Un patron d’agence de marketing digital, basé à Bordeaux, en a fait les frais au début de cette année. Son fichier de prospection B2B, monté brique par brique depuis 2019, ne valait plus grand-chose. Consentements expirés, fondements juridiques bancals, prestataires hors des clous. La CNIL lui a envoyé une mise en demeure, et trois années d’effort commercial se sont retrouvées sur la sellette. Loin d’être un cas isolé.
Le RGPD n’a pas fini de produire ses effets
Quand il est entré en vigueur en mai 2018, le RGPD, beaucoup de patrons de PME l’ont rangé dans la case « dossier technique ». Un truc de juristes, d’informaticiens. On a posé une bannière cookies sur le site, rafraîchi les mentions légales, rempli un registre des traitements un peu vite fait. Puis on a tourné la page.
La CNIL, elle, n’a pas tourné la page. Les contrôles ont nettement augmenté sur les deux dernières années. Et les PME ne passent plus entre les mailles du filet. Les sanctions, moins médiatiques que celles visant les géants du numérique certes, touchent maintenant des boîtes de taille modeste. Le signal est clair : le gendarme des données français serre la vis sur la prospection commerciale, y compris en B2B. Là précisément où pas mal de dirigeants se croyaient tranquilles.
Parce que c’est bien le nœud du problème. Collecter des adresses e-mail pros, enrichir des bases, scorer des prospects : tout ça, le RGPD l’encadre de près. L’intérêt légitime, que les entreprises brandissent volontiers comme justification, ne donne pas carte blanche. Il faut documenter une vraie mise en balance avec les droits des personnes. Combien de PME ont fait cet exercice pour de bon ? Très peu, à en croire ce qui remonte du terrain.
La prospection B2B sous haute surveillance
Le mythe selon lequel le RGPD ne viserait que le B2C a la peau dure. Il serait temps de l’enterrer une bonne fois. Dès qu’une adresse e-mail contient un nom, un prénom, même dans un cadre professionnel, on parle de donnée personnelle au sens du règlement. Le nom du directeur commercial, le numéro de ligne directe, l’entreprise associée : voilà un traitement de données personnelles. Point.
En pratique, les retombées sont lourdes. Acheter des fichiers de prospection à des brokers de données, une habitude encore courante chez les PME, crée un vrai risque juridique si on ne peut pas retracer la chaîne de consentement. Les outils qui enrichissent automatiquement les profils LinkedIn, très en vogue dans les équipes commerciales, naviguent dans un flou juridique que les autorités européennes clarifient petit à petit. Et la direction prise ne fait pas les affaires des éditeurs.
Fin 2025, la CNIL a d’ailleurs sorti un référentiel dédié à la prospection B2B. Le ton se durcit : information des personnes renforcée, opposition simplifiée, durées de conservation raccourcies. Pour une PME dont le CRM a été nourri pendant des années sans trop de précautions, le chantier de mise en conformité est conséquent. Pas hors de portée, mais concret.
Au-delà du RGPD, un empilement réglementaire inédit
Le RGPD serait presque digeste s’il était seul sur la table. Sauf qu’il s’insère dans une vague réglementaire européenne bien plus large, et qui accélère. Digital Services Act, Digital Markets Act, Data Act, règlement IA : la pile de textes qui redessinent les obligations en matière de données, de transparence et de responsabilité numérique ne cesse de grossir.
Côté B2B, le Data Act mérite qu’on s’y arrête. Depuis son entrée en application en septembre 2025, de nouvelles règles encadrent le partage des données issues des objets connectés et des services numériques. Concrètement, un industriel qui capte des données d’usage chez ses clients doit maintenant leur en ouvrir l’accès, voire autoriser leur transfert vers des tiers dans certains cas. Les contrats de maintenance et de SAV vont devoir passer à la moulinette.
Le règlement IA, lui, voté en 2024, commence à produire des effets concrets pour les entreprises qui ont greffé de l’intelligence artificielle sur leurs processus commerciaux. Notation automatique de prospects, chatbot pour qualifier des leads, algorithme de recommandation tarifaire : selon le niveau de risque, il faudra satisfaire à des obligations de transparence, de contrôle humain et de documentation. Les PME qui déploient ces outils sans se poser la question de la conformité s’exposent à un risque qui enfle mois après mois.
Ce que ça coûte vraiment aux PME
Personne ne parle vraiment du coût de la conformité réglementaire dans les fédérations professionnelles. On préfère mettre en avant les opportunités, la confiance client, l’avantage concurrentiel. C’est vrai, tout ça. Mais ça ne dit pas combien ça coûte.
Prenez une PME de cinquante personnes qui décide de prendre le sujet au sérieux. Au minimum, il faut former les commerciaux, auditer les bases de données, remettre à plat les contrats de sous-traitance, actualiser les mentions d’information, et souvent s’équiper en outils de gestion du consentement. Un DPO externalisé, devenu quasi obligatoire dès qu’on brasse pas mal de données, c’est un poste budgétaire annuel qui pèse.
Et encore, ce n’est que la face émergée. Le coût d’opportunité, lui, travaille en sourdine. Prospection commerciale freinée, délais de mise sur le marché qui s’étirent, partenariats retardés parce qu’on négocie pendant des semaines les clauses sur la protection des données. Un patron de PME dans l’édition logicielle B2B résumait la chose avec une certaine fatigue : il passe aujourd’hui plus de temps à documenter sa conformité qu’à développer de nouvelles fonctionnalités. À peine une exagération.
Le vrai danger, à terme, c’est le décrochage concurrentiel. Les grands groupes ont des services juridiques étoffés et des budgets conformité à la hauteur. Les PME, elles, jonglent entre mise en conformité et développement commercial avec les mêmes bras. Cette asymétrie, dont on parle assez peu dans les discours officiels sur le fameux “level playing field” européen, pose une vraie question de politique industrielle.
Transformer la contrainte en avantage, sans angélisme
Faut-il baisser les bras pour autant ? Ce serait une erreur. Les boîtes qui investissent tôt dans la conformité en récoltent un bénéfice tangible côté confiance commerciale. Dans les appels d’offres B2B, savoir prouver qu’on gère ses données proprement, ça commence à peser dans les critères de sélection. Pas encore systématique, mais la tendance s’accélère. Les grands donneurs d’ordres, eux-mêmes pressés par la réglementation, font redescendre leurs exigences sur toute la chaîne fournisseur.
Pour les PME actives sur le marché unique européen, le RGPD et ses textes satellites fonctionnent aussi comme un passeport. Conforme en France, conforme dans les 26 autres pays membres, en principe. Face à des concurrents extra-européens qui doivent prouver un niveau de protection équivalent pour accéder au marché, l’avantage est réel.
Mais attention : la mise en conformité n’est pas un exercice qu’on boucle une fois et qu’on range dans un tiroir. Les textes bougent, les positions des régulateurs s’affinent, la jurisprudence s’épaissit. Le dirigeant qui coche la case RGPD et tourne la page risque un réveil brutal. C’est d’ailleurs l’une des leçons majeures de la séquence actuelle de bouleversements politiques européens : quand le cadre réglementaire bouge en permanence, la veille n’est pas un luxe. C’est une question de survie.
Un enjeu de souveraineté qui dépasse la seule conformité
Derrière toute cette mécanique réglementaire, il y a un enjeu plus vaste. L’Europe bâtit, texte après texte, un modèle numérique qui ne ressemble ni à celui des Américains ni à celui des Chinois. Protection des droits individuels, transparence des algorithmes, encadrement des plateformes. On peut en débattre les mérites, pointer ses limites. Mais pour les entreprises européennes, et les PME en particulier, c’est un fait accompli.
Les patrons qui intègrent cette donne dans leur réflexion stratégique, qui regardent la réglementation non comme un mur mais comme le terrain de jeu où se fabriquent les avantages compétitifs de demain, ceux-là s’en sortiront mieux que les autres. La souveraineté numérique européenne, ce n’est pas un concept de colloque bruxellois. Ça se joue dans les choix d’outils, de prestataires et de process que chaque PME fait au quotidien.
Fermer les yeux sur cette dynamique, c’est risquer de se retrouver d’ici trois à cinq ans du mauvais côté de la barrière réglementaire. Avec, cette fois, beaucoup moins de marge pour rattraper le coup.