Conformité RGPD télémarketing B2B : éviter principaux risques

Ce qu'on appelle « risque RGPD » sur une campagne d'appels B2B

Le risque ne se résume pas à l'amende. Il se décompose en trois familles concrètes : la sanction administrative prononcée par le régulateur (jusqu'à plusieurs millions d'euros pour les manquements graves), la plainte d'une personne démarchée qui déclenche un contrôle, et l'atteinte d'image quand un décideur raconte publiquement un appel mal cadré. Les trois découlent du même point aveugle : croire que les coordonnées professionnelles échappent à la réglementation.

Elles n'y échappent pas. Une adresse prenom.nom@entreprise.fr ou un portable rattaché à un commercial nommé sont des données personnelles. Le régime du B2B est simplement plus souple que celui du grand public : on peut appeler sans avoir recueilli un accord préalable, parce que démarcher un professionnel relève de l'intérêt légitime de l'entreprise. Cette souplesse n'est pas un blanc-seing. Elle s'accompagne d'obligations d'information et de respect du refus que beaucoup de campagnes négligent, et c'est là que se joue l'essentiel pour éviter principaux risques de sanction.

Le seuil de déclenchement

Dès qu'une fiche permet d'identifier une personne, directement ou indirectement, le traitement entre dans le champ du RGPD. Un fichier strictement limité à des données d'entreprise non nominatives (raison sociale, standard, SIREN) sort en théorie du périmètre. Mais dès qu'un appel cherche « la bonne personne », on manipule des données personnelles : mieux vaut traiter toute campagne d'appels B2B comme soumise au texte.

La base légale : l'intérêt légitime, et comment le documenter

Le démarchage entre professionnels s'appuie sur l'intérêt légitime du responsable de traitement, et non sur le consentement. C'est une vraie différence avec le B2C, où l'accord préalable est souvent exigé. Mais l'intérêt légitime n'est pas une case à cocher : il suppose un raisonnement écrit, que le régulateur peut demander.

Trois conditions doivent tenir ensemble. D'abord, la finalité est légitime et formulée : proposer une offre professionnelle pertinente, cohérente avec l'activité de la cible. Ensuite, le traitement est nécessaire à cette finalité — on appelle des entreprises dont le métier rend l'offre plausible, pas un fichier acheté au hasard. Enfin, l'équilibre penche du bon côté : l'intrusion reste mesurée, la personne peut raisonnablement s'attendre à être contactée dans un cadre professionnel, et ses droits restent protégés.

Cette mise en balance se consigne. Une note d'une page, datée, qui décrit la finalité poursuivie, l'origine exacte du fichier appelé et les garanties prises pour les personnes, suffit à prouver la démarche. C'est ce document qui transforme « on avait le droit » en « voici pourquoi on avait le droit ». Le même soin de cadrage vaut au moment de choisir externaliser votre prospection commerciale : la base légale ne disparaît pas parce que les appels sont confiés à l'extérieur.

Informer les personnes et respecter le droit d'opposition

L'information est l'obligation la plus souvent oubliée, et l'une des plus simples à tenir. La personne appelée doit pouvoir savoir qui la contacte, pour quelle finalité, et quels sont ses droits. Sur un appel, l'essentiel se dit en deux phrases d'amorce : on annonce l'entreprise pour le compte de laquelle on appelle, l'objet professionnel de l'échange, puis la possibilité de refuser tout futur contact. Le détail complet — durée de conservation, coordonnées du responsable, droits d'accès et d'effacement — figure dans une politique de confidentialité accessible.

Le droit d'opposition est le point le plus sensible. Dès qu'un interlocuteur professionnel demande à ne plus être recontacté, il n'a pas à se justifier, et son refus s'applique tout de suite. Ce refus doit aussi durer dans le temps : la fiche est sortie de la campagne en cours et marquée pour ne plus jamais ressortir, y compris lors d'un futur achat de fichier. Une opposition perdue parce qu'elle n'a été notée que sur un coin de tableur devient une infraction qui se reproduira mécaniquement à chaque relance.

La qualité de cette amorce d'appel et la gestion du refus dépendent directement de la trame utilisée : c'est un sujet à part entière, traité dans tout savoir sur demarchage telephonique b2b construire script efficace. Côté terrain, savoir comment travaille un téléprospecteur indépendant aide à comprendre pourquoi une consigne d'opposition mal câblée se traduit en rappels indésirables.

Données collectées, durée de conservation et sécurité

Une campagne d'appels accumule plus de données qu'il n'y paraît : les coordonnées, les notes prises pendant la conversation, le statut du contact, parfois un compte rendu détaillé. Le principe de minimisation impose de ne garder que ce qui sert la finalité. Noter qu'un interlocuteur « rappellera après l'été » est utile ; consigner une appréciation personnelle sur son humeur ne l'est pas, et devient un risque le jour d'une demande d'accès.

La durée de conservation doit être fixée à l'avance, pas subie. Un usage répandu consiste à conserver les données d'un prospect non converti pendant une durée limitée à compter du dernier contact utile, puis à les effacer une fois ce délai passé. L'essentiel est d'avoir une règle écrite et de l'appliquer, plutôt qu'un fichier qui grossit indéfiniment.

Tracer les traitements

Le registre des activités de traitement n'est pas réservé aux grands groupes. Pour une campagne d'appels, il tient en quelques lignes décrivant la finalité poursuivie, les catégories de données manipulées, l'origine du fichier appelé, les éventuels destinataires et le délai de conservation retenu. La sécurité repose ensuite sur des règles connues : un accès réservé aux personnes habilitées via des comptes nominatifs, des mots de passe solides et une journalisation des connexions. Un outil d'appel qui enregistre qui a fait quoi, et quand, simplifie nettement cette traçabilité par rapport à une organisation éclatée entre tableurs et téléphones personnels.

Externaliser sans diluer la responsabilité

Confier ses appels à l'extérieur ne transfère pas la responsabilité RGPD : l'entreprise qui décide de la campagne reste responsable de traitement. La règle structurante tient en une question — qui décide de la finalité et des moyens ? Celui qui décide est responsable ; celui qui exécute sur instructions est sous-traitant. Cette distinction commande la nature du contrat à signer.

Quand des téléopérateurs indépendants appellent sur instructions, pour la finalité fixée par le donneur d'ordre, le rapport relève de la sous-traitance et doit être encadré par écrit : objet, durée, instructions documentées, obligation de confidentialité, sort des données en fin de mission. Une plateforme de mise en relation se situe encore ailleurs : elle fournit le cadre technique — l'outil d'appel, l'enregistrement des échanges, la traçabilité et la prise en compte des oppositions — sans décider à la place de l'entreprise ni se substituer à elle sur la conformité des fichiers. C'est précisément le positionnement de JobPhoning : la plateforme outille et sécurise la mission, pendant que le donneur d'ordre garde la main sur sa base légale, sur le fichier qu'il apporte et sur le respect des refus.

Active depuis 2014, la plateforme a accompagné plus de 470 entreprises clientes (donnée plateforme JobPhoning, mai 2026) dans la mise en route de campagnes d'appels B2B. Avant de lancer, il vaut mieux clarifier les rôles : qui apporte le fichier, qui fixe la finalité du traitement, qui héberge les comptes rendus une fois la campagne terminée. Pour aller plus loin sur le cadrage opérationnel, voir les bonnes pratiques de call center preparer sa premiere operation appels sortants ; et pour le choix d'un intervenant externe, le métier de téléprospecteur indépendant détaille ce qu'il faut écrire dans le brief, y compris les consignes de traitement des données.

Questions fréquentes sur la conformité RGPD en B2B