Données personnelles

RGPD prospection & agences marketing 2026 : consentement, bases légales + sanctions

RGPD marketing et prospection : opt-in B2C vs B2B, fichiers achetés, cookies, bases légales, durées et sanctions CNIL réelles (Hubside, Canal+, Carrefour).

Une agence marketing conforme au RGPD respecte trois règles : le bon régime de consentement selon la cible (opt-in en B2C, information et droit d’opposition en B2B), la vérification du consentement à la source pour tout fichier acheté, et un encadrement contractuel de tous ses sous-traitants (routeurs, régies, DMP). En clair : en prospection auprès de particuliers, pas d’email ni de SMS sans consentement préalable (article L34-5 du CPCE et article 6-1-a du RGPD) ; en B2B, on informe et on offre un droit d’opposition, pour des produits en rapport avec la fonction professionnelle du destinataire. Et on ne dépose aucun cookie publicitaire avant recueil du consentement.

La prospection est le premier motif de sanction CNIL grand public. Hubside, Canal+, Carrefour : les montants montent vite dès qu’un fichier est exploité sans base valable ou qu’un traceur est déposé trop tôt. Cet article donne le cadre opérationnel pour une agence et ses annonceurs.

Obligations RGPD spécifiques au marketing

Prospection B2C : le consentement d’abord

Vers un particulier, l’email ou le SMS commercial suppose un consentement préalable — un opt-in spécifique, libre, éclairé, recueilli au moment de la collecte (article L34-5 du CPCE combiné à l’article 6-1-a du RGPD). Une case pré-cochée ne vaut pas consentement. L’exception « clients » existe (produits ou services analogues à un achat précédent, avec opt-out à chaque message), mais elle est étroite : elle ne couvre ni la prospection à froid ni les fichiers tiers. Pour cadrer la mécanique, voir nos conditions de validité du consentement et notre guide opt-in / opt-out.

Prospection B2B : information et opposition

Vers un professionnel sur son adresse professionnelle (nom.prenom@entreprise.fr), le régime est plus souple : pas d’opt-in préalable obligatoire, mais une information au moment de la collecte et un droit d’opposition à chaque envoi. Condition supplémentaire : l’objet de la sollicitation doit être en rapport avec la fonction professionnelle de la personne démarchée. Un message sans lien avec son métier retombe dans le régime du consentement.

Achat de fichiers et data brokers : vérifier à la source

C’est le piège le plus coûteux. Acheter ou louer un fichier ne transfère pas magiquement une base légale. Vous devez pouvoir prouver que les personnes ont consenti à recevoir votre prospection, auprès de qui et pour quoi. Si le courtier ne peut pas le démontrer, le fichier est inexploitable en B2C. C’est exactement la leçon Hubside : des fichiers achetés à des data brokers, aucun consentement valable, 525 000 € d’amende. Contractualisez ces achats et exigez la traçabilité du consentement — sans quoi vous héritez du risque.

Cookies et traceurs publicitaires

Tout traceur non strictement nécessaire (publicité, mesure d’audience non exemptée, réseaux sociaux) exige le consentement de l’internaute, recueilli avant dépôt, avec un refus aussi simple que l’acceptation. Aucun cookie publicitaire ne se dépose au chargement de la page. Le choix est conservé 6 mois. C’est le point où Carrefour a été sanctionné. Voir nos règles CNIL sur le bandeau cookies.

Agence ou annonceur : qui est responsable ?

La qualification est structurante. Quand l’agence traite les données pour le compte de l’annonceur selon ses instructions, elle est sous-traitante (article 28) : un DPA est obligatoire. Quand elle détermine ses propres finalités (constitution de son fichier prospects, ciblage pour son compte), elle est responsable de traitement. Les routeurs email, régies publicitaires et DMP sont eux aussi des sous-traitants à contractualiser. La qualification vaut secteur par secteur : pour un annonceur de l’hôtellerie-restauration, l’agence qui gère le fichier clients et les campagnes agit comme sous-traitante. Utilisez un modèle de DPA et cartographiez la chaîne dans votre registre des traitements.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Prospects (non clients) 3 ans après le dernier contact Au-delà : suppression ou nouveau consentement
Consentement cookies 6 mois (durée de conservation du choix) Re-solliciter le choix à l’échéance
Clients Durée de la relation contractuelle + 3 ans Prospection commerciale post-relation
Données publicitaires (ciblage) Selon la finalité déclarée Minimisation ; purge à l’extinction de la finalité

Un « dernier contact » qui redémarre le compteur, c’est une action positive de la personne (clic, ouverture engageante, réponse), pas un énième envoi de votre part. Pour le cadre général, voir la durée de conservation des données.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Prospection B2C (email / SMS) Consentement (art. 6-1-a) + art. L34-5 CPCE Opt-in préalable, libre et spécifique
Prospection B2B Intérêt légitime (art. 6-1-f) + information + opposition Objet en rapport avec la fonction professionnelle
Cookies non essentiels Consentement (art. 6-1-a) Recueil avant dépôt ; refus aussi simple
Gestion de la relation client Contrat (art. 6-1-b) ou intérêt légitime (art. 6-1-f) Fidélisation, suivi, service après-vente

Le choix de la base juridique conditionne la validité de toute la campagne. Se tromper — invoquer l’intérêt légitime là où l’opt-in est requis — rend la prospection illicite, quel que soit le volume envoyé.

Sanctions CNIL réelles du secteur marketing

Hubside.Store — 525 000 € (délibération du 4 avril 2024). Prospection téléphonique et par SMS à partir de fichiers achetés à des courtiers en données sans consentement valable des personnes. La société n’avait pas vérifié que les data brokers disposaient d’un consentement couvrant sa propre prospection. Enseignement direct : le consentement doit exister à la source et vous devez pouvoir le prouver. Voir la décision CNIL Hubside.

Groupe Canal+ — 600 000 € (délibération du 12 octobre 2023). Prospection par email de 4 millions de personnes sans consentement, information insuffisante lors du télémarketing opéré par des sous-traitants, non-respect du délai d’un mois pour répondre aux droits, et manquements de sécurité (mots de passe, algorithme MD4 obsolète). Le volume n’excuse rien : chaque envoi doit reposer sur une base valable. Voir la décision CNIL Canal+.

Carrefour France — 2 250 000 € (délibération SAN-2020-009 du 18 novembre 2020). Parmi les manquements : dépôt de cookies avant tout consentement de l’internaute, information peu accessible et conservation de données de clients inactifs bien au-delà du nécessaire. C’est la référence sur les cookies publicitaires : rien ne se dépose au chargement de la page. Voir la décision CNIL Carrefour.

Trois dossiers, un même fil rouge : la base légale de la prospection et le moment du dépôt des traceurs. C’est là que se concentrent les contrôles, souvent déclenchés par une simple plainte.

Erreurs courantes

  • Exploiter un fichier acheté sans preuve du consentement à la source : vous héritez du risque, comme Hubside. Exigez la traçabilité contractuelle.
  • Confondre B2C et B2B : l’opt-in préalable est obligatoire vers les particuliers ; l’information-opposition suffit vers les professionnels, mais seulement pour un objet lié à leur fonction.
  • Déposer des cookies publicitaires au chargement de la page : c’est précisément ce qui a coûté 2,25 M€ à Carrefour. Rien avant le consentement.
  • Croire que le volume dilue la responsabilité : 4 millions d’emails sans base valable = 600 000 € (Canal+). Chaque destinataire compte.
  • Oublier le DPA avec les routeurs, régies et DMP : ce sont des sous-traitants (article 28), un contrat écrit est obligatoire.
  • Ne pas purger les prospects inactifs au-delà de 3 ans après le dernier contact réel : la base « dormante » devient un passif de conformité.

FAQ

Peut-on faire de la prospection B2B sans consentement ?

Oui, sous conditions. Vers une adresse professionnelle nominative, on peut prospecter sans opt-in préalable à condition d’informer la personne au moment de la collecte, de lui offrir un droit d’opposition à chaque message, et de proposer des produits ou services en rapport avec sa fonction professionnelle. Un message hors de son champ professionnel bascule dans le régime du consentement, comme en B2C.

Un fichier acheté est-il exploitable pour de la prospection par email ?

En B2C, seulement si vous pouvez démontrer que les personnes ont consenti à recevoir votre prospection — ce que le courtier doit vous garantir et documenter. Sans cette preuve, le fichier est inexploitable et l’envoi est illicite. La sanction Hubside (525 000 €) sanctionne exactement cette absence de vérification à la source.

L’agence est-elle responsable ou sous-traitant ?

Cela dépend de qui décide des finalités. Si l’agence agit selon les instructions de l’annonceur pour son compte, elle est sous-traitante et un DPA est obligatoire. Si elle détermine ses propres finalités (fichier prospects, ciblage pour son compte), elle est responsable de traitement. La distinction se documente noir sur blanc dans les contrats.

Combien de temps garder les cookies de consentement ?

Le choix de l’internaute (accepter ou refuser) se conserve 6 mois. Passé ce délai, on re-sollicite le consentement. La preuve de ce recueil doit être conservée pour démontrer sa validité. Un outil comme Legiscope, qui automatise le registre des traitements et la documentation de conformité, permet de tracer ces consentements et de tenir la preuve exigée en cas de contrôle.

Conclusion

Le marketing digital est la ligne de front des sanctions CNIL, et les dossiers se ressemblent : opt-in absent en B2C, fichiers achetés sans consentement vérifié, cookies déposés trop tôt. Réglez ces trois points et vous sortez du radar. Distinguez rigoureusement B2C et B2B, exigez la traçabilité du consentement de tout fichier tiers, ne déposez aucun traceur publicitaire avant le clic, contractualisez chaque sous-traitant. Hubside, Canal+ et Carrefour ont payé au total plus de 3 millions d’euros pour l’avoir négligé. Le registre à jour et des consentements documentés valent bien moins cher — et se montrent en dix minutes le jour d’un contrôle.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →