CIBLE FILLE · RGPD
RGPD courtier énergie
↳ base légale, registre, durées, droits, sous-traitants
Le RGPD s'applique au courtage énergie B2B contrairement à une idée encore répandue. Données du dirigeant signataire, emails professionnels, consommations énergétiques sensibles : autant de données personnelles à traiter dans un cadre légal défini. Nous détaillons ici les obligations utiles à un courtier qui démarre — base légale, registre, conservation, droits des personnes, encadrement des sous-traitants. À date de mai 2026.
Le RGPD s'applique bien au courtage énergie B2B
Une idée fausse persiste : le B2B échapperait au RGPD parce qu'il concerne des entreprises et non des particuliers. Cette idée est fausse. Le RGPD protège les données à caractère personnel, c'est-à-dire les données concernant une personne physique identifiable, indépendamment du contexte commercial dans lequel elles sont utilisées.
En courtage énergie B2B, plusieurs catégories de données personnelles sont traitées de manière systématique. Données d'identification du dirigeant signataire (nom, prénom, fonction, parfois date de naissance pour les actes formels). Données de contact professionnelles : email professionnel nominatif, ligne directe, mobile. Données patrimoniales indirectes via la consommation énergétique du site, qui peut révéler indirectement l'activité, le niveau de production, des informations sensibles sur l'entreprise et son dirigeant.
Une donnée comme "[email protected]" est doublement personnelle : elle identifie une personne physique (Jean Dupont) et désigne l'entreprise dont il est dirigeant. À ce titre, son traitement entre pleinement dans le champ du RGPD. La CNIL a régulièrement rappelé cette application au B2B dans ses publications, et plusieurs sanctions ont concerné des entreprises B2B qui prétendaient échapper au règlement.
La base légale de traitement
Tout traitement de données personnelles doit reposer sur l'une des six bases légales prévues à l'article 6.1 du RGPD. Trois sont pertinentes pour un courtier énergie selon le moment du parcours commercial.
L'intérêt légitime (article 6.1.f). Base mobilisable pour la prospection commerciale initiale en B2B, sous trois conditions : poursuite d'un intérêt légitime du courtier (développer son activité commerciale), nécessité du traitement pour cet intérêt (sans alternative moins intrusive), absence d'atteinte disproportionnée aux droits des personnes. Une analyse balance (balance test) doit être documentée pour prouver que ces conditions sont remplies. La CNIL admet cette base pour la prospection B2B raisonnable, en accompagnement du droit d'opposition.
L'exécution d'un contrat ou de mesures pré-contractuelles (article 6.1.b). Base applicable dès que le prospect a engagé une démarche concrète : signature d'un mandat ACD, demande explicite de cotation, démarrage d'une négociation. Le traitement des données devient alors nécessaire à l'exécution de ce qui est, juridiquement, un mandat puis un contrat de courtage.
Le consentement (article 6.1.a). Base nécessaire pour certains traitements complémentaires non strictement liés à l'exécution du mandat : envoi d'une newsletter, communications marketing périodiques, partage avec des partenaires commerciaux. Le consentement doit être libre, éclairé, spécifique et univoque ; case précochée interdite ; retrait possible à tout moment.
Chacune de ces bases doit être documentée dans le registre des traitements, avec mention explicite de la base invoquée pour chaque finalité. En cas de contrôle CNIL, cette documentation est la première pièce demandée.
Le registre des traitements
Le registre des traitements (article 30 du RGPD) est obligatoire dès le démarrage pour un courtier énergie, contrairement à l'exonération qui concerne uniquement les traitements occasionnels ou non systématiques. Le courtage traite des données de manière continue et structurée — le registre est dû.
Le registre liste pour chaque traitement les huit éléments suivants : finalité (prospection commerciale, cotation, exécution du contrat, comptabilité, communications marketing), base légale invoquée, catégories de personnes concernées (prospects, clients, dirigeants, signataires), catégories de données traitées, destinataires (fournisseurs partenaires conventionnés, sous-traitants, autorités si nécessaire), transferts hors UE le cas échéant, durées de conservation, mesures de sécurité.
Format minimum suffisant : un tableau Excel structuré et tenu à jour. La CNIL met à disposition un modèle de registre simplifié sur cnil.fr. Au-delà du Excel, plusieurs outils dédiés (Dastra, Witik, Leto, modules RGPD intégrés à certains CRM) automatisent partiellement la tenue. Pour un solo en démarrage, un Excel mensuellement révisé suffit largement.
Le registre doit être présentable à toute demande de la CNIL dans un délai court (typiquement 48h). Une absence de registre lors d'un contrôle constitue à elle seule un manquement sanctionnable.
Durées de conservation
La règle générale du RGPD : conserver les données aussi longtemps que nécessaire à la finalité, pas davantage. Trois durées cohabitent en pratique chez un courtier énergie.
Prospects sans suite. Durée recommandée par la CNIL en B2B : 3 ans à compter du dernier contact actif (dernier email envoyé, dernière relance, dernier événement professionnel commun). Au-delà, suppression ou anonymisation, sauf si le prospect manifeste un intérêt renouvelé.
Clients sous contrat ou ancien contrat intermédié. Durée du contrat plus 3 à 5 ans pour les obligations contractuelles (action en responsabilité civile prescrite à 5 ans) et fiscales (conservation des pièces comptables pendant 10 ans pour certaines). Le mandat ACD, la cotation et le contrat suivent cette politique.
Données nécessaires à la défense d'un litige potentiel. Jusqu'à expiration des délais de prescription concernés. Si une médiation est en cours, conservation prolongée jusqu'au dénouement.
Au-delà de ces durées, la donnée doit être supprimée ou anonymisée. Conserver indéfiniment "au cas où" est une non-conformité courante chez les courtiers solos. Pour le mandat ACD spécifiquement, voir notre page mandat ACD modèle 2026 qui détaille la durée de conservation recommandée.
Les droits des personnes et l'encadrement des sous-traitants
Les personnes concernées (prospects, clients, dirigeants signataires) disposent de plusieurs droits que le courtier doit honorer dans un délai d'un mois.
Droit d'accès aux données les concernant. Droit de rectification en cas de données inexactes. Droit à l'effacement ("droit à l'oubli") sous certaines conditions. Droit à la limitation du traitement. Droit d'opposition au traitement, particulièrement important en prospection B2B. Droit à la portabilité pour les traitements automatisés sur base contractuelle ou consentement.
En pratique, un courtier solo doit prévoir une procédure simple : adresse email dédiée (typiquement [email protected]), accusé de réception sous 48h, traitement de la demande sous un mois, réponse documentée. Une procédure formalisée même rudimentaire vaut mieux que pas de procédure.
L'encadrement des sous-traitants (article 28 du RGPD) impose qu'un contrat de sous-traitance soit signé avec tout prestataire qui traite des données personnelles pour le compte du courtier. Sont concernés : éditeurs SaaS (CRM, pricer, signature électronique, comptabilité), hébergeurs d'emails, prestataires de cold calling, comptables externalisés, agences de marketing. Le contrat (souvent appelé DPA, Data Processing Agreement) précise la nature et la finalité du traitement, les obligations du sous-traitant en matière de sécurité, les modalités de notification d'incident, les droits d'audit.
Les éditeurs SaaS sérieux fournissent un DPA signable en ligne. Volto, Yousign, Pennylane, HubSpot, Google Workspace, Microsoft 365 publient leur DPA sur leurs sites. Pour un courtier en démarrage, signer ces DPA à mesure des souscriptions et les archiver dans le dossier RGPD est la routine attendue.
Pour le contexte global du cadre juridique, voir cadre juridique du courtier énergie.
Questions fréquentes
Le RGPD s'applique-t-il au courtage énergie B2B ?
Oui. Le RGPD s'applique à tout traitement de données personnelles, et le courtage énergie B2B en traite plusieurs catégories : nom et fonction du dirigeant signataire, emails et téléphones professionnels, parfois données patrimoniales indirectes via la consommation énergétique du site. L'argument selon lequel le B2B échappe au RGPD est faux : ce sont les données personnelles qui sont protégées, indépendamment du contexte commercial. Une donnée concernant une personne physique identifiable est protégée, même si elle est utilisée dans un cadre professionnel.
Quelle base légale invoquer pour traiter les données prospects en courtage énergie ?
Trois bases légales sont mobilisables selon le moment du parcours. L'intérêt légitime (article 6.1.f du RGPD) pour la prospection commerciale initiale, sous réserve d'avoir mené une analyse balance et de respecter le droit d'opposition. L'exécution d'un contrat ou pré-contrat (article 6.1.b) une fois que le prospect a engagé une démarche (signature de mandat ACD, demande de cotation). Le consentement (article 6.1.a) pour les communications marketing ultérieures non strictement nécessaires à l'exécution du mandat. Chacune doit être documentée dans le registre des traitements.
Faut-il un registre des traitements pour un courtier énergie ?
Oui, dès le premier prospect. Le registre des traitements (article 30 du RGPD) est obligatoire pour toutes les entreprises de plus de 250 salariés sans condition, et pour les autres dès qu'elles traitent des données de manière non occasionnelle ou des données sensibles. Le courtage énergie traite des données de manière systématique et continue : le registre est obligatoire dès le démarrage. Format simple suffisant (tableau Excel ou outil dédié), mais à tenir à jour scrupuleusement.
Quelle durée de conservation des données prospects et clients ?
Trois durées cohabitent. Prospects sans suite : 3 ans à compter du dernier contact actif, conformément à la doctrine CNIL pour la prospection B2B. Clients sous contrat : durée du contrat plus 3 à 5 ans pour les obligations contractuelles et fiscales. Données nécessaires à la défense d'un éventuel litige : jusqu'à l'expiration des délais de prescription (généralement 5 ans en matière civile, 6 ans en matière fiscale). La cotation, le mandat ACD et le contrat doivent être conservés selon ces durées, avec une politique d'archivage formalisée.
Les sous-traitants RGPD du courtier énergie sont-ils encadrés ?
Oui, par l'article 28 du RGPD. Tout sous-traitant qui traite des données personnelles pour le compte du courtier (prestataire CRM, logiciel de signature électronique, hébergeur d'emails, comptable externalisé, prestataire de cold calling) doit être lié par un contrat de sous-traitance conforme à l'article 28. Ce contrat précise la nature et la finalité du traitement, les obligations du sous-traitant (sécurité, notification d'incident, accompagnement aux droits des personnes), la possibilité d'audit. Les éditeurs SaaS sérieux (Volto, HubSpot, Yousign, Pennylane, Google Workspace) fournissent un DPA (Data Processing Agreement) signable en ligne.
Voir aussi
Un CRM qui respecte les durées de conservation par défaut
Volto applique les durées de conservation RGPD aux fiches prospects et clients, archive le mandat ACD avec ses certificats, et fournit un DPA conforme article 28. 200 €/mois HT.
Créer un compte → Voir les tarifs
À partir de 200 €/mois HT — 2 utilisateurs inclus, sans engagement.