SIREN, INSEE, RGPD : comprendre les sources légales de prospection B2B en France
"Le RGPD interdit la prospection B2B" — non, c'est faux. Voici ce qui est vraiment autorisé, et où sont les pièges.
Le principe RGPD pour le B2B en 2 phrases
Contrairement au B2C où tu as besoin d'un consentement explicite, le B2B fonctionne au legitimate interest (article 6-1-f du RGPD) : tu peux contacter une personne dans son contexte professionnel si :
1. Le message concerne son activité professionnelle (pas sa vie perso) 2. Tu offres un opt-out clair et facile (lien "se désabonner" dans chaque mail) 3. Tu ne conserves pas les données au-delà du raisonnable (3 ans max en général)
Traduction concrète : envoyer un email à jean.dupont@societe.fr pour lui proposer un outil professionnel = LÉGAL. Envoyer à jean.dupont@gmail.com (email perso) = ILLÉGAL sans opt-in.
Les sources 100% légales pour prospecter en France
1. INSEE / recherche-entreprises.api.gouv.fr
La base officielle française. Contient :
- SIREN / SIRET
- Raison sociale, adresse, secteur NAF
- Dirigeants nommés (personnes physiques exerçant un mandat social)
- Effectif, date de création, chiffre d'affaires (si publié)
Statut légal : totalement public (loi PACTE 2019). Tu peux l'exporter, l'enrichir, le stocker.
2. Annuaire-entreprises.data.gouv.fr
Interface publique du même dataset INSEE. Consultation gratuite, exports limités.
3. Bulletin Officiel des Annonces Civiles et Commerciales (BODACC)
Les mouvements légaux (créations, cessions, procédures). Public, filtrable, utile pour cibler les créateurs récents.
4. Registres commerciaux locaux (CCI, Greffes)
Consultables mais pas exportables en masse sans accord.
Les sources GRISES à éviter
- Scraping LinkedIn : ToS violé, ban définitif, contentieux en cours
- Scraping Pages Jaunes : ToS violé, blocages IP
- Achats de bases de données emails : parfaites illégales si le vendeur n'a pas obtenu le consentement (99% des cas)
- Guessing puis envoi massif : légal pour l'envoi si professionnel, mais nuit à ta délivrabilité (bounces = domaine blacklisté)
Les 5 règles pour rester clean CNIL
1. Emails professionnels uniquement — pas d'@gmail, @outlook, @yahoo etc. 2. Un opt-out par email — lien de désinscription qui marche vraiment 3. Un opt-out permanent — quand quelqu'un demande à sortir, tu supprimes définitivement (pas juste "un an sans contact") 4. Registre des traitements — obligatoire au-delà de 250 leads, format libre 5. Pas de tracking pixel invisible sans mention — si tu utilises open tracking (BOXEB2B le fait), mentionne-le dans ta politique de confidentialité
Ce que BOXEB2B garantit
- Sources 100% publiques (INSEE, gouv.fr uniquement)
- Opt-out automatique dans chaque email envoyé via Engage
- GDPR center dans Settings : export complet + suppression irréversible en 1 clic
- Aucun IP stocké pour le tracking des visiteurs
Le cas particulier des DOM-COM
Guyane, Martinique, Guadeloupe, Mayotte, Réunion — même règles RGPD que la métropole. Aucune spécificité juridique. Les données INSEE couvrent tous les départements.
Le coût d'une amende CNIL
Pour info : Vectaury (2018) → 400 000 € pour non-respect du consentement. Google → 50 M€ (2019). Pour une PME, les amendes sont proportionnées (~10-50k€ typique en 2024-25) mais la publicité négative fait beaucoup plus mal que la sanction. Une mention "condamné par la CNIL" sur Google = -30% de conversion pendant 2 ans.
Techniques de prospection B2B, alternatives aux gros outils, chiffres réels de campagnes. Écrit par des opérationnels, jamais par des marketeurs.
RGPD-clean · Aucune revente · Désinscription en 1 clic
Applique ce guide dans BOXEB2B avec 50 crédits offerts. Aucune carte demandée.
Commencer gratuitement →