection ».

Sur tous ces canaux, l’articulation entre le droit d’opposition et la preuve du consentement est le point que la CNIL vérifie en priorité lors d’un contrôle.

Se mettre en conformité : la checklist

  1. Identifier le canal et la cible (email/SMS B2C, email B2B, téléphone, courrier) pour déterminer le régime applicable.
  2. Choisir et documenter la base légale : consentement (avec preuve du recueil) ou intérêt légitime (avec triple test).
  3. Recueillir un consentement valable quand il est requis : libre, spécifique, éclairé, univoque, avec preuve horodatée. Voir notre modèle de consentement.
  4. Garantir le droit d’opposition à chaque message : lien de désinscription fonctionnel, liste d’opposition centralisée et testée.
  5. Maîtriser les champs libres : les encadrer, sensibiliser les opérateurs, contrôler périodiquement le contenu.
  6. Encadrer les sous-traitants : contrat art. 28, vérification des transferts hors UE, audit des outils.
  7. Définir une durée de conservation des prospects (par exemple, revue régulière de l’inactivité) et purger les données obsolètes.
  8. Tenir la documentation à jour : registre, preuves de consentement, procédures d’opposition, prêtes à être présentées en cas de contrôle.

Un audit RGPD de l’activité de prospection permet de repérer les points faibles avant que la CNIL ne les découvre. Lorsque les volumes augmentent, un logiciel RGPD permet d’industrialiser la traçabilité des consentements et des oppositions, ainsi que la documentation associée.

Modèle de mention de consentement (prospection)

En cochant cette case, j’accepte de recevoir des communications commerciales de [Société] par email au sujet de ses produits et services. Je peux retirer mon consentement à tout moment en cliquant sur le lien de désinscription présent dans chaque message, ou en écrivant à [adresse]. Mes données sont conservées le temps de la relation puis archivées/supprimées selon la politique de conservation de [Société]. J’ai pris connaissance de la [politique de confidentialité].

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 2026.1 — dernière mise à jour : 10 juillet 2026.

Un contentieux qui ne faiblit pas

L’affaire à 500 000 € n’est pas isolée : la prospection reste, année après année, l’un des principaux motifs de plaintes et de contrôles de la CNIL. Les montants encourus sont dissuasifs. Selon l’article 83 du RGPD, les manquements aux principes fondamentaux et aux droits des personnes — dont relèvent la plupart des manquements en matière de prospection — peuvent être sanctionnés jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (le plafond de 10 M€ / 2 % s’appliquant à des manquements de nature plus documentaire). Au-delà de l’amende, c’est l’image de marque et la confiance des clients qui sont en jeu.

Un point mérite d’être souligné : dans la plupart des dossiers, le manquement décisif n’est pas l’envoi d’un message de trop, mais l’incapacité à prouver le consentement ou le respect de l’opposition. La charge de la preuve pèse sur le responsable de traitement : c’est à lui de démontrer qu’il détient un consentement valable et horodaté, et que sa liste d’opposition est effective. Une base de contacts sans traçabilité est, aux yeux de la CNIL, une base présumée non conforme. Investir dans la preuve — journalisation des consentements, historique des désinscriptions, tests périodiques — coûte infiniment moins cher qu’une procédure de sanction.

FAQ

Faut-il le consentement pour prospecter par email en B2B ?

Pas nécessairement un consentement préalable, contrairement au B2C. La prospection par email professionnel est admise si le message concerne la fonction professionnelle de la personne, si celle-ci a été informée au moment de la collecte et si elle dispose d’un droit d’opposition simple. En revanche, une adresse personnelle (même utilisée au travail) impose davantage de prudence.

Le démarchage téléphonique reste-t-il autorisé en 2026 ?

Il change de régime. Le système d’opposition via la liste BLOCTEL laisse place, à compter d’août 2026, à un régime de consentement préalable : il faudra en principe l’accord de la personne avant de la démarcher par téléphone. Les entreprises concernées doivent revoir leurs processus dès maintenant.

Puis-je prospecter mes clients existants sans consentement ?

Oui, dans une certaine mesure. L’exception « clients » de l’article L.34-5 CPCE permet de prospecter par email un client existant pour des produits ou services analogues à ceux déjà fournis, à condition de lui offrir un moyen simple de s’opposer, lors de la collecte puis dans chaque message. Cette exception ne couvre pas les prospects qui ne sont pas encore clients.

Combien de temps puis-je conserver un prospect ?

La durée doit être limitée à ce qui est nécessaire. En pratique, une revue régulière de l’activité du prospect est attendue : au-delà d’une période d’inactivité, les données doivent être supprimées ou archivées. Un prospect qui ne répond jamais ne peut être conservé indéfiniment.

Les champs libres sont-ils interdits par le RGPD ?

Non, mais ils sont surveillés de près. Un champ libre est licite s’il respecte la minimisation : les données saisies doivent rester pertinentes au regard de la finalité. Y consigner des insultes, des jugements de valeur ou des données de santé constitue un manquement caractérisé.

Que faire en cas de mise en demeure de la CNIL ?

Répondre, sérieusement et point par point. Le défaut de coopération est un facteur aggravant. Documentez les mesures correctives prises pour chaque grief et, si l’enjeu est élevé, faites-vous accompagner par des professionnels de la conformité. Une mise en demeure correctement traitée peut se clore sans sanction.


La prospection commerciale n’est pas interdite par le RGPD — elle est encadrée. La différence entre une campagne performante et une amende à six chiffres tient à quelques processus : la bonne base légale, une gestion fiable des oppositions, des champs libres maîtrisés et des sous-traitants sous contrôle. Autant de points à verrouiller avant de composer le premier numéro.

Lien vers la décision de la CNIL

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →