Aller au contenu principal
Guides techniques

RGPD et prospection par signaux : conformité technique

Peter Cools · · 18 min de lecture

En résumé : La prospection B2B par signaux d’affaires repose sur l’intérêt légitime, une base légale reconnue par le RGPD. Mais cette base ne vous dispense pas de mettre en place des mesures techniques concrètes : minimisation des données, mécanismes de désinscription, calendriers de suppression automatique, gestion des droits d’accès et d’effacement via API, chiffrement au repos et journalisation des accès. Ce guide détaille chaque obligation et vous montre comment l’implémenter techniquement avec l’API Rodz.

Qu’est-ce que la conformité RGPD appliquée aux signaux d’affaires ?

Le Règlement Général sur la Protection des Données (RGPD) encadre le traitement de toute donnée permettant d’identifier directement ou indirectement une personne physique. Dans le contexte de la prospection B2B par signaux d’affaires, les données traitées incluent les noms et prénoms des contacts, leurs adresses email professionnelles, leurs intitulés de poste et les informations firmographiques associées à leur entreprise.

La particularité de la prospection par signaux réside dans le fait que les données ne sont pas collectées directement auprès des personnes concernées. Elles proviennent de sources publiques, comme les offres d’emploi, les annonces de levées de fonds, les publications LinkedIn ou les données légales (SIRENE, Bodacc). Le RGPD autorise ce type de traitement, mais impose des garanties strictes.

En France, la CNIL a précisé les conditions dans lesquelles la prospection B2B est licite. L’envoi de sollicitations commerciales à des professionnels est autorisé sans consentement préalable, à condition que le message soit en rapport avec la fonction exercée par le destinataire. C’est exactement le cadre dans lequel les signaux d’affaires opèrent : vous contactez un directeur commercial parce qu’un signal pertinent (recrutement, levée de fonds, changement de poste) indique un besoin potentiel lié à sa fonction.

Ce guide vous accompagne dans la mise en conformité technique. Chaque section couvre une obligation du RGPD et propose une implémentation concrète, que ce soit via l’API Rodz, vos systèmes internes ou vos outils d’automatisation.

Prérequis

Avant de mettre en place les mesures de conformité décrites dans ce guide, vérifiez les points suivants :

  1. Un compte Rodz actif avec accès API. Si ce n’est pas encore fait, créez votre compte sur app.rodz.io.
  2. Une clé API valide générée depuis votre tableau de bord. Consultez le guide de démarrage pour la procédure complète.
  3. Une connaissance de base du RGPD et de ses principes fondamentaux. L’article RGPD et signaux d’affaires fournit une introduction accessible.
  4. Un accès à la documentation de l’API Rodz pour consulter les endpoints mentionnés dans ce guide.
  5. Un DPO ou référent RGPD identifié dans votre organisation, ou un conseil juridique externe si vous êtes une petite structure.
  6. Un registre de traitements existant (ou la volonté d’en créer un), car la prospection par signaux devra y figurer.

La base légale : l’intérêt légitime en B2B

Pourquoi l’intérêt légitime et pas le consentement ?

En B2B, exiger un consentement préalable avant de contacter un prospect rendrait la prospection commerciale impossible par définition. Le RGPD prévoit six bases légales, et l’intérêt légitime (article 6.1.f) est celle qui s’applique à la prospection B2B dans la majorité des cas.

L’intérêt légitime fonctionne comme un équilibre : votre intérêt commercial à prospecter est mis en balance avec les droits et libertés de la personne contactée. Pour que cette base tienne, trois conditions doivent être réunies :

  • L’intérêt est réel et actuel. Vous prospectez des entreprises qui correspondent à votre cible commerciale.
  • Le traitement est nécessaire. Vous ne pouvez pas atteindre votre objectif commercial sans traiter ces données.
  • Les droits de la personne ne sont pas lésés de manière disproportionnée. Vous contactez un professionnel dans le cadre de sa fonction, pas un individu dans sa vie privée.

Le test de mise en balance (LIA)

La CNIL recommande de documenter un Legitimate Interest Assessment (LIA) pour chaque finalité de traitement. Ce test comporte trois étapes :

  1. Identification de l’intérêt légitime : développement commercial, acquisition de nouveaux clients dans votre secteur cible.
  2. Nécessité du traitement : les signaux d’affaires permettent d’identifier le bon moment pour prospecter, ce qui réduit le volume de contacts inutiles et améliore la pertinence de l’approche.
  3. Mise en balance : les données traitées sont professionnelles (email d’entreprise, poste occupé), le contact porte sur un besoin lié à la fonction du destinataire, et un mécanisme de désinscription est proposé dès le premier message.

Documentez ce test et conservez-le. En cas de contrôle, c’est la première pièce que la CNIL demandera.

Les données traitées par Rodz

Avant de parler de mesures techniques, il faut cartographier précisément les données que vous traitez. Voici ce que l’API Rodz peut vous fournir :

Données d’entreprise (non personnelles) :

  • Raison sociale, SIREN/SIRET, forme juridique
  • Secteur d’activité (code NAF)
  • Effectif, chiffre d’affaires
  • Adresse du siège social
  • Stack technologique, trafic web estimé

Données personnelles :

  • Nom et prénom du contact
  • Adresse email professionnelle
  • Intitulé de poste
  • Profil LinkedIn (URL publique)

Signaux d’affaires (événements) :

  • Type de signal (recrutement, levée de fonds, changement de poste, etc.)
  • Date de détection
  • Source du signal
  • Données contextuelles associées

Les données personnelles constituent le coeur des obligations RGPD. Les sections suivantes détaillent les mesures techniques à implémenter pour chaque principe du règlement.

Minimisation des données : ne collecter que le nécessaire

Le principe de minimisation (article 5.1.c du RGPD) impose de ne collecter que les données strictement nécessaires à la finalité poursuivie. Dans la pratique, cela signifie que vous ne devez pas stocker l’intégralité des données disponibles via l’API Rodz si vous n’en utilisez qu’une partie.

Sélection de champs via l’API

L’API Rodz supporte la sélection de champs dans ses endpoints d’enrichissement. Au lieu de récupérer toutes les informations disponibles sur un contact, spécifiez uniquement les champs dont vous avez besoin.

Par exemple, si votre workflow de prospection n’utilise que le nom, l’email et l’intitulé de poste, ne demandez pas le numéro de téléphone, l’historique de carrière ou les données financières de l’entreprise. Consultez la référence API Rodz pour connaître les paramètres de filtrage disponibles sur chaque endpoint.

Application concrète

Définissez une liste blanche de champs autorisés pour chaque cas d’usage :

  • Prospection email : nom, prénom, email professionnel, entreprise, intitulé de poste.
  • Scoring de comptes : données firmographiques uniquement (effectif, CA, secteur), pas de données de contact.
  • Notifications internes : type de signal, entreprise concernée, date. Pas de données personnelles dans les notifications Slack ou Teams.

Cette approche réduit votre surface d’exposition en cas de fuite de données et simplifie la gestion des droits des personnes.

Mécanismes de désinscription et d’opposition

Le droit d’opposition (article 21 du RGPD) permet à toute personne de s’opposer au traitement de ses données à des fins de prospection. Ce droit est absolu en prospection commerciale : vous devez cesser le traitement dès réception de la demande, sans avoir à justifier quoi que ce soit.

Implémentation technique

Chaque email de prospection doit contenir un lien de désinscription fonctionnel. Mais la conformité ne s’arrête pas là. Vous devez propager cette information dans l’ensemble de votre chaîne de traitement :

  1. Liste de suppression centralisée. Maintenez une base de données unique des contacts ayant exercé leur droit d’opposition. Avant chaque campagne, croisez vos listes de prospection avec cette base.
  2. Propagation vers votre CRM. Lorsqu’un contact se désinscrit, mettez à jour son statut dans votre CRM automatiquement. Si vous utilisez HubSpot, le champ hs_email_optout doit passer à true.
  3. Filtrage en amont. Configurez vos webhooks Rodz pour vérifier chaque nouveau contact contre votre liste de suppression avant de l’ajouter à une séquence de prospection.
  4. Header List-Unsubscribe. Ajoutez les en-têtes List-Unsubscribe et List-Unsubscribe-Post à vos emails pour permettre la désinscription en un clic, comme l’exigent les bonnes pratiques de délivrabilité et les recommandations de la CNIL.

Délai de traitement

La CNIL recommande un traitement des demandes d’opposition dans un délai maximal d’un mois. En pratique, l’automatisation permet de traiter ces demandes en temps réel. Un délai de plus de 48 heures est difficile à justifier quand les outils le permettent.

Conservation des données : calendriers de suppression automatique

Le RGPD impose de ne pas conserver les données personnelles au-delà de la durée nécessaire à la finalité du traitement (article 5.1.e). Pour la prospection B2B, la CNIL recommande une durée de conservation maximale de trois ans à compter du dernier contact avec la personne.

Mise en place d’un calendrier de purge

Implémentez un processus automatisé de suppression qui respecte les règles suivantes :

  • Contacts non répondus : suppression après 12 mois sans interaction.
  • Contacts ayant répondu négativement : suppression après 30 jours (conservez uniquement l’email dans la liste de suppression pour éviter de les recontacter).
  • Contacts en cours de conversation : conservation tant que la relation commerciale est active, avec un maximum de 3 ans après le dernier échange.
  • Données de signaux : les signaux d’affaires bruts peuvent être anonymisés après traitement. Conservez les statistiques agrégées sans les données personnelles associées.

Automatisation via cron ou orchestrateur

Planifiez un job hebdomadaire qui parcourt votre base de contacts et applique les règles de rétention. Si vous utilisez Make ou n8n pour vos workflows, créez un scénario dédié à la purge. Les données supprimées doivent l’être de manière irréversible, y compris dans les sauvegardes (ou documentez une politique de rétention des sauvegardes cohérente).

Droit d’accès : retrouver toutes les données d’un contact

Le droit d’accès (article 15 du RGPD) permet à toute personne de demander une copie de l’ensemble des données que vous détenez sur elle. Vous disposez d’un mois pour répondre.

Processus technique

Pour répondre à une demande d’accès, vous devez être capable d’extraire rapidement toutes les données associées à un contact. Voici les étapes :

  1. Recherche dans votre CRM. Identifiez le contact par son email ou son nom. Exportez l’ensemble de sa fiche : propriétés, notes, historique d’activité, emails envoyés.
  2. Recherche dans vos bases internes. Si vous stockez des données de signaux dans une base séparée, interrogez-la avec l’email du contact comme clé.
  3. Recherche dans Rodz. Utilisez l’endpoint d’enrichissement par email pour vérifier si des données sont encore associées à ce contact dans la plateforme. Consultez la documentation API pour les détails techniques.
  4. Compilation et envoi. Regroupez les données dans un format lisible (CSV ou JSON) et transmettez-les au demandeur par un canal sécurisé.

Conseil pratique

Préparez un script ou un workflow dédié aux demandes d’accès. En automatisant le processus, vous réduisez le temps de réponse et limitez le risque d’oubli. Documentez la procédure dans votre registre de traitements.

Droit à l’effacement : supprimer les données d’un contact

Le droit à l’effacement (article 17 du RGPD), souvent appelé “droit à l’oubli”, permet à une personne de demander la suppression de ses données personnelles. En prospection B2B, ce droit s’applique sauf si vous avez une obligation légale de conserver certaines données (par exemple, les factures liées à une transaction commerciale).

Processus technique

La suppression doit être exhaustive et couvrir tous les systèmes où les données sont stockées :

  1. CRM. Supprimez la fiche du contact ou anonymisez-la si vous devez conserver l’historique des interactions pour des raisons statistiques.
  2. Outils d’emailing. Retirez le contact de toutes les listes et séquences actives.
  3. Bases internes. Supprimez les enregistrements associés à l’email du contact dans vos bases de données de signaux.
  4. Liste de suppression. Ajoutez l’email à votre liste de suppression (en le conservant sous forme hachée si nécessaire) pour éviter de réimporter ce contact à l’avenir.
  5. Sauvegardes. Documentez le fait que les données seront supprimées des sauvegardes lors de leur rotation habituelle, ou procédez à une suppression ciblée si votre infrastructure le permet.

Délai et confirmation

Confirmez la suppression par écrit au demandeur dans un délai d’un mois. Si la suppression nécessite plus de temps (systèmes distribués, sauvegardes), informez le demandeur du délai supplémentaire et de sa justification. Le RGPD autorise une extension de deux mois dans les cas complexes, à condition d’en informer la personne dans le premier mois.

Data Processing Agreement (DPA) avec Rodz

Lorsque vous utilisez l’API Rodz, Rodz agit en tant que sous-traitant au sens du RGPD (article 28). Un Data Processing Agreement (DPA), ou accord de traitement des données, est obligatoire entre vous (le responsable de traitement) et Rodz (le sous-traitant).

Contenu du DPA

Le DPA doit préciser :

  • L’objet et la durée du traitement : enrichissement de données et détection de signaux d’affaires, pour la durée de votre contrat.
  • La nature et la finalité du traitement : prospection commerciale B2B.
  • Les catégories de données traitées : données d’identification professionnelle (nom, email, poste, entreprise).
  • Les mesures de sécurité mises en oeuvre par Rodz : chiffrement, contrôle d’accès, audits.
  • Les obligations en cas de violation de données : notification dans les 72 heures.
  • Les conditions de sous-traitance ultérieure : liste des sous-traitants utilisés par Rodz.

Contactez l’équipe Rodz pour obtenir le DPA standard. Il est disponible sur demande et peut être adapté à vos exigences spécifiques.

Sécurisation des webhooks et des données en transit

Les webhooks Rodz transmettent des données en temps réel vers vos systèmes. Cette transmission doit être sécurisée pour éviter toute interception ou altération.

HTTPS obligatoire

Configurez vos endpoints de réception de webhooks exclusivement en HTTPS. Rodz refuse d’envoyer des webhooks vers des URLs en HTTP non chiffré. Utilisez un certificat TLS valide (Let’s Encrypt fonctionne parfaitement) et vérifiez que votre serveur supporte TLS 1.2 ou supérieur.

Vérification de la signature

Chaque webhook envoyé par Rodz est accompagné d’une signature HMAC-SHA256 dans l’en-tête de la requête. Vérifiez systématiquement cette signature avant de traiter le payload. Cela garantit que la requête provient bien de Rodz et qu’elle n’a pas été altérée en transit. Le guide Sécuriser vos webhooks avec la vérification HMAC-SHA256 détaille l’implémentation complète.

Ne pas journaliser les payloads bruts

Évitez de stocker les payloads bruts des webhooks dans vos logs applicatifs. Ces payloads contiennent des données personnelles (nom, email) qui n’ont pas vocation à résider dans des fichiers de log. Si vous devez journaliser les webhooks pour le débogage, anonymisez les champs sensibles ou limitez la rétention des logs à 7 jours maximum.

Traitement asynchrone

Traitez les webhooks de manière asynchrone. Stockez le payload dans une file d’attente (Redis, RabbitMQ, SQS), renvoyez un code 200 immédiatement, puis traitez les données dans un worker dédié. Cette approche limite la durée pendant laquelle les données personnelles restent en mémoire et améliore la résilience de votre système.

Stockage et sécurité des données au repos

Une fois les données récupérées via l’API Rodz, leur sécurité relève de votre responsabilité en tant que responsable de traitement.

Chiffrement au repos

Chiffrez les données personnelles stockées dans vos bases de données. La plupart des solutions modernes proposent le chiffrement transparent (TDE pour PostgreSQL, encryption at rest pour MongoDB Atlas, SSE pour S3). Activez-le systématiquement.

Contrôle d’accès

Appliquez le principe du moindre privilège :

  • Les commerciaux accèdent uniquement aux contacts de leur territoire.
  • Les équipes marketing ont accès aux statistiques agrégées, pas aux données individuelles.
  • Les développeurs n’accèdent aux données de production que via des environnements contrôlés et des accès temporaires.

Journalisation des accès

Mettez en place un audit log qui enregistre chaque accès aux données personnelles : qui a consulté quelle fiche, quand, et depuis quelle adresse IP. Ces logs sont essentiels pour répondre aux demandes de la CNIL et pour détecter les accès non autorisés.

Séparation des environnements

Ne copiez jamais de données personnelles de production dans vos environnements de développement ou de test. Utilisez des données fictives ou anonymisées pour vos tests. Si vous devez reproduire un bug lié à des données spécifiques, anonymisez-les avant de les transférer.

Recommandations CNIL pour la prospection B2B en France

La CNIL a publié des lignes directrices spécifiques à la prospection B2B qui complètent le RGPD. Voici les points clés à retenir :

  • Email professionnel uniquement. Vous pouvez contacter un professionnel sur son adresse email d’entreprise sans consentement préalable, à condition que le message soit en rapport avec sa fonction.
  • Identification claire de l’expéditeur. Chaque email doit identifier clairement votre entreprise et fournir un moyen simple de contact.
  • Objet explicite. L’objet de l’email doit refléter le contenu du message. Pas de sujets trompeurs.
  • Droit d’opposition facilité. Un lien de désinscription doit figurer dans chaque email. La CNIL insiste sur le fait que ce mécanisme doit être simple et effectif.
  • Pas de prospection vers les adresses personnelles. Les adresses de type gmail.com, outlook.com ou hotmail.com ne relèvent pas de la prospection B2B et nécessitent un consentement explicite.

Pour les signaux d’affaires spécifiquement, la CNIL considère que l’exploitation de données publiquement accessibles (offres d’emploi, publications sur les réseaux sociaux professionnels, annonces légales) est compatible avec l’intérêt légitime, à condition de respecter les principes de minimisation et de transparence.

Documentation : le registre des traitements

L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. La prospection par signaux d’affaires doit y figurer avec les éléments suivants :

  • Finalité du traitement : prospection commerciale B2B basée sur des signaux d’affaires.
  • Base légale : intérêt légitime (article 6.1.f), avec référence au LIA documenté.
  • Catégories de personnes concernées : décideurs et contacts professionnels d’entreprises cibles.
  • Catégories de données : données d’identification professionnelle, données firmographiques, signaux d’affaires.
  • Destinataires des données : équipes commerciales internes, CRM, outils d’emailing, sous-traitant Rodz.
  • Transferts hors UE : précisez si des données transitent par des serveurs hors de l’Espace économique européen.
  • Durées de conservation : conformément au calendrier de purge défini plus haut.
  • Mesures de sécurité : chiffrement, contrôle d’accès, audit logs, DPA avec Rodz.

Mettez ce registre à jour à chaque changement de processus ou d’outil. Il doit être accessible à votre DPO et disponible sur demande de la CNIL.

Questions fréquentes

Ai-je besoin du consentement d’un prospect pour le contacter en B2B ?

Non, pas en France pour la prospection B2B. La CNIL autorise l’envoi de sollicitations commerciales à des professionnels sans consentement préalable, à condition que le message porte sur un sujet en rapport avec la fonction du destinataire. La base légale est l’intérêt légitime. En revanche, vous devez proposer un mécanisme de désinscription dans chaque email et respecter immédiatement toute demande d’opposition.

Les signaux d’affaires collectés par Rodz sont-ils des données personnelles ?

Certains oui, d’autres non. Un signal comme “l’entreprise X a publié une offre d’emploi pour un directeur commercial” ne contient pas de donnée personnelle. En revanche, dès que vous enrichissez ce signal avec les coordonnées d’un contact (nom, email), vous traitez des données personnelles soumises au RGPD. La distinction est importante pour appliquer correctement le principe de minimisation.

Combien de temps puis-je conserver les données de mes prospects ?

La CNIL recommande un maximum de trois ans à compter du dernier contact actif avec la personne. Si un prospect n’a jamais répondu à vos sollicitations, une conservation de 12 mois est une pratique raisonnable. Au-delà, supprimez les données ou justifiez leur conservation dans votre registre de traitements.

Que faire si un prospect demande la suppression de ses données ?

Vous devez supprimer l’ensemble de ses données personnelles de tous vos systèmes dans un délai d’un mois. Cela inclut votre CRM, vos outils d’emailing, vos bases internes et vos fichiers d’export. Ajoutez son email (sous forme hachée si nécessaire) à votre liste de suppression pour éviter de le réimporter ultérieurement. Confirmez la suppression par écrit.

Dois-je signer un DPA avec Rodz ?

Oui. Dès lors que Rodz traite des données personnelles pour votre compte (enrichissement de contacts, détection de signaux associés à des personnes identifiables), un Data Processing Agreement est obligatoire au titre de l’article 28 du RGPD. Contactez l’équipe Rodz pour obtenir le DPA standard.

Comment gérer les données de prospection dans mes logs applicatifs ?

Évitez de stocker des données personnelles dans vos logs. Si vous journalisez les appels API ou les webhooks pour le débogage, anonymisez les champs sensibles (nom, email) ou utilisez des identifiants internes à la place. Limitez la rétention des logs contenant des données personnelles à 7 jours maximum. Les logs d’audit (qui a accédé à quoi) doivent en revanche être conservés plus longtemps pour répondre aux exigences de traçabilité.

La prospection par signaux d’affaires est-elle compatible avec le RGPD ?

Oui, à condition de mettre en place les mesures techniques et organisationnelles décrites dans ce guide. L’exploitation de données publiquement accessibles pour identifier le bon moment de prospection est parfaitement compatible avec l’intérêt légitime, dès lors que vous respectez les principes de minimisation, de transparence, de limitation de la conservation et de sécurité. Le guide RGPD et signaux d’affaires fournit une vue d’ensemble complémentaire.

Quelles sanctions en cas de non-conformité ?

Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. En pratique, la CNIL prononce des sanctions proportionnées. Pour les PME, les amendes se situent généralement entre 5 000 et 150 000 euros. Le risque réputationnel est souvent plus dommageable que l’amende elle-même : une publication de la sanction par la CNIL peut durablement affecter la confiance de vos prospects et clients.

#RGPD #conformité #données personnelles #guide technique #signaux d'affaires #prospection B2B
Partager :

Générez votre stratégie outbound gratuitement

Notre IA analyse votre entreprise et crée un playbook complet : ICP, personas, templates d'emails, scripts d'appels.

Générer ma stratégie