- Le RGPD n'interdit PAS la prospection B2B au Luxembourg — il l'encadre. Confondre les deux vous coûte des deals, pas une amende.
- La CNPD a prononcé plus de 50 sanctions en 2023 pour un cumul supérieur à 1,2 M€, avec des montants individuels de 28 000 € à 300 000 €.
- Au Luxembourg, l'intérêt légitime couvre l'opt-out pour les emails pros génériques (info@, contact@) — mais l'opt-in reste requis pour les emails nominatifs à risque.
- Scraper LinkedIn est illégal, même si tout le monde le fait. InMail, export de vos connexions et Sales Navigator restent parfaitement légaux.
- 78 % des PME luxembourgeoises ne tiendraient pas un contrôle CNPD (Deloitte 2024) — essentiellement à cause d'un registre des traitements absent ou inexistant.
Le RGPD est entré en vigueur en 2018 et continue, huit ans plus tard, de terroriser la majorité des dirigeants de PME luxembourgeoises que je rencontre. La peur est simple à résumer : "Si je prospecte, je m'expose à la CNPD ; si je ne prospecte pas, je coule." C'est une fausse alternative, et cette confusion coûte beaucoup plus cher en opportunités perdues qu'en amendes réelles. Pour comprendre le contexte du marché, lisez aussi Marché B2B Luxembourg : tendances et opportunités.
Après 12 ans à accompagner des entreprises luxembourgeoises — banques privées, cabinets d'avocats, éditeurs SaaS, PME industrielles — j'ai vu passer trois types de décisions face au RGPD : ceux qui l'ignorent (et finissent par payer), ceux qui l'utilisent comme excuse pour ne rien faire (et finissent par couler), et ceux qui le comprennent comme un cadre de confiance (et scalent sereinement). Cet article est pour cette troisième catégorie. Pas du bullshit juridique, pas de FUD — juste ce qui se passe vraiment quand on prospecte au Luxembourg en 2026.
1. La CNPD : qui elle est, ce qu'elle sanctionne vraiment
La Commission Nationale pour la Protection des Données (CNPD) est l'autorité de contrôle luxembourgeoise en matière de données personnelles. Ses effectifs sont restés modestes (une cinquantaine d'agents en 2025), mais son rythme de sanctions a fortement accéléré depuis 2022. En 2023, elle a prononcé plus de 50 sanctions pour un cumul supérieur à 1,2 million d'euros — un chiffre relativement modeste à l'échelle européenne, mais significatif pour un pays de 700 000 habitants.
Ce qu'il faut comprendre : la CNPD ne cherche pas à sanctionner la prospection commerciale légitime. Elle cible en priorité les manquements flagrants (absence de registre, durée de conservation indéfinie, bases juridiques inexistantes) et les violations de données. La prospection B2B propre passe sous le radar. La prospection B2B crado finit dans les statistiques.
| Motif principal | Montant minimum | Montant maximum |
|---|---|---|
| Conservation excessive des données | 28 000 € | 75 000 € |
| Absence de base légale / consentement | 50 000 € | 180 000 € |
| Défaut d'information des personnes | 15 000 € | 60 000 € |
| Violation de données bancaires | 100 000 € | 300 000 € |
| Transferts hors UE non encadrés | 40 000 € | 150 000 € |
2. Les 6 bases légales du RGPD — et celles qui comptent pour vous
L'article 6 du RGPD liste six bases légales possibles pour traiter des données personnelles : le consentement, l'exécution d'un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d'intérêt public, et l'intérêt légitime. Pour la prospection B2B au Luxembourg, seules deux comptent vraiment : le consentement (article 6.1.a) et l'intérêt légitime (article 6.1.f).
Le consensus juridique européen — confirmé par les lignes directrices du CEPD et la position de la CNPD — est qu'une entreprise peut s'appuyer sur l'intérêt légitime pour prospecter d'autres professionnels, à condition de respecter trois conditions : le traitement est nécessaire, l'intérêt est proportionné, et les droits des personnes sont préservés (information claire, opt-out facile, durée limitée).
- Consentement (opt-in explicite) : obligatoire pour le B2C et pour les emails B2B nominatifs sensibles (santé, politique, etc.).
- Intérêt légitime : suffit pour la prospection B2B classique si vous documentez le test de proportionnalité et offrez un opt-out visible.
- Exécution d'un contrat : base légale pour recontacter des clients existants sur des sujets liés à leur prestation.
- Obligation légale : traçabilité comptable, facturation, obligations KYC pour les banques et PSF.
3. Prospection B2B : opt-in ou opt-out au Luxembourg ?
C'est la question que tout le monde me pose, et la réponse honnête n'est pas binaire. Au Luxembourg, la loi du 30 mai 2005 (modifiée) distingue deux cas : les emails génériques d'entreprise (info@, contact@, sales@) relèvent du régime opt-out — vous pouvez prospecter sans consentement préalable tant que vous offrez un désabonnement clair. Les emails nominatifs (prenom.nom@entreprise.lu) sont plus risqués : la tolérance existe si le poste correspond à l'objet du message (vous vendez un logiciel RH à la DRH), mais disparaît si vous envoyez n'importe quoi à n'importe qui.
Concrètement, la CNPD applique un principe de soft opt-in pour le B2B : un email de prospection nominatif est acceptable si le poste cible est pertinent et si le message offre une valeur réelle. Elle sanctionne quand le ciblage est grossier (base de données achetée, envoi de masse, zéro segmentation) ou quand le désabonnement est cassé. Pour creuser la partie technique, voir notre guide email marketing trilingue au Luxembourg.
| Pratique | Statut | Condition |
|---|---|---|
| Email à info@entreprise.lu | Toléré | Opt-out fonctionnel |
| Email nominatif avec poste pertinent | Toléré | Pertinence + opt-out |
| Email nominatif générique non pertinent | Risqué | À éviter |
| Envoi depuis base de données achetée | Sanctionnable | Presque toujours |
| Campagne sans lien de désabonnement | Sanctionnable | Automatique |
4. LinkedIn et RGPD : ce qui est légal, ce qui ne l'est pas
LinkedIn est le canal B2B numéro un au Luxembourg — 45 % de pénétration, record mondial. C'est aussi une zone grise où beaucoup d'entreprises pratiquent des choses illégales sans le savoir. La ligne rouge, c'est le scraping automatisé : extraire en masse des profils LinkedIn via PhantomBuster, Apollo ou n'importe quel outil similaire est une double violation (conditions d'utilisation LinkedIn + RGPD). Mon guide LinkedIn pour prospecter les executives au Luxembourg détaille les méthodes propres.
- Scraping automatisé de profils LinkedIn — illégal (CJUE, arrêt Meta 2023 + position CNIL/CNPD). Évitez, même si votre concurrent le fait.
- Export de vos propres connexions LinkedIn — légal. C'est votre réseau, vous avez une base contractuelle implicite via LinkedIn.
- Envoi d'InMail via Sales Navigator — légal. LinkedIn gère la base légale, pas vous.
- Demande de connexion personnalisée suivie d'un message — légal, à condition que le message reste proportionné et offre de la valeur.
- Utilisation d'outils d'automation LinkedIn (Dux-Soup, Waalaxy, etc.) — zone grise. Légal si vous contrôlez le rythme et restez sous les seuils LinkedIn ; illégal si vous automatisez du scraping de masse.
5. Vos obligations concrètes : ce qu'un contrôle vérifie
Quand la CNPD contrôle une entreprise luxembourgeoise — et elle en contrôle de plus en plus — elle demande systématiquement les mêmes documents. Si vous ne les avez pas, vous partez déjà perdant. La bonne nouvelle : les produire prend entre 2 et 5 jours de travail, pas 6 mois.
- Registre des traitements (article 30) : document interne listant chaque traitement, sa finalité, sa base légale, les destinataires, la durée de conservation. Obligatoire dès 1 salarié qui traite des données à caractère personnel.
- Politique de confidentialité publique : accessible depuis chaque page de votre site, rédigée en langage clair (pas en copier-coller d'un modèle pompé).
- Procédure de gestion des droits (accès, rectification, effacement, portabilité, opposition) : adresse email dédiée (dpo@ ou privacy@) + délai de réponse d'un mois maximum.
- Durées de conservation définies : prospects non convertis (3 ans max après dernier contact), clients (10 ans pour les obligations comptables), candidats RH (2 ans).
- Analyse d'impact (DPIA) : uniquement si votre traitement est à haut risque — scoring automatisé, surveillance systématique, données sensibles. Une prospection B2B classique n'en a pas besoin.
6. Les 5 erreurs qui coûtent cher (et comment les éviter)
Sur les 50+ sanctions CNPD 2023, les mêmes patterns reviennent systématiquement. Voici les cinq erreurs qui concentrent l'essentiel des amendes en prospection B2B — et qui sont toutes évitables en moins d'une semaine de travail.
1. Aucune base légale documentée
Vous prospectez sur la base de l'intérêt légitime ? Très bien — mais l'avez-vous écrit quelque part ? Le test de proportionnalité doit être formalisé dans un document interne (une page suffit). Sans ce document, l'intérêt légitime ne tient pas en contrôle.
2. Désabonnement cassé ou absent
Un email de prospection sans lien de désabonnement visible et fonctionnel est une infraction automatique. Pas de zone grise, pas de circonstance atténuante. Testez vos liens chaque mois — j'ai vu des campagnes entières partir avec un lien 404.
3. Base de données d'origine opaque
Si vous ne pouvez pas prouver d'où viennent vos contacts (base achetée, scrapée, récupérée d'un ancien collègue), vous ne pouvez pas démontrer votre base légale. La CNPD remonte toujours à la source. Construisez votre base vous-même ou utilisez des fournisseurs qui documentent la provenance (Cognism, Kaspr, Lusha avec audit RGPD).
4. Durée de conservation infinie
Le RGPD impose une durée de conservation définie par finalité. Un prospect jamais converti doit être purgé (3 ans après le dernier contact est la norme). Un CRM qui contient 15 ans d'historique non trié est une bombe à retardement.
5. Sous-traitants non encadrés
Si vous utilisez HubSpot, Brevo, Pipedrive, Make, Clay ou n'importe quel outil d'automation B2B au Luxembourg, vous devez avoir un DPA (Data Processing Agreement) signé avec chaque fournisseur. La plupart le fournissent automatiquement — mais personne ne vérifie qu'il est bien archivé. C'est une des premières choses que la CNPD demande.
7. Être conforme sans tuer la prospection : la checklist actionnable
Arrêtons les grandes théories. Voici la liste précise de ce qu'il faut mettre en place pour prospecter sereinement au Luxembourg en 2026. C'est la checklist que j'applique avec mes clients avant chaque démarrage de campagne — elle prend entre 3 et 5 jours de travail effectif.
- Rédigez votre registre des traitements (un tableau Excel suffit — modèle gratuit disponible sur cnpd.public.lu).
- Documentez le test de proportionnalité pour votre prospection B2B : finalité, pertinence, proportionnalité, droits des personnes. Une page, datée, signée.
- Publiez ou mettez à jour votre politique de confidentialité avec les mentions article 13 (identité du responsable, finalités, base légale, durée, droits, DPO éventuel).
- Configurez une adresse email dédiée privacy@votreentreprise.lu et un process interne pour répondre aux demandes d'accès sous 30 jours.
- Auditez vos sous-traitants : listez tous les outils qui touchent des données perso et vérifiez que chaque DPA est signé et archivé.
- Définissez vos durées de conservation par finalité et programmez une purge automatique dans votre CRM (la plupart le permettent nativement).
- Testez mensuellement vos liens de désabonnement et monitorez les plaintes spam — si votre taux dépasse 0,3 %, coupez la campagne.
- Formez votre équipe commerciale : 1 heure suffit pour éviter 90 % des erreurs. Pas besoin de certification — juste les règles claires.
Conclusion : la compliance, c'est un avantage commercial
Le RGPD n'est pas un frein à la prospection B2B au Luxembourg — c'est un filtre qui élimine les approches paresseuses et récompense la qualité. Les entreprises qui l'ont compris ne perdent pas de leads ; elles en gagnent, parce que leur sérieux devient un signal de confiance dans un marché où 78 % des acteurs sont encore approximatifs. La CNPD ne cherche pas les bonnes entreprises, elle cherche les manquements flagrants — et il suffit de quelques jours de travail pour disparaître du radar.
Si vous voulez démarrer une prospection B2B au Luxembourg sans risque juridique et sans sacrifier vos résultats, c'est exactement ce qu'on fait avec notre service Lead Gen B2B : stratégie conforme, documentation à jour, outils audités, résultats mesurables. Pour en discuter concrètement, réservez un appel gratuit de 30 minutes — on regarde votre situation actuelle et on vous dit ce qui tient et ce qui doit bouger.
Questions fréquentes
Peut-on faire du cold email B2B au Luxembourg sans consentement préalable ?+
Oui, à condition de respecter trois conditions : cibler un email professionnel pertinent pour votre offre, s'appuyer sur l'intérêt légitime documenté par écrit, et offrir un désabonnement clair et fonctionnel. Pour les emails génériques (info@, contact@), le régime opt-out s'applique sans ambiguïté. Pour les emails nominatifs, la pertinence du poste par rapport à l'objet du message est déterminante. Un DRH qui reçoit une offre RH : pertinent. Un DRH qui reçoit une offre crypto : risqué.
Combien coûte une amende CNPD pour une PME luxembourgeoise ?+
Les montants constatés entre 2022 et 2024 vont de 15 000 € pour un défaut d'information simple à 300 000 € pour une violation de données bancaires. La médiane pour les PME se situe autour de 40 000 à 60 000 €. Ces montants sont proportionnés au chiffre d'affaires de l'entreprise et au caractère intentionnel du manquement. Une erreur de bonne foi corrigée rapidement coûte beaucoup moins cher qu'une pratique systématique.
Faut-il un DPO (Data Protection Officer) pour prospecter en B2B au Luxembourg ?+
Pas systématiquement. Le DPO est obligatoire pour les autorités publiques, les traitements à grande échelle de données sensibles, et la surveillance systématique. Une PME qui fait de la prospection B2B classique n'en a pas besoin — mais elle doit désigner un référent interne et être capable de répondre aux demandes d'exercice de droits. Beaucoup de PME luxembourgeoises mutualisent un DPO externe pour quelques centaines d'euros par mois, ce qui est souvent plus rentable qu'un DPO interne.
Scraper LinkedIn est-il vraiment illégal ou juste dans les conditions d'utilisation ?+
C'est doublement illégal : les conditions d'utilisation LinkedIn l'interdisent explicitement, et la jurisprudence européenne (arrêt CJUE 2023) confirme que le scraping de profils constitue un traitement de données personnelles sans base légale. La CNIL et la CNPD ont publié des positions similaires. Le fait que l'outil soit connu et utilisé par vos concurrents ne constitue ni une base légale ni une circonstance atténuante. Utilisez Sales Navigator ou exportez vos propres connexions — les deux sont parfaitement légaux.
Combien de temps puis-je conserver mes prospects dans mon CRM ?+
La règle pratique : 3 ans maximum après le dernier contact significatif pour les prospects non convertis (email, appel, rendez-vous). Pour les clients, la durée est alignée sur les obligations comptables luxembourgeoises (10 ans pour les pièces justificatives). Au-delà de ces délais, la donnée doit être soit supprimée, soit anonymisée. Programmez une purge automatique dans votre CRM — c'est trivial techniquement et ça vous sauve en cas de contrôle.
Dois-je obtenir l'accord de la CNPD avant de lancer une campagne de prospection ?+
Non. Le RGPD a supprimé le régime d'autorisation préalable de la CNPD pour la grande majorité des traitements. Vous êtes responsable de votre propre conformité — la CNPD n'intervient qu'a posteriori, en cas de plainte ou de contrôle. En revanche, si votre traitement présente un risque élevé (scoring comportemental automatisé, profilage, données sensibles), vous devez réaliser une analyse d'impact (DPIA) en interne, sans la soumettre à la CNPD sauf cas particulier.
Que faire si un prospect demande à exercer son droit d'accès ?+
Vous avez un mois pour répondre. Concrètement : fournir la liste des données le concernant dans votre CRM, les finalités du traitement, les destinataires, la durée de conservation, et les droits dont il dispose. Un simple export CSV suffit dans la plupart des cas. Ne pas répondre ou répondre au-delà du délai est un manquement classique que la CNPD sanctionne automatiquement en cas de plainte. Outillez-vous : la plupart des CRM modernes (HubSpot, Pipedrive, Salesforce) ont une fonction "export RGPD" native.