Deux mythes circulent en 2026 sur le cold email B2B en France : le premier, qu’il serait totalement interdit sans opt-in préalable. Le second, qu’il serait totalement libre en B2B. Les deux sont faux.
La position de la CNIL est claire, publiée dans sa fiche pratique mise à jour en février 2025 et confirmée dans plusieurs sanctions récentes. Cet article résume ce que vous pouvez faire, ce que vous ne pouvez pas faire, et ce que vous risquez.
Précision importante : cet article n’est pas un conseil juridique personnalisé. Consultez un avocat spécialisé en droit du numérique pour les cas complexes. Les références citées sont vérifiables sur cnil.fr et legifrance.gouv.fr.
Le cold email B2B en France est encadré par deux textes cumulatifs :
Et de manière indirecte :
Opt-in explicite obligatoire. Vous ne pouvez pas envoyer de mail commercial à un particulier sans son accord préalable, exprès, et pour un objet identifié.
La CNIL admet le régime d’opt-out, à trois conditions cumulatives :
prenom.nom@entreprise.fr par exemple).La fiche CNIL de 2025 le résume ainsi : “pour la prospection B2B, l’accord préalable de la personne n’est pas obligatoire dès lors que ces conditions sont réunies”.
Adresse générique (contact@, info@, commercial@) : autorisée, car considérée comme adresse fonctionnelle et non personnelle. Sans consentement préalable.
Adresse personnelle sur domaine pro (prenom.nom@entreprise.fr) : autorisée en opt-out si les 3 conditions sont réunies. C’est la règle.
Adresse personnelle sur domaine perso (prenomnom@gmail.com, même utilisée à titre pro par un indépendant) : opt-in requis. La CNIL considère que le doute profite au titulaire.
Freelance ou auto-entrepreneur : opt-in requis. Assimilé à un particulier dans la doctrine CNIL.
Même en opt-out, votre email doit contenir :
Raison sociale, forme juridique, SIRET, adresse postale. Peut être en pied de mail. Sans cette mention, l’email tombe dans la catégorie “communication commerciale non identifiée”, passible d’une amende.
La CNIL et le juge sanctionnent les objets trompeurs (“Re:”, “Suivi de notre échange”, faux “Fwd:”) pour une personne à qui vous n’avez jamais écrit. Le destinataire doit comprendre à l’ouverture qu’il s’agit d’un message commercial.
Une phrase claire, en français, sur comment se désinscrire. Exemple accepté : “Vous ne souhaitez plus recevoir nos messages ? Répondez STOP ou cliquez ici.” Le lien doit fonctionner. La CNIL a sanctionné à plusieurs reprises des liens de désinscription cassés.
Dans le message ou dans une politique de confidentialité liée : mention du droit d’accès, de rectification, d’opposition et de portabilité, avec adresse de contact du DPO ou du responsable de traitement.
Si vous utilisez une base achetée ou enrichie, vous devez mentionner (au moins dans la politique de confidentialité liée) la provenance de la donnée. La CNIL exige cette traçabilité depuis 2022.
directeur@entreprise.fr par exemple).Quelques sanctions marquantes publiées par la CNIL entre 2023 et 2025 :
Pour une PME de moins de 250 salariés, les amendes CNIL récentes se situent typiquement entre 5 000 et 50 000 EUR, avec obligation de mise en conformité sous 3 mois.
La CNIL n’interdit pas d’acheter des données B2B, elle impose :
En pratique, 60 à 80 % des bases B2B disponibles sur le marché ne respectent pas ces conditions. Utilisez avec vigilance : demandez l’origine des données, exigez une DPA écrite, et purgez avant envoi via un outil de vérification qui respecte lui-même le RGPD.
Pour une PME qui fait du cold email B2B sereinement en 2026 :
Dès qu’un destinataire clique STOP ou répond “désinscription”, il doit être exclu de toutes les futures campagnes. Sans cet automatisme, vous êtes en risque.
La liste des traitements liés à la prospection, avec base légale, durée de conservation, destinataires, sous-traitants.
Accessible via un lien dans chaque email, à jour, en français, mentionnant les sources de données et les droits.
Recommandation CNIL : 3 ans max après le dernier contact avec le prospect (dernier envoi ou dernière ouverture). Au-delà, vous devez purger.
Si vous traitez plus de 5 000 prospects en base, la nomination d’un DPO externe (à partir de ~200 EUR HT/mois) est un investissement raisonnable.
Exemple d’un email 1 conforme, envoyé à sophie.martin@entreprisex.fr :
Objet : Question sur votre logistique dernier km
Corps :
Bonjour Sophie,
Je viens de lire votre article sur les défis de la livraison dernier km publié le 3 juin sur LinkedIn.
Chez Agensio, on aide des PME comme la vôtre à réduire les réclamations livraison via un agent IA de suivi client. Un cabinet de conseil similaire a réduit ses tickets de 42 % en 6 semaines.
Est-ce que ça vaut le coup que je vous envoie l’étude de cas de 2 pages ? Répondez juste oui, je vous l’envoie.
Bien cordialement, Théo Bouchet, fondateur Agensio [Lien LinkedIn]
Agensio SAS, SIREN FR-102258076, Loroux-Bottereau (44) Vous ne souhaitez plus recevoir nos messages ? [Se désinscrire] Nos engagements RGPD : agensio.ai/rgpd
Cet email respecte les 5 mentions obligatoires, identifie clairement l’expéditeur, propose un opt-out fonctionnel, et vise un objet professionnel légitime. Il tient face à un contrôle CNIL.
“Il suffit d’un opt-out” : faux. L’opt-out ne suffit pas si les 3 conditions (pro/objet pro/adresse pro) ne sont pas remplies.
“Le RGPD, c’est pour les grosses boîtes” : faux. Les PME sont sanctionnées régulièrement, avec des amendes proportionnées à leur taille.
“Si le prospect ne se plaint pas, tout va bien” : faux. La CNIL peut être saisie par une association de consommateurs, un concurrent, ou dans le cadre d’un contrôle programmé.
“On utilise ChatGPT, c’est légal parce que c’est de l’IA” : sans rapport. L’IA ne change rien à la base légale, elle change seulement l’échelle et donc le risque.
“On envoie depuis un domaine différent, c’est intraçable” : faux. Les sanctions récentes montrent que la CNIL remonte facilement aux entités réelles via les hébergeurs, les registrars et les paiements.
Le cold email B2B reste un canal viable et légal en France en 2026, à condition de respecter le cadre. La bonne nouvelle : les outils modernes intègrent nativement ces règles. Vérifiez que votre solution le fait avant de vous en équiper.
Agensio (agent Lead Démarchage) intègre nativement : gestion opt-out automatique, mentions RGPD dans chaque email, journal d’audit conforme, purge automatique après 3 ans. Hébergement Supabase EU, audit CASA Tier 2 indépendant. Pack Starter à 82,50 EUR HT/mois, 600 leads/mois. Essai gratuit 7 jours, aucun débit pendant la période d’essai.
Démarrez en 10 minutes avec les agents IA Agensio. 7 jours d'essai gratuit, sans engagement.
Essayer gratuitement