La prospection BtoC RGPD est un sujet qui concentre de nombreuses infractions constatées par la CNIL. La transmission, payante ou non, de données personnelles de clients ou prospects à des partenaires qui souhaitent les réutiliser à des fins de prospection commerciale doit respecter des règles précises, variables selon le canal utilisé. La CNIL a publié en juin 2026 une fiche pratique complète que tout responsable marketing et tout DPO doit connaître.
Le principe général : canal postal ou canal électronique, deux régimes distincts
Le régime juridique applicable dépend en premier lieu du moyen utilisé par le partenaire pour prospecter les personnes concernées. La CNIL distingue deux cas :
- Prospection par courrier postal : base juridique de l’intérêt légitime possible, avec obligation d’information préalable et droit d’opposition simple et gratuit.
- Prospection par voie électronique (email, SMS, automate d’appel) ou par téléphone : le consentement préalable est requis.
Cette distinction fondamentale conditionne l’ensemble du dispositif à mettre en place avant toute transmission de données.
Prospection BtoC par courrier postal : informer et permettre l’opposition
Lorsque le partenaire cible entend prospecter par courrier postal, l’organisme qui transmet les données peut invoquer son intérêt légitime. Mais deux obligations s’imposent impérativement :
- Informer les personnes au moment de la collecte de leurs données, avec mention des catégories de destinataires (secteur d’activité, type de sollicitation, nombre approximatif de partenaires). La CNIL recommande de mettre à disposition une liste exhaustive des partenaires avec lien vers leur politique de protection des données.
- Permettre l’opposition : une case à cocher doit permettre à la personne de s’opposer à la transmission lors de la collecte et à tout moment. Cette opposition doit être simple, gratuite et effective.
Prospection BtoC RGPD par voie électronique : le consentement s’impose
Pour toute prospection par email, SMS, automate d’appel ou anciennement par téléphone, le consentement préalable est obligatoire. L’organisme qui transmet les données doit lui-même recueillir ce consentement pour le compte de ses partenaires, ou s’assurer que ses partenaires le collecteront directement.
Deux scénarios sont possibles :
- Cas n°1 : L’organisme recueille le consentement pour les opérations de prospection des partenaires au moment de la collecte initiale. La liste des partenaires doit être explicitement présentée, visible ou accessible via un lien. Une seule case à cocher (décochée par défaut) suffit pour les deux finalités.
- Cas n°2 : L’organisme n’a pas collecté ce consentement. Il peut seulement transmettre les coordonnées pour que les partenaires contactent les personnes afin de recueillir ce consentement, via un message basé sur l’intérêt légitime, sans promotion de leurs services dans ce premier contact.
Point critique : le consentement n’est pas transmissible en cascade. Le consentement recueilli par un organisme pour le compte de ses partenaires ne vaut pas pour les sous-partenaires de ces partenaires. Chaque nouveau niveau de transmission nécessite un nouveau recueil de consentement.
Point de vigilance : une question pendante devant la CJUE
La pratique consistant à mentionner une catégorie générique de « partenaires » avec un lien vers une liste exhaustive — recommandée par la CNIL dans sa fiche — fait actuellement l’objet d’une question préjudicielle devant la Cour de justice de l’Union européenne. Le Conseil d’État a saisi la CJUE le 5 mai 2025 pour déterminer si un consentement collecté sur cette base peut être considéré comme valable au sens du RGPD. Cette saisine fait suite à la sanction de 600 000 € infligée à Groupe Canal+ par la CNIL en octobre 2023, précisément pour ce type de pratique jugée insuffisamment éclairée.
Tant que la CJUE n’a pas tranché, les organismes qui s’appuient sur cette méthode de recueil du consentement doivent avoir conscience que la validité juridique de cette pratique n’est pas définitivement sécurisée, malgré les recommandations actuelles de la CNIL.
Démarchage téléphonique : une révolution au 11 août 2026
La CNIL le signale explicitement dans sa fiche : la loi du 30 juin 2025 fait évoluer les règles du démarchage téléphonique. À compter du 11 août 2026, les consommateurs ne pourront plus être démarchés par téléphone, sauf s’ils ont donné leur consentement préalable explicite ou si l’appel concerne un contrat en cours. Le service Bloctel disparaîtra à cette même date, remplacé par ce nouveau régime de consentement préalable (opt-in).
Cette évolution majeure rapproche le régime téléphonique du régime électronique. Les organisations qui pratiquent le démarchage téléphonique ou qui transmettent des données à des partenaires à cette fin doivent revoir leurs pratiques avant cette date. Les textes d’application précisant les modalités étaient en cours de publication au moment de la rédaction de cet article.
Ce que les partenaires destinataires doivent faire
L’obligation ne pèse pas uniquement sur l’organisme qui transmet les données. Le partenaire qui reçoit les données doit également :
- Informer les personnes de l’utilisation de leurs données, au plus tard dans un délai d’un mois à compter du premier contact.
- Mentionner l’identité de la société source des données et les droits des personnes (opposition, retrait du consentement).
- S’assurer de sa propre conformité RGPD : minimisation, durées de conservation, sécurité.
FAQ – Prospection BtoC RGPD
Peut-on vendre un fichier de prospects à un partenaire sans consentement ?
Cela dépend du canal de prospection envisagé par le partenaire. Si le partenaire entend utiliser le fichier pour du courrier postal, l’intérêt légitime peut suffire, à condition d’avoir informé les personnes et de leur avoir offert un droit d’opposition. Pour toute prospection électronique ou téléphonique (après le 11 août 2026), le consentement préalable est requis.
Combien de partenaires peut-on mentionner dans le formulaire de consentement ?
La CNIL ne fixe pas de nombre maximum, mais exige que la liste soit exhaustive et tenue à jour. Si elle est trop longue pour figurer directement dans le formulaire, un lien hypertexte vers la liste complète est accepté. L’essentiel est que la personne puisse prendre une décision éclairée sur l’ampleur et les conséquences de la transmission.
La mention « partenaires » avec un lien vers une liste est-elle un consentement valable à coup sûr ?
C’est la pratique actuellement recommandée par la CNIL, mais elle n’est pas juridiquement sécurisée à 100 % : le Conseil d’État a saisi la CJUE en mai 2025 sur cette exacte question, à la suite de la sanction de 600 000 € infligée à Groupe Canal+ pour une pratique similaire. Une décision de la CJUE pourrait faire évoluer cette doctrine.
Un partenaire peut-il retransmettre le fichier à ses propres partenaires ?
Non, sans recueillir un nouveau consentement. Le consentement donné à l’organisme A pour ses partenaires B et C ne couvre pas les sous-partenaires D et E de B ou C. Chaque niveau de transmission doit faire l’objet d’un consentement spécifique, recueilli par l’organisme qui souhaite transmettre les données.
Quels changements s’appliquent au démarchage téléphonique à partir du 11 août 2026 ?
La loi du 30 juin 2025 interdit le démarchage téléphonique des consommateurs sans consentement préalable explicite, sauf en cas de contrat en cours. Le service Bloctel disparaît à cette date. Cette règle s’applique aussi aux données transmises à des partenaires : si ceux-ci entendent prospecter par téléphone, l’organisme transmetteur doit s’assurer que le consentement a bien été recueilli pour ce canal.
Quelle est la différence entre l’intérêt légitime et le consentement pour la prospection ?
L’intérêt légitime permet de traiter des données sans obtenir de consentement explicite, mais il n’est possible que si les personnes peuvent raisonnablement s’attendre à ce traitement, si leur intérêt ne prédomine pas, et si un droit d’opposition leur est offert. Pour la prospection électronique, la directive ePrivacy impose le consentement préalable, ce qui exclut le recours à l’intérêt légitime.
En résumé
La prospection BtoC RGPD obéit à des règles différentes selon le canal utilisé. Le courrier postal autorise le recours à l’intérêt légitime avec information et droit d’opposition. L’email, le SMS et, bientôt le téléphone, exigent un consentement préalable explicite. La chaîne de consentement ne se transfère pas entre partenaires, et la validité de la mention générique « partenaires » reste soumise à une question pendante devant la CJUE. Avec la loi du 30 juin 2025, le démarchage téléphonique bascule dans le régime du consentement obligatoire à partir du 11 août 2026.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
Sources
- CNIL – La prospection vers les particuliers (B to C) : quelles règles pour transmettre des données à des partenaires ? — 10 juin 2026
- Légifrance – Loi n° 2025-594 du 30 juin 2025 contre toutes les fraudes aux aides publiques
- CNIL – La prospection commerciale par courrier électronique, SMS-MMS et automate d’appel
- CNIL – Prospection commerciale par téléphone : quelles sont les règles ?
Pour aller plus loin
- CNIL - Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection - Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Méthode : le Continuous Compliance Operating System - CCOS
Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
