Données clients, RGPD et prospection externalisée : qui reste responsable
Confier vos appels à un indépendant ne vous décharge pas de vos contacts : voici ce qui reste à votre main, et ce qui se règle dans le contrat.
Vous confiez vos appels à un indépendant et, le lendemain, votre fichier de contacts est entre d’autres mains que les vôtres. La question juridique tombe aussitôt : qui répond de ces données si un prospect demande à ne plus être appelé, ou si la CNIL frappe à la porte ? La réponse est nette, et elle surprend souvent : vous restez responsable. La personne qui passe les appels agit pour votre compte ; elle ne récupère pas vos obligations en récupérant votre fichier.
Cet article fait le tour de ce que recouvre la conformité quand des données clients rgpd prospection externalisee circulent en dehors de votre entreprise : la répartition des rôles, ce que le contrat doit verrouiller, le registre à tenir, les droits que vos contacts peuvent exercer, et l’accès au fichier côté outil. Pas de théorie de cabinet — les points concrets que vous devez régler avant le premier appel.
Responsable de traitement et sous-traitant : deux rôles, une seule responsabilité finale
Commençons par le mot qui tranche tout le reste. Le responsable de traitement, c'est celui qui décide pourquoi et comment des données sont utilisées. Quand vous lancez une campagne d'appels sur votre base de contacts, c'est vous : vous choisissez la cible, le but, le fichier. La personne qui passe les appels pour vous est un sous-traitant au sens du RGPD — elle traite les données sur vos instructions, sans en décider l'usage.
Ce partage n'est pas un détail de vocabulaire. Il fixe qui répond devant l'autorité de contrôle : le responsable, c'est-à-dire vous. Le sous-traitant a ses propres devoirs (sécurité, confidentialité, suivre vos consignes), mais il ne porte pas votre obligation à votre place. J'insiste là-dessus parce que beaucoup de dirigeants pensent l'inverse : déléguer l'appel, ce n'est pas déléguer la conformité. Si vous hésitez encore sur l'opportunité d'externaliser votre prospection commerciale, intégrez ce point dès le départ — il pèse autant que le coût ou le rendement attendu.
Le contrat de sous-traitance : ce qu'il doit verrouiller noir sur blanc
Un appel passé pour votre compte sans écrit, c'est un angle mort. Le RGPD impose un contrat (ou un avenant) entre le responsable et son sous-traitant, et il doit dire des choses précises plutôt que rester poli et vague.
Les clauses qui comptent vraiment : la finalité exacte (appeler pour qualifier, prendre des rendez-vous — rien d'autre), la durée, la nature des données transmises, l'interdiction de réutiliser le fichier pour un tiers, l'obligation de confidentialité, les mesures de sécurité attendues, et le sort des données en fin de mission (restitution ou suppression). Ajoutez l'aide que le sous-traitant doit vous apporter si un contact exerce un droit. Sur le « périmètre » et la durée, calez-vous sur la mission réelle : selon la formule choisie, le cadre n'est pas le même. Un contrat clair vous évite la zone grise où personne ne sait plus qui a le droit de faire quoi avec vos contacts.
Le registre des traitements : la trace qui vous protège
Le registre des activités de traitement n'est pas une formalité décorative. C'est le document qui prouve, le jour où on vous le demande, que vous savez ce que vous faites de vos données. Pour une campagne d'appels déléguée, il décrit le traitement « démarchage de prospects » : la finalité, les catégories de personnes (vos prospects B2B), les données concernées, qui y accède, la durée de conservation, et le recours à un sous-traitant nommé.
Tenez-le à jour avant la campagne, pas après l'incident. C'est le réflexe qui distingue une démarche maîtrisée de données clients rgpd externalisation d'un envoi de fichier improvisé : un fichier documenté et daté se pilote, un fichier flou vous expose. Si vous voulez aller plus loin sur la rigueur d'un fichier exploitable, voyez le point sur qualification fichier construction grille efficace — la conformité et la qualité du fichier avancent ensemble.
Ce que vous vérifiez vous-même : opposition au démarchage et droits de vos contacts
Voici la part que vous ne pouvez déléguer à personne. La conformité du fichier appelé reste de votre côté : le passage par le dispositif national d'opposition au démarchage et par votre liste d'opposition interne se fait en amont, sur votre base, avant de la confier. Un prospect qui s'est inscrit pour ne plus être démarché ne doit pas être appelé — et c'est au responsable du fichier de l'assurer, pas à la personne qui compose le numéro.
Pendant et après la campagne, vos contacts gardent leurs droits : être informés de l'usage de leurs données, mais aussi pouvoir s'y opposer ou en demander l'effacement. Prévoyez le canal pour ces demandes et la façon dont le sous-traitant vous les remonte sans délai. Une opposition exprimée au téléphone doit redescendre dans votre fichier, sinon le même prospect sera rappelé — et cette fois la faute est documentée. Ce suivi des statuts de contact est la preuve vivante que vous respectez le choix des personnes.
Garder la main sur le fichier : l'accès, l'outil, la réversibilité
Au-delà du droit, il y a la pratique : où vivent vos contacts pendant la mission, et qui les voit ? C'est là qu'un cadre outillé change la sérénité. Sur JobPhoning, le donneur d'ordre garde la main sur son fichier et sur ses enregistrements ; la plateforme se positionne comme un simple outil d'appels et de mise en relation entre l'entreprise et des indépendants, pas comme un acquéreur de vos données. Vous confiez l'appel à un indépendant via la plateforme ; vous ne cédez pas votre base.
Cette logique s'appuie sur une expérience terrain large — plus de 30 millions d'appels avec échange effectif depuis 2014 (mesure interne JobPhoning, mai 2026) — qui a façonné des réflexes simples : la traçabilité des appels et une restitution claire du fichier en fin de mission. Quand le cadre est posé, le reste suit : vous pilotez le rythme et la qualité au lieu de courir après vos propres contacts. Pour mesurer si l'opération tient la route côté rendement, regardez mieux comprendre calculer roi generation leads qualifies ; pour caler la fréquence des relances sans fatiguer la base, les bonnes pratiques de cadence prospection saas relancer efficacement ; et avant de signer avec une agence de prospection commerciale ou un indépendant, notre article dédié à audit agence prospection commerciale donne les bons réflexes de contrôle, y compris sur la façon dont le partenaire traite vos données.
Questions fréquentes sur la responsabilité des données en campagne déléguée
Qui est responsable des données si je confie mes appels à un indépendant ?
Vous. En lançant la campagne sur votre fichier, vous êtes responsable de traitement. L'indépendant agit comme sous-traitant, sur vos instructions ; il a ses propres devoirs de sécurité et de confidentialité, mais il ne reprend pas votre obligation devant l'autorité de contrôle.
Faut-il un contrat écrit avec la personne qui passe les appels ?
Oui. Le RGPD impose un contrat ou un avenant entre responsable et sous-traitant. Il fixe la finalité, la durée, les données transmises, la confidentialité, la sécurité, l'interdiction de réutiliser le fichier et le sort des données en fin de mission.
Qui doit vérifier la liste d'opposition au démarchage ?
Le donneur d'ordre, en amont, sur sa propre base. C'est au responsable du fichier de retirer les personnes opposées au démarchage avant de confier les appels — pas à la personne qui compose le numéro. Sur la plateforme, vous gardez la main sur ce fichier.
Que deviennent mes données à la fin de la mission ?
Le contrat doit le prévoir : restitution ou suppression, selon ce que vous décidez. Côté plateforme, le donneur d'ordre conserve l'accès à son fichier et à ses enregistrements ; la mission ne transfère pas la propriété de votre base.
Prêt à passer à l'action ?
Discutons de votre campagne : ciblage, prise de rendez-vous qualifiés et mesure des résultats, avec un interlocuteur dédié.
