Le 17 juin, un post a beaucoup tourné sur X avec une date et un chiffre que personne en prospection ne devrait ignorer : "L'application de l'AI Act commence le 2 août 2026. Amendes jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial. La plupart des entreprises ne sont pas prêtes." (traduit de l'anglais — source, X, 2026-06-17). On parle ici de l'IA, pas de l'email. Mais en 2026, prospecter par email c'est utiliser de l'IA — et c'est exactement le point.

Le RGPD emailing n'est plus le sujet figé qu'on croyait connaître. Ajouter un lien de désinscription, mentionner l'expéditeur, ne pas mentir dans l'objet : ça reste vrai, mais ce n'est plus suffisant. Les règles qui encadrent la façon dont vous arrivez dans la boîte d'un inconnu reposent désormais sur une seconde couche, plus mouvante : comment vous avez utilisé l'IA pour trouver cet inconnu et lui écrire. Ce guide couvre les deux — le RGPD que vous connaissez à moitié, et la couche IA qui vient de tout déplacer pour la prospection B2B.

RGPD et emailing : ce que dit vraiment la règle en B2B

Première clarification, parce que c'est la source de la moitié des erreurs : le RGPD ne traite pas le B2C et le B2B de la même façon.

B2C — l'opt-in est obligatoire

Pour démarcher un particulier par email, il faut son consentement préalable (opt-in) : une case décochée par défaut, cochée par un acte positif. Pas de consentement, pas d'envoi. C'est la règle la plus stricte, et elle ne se discute pas.

B2B — la souplesse, sous trois conditions

La CNIL admet une souplesse pour la prospection B2B. Vous pouvez écrire à un professionnel sans consentement préalable si, et seulement si :

  • le message est adressé à une adresse professionnelle ;
  • son objet est en rapport avec la fonction de la personne démarchée ;
  • la personne peut s'opposer simplement à recevoir d'autres messages (opt-out).

Concrètement : proposer un logiciel RH à un DRH passe ; lui proposer une assurance auto, non. Cette souplesse n'efface pas le reste du RGPD — elle s'ajoute à une obligation de fond souvent oubliée.

La base légale qu'on oublie : l'intérêt légitime

Au-delà de l'opt-in/opt-out, le RGPD exige une base légale pour traiter la donnée — l'adresse email elle-même est une donnée personnelle. En prospection B2B, cette base est presque toujours l'intérêt légitime. Mais l'intérêt légitime n'est pas un chèque en blanc : il faut pouvoir justifier l'équilibre entre votre intérêt commercial et les droits de la personne — message pertinent, donnée minimisée, transparence sur l'origine, opposition facile. La vraie question en 2026 n'est plus "s'est-elle désinscrite ?" mais "pouvez-vous justifier, et documenter, pourquoi vous aviez le droit de la contacter ?"

L'AI Act : la couche que les équipes outbound n'ont pas anticipée

Le réflexe est de classer l'AI Act au rayon "paperasse" — encore un règlement de 144 pages, comme le résumait un post agacé sur X qui reprochait à l'Europe de répondre par "plus de pages, plus de règles, plus de contraintes" (source, X, 2026-06-17). En réalité, les demandes concrètes sont plus étroites que le nombre de pages le laisse croire — et elles tombent pile sur la façon dont vous prospectez.

La meilleure formulation que j'ai vue venait d'un fil orienté finance : "Vous avez entendu parler de l'article 4 de l'AI Act. La plupart des dirigeants pensent que c'est une histoire de formation des modèles. Non. C'est une histoire de preuve." (traduit — source, X, 2026-06-17). La preuve : le mot est juste. Le fil rouge de l'AI Act comme du RGPD, c'est la traçabilité — pouvoir montrer d'où vient une donnée, pourquoi vous aviez le droit de l'utiliser, et comment une sortie automatisée a été produite. Pour l'outbound, ça se traduit en trois questions opérationnelles :

  • D'où vient ce contact ? Une liste scrapée d'origine inconnue, ou une source vérifiable que vous pouvez citer ?
  • Qui a validé ce message ? Un humain a-t-il relu l'email rédigé par l'IA avant l'envoi, ou un bot a-t-il tiré sans supervision ?
  • Pouvez-vous rejouer la décision ? Si la CNIL ou un prospect demande pourquoi il a été contacté, pouvez-vous reconstituer la logique — ou est-ce une boîte noire ?

Le piège des données scrapées

La plupart des galères de prospection commencent par la liste. Les bases achetées mélangent des adresses d'origine floue ; certains outils d'enrichissement IA inventent des firmographies qui sonnent vrai et sont tout simplement fausses. Les deux échouent au test de traçabilité vers lequel convergent le RGPD et l'AI Act. Si vous ne pouvez pas dire d'où vient une donnée, vous ne pouvez pas défendre son traitement — et si votre IA a halluciné un intitulé de poste ou une levée de fonds, vous personnalisez sur de la fiction.

La solution n'est pas d'arrêter d'utiliser la donnée. C'est d'utiliser une donnée traçable. Pour les informations entreprise, il existe désormais un chemin propre : les sources officielles de l'État. En France, l'administration publie des données d'entreprise vérifiées via la base SIRENE et le registre national des entreprises de l'INPI — numéro SIREN réel, dirigeant réellement enregistré, zéro devinette. Tirer ses firmographies d'une source officielle, c'est donner à chaque fait une citation plutôt qu'une intuition. C'est toute la différence entre une prospection défendable et une réclamation qui attend de tomber.

Comment un SDR IA peut rester du bon côté de la ligne

Autant être transparent : nous construisons Lead Scorer, un cofondateur SDR par IA pour l'outbound B2B. C'est aussi le moment où l'argument conformité et l'argument produit se confondent — il vaut donc la peine de détailler comment le mouvement est structuré, parce que c'est la structure qui vous garde défendable.

Vous briefez l'agent Outbound SDR comme vous briefiez un commercial humain : qui cibler, ce qui qualifie un lead, ce qui le disqualifie. Ensuite, le déroulé est transparent et se fait par étapes visibles :

  1. Découverte depuis des sources citables. L'agent trouve les entreprises sur le web et dans le registre d'État officiel, donc la donnée entreprise porte une provenance vérifiable plutôt qu'une supposition scrapée. Deux agents de soutien — Find Key People in a List of Companies et Find People by Context — repèrent les bons décideurs. Le ciblage peut s'appuyer sur le code NAF et l'éligibilité OPCO, des angles propres au marché français.
  2. Un double scoring justifié. Il score l'entreprise contre votre ICP et le décideur contre votre brief, et rejette les leads hors-cible avec une raison explicite. Ce journal de rejets est lui-même une trace de votre logique de ciblage.
  3. Des messages personnalisés sur des faits réels. Les emails et messages LinkedIn s'ancrent sur des données de profil et d'entreprise vérifiées — pas de clichés, pas de champs vides.
  4. Une seconde IA relit chaque message. Un second modèle (Mistral) relit et optimise chaque message avant même que vous le voyiez — un filtre qualité et sécurité, pas un tampon.
  5. Vous validez et lancez. Rien ne part en autonomie. Cette étape humaine est exactement la posture de "supervision" demandée par l'AI Act, intégrée plutôt que rajoutée.

Comme tout le run est rejouable, vous pouvez répondre aux trois questions de traçabilité ci-dessus sans enquête médico-légale. Ce n'est pas un gadget de conformité — c'est juste à quoi ressemble un pipeline transparent et auditable. À comparer à un outil de séquence qui envoie tout ce que vous y collez : il n'a aucune idée d'où vient votre donnée ni aucune trace de qui a validé quoi.

Checklist RGPD emailing 2026 pour l'outbound B2B

Rien de tout ceci n'est un conseil juridique — voyez un avocat pour votre cas — mais voici la base opérationnelle qu'on s'impose :

  1. Segmentez selon la cible. Logique B2C (opt-in) pour les particuliers, souplesse B2B (opt-out + adresse pro + objet lié à la fonction) pour les professionnels.
  2. Connaissez votre base légale. En B2B, documentez pourquoi l'intérêt légitime s'applique : offre pertinente, adresse professionnelle, opposition facile.
  3. Gardez la provenance de chaque donnée. Préférez les registres officiels (SIRENE, INPI) et les sources traçables aux listes scrapées et à l'enrichissement inventé.
  4. Mettez un humain dans la boucle. Relisez la copie écrite par l'IA avant l'envoi. Validez, ne tirez pas en automatique.
  5. Rendez l'opposition triviale. Expéditeur identifiable, lien de désinscription clair, demande honorée vite.
  6. Journalisez le run. Si vous ne pouvez pas reconstituer pourquoi une personne a été contactée et comment le message a été produit, vous ne pouvez pas le défendre.

En 2026, la conformité et la délivrabilité racontent la même histoire : des listes propres, bien sourcées et avec une base légale claire arrivent en boîte de réception et restent à l'abri des ennuis. Pour aller plus loin sur la méthode, voir la prospection commerciale B2B en 2026 et la qualification des leads B2B.

Ce qu'il faut retenir

Le RGPD emailing en 2026 ne tourne plus vraiment autour de l'email. Le lien de désinscription et la base légale B2B sont le minimum. La frontière s'est déplacée vers la traçabilité de la donnée et la supervision de l'IA — pouvez-vous montrer d'où vient votre liste, et qu'un humain a validé ce que l'IA a écrit ? L'AI Act, appliqué à partir du 2 août, ne fait qu'expliciter ce que les bonnes équipes outbound faisaient déjà.

Les équipes qui gagneront les prochaines années ne seront pas celles qui envoient le plus. Ce seront celles capables de prouver que chaque message a été sourcé proprement, relu correctement, et envoyé à quelqu'un qui correspond vraiment — au même volume, sans l'exposition juridique.

Envie d'une prospection auditable par conception — données de source officielle, IA qui se relit, validation humaine avant tout envoi ? Découvrez le SDR IA de Lead Scorer →

À lire ensuite : Prospection commerciale B2B 2026 · Qualification des leads B2B · Prospection IA en 2026.