Le RGPD et les cookies en BtoB

Résumé de l’article

Le RGPD et les cookies en BtoB

Voici un article qui résume mes recherches sur la conformité RGPD et les conformité politique de Cookies. Il ne remplace pas l’avis d’un juriste et les textes de loi en vigueur mais vise à donner un aperçu des obligations légales.

Les sites BtoB sont soumis aux mêmes règles RGPD et cookies que les sites BtoC, avec une petite spécificité plus souple sur la prospection par email (intérêt légitime possible) mais pas sur les traceurs ni sur l’information des personnes.

1. Cadre légal à avoir en tête

RGPD (UE 2016/679) : encadre tout traitement de données perso, y compris celles des professionnels identifiables (email prénom.nom@entreprise, mobile pro, IP, etc.).

Directive ePrivacy + article 82 loi Informatique & Libertés : encadre les cookies/traceurs sur les terminaux (opt in sauf exceptions techniques).

Article L34 5 CPCE : règles de prospection électronique (email, SMS) avec distinction B2B/B2C, mais même logique information + droit d’opposition en B2B

2. Obligations RGPD sur un site BtoB

Sur un site vitrine, blog ou SaaS B2B, tu dois assurer l’information, la base légale et les droits.

Information obligatoire (art. 13/14 RGPD) là où tu collectes

Identité du responsable (société, coordonnées, DPO le cas échéant).

Finalités (prospection B2B, gestion compte, support…), base légale (souvent intérêt légitime pour prospection B2B, contrat pour un essai, consentement pour newsletter).

Durées de conservation, destinataires (CRM, routeur email, hébergeur), transferts hors UE, droits (accès, rectification, opposition, effacement, réclamation CNIL, etc.).

Mentions obligatoires de site pro : mentions légales complètes (éditeur, hébergeur, RCS/SIREN, contact).

Registre des traitements incluant au minimum : prospection B2B, gestion clients, analytics, support.

Registre de traitement à mettre en place

Exemple de modèle : https://www.cnil.fr/sites/cnil/files/atoms/files/registre-traitement-simplifie.ods

C’est Reboot Conseil, en tant que responsable de traitement, qui est responsable du registre… donc concrètement : la direction, et éventuellement le DPO ou référent RGPD s’il y en a un.

Qui porte la responsabilité juridique

• Le responsable de traitement (ici Reboot Conseil, Lamalo, Madeline) doit tenir un registre des activités de traitement pour toutes les données qu’il exploite : prospection B2B, gestion clients/participants, analytics, publicité, etc.

• L’obligation découle directement de l’article 30 du RGPD : “Chaque responsable du traitement […] tient un registre des activités de traitement effectuées sous sa responsabilité”.

Qui le gère au quotidien dans une petite structure

• La CNIL indique que le registre peut être tenu par le responsable de traitement lui même ou par une personne désignée en interne (juridique, DSI, RSSI, référent RGPD, etc.).

• Quand un DPO existe (interne ou externe), il pilote souvent la tenue et la mise à jour du registre, mais la responsabilité finale reste celle du responsable de traitement (la société).

• Dans une structure comme Reboot Conseil, si vous n’avez pas de DPO formel, ce sera typiquement : • le dirigeant, • ou un “référent RGPD” désigné

• Contrats / DPA avec les sous traitants (CRM, routeur email, CMP, analytics, chat, etc.) pour encadrer les traitements.

3. Prospection BtoB : base légale et formulaires

En BtoB, tu peux beaucoup jouer l’intérêt légitime, mais il faut cadrer les formulaires.

Emails de prospection vers des pros

Principe CNIL : information claire et droit d’opposition simple suffisent si la sollicitation a un lien avec la fonction de la personne (ex : logiciel RH vers DRH).

T u peux donc traiter sur base d’intérêt légitime (art. 6.1.f RGPD) si tu documentes une mise en balance et que tu limites la pression commerciale.

Quand exiger un consentement explicite

Newsletter / contenus purement marketing pas liés à une relation existante.

Cas gris (profiling marketing fin, partenariats, retargeting email + cookies). Le consentement doit être libre, spécifique, éclairé et univoque, via une action positive (case non pré cochée, bouton explicite).

Bonnes pratiques formulaires B2B

Mention d’info RGPD complète sous chaque formulaire (contact, démo, téléchargement livre blanc…).

Case d’opt in distincte pour les communications marketing, si tu choisis la base « consentement ».

Preuve du consentement ou de l’information (logs : date/heure, source, texte du consentement, IP ou ID).

Exemple minimal de texte sous formulaire de démo B2B (intérêt légitime)

Reboot Conseil traite vos données pour répondre à votre demande (contact, information, démo, inscription) et vous envoyer, le cas échéant, des informations sur nos offres et contenus en lien avec vos fonctions professionnelles. Base légale : intérêt légitime de Reboot Conseil à développer ses relations commerciales B2B, dans le respect de vos droits. Vous pouvez vous opposer à tout moment à nos emails en cliquant sur le lien de désinscription ou en nous écrivant à contactgdpr@reboot-conseil.com. Pour en savoir plus sur vos droits et nos engagements, consultez notre politique de confidentialité.

4. Cookies et traceurs sur un site BtoB

Sur les cookies, il n’y a aucun régime allégé pour le BtoB : la logique ePrivacy est la même.

Cookies exemptés de consentement (peuvent être déposés d’emblée)

Cookies strictement nécessaires au service : panier, login, langue, sécurité, choix de confidentialité, mesure d’audience « strictement nécessaire » très limitée.

Cookies soumis à consentement préalable

Analytics non exemptés (GA4 standard, Hotjar, outils de session recording).

Cookies publicitaires, retargeting, programmatique.

Traceurs réseaux sociaux (pixels LinkedIn, Meta, X), widgets embarqués, etc.

Exigences bandeau cookies

Info claire sur les finalités (mesure, personnalisation, pub, réseaux sociaux…).

Refuser aussi simple que d’accepter (pas de « tout accepter » ultra visible vs « continuer sans accepter » caché).

Pas de dépôt de cookies non nécessaires AVANT le choix de l’utilisateur.

Possibilité de re venir sur le choix (lien « Gérer mes cookies » dans le footer, par exemple).

Politique cookies / confidentialité

Détaille catégories de cookies, finalités, durée de vie, tiers concernés, base légale (consentement/intérêt légitime), modalités d’exercice des droits.

Fais bien le lien entre cookies marketing et prospection (ex : retargeting à partir de visites site).

5. Check list pratique pour ton site BtoB

Pour un site B2B « classique » (vitrine + blog + formulaires + LinkedIn Ads / Google Ads + CRM / automation) :

Informations & pages légales

Mentions légales à jour (éditeur, hébergeur, RCS, contact).

Politique de confidentialité structurée (prospection B2B, CRM, analytics, partenaires, transferts hors UE).

Politique cookies ou section dédiée, reliée au bandeau.

Formulaires & emails

Mentions RGPD claires pour chaque finalité (contact simple, démo, téléchargement livre blanc, inscription webinar).

Choix assumé entre intérêt légitime (prospection B2B en lien avec la fonction) ou consentement explicite (newsletter, contenus non directement liés).

Preuve d’information/consentement dans tes outils (CRM, ActiveCampaign, etc.).

Lien de désinscription systématique, gestion simple du droit d’opposition.

Cookies / traceurs

Cartographie de tous les scripts présents : analytics, chat, A/B testing, pixels pub, etc.

CMP sérieuse (Axeptio, Didomi, OneTrust…) configurée pour bloquer par défaut les traceurs non nécessaires jusqu’au consentement.

Lien « Gérer mes cookies » en footer permettant de modifier le consentement à tout moment.

Gouvernance & preuve

Registre de traitement documenté pour la prospection B2B, CRM, analytics.

Analyse de mise en balance pour l’intérêt légitime en prospection B2B (contexte pro, fréquence raisonnable, cible pertinente)

Processus interne pour gérer les demandes RGPD (accès, opposition, suppression).

6. Outil de gestion de cookies utilisé par les différents sites Reboot Conseil

Les sites concernés sont Madeline, Reboot Conseil, Reboost Academy, RebootIA.

Il s’agit de CookieYes. Les personnes ayant accès à l’outil sont : Anaël, developper et Valérie. Il convient de mettre à jour la politique de confidentialité et vérifier le bon fonctionnement des modules de gestion de cookies à intervalle réguliers.

Toutes les informations pour bien utiliser CookieYes sont ici.

7. Risques

Plafonds légaux (RGPD)

• Le RGPD prévoit deux niveaux d’amendes administratives : jusqu’à 10 M€ ou 2% du CA annuel mondial pour certains manquements (documentation, sécurité, etc.).

• Pour les manquements les plus graves (bases légales, consentement, respect des droits, transferts…), l’amende peut aller jusqu’à 20 M€ ou 4% du CA annuel mondial, le montant le plus élevé étant retenu.

Dans la pratique, une petite structure ne se verra pas appliquer d’emblée ces plafonds, mais la CNIL se base quand même sur le CA, la gravité et la répétition des manquements pour calibrer la sanction.

Cookies / traceurs non conformes

• Le non respect des règles cookies (absence de bandeau conforme, cookies posés avant consentement, refus plus compliqué qu’acceptation…) relève de l’article 82 de la loi Informatique & Libertés.

• Exemple récent : NS Cards France a été sanctionnée à 15 000 € uniquement pour le volet cookies (Google Analytics et reCAPTCHA sans consentement), en plus de 90 000 € pour d’autres manquements RGPD.

• Pour les gros acteurs, les montants montent très haut : la CNIL a infligé des amendes de plusieurs centaines de millions d’euros pour non respect des règles cookies et de la loi Informatique & Libertés.

Donc une landing comme la tienne, si elle pose des cookies non nécessaires sans consentement, expose l’éditeur à une sanction dédiée sur ce volet.

Prospection email sans consentement / mentions incomplètes

• L’envoi d’email marketing à des particuliers sans consentement préalable est interdit par l’article L34 5 du Code des postes et communications électroniques, en plus du RGPD (base légale et information).

• Exemple : la société Nestor a été sanctionnée 20 000 € pour avoir envoyé plus de 650 000 emails de prospection sans consentement et pour des manquements aux obligations d’information.

• La CNIL peut cumuler : manquement au consentement, information incomplète dans les formulaires, durée de conservation excessive, sécurité insuffisante, etc., ce qui augmente le montant global.

Autres conséquences non financières

• Mise en demeure publique ou décision publiée sur le site de la CNIL et parfois sur Légifrance, avec impact réputationnel (publicité de la sanction pendant plusieurs années).

• Obligation de se mettre en conformité sous délai, avec éventuellement des astreintes financières journalières en cas de non exécution.

Ces informations sont le résultats de mes recherches cependant l’organisme de référence à consulter impérativement est la CNIL pour la France.