Une agence marketing conforme au RGPD respecte trois règles : le bon régime de consentement selon la cible (opt-in en B2C, information et droit d’opposition en B2B), la vérification du consentement à la source pour tout fichier acheté, et un encadrement contractuel de tous ses sous-traitants (routeurs, régies, DMP). En clair : en prospection auprès de particuliers, pas d’email ni de SMS sans consentement préalable (article L34-5 du CPCE et article 6-1-a du RGPD) ; en B2B, on informe et on offre un droit d’opposition, pour des produits en rapport avec la fonction professionnelle du destinataire. Et on ne dépose aucun cookie publicitaire avant recueil du consentement.
La prospection est le premier motif de sanction CNIL grand public. Hubside, Canal+, Carrefour : les montants montent vite dès qu’un fichier est exploité sans base valable ou qu’un traceur est déposé trop tôt. Cet article donne le cadre opérationnel pour une agence et ses annonceurs.
Obligations RGPD spécifiques au marketing
Prospection B2C : le consentement d’abord
Vers un particulier, l’email ou le SMS commercial suppose un consentement préalable — un opt-in spécifique, libre, éclairé, recueilli au moment de la collecte (article L34-5 du CPCE combiné à l’article 6-1-a du RGPD). Une case pré-cochée ne vaut pas consentement. L’exception « clients » existe (produits ou services analogues à un achat précédent, avec opt-out à chaque message), mais elle est étroite : elle ne couvre ni la prospection à froid ni les fichiers tiers. Pour cadrer la mécanique, voir nos conditions de validité du consentement et notre guide opt-in / opt-out.
Prospection B2B : information et opposition
Vers un professionnel sur son adresse professionnelle (nom.prenom@entreprise.fr), le régime est plus souple : pas d’opt-in préalable obligatoire, mais une information au moment de la collecte et un droit d’opposition à chaque envoi. Condition supplémentaire : l’objet de la sollicitation doit être en rapport avec la fonction professionnelle de la personne démarchée. Un message sans lien avec son métier retombe dans le régime du consentement.
Achat de fichiers et data brokers : vérifier à la source
C’est le piège le plus coûteux. Acheter ou louer un fichier ne transfère pas magiquement une base légale. Vous devez pouvoir prouver que les personnes ont consenti à recevoir votre prospection, auprès de qui et pour quoi. Si le courtier ne peut pas le démontrer, le fichier est inexploitable en B2C. C’est exactement la leçon Hubside : des fichiers achetés à des data brokers, aucun consentement valable, 525 000 € d’amende. Contractualisez ces achats et exigez la traçabilité du consentement — sans quoi vous héritez du risque.
Cookies et traceurs publicitaires
Tout traceur non strictement nécessaire (publicité, mesure d’audience non exemptée, réseaux sociaux) exige le consentement de l’internaute, recueilli avant dépôt, avec un refus aussi simple que l’acceptation. Aucun cookie publicitaire ne se dépose au chargement de la page. Le choix est conservé 6 mois. C’est le point où Carrefour a été sanctionné. Voir nos règles CNIL sur le bandeau cookies.
Agence ou annonceur : qui est responsable ?
La qualification est structurante. Quand l’agence traite les données pour le compte de l’annonceur selon ses instructions, elle est sous-traitante (article 28) : un DPA est obligatoire. Quand elle détermine ses propres finalités (constitution de son fichier prospects, ciblage pour son compte), elle est responsable de traitement. Les routeurs email, régies publicitaires et DMP sont eux aussi des sous-traitants à contractualiser. La qualification vaut secteur par secteur : pour un annonceur de l’hôtellerie-restauration, l’agence qui gère le fichier clients et les campagnes agit comme sous-traitante. Utilisez un modèle de DPA et cartographiez la chaîne dans votre registre des traitements.
Durées de conservation
| Donnée / traitement | Durée en base active | Archivage / justification |
|---|---|---|
| Prospects (non clients) | 3 ans après le dernier contact | Au-delà : suppression ou nouveau consentement |
| Consentement cookies | 6 mois (durée de conservation du choix) | Re-solliciter le choix à l’échéance |
| Clients | Durée de la relation contractuelle + 3 ans | Prospection commerciale post-relation |
| Données publicitaires (ciblage) | Selon la finalité déclarée | Minimisation ; purge à l’extinction de la finalité |
Un « dernier contact » qui redémarre le compteur, c’est une action positive de la personne (clic, ouverture engageante, réponse), pas un énième envoi de votre part. Pour le cadre général, voir la durée de conservation des données.
Bases légales par traitement
| Traitement | Base légale (art. 6 / art. 9) | Commentaire |
|---|---|---|
| Prospection B2C (email / SMS) | Consentement (art. 6-1-a) + art. L34-5 CPCE | Opt-in préalable, libre et spécifique |
| Prospection B2B | Intérêt légitime (art. 6-1-f) + information + opposition | Objet en rapport avec la fonction professionnelle |
| Cookies non essentiels | Consentement (art. 6-1-a) | Recueil avant dépôt ; refus aussi simple |
| Gestion de la relation client | Contrat (art. 6-1-b) ou intérêt légitime (art. 6-1-f) | Fidélisation, suivi, service après-vente |
Le choix de la base juridique conditionne la validité de toute la campagne. Se tromper — invoquer l’intérêt légitime là où l’opt-in est requis — rend la prospection illicite, quel que soit le volume envoyé.
Sanctions CNIL réelles du secteur marketing
Hubside.Store — 525 000 € (délibération du 4 avril 2024). Prospection téléphonique et par SMS à partir de fichiers achetés à des courtiers en données sans consentement valable des personnes. La société n’avait pas vérifié que les data brokers disposaient d’un consentement couvrant sa propre prospection. Enseignement direct : le consentement doit exister à la source et vous devez pouvoir le prouver. Voir la décision CNIL Hubside.
Groupe Canal+ — 600 000 € (délibération du 12 octobre 2023). Prospection par email de 4 millions de personnes sans consentement, information insuffisante lors du télémarketing opéré par des sous-traitants, non-respect du délai d’un mois pour répondre aux droits, et manquements de sécurité (mots de passe, algorithme MD4 obsolète). Le volume n’excuse rien : chaque envoi doit reposer sur une base valable. Voir la décision CNIL Canal+.
Carrefour France — 2 250 000 € (délibération SAN-2020-009 du 18 novembre 2020). Parmi les manquements : dépôt de cookies avant tout consentement de l’internaute, information peu accessible et conservation de données de clients inactifs bien au-delà du nécessaire. C’est la référence sur les cookies publicitaires : rien ne se dépose au chargement de la page. Voir la décision CNIL Carrefour.
Trois dossiers, un même fil rouge : la base légale de la prospection et le moment du dépôt des traceurs. C’est là que se concentrent les contrôles, souvent déclenchés par une simple plainte.
Erreurs courantes
- Exploiter un fichier acheté sans preuve du consentement à la source : vous héritez du risque, comme Hubside. Exigez la traçabilité contractuelle.
- Confondre B2C et B2B : l’opt-in préalable est obligatoire vers les particuliers ; l’information-opposition suffit vers les professionnels, mais seulement pour un objet lié à leur fonction.
- Déposer des cookies publicitaires au chargement de la page : c’est précisément ce qui a coûté 2,25 M€ à Carrefour. Rien avant le consentement.
- Croire que le volume dilue la responsabilité : 4 millions d’emails sans base valable = 600 000 € (Canal+). Chaque destinataire compte.
- Oublier le DPA avec les routeurs, régies et DMP : ce sont des sous-traitants (article 28), un contrat écrit est obligatoire.
- Ne pas purger les prospects inactifs au-delà de 3 ans après le dernier contact réel : la base « dormante » devient un passif de conformité.
FAQ
Peut-on faire de la prospection B2B sans consentement ?
Oui, sous conditions. Vers une adresse professionnelle nominative, on peut prospecter sans opt-in préalable à condition d’informer la personne au moment de la collecte, de lui offrir un droit d’opposition à chaque message, et de proposer des produits ou services en rapport avec sa fonction professionnelle. Un message hors de son champ professionnel bascule dans le régime du consentement, comme en B2C.
Un fichier acheté est-il exploitable pour de la prospection par email ?
En B2C, seulement si vous pouvez démontrer que les personnes ont consenti à recevoir votre prospection — ce que le courtier doit vous garantir et documenter. Sans cette preuve, le fichier est inexploitable et l’envoi est illicite. La sanction Hubside (525 000 €) sanctionne exactement cette absence de vérification à la source.
L’agence est-elle responsable ou sous-traitant ?
Cela dépend de qui décide des finalités. Si l’agence agit selon les instructions de l’annonceur pour son compte, elle est sous-traitante et un DPA est obligatoire. Si elle détermine ses propres finalités (fichier prospects, ciblage pour son compte), elle est responsable de traitement. La distinction se documente noir sur blanc dans les contrats.
Combien de temps garder les cookies de consentement ?
Le choix de l’internaute (accepter ou refuser) se conserve 6 mois. Passé ce délai, on re-sollicite le consentement. La preuve de ce recueil doit être conservée pour démontrer sa validité. Un outil comme Legiscope, qui automatise le registre des traitements et la documentation de conformité, permet de tracer ces consentements et de tenir la preuve exigée en cas de contrôle.
Conclusion
Le marketing digital est la ligne de front des sanctions CNIL, et les dossiers se ressemblent : opt-in absent en B2C, fichiers achetés sans consentement vérifié, cookies déposés trop tôt. Réglez ces trois points et vous sortez du radar. Distinguez rigoureusement B2C et B2B, exigez la traçabilité du consentement de tout fichier tiers, ne déposez aucun traceur publicitaire avant le clic, contractualisez chaque sous-traitant. Hubside, Canal+ et Carrefour ont payé au total plus de 3 millions d’euros pour l’avoir négligé. Le registre à jour et des consentements documentés valent bien moins cher — et se montrent en dix minutes le jour d’un contrôle.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial