Cold Email et RGPD : Ce qui est légal en France
La confusion règne autour de la légalité du cold email en France. Entre le RGPD, la directive ePrivacy, et les règles CNIL, beaucoup pensent que le cold email est interdit. La réalité est plus nuancée : le cold email B2B est parfaitement légal en France, sous certaines conditions. Ce guide vous explique exactement ce qui est permis, ce qui ne l'est pas, et comment les outils américains vous exposent à des risques de non-conformité.
Ce que dit la loi française
Le cadre légal repose sur trois textes : le RGPD (Règlement Général sur la Protection des Données), la directive ePrivacy, et les recommandations CNIL. Voici la synthèse pratique.
B2B = Légal (sous conditions)
L'envoi d'emails commerciaux non sollicités est autorisé vers des adresses professionnelles, si le message est en rapport avec la fonction du destinataire. C'est le principe de l'intérêt légitime (article 6.1.f RGPD).
Exemple : Contacter un directeur commercial sur son email pro pour lui proposer un outil de prospection = légal.
B2C = Interdit (sans consentement)
Les particuliers doivent donner leur consentement explicite et préalable (opt-in) avant tout envoi commercial. Le cold email B2C est donc interdit en France et en Europe.
Exemple : Envoyer une offre sur une adresse Gmail personnelle sans consentement = illégal.
Les 4 conditions pour être conforme en B2B
Email professionnel uniquement
L'adresse doit être professionnelle (prenom@entreprise.com). Pas d'emails personnels (@gmail, @outlook personnel, etc.).
Message en rapport avec la fonction
Votre offre doit être pertinente par rapport au poste du destinataire. Un DRH ne devrait pas recevoir d'offre sur des outils marketing.
Lien de désinscription
Chaque email doit contenir un moyen simple de se désinscrire. La demande doit être traitée sous 30 jours.
Identification claire de l'expéditeur
Votre identité (personne physique ou morale) doit être clairement indiquée dans l'email.
Pourquoi les outils US vous exposent à des risques
La majorité des outils de cold email sont américains et n'ont pas été conçus avec le RGPD en tête. Voici les problèmes concrets rencontrés par les utilisateurs.
Apollo.io
Risque RGPD- •Pas de flag automatique des prospects européens
- •Pas de tracking de consentement clair
- •490 mentions de “données inexactes” sur G2 — emails personnels mélangés aux pros
- •73% de précision email vs 85%+ standard industrie
Waalaxy
Risque RGPD- •Scraping LinkedIn = données collectées sans consentement
- •Base légale floue pour le traitement des données
- •Pas de mécanisme de consentement traçable
Instantly, Lemlist, Smartlead
Attention- •Pas de features RGPD natives (pas de champ consentement, pas de log d'origine des données)
- •Serveurs souvent hors UE (transferts de données non conformes)
- •Responsabilité du traitement entièrement sur vous
Checklist conformité RGPD cold email
Utilisez cette checklist pour vérifier que vos campagnes sont conformes avant envoi.
Les risques réels de non-conformité
Amendes CNIL
Jusqu'à 20M€
ou 4% du CA annuel mondial (le montant le plus élevé). En pratique : de 5 000€ à plusieurs millions.
Atteinte à la réputation
Domaine blacklisté
Les plaintes RGPD peuvent déclencher des signalements spam et détruire votre réputation d'expéditeur.
Cas réel : En 2023, la CNIL a sanctionné une entreprise française de 300 000€ pour prospection commerciale non conforme. Le préjudice réputationnel n'est pas chiffré mais souvent plus important que l'amende elle-même.
Comment être 100% conforme
Utilisez des bases de données B2B vérifiées
Privilégiez les fournisseurs qui garantissent des emails professionnels uniquement et documentent l'origine des données. Évitez les bases mixtes B2B/B2C où des emails personnels peuvent se glisser.
Segmentez par fonction
Créez des campagnes différentes pour chaque type de poste. Un CEO et un développeur ne recevront pas le même message. Cela garantit la pertinence exigée par le RGPD.
Documentez tout
Gardez une trace de l'origine de chaque contact, la date d'ajout, et la base légale du traitement. En cas de contrôle CNIL, cette documentation est votre meilleure défense.
Choisissez un outil RGPD-compatible
Optez pour des solutions hébergées en Europe, avec tracking de consentement natif et gestion automatique des désinscriptions. Cela réduit considérablement votre charge de conformité.
Questions fréquentes
Le cold email est-il légal en France ?
Oui, le cold email B2B est légal en France sous certaines conditions : l'email doit être professionnel, le message doit être en rapport avec la fonction du destinataire, et vous devez proposer un lien de désinscription. Le B2C sans consentement préalable reste interdit.
Faut-il le consentement pour envoyer un cold email B2B ?
Non, le consentement préalable n'est pas obligatoire en B2B si vous respectez les conditions légales : email professionnel uniquement, message en rapport avec la fonction, et possibilité de se désinscrire. C'est ce qu'on appelle l'intérêt légitime.
Quelles sont les sanctions CNIL pour cold email non conforme ?
Les amendes CNIL peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé). En pratique, les amendes varient de quelques milliers à plusieurs millions d'euros selon la gravité.
Comment les outils US gèrent-ils le RGPD ?
La plupart des outils US (Apollo, Instantly, etc.) ne sont pas conçus pour le RGPD. Ils ne flaggent pas automatiquement les prospects européens et n'offrent pas de tracking de consentement clair. Cela pose des risques de conformité pour les utilisateurs français.
Besoin d'une infrastructure complète ?
MilleMail construit votre infrastructure cold email clé en main :
- • Agents d'acquisition IA qui scrapent vos leads qualifiés 24/7
- • Infrastructure Microsoft 365 dédiée (domaines, IP, inboxes)
- • Warmup réel avec vrais emails, pas de bots
- • Séquences hyper-personnalisées automatisées
1,000 emails/jour. 100% propriétaire. Zéro technique.
Appel Découverte — 15 min