B2B cold email France : le guide RGPD + CNIL

La réponse courte

Le cold email B2B est légal en France en 2026. Le RGPD article 6.1.f autorise l'intérêt légitime comme base légale, et la LCEN 2004 article L34-5 CPCE confirme le régime opt-out pour la prospection professionnelle. La CNIL a réaffirmé cette doctrine dans son guide 2023 sur la prospection commerciale.

Trois conditions cumulatives :

1. Email professionnel du destinataire (format prenom.nom@entreprise.com), pas adresse perso.
2. Contenu en lien avec sa fonction : tu pitches un CTO sur du cybersécurité, pas du marketing automation.
3. Lien de désinscription en 1 clic qui fonctionne réellement.

Cadre juridique français : trois textes superposés

Le cold email B2B en France est encadré par trois couches juridiques empilées. Comprends-les ou tu construis sur du sable. [GDPR]

1. Le RGPD (Règlement UE 2016/679)

Le règlement européen définit la base légale du traitement de données personnelles. Pour la prospection B2B, deux articles comptent :

• Article 6.1.f : autorise le traitement basé sur l'intérêt légitime, sous condition de mise en balance avec les droits du destinataire.
• Article 21 : impose le droit d'opposition, qui doit être facile à exercer (le fameux lien de désinscription).

L'article 6.1.f est ce qui rend le cold email B2B possible sans consentement préalable. C'est le pilier.

2. La LCEN 2004 (Loi pour la Confiance dans l'Économie Numérique)

La LCEN, transposée à l'article L34-5 du Code des Postes et Communications Électroniques (CPCE), précise le régime de prospection commerciale par voie électronique. C'est là que se joue la distinction B2B / B2C.

• B2C : opt-in obligatoire (consentement préalable explicite).
• B2B : opt-out (envoi possible sans consentement, droit d'opposition obligatoire).

La LCEN définit l'email professionnel comme l'adresse "qui n'identifie pas la personne directement mais sa fonction". Format prenom.nom@entreprise.com = email pro. Format jean.dupont@gmail.com = email perso (B2C même si le destinataire travaille).

3. La doctrine CNIL

La CNIL (Commission Nationale de l'Informatique et des Libertés) ne fait pas la loi. Elle interprète et sanctionne. Trois publications de référence :

• Guide pratique sur la prospection commerciale (CNIL, 2023). Confirme le régime opt-out pour le B2B et précise les conditions cumulatives.
• Doctrine sur l'intérêt légitime (CNIL, 2024). Détaille le test de mise en balance.
• Sanctions publiques. La CNIL publie systématiquement les manquements sanctionnés (Cdiscount, Free, Orange, Brico Privé, Carrefour). Lecture obligatoire.

Comment l'intérêt légitime s'applique en France

L'article 6.1.f du RGPD autorise le traitement quand "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée". [GDPR]

Concrètement, en France, la prospection B2B passe ce test pour trois raisons :

1. L'intérêt commercial est reconnu comme légitime par la CNIL dès lors qu'il est correctement encadré.
2. Le destinataire est joint dans son cadre professionnel, sur une adresse fonction, pour un contenu pertinent à son rôle.
3. Le droit d'opposition (article 21 RGPD) est garanti et exerçable en 1 clic.

Régime opt-out : ce que ça veut dire concrètement

L'opt-out signifie que tu peux envoyer un email à un prospect B2B sans son consentement préalable, à condition de lui offrir une porte de sortie immédiate. Trois implications opérationnelles :

1. Pas besoin de double opt-in avant l'envoi. Pas besoin de demander "voulez-vous recevoir nos emails ?" comme en B2C.
2. Le lien de désinscription est obligatoire sur chaque email. En 1 clic, sans login, sans formulaire à 5 champs.
3. L'opt-out doit être respecté en moins de 30 jours (recommandation CNIL : sous 7 jours en pratique).

Différence majeure avec l'Allemagne : la France a un régime opt-out clair en B2B, alors que l'Allemagne (UWG + BDSG) impose un quasi double opt-in pour la prospection y compris professionnelle. Le cadre FR est l'un des plus permissifs en Europe sur ce point, avec le UK et la Belgique.

Sanctions CNIL 2023-2026 : les cas qui font jurisprudence

La CNIL a multiplié les sanctions sur la prospection commerciale. Voici les 8 cas marquants à connaître :

Le pattern dans 90% des cas : ce n'est pas l'envoi du cold email qui est sanctionné, c'est l'absence de documentation et le processus opt-out défaillant. Tu peux envoyer 100 000 emails B2B et passer un contrôle CNIL si ton dossier est en ordre. Tu peux envoyer 1 000 emails et te prendre 50 000 € si ton registre est vide.

L'article 21 RGPD : le droit d'opposition

L'article 21 du RGPD est central pour le cold email B2B. Il pose deux obligations :

1. Information préalable : à la première interaction, tu dois informer le destinataire de son droit d'opposition. En cold email, ça passe par le footer + lien de désinscription.
2. Exercice facile : le destinataire doit pouvoir exercer son droit d'opposition par "des moyens automatisés et un mécanisme d'opt-out simple". 1 clic, pas de formulaire.

En pratique, ton lien de désinscription doit pointer vers une URL qui désinscrit le contact en un clic et affiche une confirmation. Pas de login, pas de re-confirmation, pas de "êtes-vous sûr ?". La CNIL a sanctionné Brico Privé spécifiquement sur ce point.

Produire ta LIA (Legitimate Interest Assessment)

La LIA est le document qui justifie ton recours à l'intérêt légitime. C'est ton bouclier en cas de contrôle CNIL. 1 à 2 pages PDF, 4 sections.

Section 1 : identification de l'intérêt poursuivi

Tu décris ton intérêt commercial en 3-5 lignes. Exemple : "Notre intérêt légitime consiste à promouvoir nos solutions logicielles auprès de décideurs IT français en B2B, dans le cadre du développement commercial de l'entreprise."

Section 2 : nécessité du traitement

Tu démontres que la prospection est nécessaire et qu'aucune alternative moins intrusive ne permet d'atteindre l'objectif. Exemple : "L'inbound marketing seul ne couvre pas notre ICP cible (CMO d'agences digitales 10-50). La prospection email B2B est l'unique canal d'accès direct à cette population."

Section 3 : mise en balance

Tu confrontes ton intérêt commercial aux droits du destinataire. Tu argumentes pourquoi ton intérêt prévaut. Critères évalués : pertinence du contenu, attente raisonnable du destinataire, charge intrusive faible (un email passe en 5 secondes).

Section 4 : mesures de protection

Tu listes les garanties mises en place : opt-out 1 clic, suppression sous 7 jours, registre tenu à jour, DPO ou point de contact, hébergement UE, DPA signée avec sous-traitants.

Modèle gratuit : la CNIL fournit elle-même un template sur son site. Adapte-le, c'est 1h de travail bien investi.

Anatomie d'un cold email conforme : 7 mentions obligatoires

Voici les 7 mentions qui doivent figurer sur tout cold email B2B FR :

1. Identité claire de l'expéditeur : prénom + nom + entreprise + adresse postale + numéro de téléphone (LCEN exige une adresse postale).
2. Mention de la base légale : "Cet email est envoyé sur la base de l'intérêt légitime (article 6.1.f RGPD)".
3. Source de la donnée : "Email obtenu via [LinkedIn / annuaire pro / base de données qualifiée]". Pas obligatoire en B2B mais fortement recommandé par la CNIL.
4. Lien de désinscription en 1 clic, fonctionnel, qui désinscrit immédiatement.
5. Lien vers la politique de confidentialité.
6. Mention RGPD sur les droits : "Vous disposez d'un droit d'accès, de rectification, d'effacement et d'opposition".
7. Coordonnées du DPO (si désigné) ou point de contact data.

Format type pour le footer :

--
Nicolas Finet, CEO Overloop
Sortlist SA, Avenue Louise 222, 1050 Bruxelles
+32 X XX XX XX XX

Email envoyé sur la base de l'intérêt légitime (RGPD art. 6.1.f).
Source : profil public LinkedIn.
Vous disposez d'un droit d'accès, rectification, effacement, opposition.
Contact : dpo@overloop.com
[Se désinscrire en 1 clic]
[Politique de confidentialité]

Le registre des traitements (article 30 RGPD)

Tu dois tenir un registre des traitements à jour. C'est obligatoire au-delà de 250 employés, et fortement recommandé même en PME (la CNIL le demande systématiquement en contrôle).

Le registre liste, pour chaque traitement de données :

• Finalité (prospection commerciale B2B)
• Catégories de données (identité, fonction, email pro, entreprise)
• Catégories de personnes (décideurs B2B France)
• Destinataires (équipe sales, CRM, sous-traitant outil cold email)
• Durée de conservation (3 ans après dernier contact recommandé CNIL)
• Mesures de sécurité (chiffrement, accès limité, MFA)
• Transferts hors UE le cas échéant (clauses contractuelles types)

Format : tableur Excel, HubSpot custom, ou outil dédié type Dastra ou Lex DPO. 1h de setup initial, 30 min de mise à jour par trimestre.

Sources de données : quoi est légal en France

Toutes les sources ne se valent pas côté CNIL. Voici la hiérarchie de risque :

Très faible risque

• Profils LinkedIn publics. Données rendues publiques par la personne dans un contexte professionnel.
• Annuaires professionnels publics (chambres de commerce, ordres professionnels).
• Sites institutionnels d'entreprise (équipe, contact).
• Bases légalement constituées avec sourcing documenté (Sortlist 600K demandes/mois, Cognism, Kaspr, Dropcontact, Hunter).

Risque modéré

• Apollo, ZoomInfo, Lusha : sourcing documenté mais hébergement US, transfert à valider.
• Scrapping LinkedIn via Sales Navigator : zone grise, fonctionnalité tolérée par LinkedIn mais pas explicitement autorisée.

Risque élevé (à éviter)

• Bases achetées sur Le Bon Coin, marketplaces opaques. Sourcing non documenté = bombe à retardement CNIL.
• Scrapping de sites perso, blogs, réseaux non-pro. La donnée n'a pas été rendue publique dans un contexte professionnel.
• Listes "leaked" via tiers. Présomption d'illégalité.

Tracking et pixels d'ouverture : ce qui est permis

Les pixels d'ouverture (open tracking) en cold email sont une zone grise. Voici l'état actuel :

• Open tracking : techniquement, c'est un cookie tiers/pixel. La CNIL considère que ça nécessite une base légale, qui peut être l'intérêt légitime si tu documentes (LIA dédiée).
• Click tracking : moins risqué (il s'agit de redirections), généralement couvert par l'intérêt légitime opérationnel.
• Pixel + tracking comportemental approfondi (cross-session, fingerprinting) : opt-in nécessaire, donc inadapté au cold email.

Recommandation pratique : laisse activé le tracking d'ouverture et de clic standard (intégré chez Overloop, Lemlist, Smartlead, etc.). Mentionne dans ta politique de confidentialité que tu utilises ces techniques sur la base de l'intérêt légitime. Évite les pixels avancés type Mailtrack, qui révèlent des informations sur le device.

Marche francais : LIA documentee, hebergement Bruxelles, opt-out 1 clic, log RGPD 7 ans.

Checklist 18 points avant la première campagne

Avant le premier envoi, valide chaque ligne :

Documentation (à produire 1 fois)

1. LIA rédigée et signée par le DPO ou le responsable de traitement
2. Registre des traitements complété pour la prospection
3. Politique de confidentialité à jour mentionnant la prospection B2B
4. DPA signée avec ton outil de cold email (Overloop, Lemlist, etc.)
5. DPA signée avec ton CRM (HubSpot, Pipedrive, Salesforce)
6. Contact DPO ou point de contact data identifié

Base de données

7. Tous les emails sont des emails professionnels (format prenom.nom@entreprise.com)
8. Source de chaque contact documentée (LinkedIn, Cognism, Kaspr, etc.)
9. Pertinence ICP vérifiée (le contenu est en lien avec la fonction)
10. Pas de scrapping de sources non publiques
11. Désinscriptions précédentes purgées

Email

12. Identité expéditeur complète (nom, entreprise, adresse, téléphone)
13. Mention base légale dans le footer
14. Lien de désinscription en 1 clic, fonctionnel et testé
15. Lien politique de confidentialité
16. Mention des droits RGPD

Process

17. Désinscriptions traitées sous 7 jours
18. Demandes d'effacement traitées sous 30 jours (article 17 RGPD)

Questions fréquentes