Base de données B2B et RGPD : ce que vous devez savoir avant d'acheter !

 

 

Le RGPD fait peur. Et quand on parle d'acheter une base de données B2B pour prospecter, la question revient systématiquement : est-ce légal ? Est-ce que je risque une amende de la CNIL ? Est-ce que mon fournisseur est fiable ?

 

La bonne nouvelle : la prospection commerciale B2B est légale en France. La mauvaise : elle est encadrée, et tous les fournisseurs de bases de données ne respectent pas les règles. Acheter un fichier à un acteur non conforme peut vous exposer à des sanctions, même si vous pensiez agir de bonne foi.

 

Ce guide vous donne les clés pour comprendre ce que dit vraiment le RGPD sur les données B2B, vérifier la conformité d'un fournisseur, et prospecter sans risque juridique. Si vous cherchez d'abord à comprendre comment choisir une base de qualité, consultez notre guide complet pour acheter une base de données B2B en France.

 

RGPD et données B2B : ce que dit vraiment la réglementation

 

Commençons par clarifier un point essentiel : le RGPD ne s'applique pas qu'aux données personnelles des particuliers. Il concerne toutes les données permettant d'identifier une personne physique, y compris dans un contexte professionnel.

 

Concrètement, une adresse email du type "jean.dupont@entreprise.fr" est une donnée personnelle au sens du RGPD. Le nom, le prénom, le numéro de téléphone direct d'un contact professionnel aussi.

 

En revanche, une adresse générique comme "contact@entreprise.fr" ou un numéro de standard ne sont pas considérés comme des données personnelles.

 

La différence entre B2B et B2C

 

Le RGPD s'applique dans les deux cas, mais la directive ePrivacy (transposée en France via le Code des postes et communications électroniques) introduit une distinction importante :

 

En B2C : la prospection par email nécessite un consentement préalable explicite (opt-in). Vous ne pouvez pas envoyer d'email commercial à un particulier qui n'a pas accepté de le recevoir.

 

En B2B : la prospection par email est autorisée sans consentement préalable, à condition que le message soit en rapport avec la fonction professionnelle du destinataire. C'est ce qu'on appelle "l'intérêt légitime".

 

Cette distinction est fondamentale : elle rend l'achat et l'utilisation de bases de données B2B légalement possible, sous certaines conditions.

 

Les 4 conditions pour qu'une base de données B2B soit conforme au RGPD

 

Acheter une base de données B2B est légal. Mais encore faut-il que cette base ait été constituée dans le respect du RGPD. Voici les 4 critères à vérifier avant tout achat.

 

1. L'origine licite des données

 

Les données doivent provenir de sources légales. Les sources acceptées incluent :

1. Le répertoire SIRENE de l'INSEE (données publiques des entreprises françaises)
2. Les sites web des entreprises (pages contact, mentions légales)
3. Les annuaires professionnels publics
4. Les registres officiels (RCS, répertoires des métiers)
5. Les réseaux sociaux professionnels (données publiquement accessibles)

 

Ce qui n'est PAS une source licite : le scraping massif de données privées, l'achat de bases issues de piratage ou de fuites, la collecte sans information des personnes concernées.

 

2. L'information des personnes concernées

 

Le RGPD impose que les personnes dont les données sont collectées soient informées de cette collecte et de l'usage qui en sera fait.

 

Dans le cas des données B2B issues de sources publiques, cette obligation est considérée comme remplie si les données étaient manifestement rendues publiques par la personne elle-même (publication sur un site web, profil LinkedIn public, etc.).

 

Point de vigilance : si un fournisseur vous vend des emails "exclusifs" obtenus par des méthodes opaques, la conformité est douteuse.

 

3. Le respect des droits des personnes

 

Toute personne dont les données figurent dans une base B2B dispose de droits :

1. Droit d'accès : savoir quelles données sont détenues sur elle
2. Droit de rectification : corriger des informations erronées
3. Droit d'opposition : refuser d'être prospecté
4. Droit à l'effacement : demander la suppression de ses données

 

Quand vous utilisez une base achetée pour prospecter, vous devenez responsable du traitement. Cela signifie que vous devez être en mesure de répondre à ces demandes.

 

Obligation concrète : chaque email de prospection doit contenir un lien de désinscription fonctionnel.

 

4. La durée de conservation limitée

 

Le RGPD impose de ne pas conserver les données plus longtemps que nécessaire. Une base de données B2B n'est pas censée être stockée indéfiniment.

 

Les recommandations de la CNIL pour les données de prospection : 3 ans maximum à compter du dernier contact avec la personne.

 

Ce que cela implique : un fournisseur qui vend la même base depuis 5 ans sans mise à jour est probablement hors des clous.

 

Ce que vous risquez en cas de non-conformité

 

Les sanctions RGPD ne sont pas théoriques. La CNIL a déjà prononcé des amendes contre des entreprises françaises pour des manquements liés à la prospection commerciale.

 

Les sanctions possibles

1. Avertissement : la CNIL peut d'abord adresser un rappel à l'ordre
2. Mise en demeure : obligation de se mettre en conformité sous délai
3. Amende administrative : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)
4. Sanctions pénales : dans les cas les plus graves, des poursuites pénales sont possibles

 

Qui est responsable ?

 

Point crucial : la CNIL peut sanctionner à la fois le collecteur des données (le fournisseur de la base) ET l'utilisateur (vous, l'acheteur).

 

Acheter une base à un fournisseur non conforme ne vous exonère pas de votre responsabilité. L'argument "je ne savais pas" ne tient pas devant la CNIL.

 

Cas concrets de sanctions

 

Sans citer de noms, plusieurs PME françaises ont été sanctionnées ces dernières années pour :

1. Prospection email sans lien de désinscription
2. Utilisation de bases de données dont l'origine ne pouvait pas être justifiée
3. Absence de réponse aux demandes de droit d'accès ou d'effacement
4. Conservation de données de prospection au-delà des durées légales

 

Les amendes prononcées vont de quelques milliers d'euros pour les petites structures à plusieurs centaines de milliers pour les cas les plus graves.

 

Comment vérifier qu'un fournisseur de bases de données est conforme ?

Les signaux d'alerte

Certains indices doivent vous alerter sur un fournisseur potentiellement non conforme :

1. Prix anormalement bas (une base de 50 000 emails à 20 € est forcément douteuse)
2. Aucune mention du RGPD dans les CGV
3. Impossibilité de connaître l'origine des données
4. Absence de politique de confidentialité sur le site
5. Pas de réponse claire aux questions sur la conformité

 

Pourquoi le modèle "génération à la demande" est plus conforme ?

 

La plupart des fournisseurs de bases de données B2B fonctionnent avec un modèle de stock : ils constituent des bases en amont, les stockent sur leurs serveurs, et les revendent telles quelles pendant des mois, voire des années.

 

Ce modèle pose plusieurs problèmes de conformité :

1. Durée de conservation excessive des données
2. Aucune garantie de fraîcheur
3. Risque de revente multiple de la même base

 

Le modèle Ravoo : génération en temps réel

Ravoo a fait le choix inverse : aucune base n'est stockée en amont. Chaque commande déclenche une génération en temps réel, à partir de sources publiques légales.

 

Ce que ça change concrètement :

1. Fraîcheur maximale : les données sont collectées au moment de votre commande, pas il y a 18 mois
2. Stockage limité : les bases sont conservées maximum 30 jours après livraison, puis supprimées automatiquement
3. Pas de revente en masse : chaque base est générée spécifiquement pour un client, pas revendue en boucle
4. Traçabilité : l'origine et la date de collecte sont documentées pour chaque commande

 

Ce modèle répond directement aux exigences du RGPD en matière de minimisation des données et de limitation de la conservation.

 

Checklist : prospecter en conformité avec une base achetée

 

Vous avez acheté une base de données B2B conforme. Voici les règles à respecter pour l'utiliser sans risque.

 

Avant l'envoi

1. Vérifiez que chaque email contient un lien de désinscription clair et fonctionnel
2. Passez la base dans un outil de vérification d'emails pour éliminer les adresses invalides
3. Assurez-vous que votre message est en rapport avec la fonction professionnelle du destinataire

 

Pendant la campagne

1. Traitez immédiatement les demandes de désinscription (sous 48h maximum)
2. Répondez aux éventuelles demandes de droit d'accès ou d'effacement
3. Ne relancez pas les personnes qui se sont désinscrites

 

Après la campagne

1. Mettez à jour votre base avec les désinscriptions
2. Ne conservez pas les données au-delà de 3 ans sans nouveau contact
3. Documentez vos campagnes (dates, volumes, sources) en cas de contrôle

 

Pour aller plus loin

Ce guide vous a donné les clés pour comprendre la conformité RGPD dans le contexte des bases de données B2B. Pour approfondir votre recherche, consultez nos autres ressources :

 

Comment acheter une base de données B2B en France : le guide complet

Les 5 critères essentiels pour choisir une base de qualité, les erreurs classiques à éviter, et le processus d'achat étape par étape.

 

Découvrir les bases de données B2B Ravoo

13 secteurs d'activité, segmentation par région, volumes affichés en transparence sur chaque fiche produit. Données fraîches générées à la commande.

 

FAQ : RGPD et bases de données B2B

 

Est-il légal d'acheter une base de données B2B en France ?

Oui, l'achat de bases de données B2B est légal en France, à condition que les données aient été collectées de manière licite (sources publiques légales) et que leur utilisation respecte le RGPD. Vous devez notamment inclure un lien de désinscription dans vos emails de prospection.

 

Quelle est la différence entre le RGPD et la directive ePrivacy ?

Le RGPD encadre la collecte et le traitement des données personnelles de manière générale. La directive ePrivacy (transposée en droit français) encadre spécifiquement les communications électroniques, dont la prospection par email. C'est cette directive qui autorise la prospection B2B sans opt-in préalable.

 

La CNIL peut-elle me sanctionner si j'achète une base non conforme ?

Oui. La CNIL peut sanctionner à la fois le fournisseur qui a collecté les données de manière illicite ET l'entreprise qui les utilise. Vous êtes responsable de vérifier la conformité de vos sources de données.

 

Combien de temps puis-je conserver une base de données B2B achetée ?

La CNIL recommande une durée maximale de 3 ans à compter du dernier contact avec la personne. Passé ce délai, les données doivent être supprimées ou anonymisées. Certains fournisseurs imposent des durées plus courtes dans leurs CGV.

 

Dois-je déclarer mes fichiers de prospection à la CNIL ?

Non, depuis l'entrée en vigueur du RGPD en 2018, il n'y a plus de déclaration préalable à la CNIL. En revanche, vous devez tenir un registre des traitements de données que vous effectuez, et être en mesure de démontrer votre conformité en cas de contrôle.

 

Vous cherchez une base de données B2B conforme au RGPD ?

Découvrez les bases de données B2B françaises disponibles sur Ravoo 

Données fraîches générées à la demande, stockage limité à 30 jours, suppression automatique.