Réglementation des appels sortants et protection des données en France

Liste nationale d’opposition – Bloctel

La France dispose d’une liste nationale « ne pas appeler » nommée Bloctel, créée en 2016 dans le cadre de la loi consommation (loi Hamon 2014). Les consommateurs peuvent y inscrire leur numéro pour refuser les appels commerciaux non sollicités. Toute entreprise qui prospecte par téléphone doit nettoyer ses listes contre la base Bloctel et ne pas appeler les numéros inscrits. Cette obligation est définie dans le Code de la consommation (art. L223-1 et s.) et s’applique aux appels marketing B2C.

Inscription et accès

Les téléprospecteurs doivent s’inscrire sur la plateforme Bloctel avant toute campagne. Après création d’un compte sur le portail professionnel Bloctel, l’entreprise souscrit un abonnement ou des crédits pour soumettre régulièrement ses listes au nettoyage. Bloctel renvoie une liste épurée (sans les numéros inscrits) avant que les appels ne puissent être passés.

Fréquence des contrôles

Les listes doivent être mises à jour contre Bloctel au moins tous les 30 jours. Une nouvelle inscription d’un consommateur sur Bloctel prend effet 30 jours plus tard. Les campagnes ponctuelles nécessitent un contrôle Bloctel avant chaque campagne ; les sociétés en téléprospection continue doivent épurer leurs listes chaque mois.

Exceptions

Des exceptions limitées permettent d’appeler des numéros inscrits sur Bloctel : relation contractuelle existante (appel lié au contrat ou au service), abonnements presse, appels d’associations ou d’instituts de sondage. En dehors de ces cas, les entreprises ne peuvent appeler les numéros Bloctel que si le consommateur a donné son consentement explicite.

Sanctions

Le non-respect des règles Bloctel peut entraîner des amendes jusqu’à 75 000 € pour les personnes physiques et 375 000 € pour les personnes morales par infraction (Code de la consommation, art. L242-16). La DGCCRF applique activement ces règles. Une loi adoptée en 2024 (applicable en janvier 2026) portera le plafond à 500 000 € (ou jusqu’à 20 % du chiffre d’affaires) et prévoira des sanctions pénales en cas d’infractions graves.

Évolutions récentes

La France a interdit la téléprospection dans certains secteurs : depuis 2020, les appels à froid pour la rénovation énergétique sont interdits ; une loi de 2022 interdit tout contact non sollicité (appels, SMS, e-mail) concernant le compte personnel de formation (CPF). Dans ces domaines, aucun télémarketing n’est autorisé, même en dehors de Bloctel.

La France a mis en place des mesures pour lutter contre l’usurpation de numéro (spoofing) et les appels frauduleux. Les principaux points :

Numéro d’appel autorisé

Tout appel commercial doit afficher un numéro valide attribué à l’entreprise qui appelle (ou à la société pour le compte de laquelle l’appel est passé). Le Code de la consommation exige que le numéro affiché appartienne à l’entreprise concernée. L’usage du numéro d’un tiers sans autorisation peut être poursuivi comme usurpation d’identité (art. 226-4-1 du Code pénal) en cas de trouble ou de fraude.

Restrictions sur les plages de numéros

L’ARCEP a modifié le plan de numérotation : depuis le 1er janvier 2023, les appels de téléprospection réalisés avec des systèmes automatisés ne peuvent plus utiliser les numéros géographiques ou mobiles classiques (01-05, 06-07, 09) comme identifiant. Des plages dédiées (ex. 01 62, 02 70, 03 77, 04 24, 05 68, 09 48/49) sont réservées aux appels automatisés ou de centre d’appels. L’usage de numéros mobiles (06 ou 07) pour des campagnes automatisées ou de centre d’appels est interdit (sauf appel personnel depuis un mobile).

Authentification des appels (MAN)

Le « Mécanisme d’Authentification des Numéros » (MAN), coordonné par l’ARCEP, impose aux opérateurs de vérifier que le numéro affiché est authentique. Depuis le 1er octobre 2024, les opérateurs français doivent bloquer les appels non authentifiés. La loi « Naegelen » (2020) vise à rendre impossible la falsification du numéro affiché (banques, administrations, etc.).

Obligations des opérateurs

L’ARCEP exige des opérateurs qu’ils filtrent les appels avec numéros usurpés ou non authentifiés, et qu’ils puissent suspendre les lignes en cas d’usage abusif. La plateforme « J’alerte l’Arcep » permet aux consommateurs de signaler les appels indésirables ou frauduleux.

Application du RGPD

La France étant membre de l’UE, le Règlement général sur la protection des données (RGPD) s’applique pleinement aux appels sortants. Les numéros et enregistrements d’appels constituent des données personnelles. Toute société qui traite ces données doit respecter le RGPD.

Base légale des appels

Il faut une base légale valide pour traiter les coordonnées en vue d’appels. En pratique, les appels de prospection commerciale reposent souvent sur le consentement ou l’intérêt légitime, avec droit d’opposition. En France, le régime actuel est l’opt-out pour les appels en direct : le consentement préalable n’est pas strictement exigé tant que la personne n’a pas fait opposition. La transparence et le respect des oppositions restent obligatoires. Les appels entièrement automatisés (messages enregistrés) relèvent de l’opt-in (règles e-Privacy).

Transparence et droits des personnes

Les appelants doivent s’identifier et fournir une information sur le traitement des données. Les personnes ont le droit de savoir d’où proviennent leurs données et d’exercer leur droit d’opposition (art. 21 RGPD). Toute demande « Ne plus m’appeler » doit être honorée et le numéro mis sur une liste interne de suppression.

Sécurité et minimisation des données

Les bases de prospects et les enregistrements doivent être sécurisés et ne pas être conservés au-delà du nécessaire. Seules les données utiles à la campagne doivent être traitées.

Enregistrement des appels

Le droit français impose le consentement des deux parties pour enregistrer un appel. Les participants doivent être informés au début de l’appel (« Cet appel peut être enregistré pour la qualité du service »). Poursuivre l’appel après cette information vaut consentement implicite. Les enregistrements sont des données personnelles au sens du RGPD (base légale, droit à l’effacement).

DPO et documentation

Si la téléprospection est une activité centrale avec traitement à grande échelle, la désignation d’un délégué à la protection des données (DPO) peut être obligatoire (art. 37 RGPD). Un registre des traitements (art. 30) et, le cas échéant, une analyse d’impact (AIPD) sont requis.

CNIL et Loi Informatique et Libertés

La CNIL publie des recommandations sur la prospection commerciale. L’achat ou le partage de listes doit respecter le RGPD. En cas de manquement, la CNIL peut infliger des amendes administratives (jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial pour les violations les plus graves).

Outre Bloctel et la protection des données, des règles fixent les horaires et la fréquence des appels (décrets applicables depuis mars 2023) :

Horaires autorisés

Les appels commerciaux aux consommateurs sont autorisés uniquement en semaine (lundi à vendredi), de 10h à 13h et de 14h à 20h. Interdiction le week-end et les jours fériés. Une exception existe en cas de consentement exprès du consommateur pour être contacté en dehors de ces créneaux.

Fréquence maximale

Un même consommateur ne peut être appelé plus de quatre fois en 30 jours pour de la prospection non sollicitée. Les tentatives (répondue ou non) comptent. Les centres d’appels multi-clients doivent veiller à ne pas dépasser cette limite par personne.

Délai après refus

Si le consommateur refuse explicitement (« Pas intéressé », « Ne plus m’appeler »), l’entreprise ne doit pas le rappeler pendant au moins 60 jours. Bonne pratique : traiter le refus comme un opt-out définitif.

Identification et conduite de l’appel

L’entreprise et l’objet de l’appel doivent être indiqués en début de conversation. Les scripts doivent respecter les règles de publicité loyale. Se faire passer pour une enquête ou une administration alors qu’il s’agit d’un appel commercial est illégal.

Enregistrement

Si les appels sont enregistrés (qualité, formation), la loi exige une information en début d’appel et le consentement des deux parties. Les salariés doivent également être informés des enregistrements ou du monitoring.

Règles sectorielles

Services financiers : L’ACPR/AMF encadrent strictement la prospection à froid (investissements, produits bancaires). Les conversations visant à conclure une transaction sur instruments financiers doivent être enregistrées et archivées (MiFID II).

Assurance : Le Code des assurances impose des règles sur le marketing à distance et le consentement.

B2B : Les restrictions Bloctel et horaires/fréquence s’appliquent au B2C. Les appels B2B (prospection vers professionnels) ne sont pas soumis à Bloctel ni aux mêmes plages horaires, mais le RGPD et les principes de loyauté restent applicables si des données personnelles sont utilisées.

Plusieurs autorités supervisent les appels sortants en France :

Pour faire de la téléprospection en France, il faut :

Inscription Bloctel

Obligatoire pour tout professionnel qui prospecte par téléphone des consommateurs. Inscription sur le portail Bloctel pro, souscription d’un plan pour soumettre les listes au nettoyage. Ne pas s’inscrire et appeler malgré tout constitue une violation du Code de la consommation. Les professionnels doivent aussi informer les consommateurs de l’existence de Bloctel (art. L223-2) lorsqu’ils contactent des personnes sans contrat en cours.

Liste interne « ne pas appeler »

En plus de Bloctel, chaque entreprise doit tenir une liste interne des personnes ayant demandé à ne plus être appelées (obligation issue du RGPD et de la règle des 60 jours après refus).

Notification CNIL

Le RGPD a supprimé l’obligation générale de déclaration des fichiers auprès de la CNIL. En revanche, le DPO doit être communiqué à la CNIL ; les sociétés hors UE doivent désigner un représentant dans l’UE (voir section Entreprises étrangères).

Registres sectoriels

Selon le secteur (assurance, immobilier, investissements, etc.), des agréments ou inscriptions professionnelles peuvent être requis. Les sociétés qui vendent des investissements par téléphone doivent respecter les listes de l’AMF (investisseurs protégés, opt-out).

Preuves de conformité

Conserver les preuves des contrôles Bloctel, des consentements, des campagnes (dates, scripts, numéros appelés) et des logs du dialer pour démontrer le respect des limites de fréquence.

Champ territorial

Les règles françaises s’appliquent à toute entreprise (française ou étrangère) qui cible des personnes en France. Un centre d’appels à l’étranger qui appelle des consommateurs français doit respecter Bloctel, les horaires, l’identification de l’appelant et le RGPD.

Bloctel pour les appelants étrangers

L’obligation Bloctel s’étend à tout professionnel qui prospecte des consommateurs français. Une société basée à l’étranger doit s’inscrire à Bloctel (ou son client français doit le faire et fournir des listes épurées). La DGCCRF peut coopérer avec les autorités d’autres pays ou faire bloquer les appels par les opérateurs.

RGPD et sociétés hors UE

Le RGPD a un effet extraterritorial (art. 3). Toute société qui traite des données de personnes en France « pour proposer des biens ou services » est concernée. Elle doit désigner un représentant dans l’UE (art. 27 RGPD). La CNIL et les personnes concernées peuvent contacter ce représentant.

Transferts de données hors UE

Si des données sont transférées hors UE (ex. liste de numéros envoyée à un centre d’appels en Asie), les règles du RGPD sur les transferts s’appliquent : clauses contractuelles types (CCT), décisions d’adéquation, etc. Les sociétés françaises qui externalisent à l’étranger doivent signer des CCT avec le sous-traitant.

Résumé pour les sociétés étrangères ciblant la France

• Respecter Bloctel (directement ou via le client).
• Respecter les horaires et la fréquence (10h–20h en heure française, max 4 appels / 30 jours).
• Utiliser un numéro français valide pour l’affichage (ou numéro international, avec impact sur les taux de décrochage).
• Désigner un représentant dans l’UE pour le RGPD.
• Mettre en place une liste interne de suppression et la règle des 60 jours après refus.
• Signer les accords de traitement et CCT si des données françaises sont utilisées par un sous-traitant à l’étranger.

Recommandations pour des campagnes conformes en France :

Intégrer Bloctel dans le processus

Effectuer un nettoyage Bloctel avant chaque campagne (au plus tard 30 jours avant le démarrage). En campagne continue, planifier une mise à jour mensuelle. Conserver les preuves des contrôles.

Respecter les opt-out et listes de suppression

Enregistrer toute demande « Ne plus m’appeler » dans une liste interne et configurer le dialer/CRM pour ne plus rappeler ces numéros. Synchroniser la liste entre campagnes et partenaires.

Horaires et fréquence

Configurer le dialer : appels uniquement 10h–13h et 14h–20h en semaine, pas d’appels le week-end ni les jours fériés. Limiter à 4 tentatives par contact sur 30 jours. Après un refus, bloquer le numéro pendant 60 jours.

Identification de l’appelant

Afficher un numéro valide et rappelable (idéalement celui du client ou une plage dédiée ARCEP). Ne pas utiliser de numéros aléatoires ou de mobiles personnels pour augmenter les décrochages — c’est illégal. Le numéro doit permettre au consommateur de rappeler l’entreprise.

Formation des opérateurs

Former les agents à l’identification de l’entreprise, à l’annonce d’enregistrement, au respect des refus et des horaires (heure française). Prévoir des réponses conformes si un consommateur signale qu’il est sur Bloctel (ex. « Vous êtes client, nous appelons dans le cadre du contrat. Si vous préférez, nous ne vous rappellerons plus. »).

Gestion du consentement

Anticiper l’opt-in prévu en 2026 : commencer à collecter des consentements explicites (site, e-mail) et conserver les preuves. Proposer des moyens simples pour révoquer le consentement.

Données et RGPD

Documenter la base légale (consentement ou intérêt légitime avec analyse). Fournir une information sur le traitement (lien vers la politique de confidentialité ou envoi sur demande). Tenir à jour le registre des traitements et réaliser une AIPD si nouveaux procédés (ex. dialer IA).

Audits et veille juridique

Auditer régulièrement les logs (horaires, nombre d’appels par numéro, enregistrements). Suivre les évolutions législatives (opt-in 2026, communications CNIL/DGCCRF, futur règlement e-Privacy UE).

Authentification des appels

S’assurer que l’opérateur télécom ou le PABX prend en charge le MAN pour que les appels soient marqués comme vérifiés et non bloqués par les réseaux français.

En appliquant ces bonnes pratiques, les entreprises réduisent les risques de manquement. La conformité évite les amendes et améliore l’efficacité des appels en ne contactant que des personnes joignables aux bons créneaux. Les règles françaises poussent vers une téléprospection plus respectueuse et plus efficace.