La CNIL a publié en mai 2026 son rapport annuel 2025. Le signal est clair pour les entreprises qui achètent des fichiers de prospection, externalisent leur marketing ou lancent des campagnes d’emailing : les plaintes augmentent, les contrôles restent actifs et la preuve du consentement devient un sujet central.
Le risque ne concerne pas seulement les grandes plateformes. Il concerne aussi la PME qui achète une base de données de prospects, l’agence qui promet des leads « RGPD », le courtier qui revend des contacts, le commerçant qui lance une campagne email et l’entreprise B2B qui récupère des coordonnées sur LinkedIn, un salon ou un annuaire.
La question utile est simple : peut-on acheter une base de données prospects et l’utiliser pour une campagne commerciale sans risquer une plainte CNIL, une mise en demeure, une perte de confiance ou un litige avec le vendeur du fichier ?
Oui, mais seulement si le fichier a été constitué licitement, si les personnes ont été correctement informées, si l’opposition ou le consentement a été respecté, et si l’entreprise peut prouver ce qu’elle affirme. Un fichier présenté comme « RGPD » ne suffit pas. Ce qui compte, ce sont les preuves.
Pourquoi le sujet remonte maintenant
Le rapport annuel CNIL 2025, publié en mai 2026, indique que l’autorité a reçu 20 150 plaintes en 2025. Il relève aussi une hausse de plus de 10 % par rapport à l’année précédente. Le secteur commerce et immobilier représente 19 % des plaintes, ce qui place directement les pratiques commerciales dans la zone de vigilance.
En parallèle, la CNIL a présenté son bilan des sanctions 2025 : 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 486 839 500 euros d’amendes cumulées. Les sanctions les plus visibles portent sur la sécurité, les cookies ou la surveillance, mais le marketing reste surveillé.
Le 22 janvier 2026, la CNIL a aussi ouvert une concertation sur la preuve du consentement dans le secteur du marketing. Le point est décisif : beaucoup d’acteurs savent recueillir un accord apparent, mais peinent à démontrer qui a consenti, à quoi, quand, par quel canal, avec quelle information et pour quelle société bénéficiaire.
Pour une entreprise qui achète une base de données prospects en 2026, le vrai sujet n’est donc pas seulement « ai-je le droit de prospecter ? ». Le vrai sujet est : « si la CNIL, un client ou un partenaire me demande la preuve, que puis-je produire ? »
Ce que disent les recherches Google
La demande est réelle. Google Ads remonte notamment :
- « prospection commerciale » : 1 600 recherches mensuelles en France, concurrence moyenne, CPC haut 9,07 euros ;
- « prospection téléphonique » : 1 300 recherches mensuelles, concurrence moyenne, CPC haut 10,98 euros ;
- « acheter base de données prospects » : 720 recherches mensuelles, concurrence faible, CPC haut 10,31 euros ;
- « prospection commerciale b2b » : 320 recherches mensuelles, concurrence faible, CPC haut 12,03 euros ;
- « email prospection commerciale » : 70 recherches mensuelles, concurrence moyenne, CPC haut 7,72 euros ;
- à Paris, « prospection commerciale CNIL » ressort à 50 recherches mensuelles.
Ces chiffres montrent une intention mixte : beaucoup d’entreprises cherchent comment prospecter, mais certaines cherchent déjà la conformité, la CNIL, le RGPD, l’achat de fichiers et l’emailing. Ce sont ces entreprises qui ont le plus besoin d’un cadrage juridique avant campagne.
Acheter un fichier clients n’est pas interdit
La CNIL rappelle que la vente d’un fichier clients n’est pas interdite par le RGPD. Mais elle encadre fortement l’opération.
Le vendeur doit avoir constitué le fichier dans le respect de la réglementation. Il ne peut pas transmettre n’importe quelles données au seul motif qu’elles figurent dans un CRM. Les données conservées uniquement pour la comptabilité, le contentieux ou l’administration du contrat ne doivent pas être réutilisées librement pour de la prospection.
Le fichier doit aussi tenir compte des personnes qui se sont opposées à la transmission ou qui n’ont pas consenti à recevoir de la prospection électronique. En pratique, cela impose un nettoyage avant cession.
L’acquéreur, lui, ne peut pas se contenter d’une facture indiquant « base RGPD ». Il doit vérifier :
- l’origine des données ;
- la date de collecte ;
- l’information donnée aux personnes ;
- la finalité annoncée ;
- le canal autorisé : email, téléphone, SMS, courrier postal ;
- l’existence d’une opposition ;
- la preuve du consentement si la prospection électronique l’exige ;
- la durée de conservation ;
- les modalités de désinscription.
Si le vendeur refuse de fournir ces éléments, l’achat est risqué. Le prix du fichier est alors secondaire. Le risque principal est de lancer une campagne impossible à justifier.
B2B et B2C : ne mélangez pas les règles
En B2C, la prospection électronique repose en principe sur le consentement préalable. Autrement dit, l’entreprise doit pouvoir démontrer que la personne a accepté de recevoir des sollicitations commerciales par email ou SMS.
En B2B, le régime peut être plus souple lorsque la prospection vise une personne professionnelle sur son adresse professionnelle et porte sur des produits ou services en lien avec son activité. Mais cela ne dispense pas d’informer la personne et de lui permettre de s’opposer simplement.
La confusion entre B2B et B2C est fréquente. Une base « professionnels » peut contenir des adresses personnelles. Une adresse nominative peut être utilisée dans un cadre professionnel, mais rester une donnée personnelle. Un dirigeant de petite société peut être prospecté comme professionnel, mais il doit quand même comprendre d’où vient son adresse et comment s’opposer.
Le bon réflexe consiste donc à segmenter la base avant tout envoi :
- particuliers ;
- dirigeants et indépendants ;
- salariés contactés sur leur adresse professionnelle ;
- clients actifs ;
- anciens clients ;
- prospects issus d’un formulaire ;
- contacts achetés auprès d’un courtier ou d’un prestataire.
Chaque segment appelle une justification différente.
La mention « RGPD » dans le devis ne protège pas l’acheteur
Une décision de la cour d’appel de Grenoble du 26 juin 2025 illustre le problème. Le litige portait sur l’achat d’une base de données présentée comme composée de « 44 049 profils RGPD » pour une campagne commerciale.
La cour confirme que le fichier acheté était destiné à de la prospection commerciale et non à l’envoi d’une newsletter ou d’un magazine nécessitant un autre consentement. Elle relève aussi que l’acheteur n’apportait pas la preuve d’une non-conformité du fichier.
Cette décision ne signifie pas qu’un fichier « RGPD » est toujours utilisable. Elle montre plutôt l’importance de contractualiser précisément l’usage attendu et de conserver les preuves. Si l’acheteur veut contester la conformité du fichier, il doit documenter ce qui manque : consentements, information, origine des données, taux de rebond, qualité, finalité, droits d’opposition.
Autrement dit, avant d’acheter une base, il faut poser les questions qui permettront ensuite d’agir. Après la campagne, il est souvent trop tard.
Le vendeur de leads doit pouvoir prouver le consentement
Un jugement du tribunal des activités économiques de Paris du 10 avril 2025, consulté via Judilibre, montre un autre point important : la traçabilité du consentement peut devenir une obligation contractuelle.
Dans cette affaire, le contrat imposait au prestataire de conserver les informations relatives aux modalités de collecte du consentement des prospects et de les transmettre sur demande. Le tribunal ordonne la communication des informations prévues au contrat relatives au consentement des prospects à être appelés.
Pour une entreprise qui achète des leads, c’est un enseignement pratique. La conformité ne doit pas seulement être dans la politique de confidentialité du vendeur. Elle doit être dans le contrat :
- définition du lead ;
- canal autorisé ;
- preuve du consentement ou de l’information ;
- horodatage ;
- source ;
- texte présenté à la personne ;
- identité des partenaires mentionnés ;
- durée de conservation de la preuve ;
- format de restitution en cas de contrôle ou de réclamation.
Sans ces éléments, l’acheteur se retrouve dépendant de son prestataire au moment le plus sensible.
Les clauses à exiger avant d’acheter une base prospects
Avant signature, le contrat d’achat ou de génération de leads doit prévoir au minimum :
- une garantie sur l’origine licite des données ;
- une garantie sur l’information des personnes ;
- une distinction entre B2B et B2C ;
- la preuve du consentement quand il est requis ;
- l’exclusion des personnes opposées à la prospection ;
- un engagement de mise à jour des listes repoussoir ;
- la suppression des adresses inexploitables ou obsolètes ;
- une procédure en cas de plainte ou de demande d’accès ;
- une clause d’audit documentaire ;
- une indemnisation si une non-conformité du prestataire entraîne un dommage.
Il faut aussi éviter les clauses vagues. Une formule comme « le prestataire déclare respecter le RGPD » est insuffisante. Il faut savoir ce que le prestataire remettra si une personne demande : « comment avez-vous obtenu mon adresse ? »
Que vérifier avant d’envoyer les emails
Avant la campagne, l’entreprise doit procéder à une vérification concrète.
Première étape : identifier la source. Une base issue de clients actifs, d’un salon professionnel, d’un téléchargement de livre blanc, d’un courtier en données ou d’un scraping en ligne ne se traite pas de la même manière.
Deuxième étape : contrôler le message. L’email doit permettre au destinataire de comprendre qui écrit, pourquoi, sur quelle base, d’où viennent les données et comment s’opposer. Le lien de désinscription doit fonctionner avant l’envoi massif.
Troisième étape : conserver les preuves. Il faut garder le fichier source, le contrat, les mentions présentées aux personnes, les logs de consentement, les exports d’opposition et les preuves de nettoyage.
Quatrième étape : limiter le volume. Un test sur un segment propre vaut mieux qu’un envoi brutal sur 40 000 contacts mal qualifiés. Le taux de plaintes, de rebonds et de désinscriptions doit être surveillé.
Cinquième étape : documenter la décision. Si l’entreprise retient l’intérêt légitime en B2B, il faut garder une courte note interne expliquant pourquoi la prospection est pertinente pour le destinataire professionnel, et comment son opposition est respectée.
Que faire si une personne se plaint
Il ne faut pas répondre de manière improvisée. Une plainte commence souvent par une question simple : « où avez-vous obtenu mes coordonnées ? » ou « je n’ai jamais donné mon accord ».
La réponse doit être factuelle :
- source des données ;
- date de collecte ou d’achat ;
- identité du vendeur ou du prestataire ;
- finalité ;
- base juridique retenue ;
- preuve du consentement si nécessaire ;
- moyen d’opposition ;
- confirmation de suppression ou de mise en liste d’opposition.
Si la source est incertaine, il faut suspendre la campagne sur le segment concerné. Continuer à envoyer des emails après opposition est l’un des réflexes les plus dangereux.
L’entreprise doit aussi vérifier si la réclamation révèle un problème systémique : fichier mal qualifié, consentement inexploitable, prestataire incapable de produire les logs, données trop anciennes, confusion entre newsletter et prospection, ou transmission à des partenaires non identifiés.
Paris et Île-de-France : un risque fréquent pour les agences, SaaS, courtiers et franchises
En Île-de-France, beaucoup d’entreprises B2B vivent de campagnes commerciales rapides : agences marketing, ESN, SaaS, courtiers, franchises, réseaux immobiliers, organismes de formation, cabinets de conseil, acteurs de l’événementiel.
Le risque apparaît souvent au même moment : le dirigeant veut remplir le pipeline, le prestataire propose une base, le commercial lance une séquence email, puis une plainte ou une demande d’accès arrive. Le dossier devient sensible si personne ne sait produire les preuves.
Pour les entreprises situées à Paris, Nanterre, Bobigny, Créteil, Versailles ou Evry, l’enjeu est de sécuriser le dispositif avant la campagne, pas après la plainte. Une relecture juridique rapide du contrat de leads, du message email et de la preuve de consentement peut éviter un contentieux disproportionné.
Ce qu’un avocat peut sécuriser concrètement
Un avocat en droit des affaires et données personnelles peut intervenir sur des points très opérationnels :
- revoir le contrat d’achat de base prospects ;
- exiger les garanties utiles auprès du vendeur ;
- vérifier la conformité B2B ou B2C ;
- relire les mentions d’information ;
- sécuriser le lien de désinscription et la liste d’opposition ;
- préparer une réponse à une réclamation ;
- organiser le dossier de preuve en cas de contrôle ;
- négocier avec un prestataire qui refuse de produire les logs ;
- agir si la base achetée ne correspond pas à ce qui avait été promis.
L’objectif n’est pas de bloquer la prospection commerciale. L’objectif est de prospecter avec un dossier vérifiable.
Vous pouvez aussi consulter notre page dédiée au droit des affaires à Paris et notre article sur le démarchage téléphonique 2026 et la preuve du consentement.
Sources utiles
- CNIL, Rapport annuel 2025, publié en mai 2026.
- CNIL, Sanctions et mesures correctrices : la CNIL présente le bilan 2025, 9 février 2026.
- CNIL, La prospection commerciale.
- CNIL, Vente de fichiers clients : la CNIL rappelle les règles.
- CNIL, Marketing : la CNIL ouvre une concertation sur la preuve du consentement, 22 janvier 2026.
- Cour d’appel de Grenoble, 26 juin 2025, n° 24/02148, décision consultée via Voyage/Judilibre : lien officiel.
- Tribunal des activités économiques de Paris, 10 avril 2025, n° J2023000540, décision consultée via Voyage/Judilibre : lien officiel.
- Article L. 34-5 du code des postes et des communications électroniques.
Besoin d’un avis rapide sur votre dossier.
Vous voulez acheter une base prospects, lancer une campagne email ou répondre à une réclamation CNIL.
Le cabinet peut organiser une consultation téléphonique en 48 heures avec un avocat pour relire le fichier, le contrat de leads, les preuves de consentement et le message de prospection.
Appelez le cabinet au 06 46 60 58 22 ou utilisez le formulaire de contact.
Intervention possible à Paris et en Île-de-France pour les entreprises, agences marketing, SaaS, courtiers, franchises et prestataires B2B.