RGPD et capture de leads en salon : guide pratique pour 2026
· 13 min read
Chaque fois que vous scannez un badge ou collectez une carte de visite sur un salon professionnel européen, vous traitez des données personnelles. En vertu du Règlement Général sur la Protection des Données (RGPD), ce traitement doit reposer sur une base légale, être transparent vis-à-vis de la personne concernée, et répondre à des exigences strictes de sécurité et de responsabilité.
La plupart des équipes commerciales savent que le RGPD existe. Beaucoup moins savent ce qu’il exige concrètement dans le contexte de la capture de leads en événement. Le résultat est un déficit de conformité : les équipes ignorent les règles entièrement (risqué) ou surcompensent avec des flux de consentement lourds qui cassent le rythme naturel d’une conversation de salon (inutile).
Ce guide couvre ce que vous devez réellement faire — de manière pratique, pas théorique — pour capturer des leads en salon tout en restant pleinement conforme au RGPD.
4,3 Mds €+
d'amendes RGPD infligées depuis 2018 dans l'UE
GDPR Enforcement Tracker
Le RGPD s’applique-t-il à la capture de leads en salon ?
Oui. Sans ambiguïté.
Le RGPD s’applique dès que vous traitez des données personnelles d’individus dans l’UE/EEE (ou au Royaume-Uni), quel que soit le siège de votre entreprise. Les « données personnelles » incluent les noms, adresses email, titres de poste, noms d’entreprise, numéros de téléphone, photos, enregistrements de conversations, et toute note se rapportant à une personne identifiable.
La capture de leads en salon implique tout ce qui précède. Scanner un badge traite des données personnelles. Collecter une carte de visite traite des données personnelles. Enregistrer une conversation traite des données personnelles. Prendre des notes sur un prospect traite des données personnelles. Chacune de ces actions est un « traitement » au sens du RGPD.
Le fait que cela se passe lors d’un événement public ne crée pas d’exemption. Le fait que le prospect vous ait volontairement donné sa carte ne constitue pas une renonciation à ses droits. Le fait que « tout le monde fait comme ça » n’est pas une base légale.
Bases légales pour la capture de leads en événement
En vertu du RGPD, chaque activité de traitement nécessite une base légale. Pour la capture de leads en salon, deux sont pertinentes :
Intérêt légitime (Article 6(1)(f))
C’est la base légale la plus couramment utilisée pour la capture de leads B2B en événement. L’argument : votre entreprise a un intérêt légitime à relancer les prospects qui se sont volontairement engagés avec vous sur un salon, et cet intérêt n’est pas supplanté par les droits à la vie privée du prospect.
L’intérêt légitime fonctionne pour :
- Scanner des badges ou cartes de visite que le prospect a volontairement présentés
- Stocker des informations de contact pour la relance
- Envoyer des emails de relance pertinents après l’événement
- Enrichir les données de contact à partir de bases professionnelles (consultez notre guide sur l’enrichissement email en événement pour voir comment ça fonctionne en pratique)
L’intérêt légitime exige :
- Une Analyse d’Intérêt Légitime (AIL) documentée
- La mise en balance de votre intérêt avec les droits du prospect
- Une information claire sur ce que vous faites avec les données
- Un mécanisme de désabonnement facile
Important : L’intérêt légitime n’est pas un blanc-seing. Vous devez toujours informer le prospect, limiter la collecte au nécessaire, et respecter les demandes de désinscription promptement.
Consentement (Article 6(1)(a))
Le consentement est requis quand l’intérêt légitime ne s’applique pas — notamment pour l’enregistrement de conversations. L’enregistrement audio capture des données personnelles sensibles et va au-delà de ce qu’un prospect attendrait raisonnablement d’un échange de cartes de visite. L’enregistrement nécessite un consentement explicite, éclairé et librement donné.
Le consentement doit être :
- Libre — Le prospect doit pouvoir refuser sans conséquence
- Spécifique — « Je consens à ce que cette conversation soit enregistrée à des fins de relance »
- Éclairé — Le prospect doit savoir ce qui se passera avec l’enregistrement
- Non ambigu — Une action affirmative claire (confirmation verbale, tap sur bouton, signature)
Le consentement doit aussi être révocable — le prospect peut le retirer à tout moment, et vous devez pouvoir démontrer quand et comment le consentement a été obtenu.
La checklist de conformité pratique
Voici ce que vous devez avoir en place avant que votre équipe ne mette le pied sur le salon :
1. Notice de confidentialité
Un document clair et accessible qui explique :
- Qui vous êtes (nom de l’entreprise, coordonnées, DPO si applicable)
- Quelles données vous collectez en événement
- Pourquoi vous les collectez (base légale)
- Combien de temps vous les conservez
- Avec qui vous les partagez (CRM, outils email, services d’enrichissement)
- Comment le prospect peut accéder, corriger ou supprimer ses données
Cela peut être un document imprimé sur votre stand, une URL sur l’interface de votre scanner de badges, ou un QR code renvoyant vers votre politique de confidentialité. Il doit être disponible avant ou au moment de la collecte des données.
2. Consentement pour l’enregistrement
Si vous enregistrez des conversations (transcription en direct, notes vocales), vous avez besoin d’un consentement explicite avant le début de l’enregistrement. Cela signifie :
- Informer le prospect que la conversation sera enregistrée
- Expliquer la finalité (générer une relance personnalisée)
- Obtenir une confirmation verbale ou numérique claire
- Horodater le consentement
3. Minimisation des données
Ne collectez que ce dont vous avez besoin. Sur un salon, les données pertinentes sont :
- Les informations de contact (nom, entreprise, titre, email, téléphone)
- Le contenu de conversation (transcription ou notes)
- Le contexte événementiel (quel événement, quelle interaction sur le stand)
Vous n’avez pas besoin et ne devez pas collecter : les comptes de réseaux sociaux personnels sans rapport avec l’activité professionnelle, les données démographiques non pertinentes pour la relation commerciale, ni aucune donnée de catégorie spéciale (santé, opinions politiques, origine ethnique).
4. Droits des personnes concernées
Vous devez être capable de :
- Accès : Fournir au prospect toutes les données que vous détenez sur lui, sur demande
- Rectification : Corriger les données inexactes
- Effacement : Supprimer ses données sur demande (« droit à l’oubli »)
- Portabilité : Exporter ses données dans un format standard
- Opposition : Cesser de traiter ses données pour la prospection directe sur demande
Délai de réponse : 30 jours à compter de la demande.
5. Sécurité des données
Les données personnelles doivent être stockées de manière sécurisée avec des mesures techniques et organisationnelles appropriées :
- Chiffrement en transit et au repos
- Contrôles d’accès (tous les membres de l’équipe n’ont pas besoin d’accéder à tous les leads)
- Accords de traitement de données (DPA) avec tous les services tiers
- Revues de sécurité régulières
Le défi du workflow de consentement
Le consentement en salon est par nature délicat. Vous avez une conversation professionnelle naturelle, et à un moment vous devez dire : « Avant d’enregistrer, j’ai besoin de votre consentement. » Mal fait, cela tue le flux de conversation. Bien fait, c’est un non-événement de 10 secondes.
La clé est d’intégrer le consentement dans le workflow, pas comme une interruption :
Démarrer la conversation naturellement
Présentez-vous, apprenez à connaître le prospect, échangez vos cartes. Aucun consentement n'est nécessaire à ce stade — vous collectez les données de carte de visite sous l'intérêt légitime.
Avant d'enregistrer, demander le consentement
Quand vous souhaitez démarrer l'enregistrement (transcription en direct ou note vocale), expliquez brièvement : « J'aimerais capturer notre échange pour vous envoyer une relance pertinente. C'est OK pour vous ? » La plupart des professionnels acceptent — cela signale du professionnalisme et de l'attention.
Capturer le consentement numériquement
Le prospect confirme (verbalement ou d'un tap). L'horodatage est enregistré automatiquement. Cela crée une piste d'audit de consentement liée au dossier lead spécifique.
Poursuivre la conversation
L'étape de consentement prend 5–10 secondes. La conversation reprend naturellement. L'enregistrement capture le contexte qui alimentera une relance personnalisée.
Respecter le retrait
Si le prospect refuse ou demande ultérieurement la suppression, l'enregistrement est immédiatement effacé. Pas d'enregistrement signifie que la relance utilise uniquement les données de la carte de visite (toujours valides sous l'intérêt légitime).
NeverDrop intègre ce workflow directement dans l’application : une étape de confirmation de consentement apparaît avant tout enregistrement, avec un horodatage stocké dans la fiche lead. Cela crée la piste d’audit que le RGPD exige, sans ajouter de friction à la conversation.
Outils hébergés en UE vs hébergés aux US
La résidence des données compte sous le RGPD. Bien que le EU-US Data Privacy Framework (DPF) permette à certaines entreprises américaines de recevoir des données personnelles européennes, le paysage juridique a été instable — le Privacy Shield a été invalidé en 2020 (Schrems II), et le DPF pourrait faire face à des contestations similaires.
Pour les équipes qui veulent minimiser le risque réglementaire, les outils hébergés en UE offrent la posture de conformité la plus simple :
| Outils hébergés aux US | Outils hébergés en UE | |
|---|---|---|
| Résidence des données | Serveurs US (avec ou sans certification DPF) | Serveurs UE (pas de transfert transfrontalier) |
| Mécanisme de transfert | Requiert DPF, CCT ou BCR | Aucun mécanisme de transfert nécessaire |
| Risque Schrems II | Incertitude juridique persistante | Non applicable |
| Complexité DPA | Plus élevée (multi-juridictionnel) | Plus faible (juridiction unique) |
| Simplicité réglementaire | Nécessite une veille continue | Directe |
| Confiance du prospect | Variable (les prospects soucieux de la vie privée peuvent objecter) | Élevée (données restent dans l'UE) |
NeverDrop héberge toutes les données dans l’UE (région Supabase EU), sans transfert de données vers des serveurs américains. Cela élimine entièrement la charge de conformité liée aux transferts transfrontaliers. NeverDrop fonctionne aussi entièrement hors ligne sans WiFi, avec les données stockées localement sur l’appareil jusqu’au retour de la connectivité — les données ne transitent jamais par des réseaux non contrôlés. Pour voir comment la posture de conformité de NeverDrop se compare aux autres outils, visitez notre page de comparaison.
Erreurs courantes
« Il m’a donné sa carte, j’ai donc son consentement. » Remettre une carte de visite n’est pas un consentement au sens du RGPD. Cela peut soutenir une base d’intérêt légitime, mais ne satisfait pas les exigences de consentement pour l’enregistrement ou les communications marketing.
« C’est un événement B2B, le RGPD ne s’applique pas aux entreprises. » Le RGPD protège les personnes physiques, pas les entreprises. La carte de visite appartient à une personne. L’adresse email appartient à une personne. La conversation était avec une personne. Le RGPD s’applique.
« On s’occupera du RGPD après l’événement. » La conformité RGPD doit être en place au moment de la collecte des données, pas rétroactivement. Vous ne pouvez pas ajouter une base légale après coup.
« Notre fournisseur de scan de badges gère le RGPD. » Votre fournisseur de scan est un sous-traitant de données. Vous êtes le responsable de traitement. La responsabilité juridique vous incombe. Avoir un DPA avec votre fournisseur de scan est nécessaire mais pas suffisant.
« L’enregistrement est acceptable parce que la conversation a eu lieu en public. » Un stand de salon n’est pas un espace public au sens du RGPD. Même si c’était le cas, enregistrer une conversation dans un espace public nécessite toujours une base légale et de la transparence.
Conseils pratiques pour les équipes commerciales
Briefer votre équipe avant chaque événement. Un briefing de 15 minutes avant l’événement sur les procédures de gestion des données prévient les incidents de conformité. Couvrez : quand demander le consentement d’enregistrement, comment gérer les demandes de suppression, où les données sont stockées.
Utiliser des outils avec des fonctionnalités de conformité intégrées. Plus la conformité est facile, plus votre équipe la suivra de manière cohérente. Choisissez des outils de capture de leads qui intègrent les workflows de consentement dans le flux de capture plutôt que de nécessiter une documentation manuelle.
Conserver des traces du consentement. Le RGPD exige que vous puissiez démontrer votre conformité. Des enregistrements de consentement numériques horodatés sont bien plus fiables que des souvenirs du type « je crois qu’il a dit oui ».
Avoir un processus de suppression de données prêt. Quand un prospect demande la suppression (et il le fera), votre équipe doit savoir exactement comment l’exécuter — et pouvoir le faire dans le délai de 30 jours. C’est bien plus facile avec un outil centralisé qu’avec des tableurs éparpillés et des exports d’emails.
Auditer votre stack technologique événementielle. Chaque outil qui touche aux données du prospect a besoin d’un DPA : votre scanner de badges, votre CRM, votre outil d’envoi d’emails, votre fournisseur d’enrichissement, votre service de transcription, votre stockage cloud. Cartographiez le flux de données avant l’événement et assurez-vous que chaque maillon de la chaîne est couvert.
Pour un aperçu complet des workflows de capture de leads en événement intégrant ces exigences de conformité, consultez notre guide complet de la capture de leads en événement.
Le RGPD comme signal de confiance
Voici la vérité contre-intuitive : la conformité RGPD n’est pas seulement une obligation légale — c’est un avantage concurrentiel. En 2026, les prospects soucieux de leur vie privée évaluent activement comment les fournisseurs gèrent leurs données. Être transparent sur vos pratiques en matière de données signale du professionnalisme et construit la confiance.
Quand un commercial dit : « J’aimerais enregistrer notre conversation pour vous envoyer une relance pertinente — c’est OK pour vous ? », le prospect entend : « Cette personne prend son travail au sérieux et respecte mes données. » C’est un différenciateur à une époque où la plupart des fournisseurs traitent les données personnelles comme quelque chose à extraire, pas à protéger.
Les équipes qui traitent le RGPD comme une opportunité plutôt qu’un fardeau construiront des relations prospect plus solides — et cela commence sur le stand du salon.
Frequently Asked Questions
Oui, quand c'est fait correctement. Scanner une carte de visite qui vous a été remise lors d'un événement professionnel relève de l'« intérêt légitime » — vous avez une base raisonnable pour traiter les données à des fins de relance. Cependant, vous devez fournir une notice de confidentialité, honorer les demandes des personnes concernées, et stocker les données de manière sécurisée dans un système hébergé en UE.
Dans la plupart des pays de l'UE, oui. NeverDrop inclut un flux de confirmation de consentement avant le début de l'enregistrement. L'approche la plus sûre est d'informer verbalement le prospect que vous enregistrez des notes pour la relance et d'obtenir sa confirmation verbale avant de commencer.
La base la plus courante sous le RGPD est l'intérêt légitime (Article 6(1)(f)). Quand quelqu'un vous remet une carte de visite lors d'un événement professionnel, il existe une attente raisonnable de relance. Le consentement (Article 6(1)(a)) est requis pour l'enregistrement de conversations et les communications marketing.
L'hébergement en infrastructure européenne est fortement recommandé. NeverDrop stocke toutes les données dans des centres de données UE. Les outils hébergés aux US nécessitent des garanties supplémentaires (Clauses Contractuelles Types) et présentent un risque de conformité plus élevé après l'arrêt Schrems II.
Capture de leads conforme au RGPD avec workflows de consentement intégrés. Essayez NeverDrop — hébergé en UE, privacy-first.
Commencer gratuitement
