Le cold email B2B est légal en France en 2026. C'est même clairement encadré par le RGPD (article 6.1.f, intérêt légitime), la LCEN 2004 (article L34-5 CPCE), et les positions répétées de la CNIL. Mais ce sont les conditions d'envoi qui font la différence entre un email parfaitement licite et une amende à 525 000 € comme celle infligée à Cdiscount en 2024.
La réponse courte : oui, c'est légal en B2B FR
En B2B, l'opt-out suffit en France. Tu peux contacter un professionnel sur son email pro sans son consentement préalable, à condition de respecter trois règles. Premièrement, le contenu de ton message doit être en lien direct avec sa fonction (pas envoyer une offre piscine au DAF). Deuxièmement, tu dois l'informer de la source de son email au plus tard au premier contact. Troisièmement, tu dois offrir un droit d'opposition simple (lien de désinscription en un clic). [GDPR]
En B2C, c'est l'inverse : opt-in obligatoire, consentement libre, éclairé, spécifique et univoque. Le cold email B2C est de fait illégal en France si tu n'as pas le consentement préalable.
Le cadre RGPD et la position CNIL
Le RGPD ne mentionne pas « cold email » mais il pose six bases légales possibles pour traiter une donnée personnelle. Pour la prospection B2B, deux bases s'appliquent en pratique :
- Article 6.1.a, consentement : la base la plus stricte, exigée en B2C. Pas applicable en cold email B2B (sinon il n'y aurait plus de cold email).
- Article 6.1.f, intérêt légitime : la base utilisée par tous les SDR B2B sérieux. Tu peux contacter un pro sur son email pro si tu démontres un intérêt légitime équilibré avec ses droits.
La CNIL a confirmé sa position en 2023 dans son guide pratique sur la prospection commerciale : l'intérêt légitime est valable en B2B sous trois conditions cumulatives. La page CNIL sur la prospection est la référence officielle à conserver.
La LCEN 2004 et l'article L34-5 CPCE
La Loi pour la Confiance dans l'Économie Numérique de 2004 a transposé la directive ePrivacy. L'article L34-5 du Code des Postes et Communications Électroniques fixe les règles :
- En B2C, opt-in obligatoire avec exception « soft opt-in » pour les clients existants.
- En B2B, opt-out suffisant si l'email est professionnel (générique ou nominatif) et le contenu est en lien avec la fonction du destinataire.
Cette nuance fait du cold email B2B en France une pratique parfaitement légale, contrairement à l'Allemagne où il reste interdit (BDSG, double opt-in obligatoire).
"Le cold email B2B en France est légal. Le cold email B2B en France mal fait est cher. La différence se joue sur 7 lignes de conformité, pas sur le talent commercial."
Nicolas Finet, CEO Sortlist + Overloop
Les 7 conditions pratiques à respecter
- Source de la donnée documentée : tu sais où tu as eu l'email (LinkedIn, site web, Pappers, Kaspr, Hunter). Tu peux le démontrer.
- Information du destinataire : dès le premier mail, tu indiques d'où vient son adresse.
- Lien de désinscription fonctionnel : un clic, pas trois. Pas caché en gris clair.
- Identité de l'expéditeur claire : nom, raison sociale, SIREN, adresse postale.
- Pertinence professionnelle : ton message concerne la fonction du destinataire.
- Suppression sous 30 jours si la personne le demande.
- Registre des traitements RGPD tenu à jour (un tableur HubSpot suffit pour une PME).
Tu veux faire du cold email sans risque RGPD ?
Overloop documente la base légale (intérêt légitime), gère l'opt-out auto et la traçabilité. Conformité par défaut.
Voir les fonctionnalités → Essayer gratuitementLes sanctions CNIL récentes (2023-2026)
- Cdiscount, 525 000 € (2024) : défaut d'information, conservation excessive, manquement à la sécurité. Le plus gros dossier prospection 2024.
- Free, 300 000 € (2024) : démarchage sans base légale documentée, gestion défaillante des oppositions.
- Brico Privé, 50 000 € (2023) : cookies non conformes liés à la prospection.
- SAS Foncia Habitat, 20 000 € (2023) : gestion défaillante des droits d'accès et opposition.
Sur le mid-market B2B pur, les sanctions tournent entre 5 000 et 80 000 € avec une obligation de remédiation publique qui flingue la marque. Un audit CNIL prend 6 à 18 mois.
Comparaison rapide UE et reste du monde
| Pays | Régime cold email B2B | Risque |
|---|---|---|
| France | Opt-out suffit (RGPD + LCEN) | Faible si conformité de base |
| Belgique | Opt-out OK avec consentement implicite | Faible |
| Allemagne | Interdit, double opt-in obligatoire | Élevé, amendes BDSG fréquentes |
| Royaume-Uni | Opt-out OK pour personnes morales (PECR) | Faible |
| Pays-Bas | Opt-out OK si contact public | Faible |
| Suède | Opt-out OK si pertinent à la fonction | Faible |
| États-Unis | CAN-SPAM 2003, opt-out OK | Faible |
| Canada | CASL, consentement express requis | Élevé, amendes 1M+ |
| Australie | Spam Act 2003, consentement implicite OK | Faible |
Si tu prospectes l'Europe depuis la France, tu peux raisonnablement appliquer les règles FR aux 27. Reste prudent pour l'Allemagne (filtre supplémentaire) et le Canada (US/CA mix).
3 exemples concrets de mails conformes
Exemple 1, Mail conforme à un Head of Sales
Objet : Rapport outbound Q1 — pour Camille
Bonjour Camille,
J'ai vu sur LinkedIn que tu venais de prendre la lead
Sales chez Spendesk. J'ai pensé à toi parce qu'on
travaille avec PayFit et Qonto sur leurs séquences
outbound depuis 2023.
On a sorti un benchmark cold email France 2026 sur
500 équipes Sales B2B. Veux-tu un PDF rapide ?
[Signature complète + adresse postale]
Vous recevez ce mail car votre profil LinkedIn public
correspond à notre cible Sales B2B. Désinscription
en 1 clic ici : [lien].Exemple 2, Mail B2B non conforme (à éviter)
Objet : OFFRE EXCLUSIVE 50% jusqu'à demain !!!
Bonjour [PRENOM],
Ne ratez pas notre offre incroyable boostez vos ventes
maintenant cliquez ici...
[Pas de désinscription, pas d'identité, pas d'origine]Problèmes : pas d'identité, pas d'origine de la donnée, pas de désinscription, contenu spam pur. Risque sanction CNIL en cas de plainte : élevé.
Exemple 3, Mail à un client final (B2C, donc opt-in requis)
Si tu envoies un email commercial à un consommateur final (ex : thomas.particulier@gmail.com), il te faut son consentement préalable. Pas d'opt-out, opt-in obligatoire. Si tu n'as pas le consentement, ne l'envoie pas.
À savoir
L'amende CNIL Cdiscount à 525K EUR n'est pas une exception : la CNIL a sanctionné 9 entreprises pour prospection email non conforme entre 2023 et 2026. Le risque B2B est réel quand l'opt-out n'est pas honoré ou que la base est obtenue par scraping.
Checklist conformité avant chaque campagne
- Liste de contacts B2B uniquement (emails pros, fonction en lien avec ton offre).
- Source de chaque email documentée dans ton CRM.
- Mail comportant ton identité, adresse postale, SIREN.
- Lien de désinscription en 1 clic, en bas de chaque mail.
- Phrase d'information sur l'origine de la donnée.
- Process de gestion des oppositions automatisé (suppression J+30 max).
- Registre des traitements RGPD à jour, accessible.
- DPO désigné si tu traites > 5 000 contacts.
Pour aller plus loin : trouver des emails B2B conformes au RGPD, pourquoi ne jamais acheter de listes email, comment trouver une adresse mail, 10 conseils pour éviter le dossier spam, et 7 causes de bounce email. Pour automatiser ta conformité : les fonctionnalités Overloop intègrent la gestion des oppositions.
Cet article est informatif. Il ne constitue pas un avis juridique. Pour un cas spécifique (audit CNIL en cours, plainte reçue), consulte un avocat spécialisé.
Le cold email Europe sans risque
Base légale documentée, opt-out auto, audit RGPD. La prospection conforme par défaut.
Créer mon compte Overloop → Voir une démo