asannuaire-shopify10 fiches gratuites
annuaire-shopify

RGPD pour la prospection B2B e-commerce

Prospecter des marchands Shopify en France implique deux régimes légaux : le RGPD (article 6.1.f, intérêt légitime) pour les emails pros nominatifs, et la directive ePrivacy (transposée dans l'article L34-5 du CPCE) pour la désinscription. Ce guide précise ce qui est autorisé, ce qui est obligatoire et ce qui reste un risque opérationnel.

Avertissement préalable

Ce guide est informatif. Il ne remplace pas un conseil juridique adapté à votre situation. Les positions de la CNIL, l’interprétation de l’article 6.1.f et le futur règlement ePrivacy peuvent évoluer. En cas de doute sur un cas concret — campagne d’envoi atypique, base de données héritée, fusion de fichiers — consultez votre DPO ou un avocat spécialisé en droit des données personnelles.

Le cadre RGPD pour la prospection B2B

La prospection commerciale B2B repose, en France et dans l’UE, sur l’article 6.1.f du RGPD : la base légale dite de l’intérêt légitime du responsable de traitement. Pour cibler une fonction professionnelle (PDG, directeur marketing, directeur technique, fondateur, responsable croissance) chez une société commerciale identifiée, cet intérêt légitime est généralement reconnu — c’est la pratique majoritaire des entreprises B2B en Europe et la position stable de la CNIL depuis 2020.

L’intérêt légitime n’est pas un blanc-seing. Il s’accompagne de trois exigences :

  1. Mise en balance documentée, formalisée dans une analyse d’intérêt légitime. Cette analyse répond à trois questions : quel est l’intérêt poursuivi (développer le chiffre d’affaires en touchant des prospects qualifiés), le traitement est-il nécessaire pour cet intérêt (oui, pas d’alternative moins intrusive disponible), et l’intérêt prime-t-il sur les droits et libertés de la personne concernée (oui, dès lors que la personne est contactée dans son cadre professionnel sur des sujets liés à son rôle).
  2. Information claire des personnes : qui vous êtes, pourquoi vous les contactez, quelle source a fourni leur email, comment elles peuvent s’opposer.
  3. Respect des droits : opposition (désinscription), accès, rectification, effacement. Une demande d’opposition doit être traitée dans le mois.

L’analyse d’intérêt légitime n’a pas besoin d’être un document de 40 pages. Une page bien rédigée, datée, mise à jour annuellement, suffit pour démontrer la diligence en cas de contrôle.

L’articulation avec ePrivacy et le CPCE

Le RGPD couvre le traitement des données personnelles. L’envoi d’un email commercial relève en plus de la directive ePrivacy, transposée en France dans l’article L34-5 du Code des postes et des communications électroniques (CPCE).

L’article L34-5 distingue B2C (consommateur, opt-in préalable obligatoire) et B2B (régime de l’opt-out). En B2B, vous pouvez envoyer un email commercial à une personne professionnelle sans son accord préalable, à condition que :

  • l’objet du message soit en lien avec la profession de la personne,
  • chaque message comporte un mécanisme de désinscription fonctionnel et gratuit permettant à la personne de s’opposer à de futurs envois,
  • l’identité de l’expéditeur soit clairement identifiable.

Email pro nominatif vs email pro générique

Cette distinction structure tout le régime applicable.

Type d’adresse Statut Régime
john.doe@brand.com (nominatif) Donnée personnelle RGPD + ePrivacy : intérêt légitime + désinscription fonctionnelle obligatoire
contact@brand.com ou info@brand.com (générique) Donnée d’entreprise RGPD ne s’applique pas directement ; désinscription conseillée mais pas strictement obligatoire
commande@brand.com, support@brand.com Souvent considéré comme générique Idem générique, mais prudence si l’adresse renvoie en pratique vers une boîte personnelle

En pratique : traitez tous les emails comme s’ils relevaient du régime nominatif. Inclure systématiquement une désinscription fonctionnelle ne coûte rien et vous met à l’abri du litige.

Quelles données vous pouvez traiter

Données d’entreprise (RGPD ne s’applique pas directement)

  • URL canonique d’une boutique (https://brand.com)
  • Nom commercial ou raison sociale
  • Extension de domaine (.fr, .com, .de)
  • Stack technique publiquement détectable : Shopify, Shopify Plus, thème utilisé, applications tierces visibles dans le code source
  • Métadonnées publiques : pays de livraison, devises acceptées, langues du site
  • Email pro générique : contact@, info@, hello@

Ces données sont des données d’entreprise, pas des données personnelles. Le RGPD ne s’applique pas directement à leur collecte ni à leur conservation. Vous pouvez les stocker, les croiser, les revendre dans les limites du droit commun.

Données personnelles (RGPD s’applique pleinement)

  • Email pro nominatif : prenom.nom@brand.com
  • Numéro direct d’un collaborateur identifié
  • Profil LinkedIn d’une personne nommément désignée
  • Photo d’un dirigeant publiée dans la presse ou sur le site corporate
  • Toute information rattachable à une personne physique identifiée ou identifiable

Sur ces données, vous devez : déclarer la base légale (intérêt légitime), informer la personne, lui permettre de s’opposer, conserver pour une durée justifiée, et pouvoir produire l’analyse d’intérêt légitime en cas de contrôle CNIL.

Le cas particulier de l’exploration LinkedIn

Explorer massivement des profils LinkedIn nominatifs pour reconstituer une base de prospection est une pratique à risque. La CNIL a déjà sanctionné des opérateurs sur ce terrain, et la CJUE a tranché plusieurs fois en défaveur des collecteurs agressifs.

En cas de doute, passer par des acteurs eux-mêmes en intérêt légitime documenté (Cognism, Apollo, Hunter, Dropcontact).

Bonnes pratiques opérationnelles

Dans chaque email envoyé

  • Identité claire de l’expéditeur (nom, raison sociale, adresse postale ou siège).
  • Objet en lien avec la profession du destinataire.
  • Phrase d’introduction expliquant pourquoi vous écrivez et où vous avez trouvé son contact.
  • Lien de désinscription fonctionnel dans chaque message, y compris dans les relances.
  • Lien vers votre politique de confidentialité détaillant base légale, durée de conservation, droits.

Côté CRM / outil d’envoi

  • Liste de désinscription centralisée et propagée à toutes les séquences.
  • Délai de prise en compte : 30 jours maximum entre la demande d’opposition et l’arrêt effectif des envois.
  • Conservation des contacts : recommandation 3 ans à compter de la dernière interaction.

Côté gouvernance

  • Registre des activités de traitement à jour, mentionnant la prospection comme finalité.
  • Analyse d’intérêt légitime documentée par campagne ou par fichier source significatif.
  • Analyse d’impact : non obligatoire pour la prospection B2B simple sur des données peu sensibles.

Cas concret : une équipe prospecte 250 marques natives FR

Une agence de prospection e-commerce — voir le cas d’usage équipes de prospection e-commerce — accompagne un client qui veut signer 250 marques natives françaises sur 6 mois.

Sourcing. Liste fournie par un annuaire externe, filtrée Shopify + extension .fr + marques natives. Données traitées : URL, nom commercial, thème, email pro (générique ou nominatif quand disponible publiquement). Base légale du traitement : intérêt légitime art. 6.1.f.

Premier email. Identité claire, accroche personnalisée sur la stack détectée, proposition de valeur en 3 lignes, désinscription fonctionnelle en pied de page.

Relances. Trois relances espacées de 5 à 7 jours. Chaque relance porte la même désinscription. Au-delà de 4 messages sans réponse, le contact passe en archive.

Désinscriptions. Toute demande stop est traitée sous 48 h, propagée à l’outil d’envoi, et le contact passe en liste de suppression partagée.

Conservation. Les contacts ayant interagi restent en CRM 3 ans après dernière interaction. Les contacts sans interaction sortent de la base active après 12 mois.

Pièges fréquents à éviter

Désinscription non fonctionnelle. Lien mailto: sans liste centrale derrière, lien d’unsubscribe qui pointe vers une page de connexion exigeant un mot de passe, pied de page en blanc sur blanc. Tous ces cas qualifient la désinscription de non fonctionnelle et exposent à sanction.

Conservation excessive. Garder en base un contact jamais réactivé depuis 4 ans est la définition d’une non-conformité.

Exploration LinkedIn agressive. Pratique sanctionnée et exposée à la double action CNIL + LinkedIn.

Confusion B2B et B2C. Envoyer une prospection commerciale à prenom.nom@gmail.com (compte personnel) sous prétexte que la personne est gérante d’une SARL est un faux raisonnement. L’adresse personnelle relève du B2C avec opt-in préalable obligatoire.

Absence d’analyse d’intérêt légitime. En cas de contrôle, la CNIL ne demandera pas seulement « citez la base légale » mais « montrez le document qui matérialise la mise en balance ».

Refus de traiter une opposition. Réponse type « nous gardons votre contact, vous serez recontacté dans 6 mois » à une demande de désinscription : non-conforme.

Comment annuaire-shopify est conforme

Les 70 000 boutiques référencées sont des entreprises identifiées par leur URL, leur nom commercial, leur thème Shopify et leurs technologies visibles publiquement. Ces champs sont des données d’entreprise : le RGPD ne s’applique pas directement à leur collecte ni à leur revente.

Quand un email pro nominatif est associé à une fiche, il provient soit :

  • d’une source publique (mentions légales, page contact du site),
  • d’un enrichissement en cascade via Hunter ou Apollo, eux-mêmes en intérêt légitime documenté.

Le traitement (collecte, stockage, mise à disposition) se fait sur la base de l’intérêt légitime art. 6.1.f. L’analyse d’intérêt légitime est documentée et tenue à jour.

Important : on fournit la donnée, vous restez responsable de l’envoi. Le moment où un commercial appuie sur « envoyer » dans Lemlist, c’est lui (ou son employeur) qui devient responsable de traitement pour la phase de prospection. C’est lui qui doit :

  • inclure la désinscription fonctionnelle,
  • propager les désinscriptions,
  • répondre aux demandes d’opposition,
  • conserver dans la durée raisonnable.

Délibérations CNIL et veille juridique

La CNIL maintient depuis 2020 une position stable sur la prospection B2B : intérêt légitime au titre de l’article 6.1.f reconnu pour les emails pros, désinscription obligatoire dans chaque message, conservation raisonnable. Pour le détail, consultez l’espace professionnel sur cnil.fr — c’est la source officielle qui fait foi en cas de divergence avec un guide tiers.

Deux veilles à tenir à l’œil pour les 12 à 24 mois à venir :

  • Règlement ePrivacy européen, en cours d’adoption depuis 2017, encore non finalisé à date.
  • Jurisprudence CJUE sur le sourcing automatisé et la collecte.

Questions et réponses rapides

Puis-je acheter une liste de contacts B2B et l’utiliser directement ?

Oui, à condition que (1) le fournisseur démontre l’intérêt légitime initial du sourcing, (2) vous documentiez votre propre analyse pour l’usage prospection, (3) vous incluiez la désinscription fonctionnelle dans chaque message, (4) vous traitiez les oppositions. L’achat seul ne vous protège pas — vous restez responsable de la phase d’envoi.

Combien de temps puis-je garder un contact prospect en base ?

Recommandation CNIL : 3 ans à compter de la dernière interaction. Au-delà sans interaction, archiver ou supprimer.

L’opt-in est-il obligatoire en B2B ?

Non, en France et dans l’UE. La directive ePrivacy prévoit un régime de désinscription pour le B2B, à condition que la désinscription soit fonctionnelle dans chaque message. L’opt-in préalable reste obligatoire pour le B2C.

Une fiche d’entreprise Shopify peut-elle être considérée comme donnée personnelle si la marque porte le nom du fondateur ?

Cas tangent. Si la fiche se limite à l’URL, le nom commercial et le thème, c’est une donnée d’entreprise. Si elle associe explicitement une personne identifiable, c’est une donnée personnelle. En pratique, pour les marques éponymes, traiter au régime données personnelles par prudence.

Ce guide ne remplace pas un avis juridique

Rappel : ce contenu est informatif. Il synthétise les règles applicables en France et dans l’UE à la date de rédaction, mais ne constitue ni un audit RGPD de votre organisation, ni une analyse personnalisée de votre cas. Pour un dispositif robuste, travaillez avec un DPO ou un avocat spécialisé en droit des données personnelles.

Voir aussi

← Retour au panorama des guides · Retour à l’accueil · Voir les tarifs · Politique de confidentialité · CGV · Cas d’usage équipes de prospection

Décision simple

Vous voulez tester sur votre cible ?

Recevez 10 fiches d’exemple, sans carte bancaire, puis passez au CSV ou Pro si la donnée colle à votre marché.

Recevoir 10 fichesParler d’un besoin sur mesure