← Retour aux ressources
·

RGPD programme fidélité — conformité 2026

RGPD et programme de fidélité : ce qui est vraiment obligatoire en 2026

Commençons par la question que vous vous posez vraiment : "Est-ce que je dois engager un avocat ?" Réponse courte : non. Pas besoin d'un juriste à plein temps pour mettre votre programme de fidélité en conformité. Mais il y a quand même des choses concrètes à faire, et certaines erreurs que l'on voit encore régulièrement peuvent coûter cher.

En 2025, la CNIL a frappé 69 fois, pour un total de 90,5 millions d'euros d'amendes (CNIL, Rapport d'activité 2025). Certes, la plupart des sanctions visaient des gros poissons. Mais les contrôles sur les TPE/PME se multiplient, surtout dans le retail. Bref, les petits commerçants ne sont plus invisibles aux yeux de la CNIL.

Ce que vous collectez réellement dans un programme de fidélité

Mettons les choses à plat. Votre programme de fidélité collecte probablement tout ça :

  • Nom et prénom
  • Numéro de téléphone
  • Adresse email (si vous en avez une)
  • Date de naissance (pour les offres d'anniversaire)
  • Historique d'achats (montants, produits, dates)
  • Fréquence de visite
  • Solde de points

Tout ça, ce sont des données personnelles au sens du RGPD. Dit comme ça, ça semble évident. Mais dans la réalité, beaucoup de commerçants manipulent ces informations au quotidien sans jamais y penser en ces termes — le fichier Excel avec les numéros de téléphone, le petit cahier à côté de la caisse... C'est souvent là que les ennuis commencent.

La question à se poser pour chaque donnée est triple : Pourquoi je la collecte ? Combien de temps je la garde ? Qui y a accès ? Si vous ne pouvez pas répondre clairement aux trois, il y a un problème.

Le consentement : ce qui est obligatoire, ce qui ne l'est pas

C'est LE sujet le plus mal compris, et on ne peut pas vous en vouloir — la confusion est partout. Contrairement à ce que beaucoup croient, le RGPD n'exige pas un consentement pour tout. Il distingue plusieurs bases légales, et dans le cadre d'un programme de fidélité, ça change la donne.

Ce qui n'a pas besoin de consentement séparé : quand un client s'inscrit à votre programme, vous avez évidemment besoin de son nom, prénom et téléphone pour gérer ses points et lui envoyer ses récompenses. C'est couvert par la base "exécution du contrat" — il s'est inscrit, vous avez besoin de ces infos pour faire tourner le programme, point.

Ce qui nécessite un consentement explicite : les communications marketing. Vous voulez lui envoyer un SMS pour annoncer les soldes ? Là, il faut un vrai consentement — clair, enregistré, avec date. Pas de zone grise.

Concrètement, tout se joue au moment de l'inscription. Le client accepte les conditions du programme (base contractuelle), et séparément — j'insiste sur le "séparément" — il coche ou ne coche pas une case pour les communications promotionnelles. Ce sont deux choses distinctes qui ne peuvent pas être mélangées.

Un exemple qu'on voit encore trop souvent : "En m'inscrivant au programme, j'accepte de recevoir les offres et promotions de la boutique." Cette formulation tout-en-un est contraire au RGPD depuis 2018. La CNIL l'a déjà sanctionnée plusieurs fois. Si vous avez ça sur votre formulaire, changez-le aujourd'hui.

Durée de conservation : les règles applicables

Garder les données "au cas où" pendant 15 ans, ce n'est pas une stratégie — c'est un risque. La durée de conservation doit être définie et respectée. Pour un programme de fidélité, voici ce que dit la CNIL en pratique :

Type de donnéeDurée recommandée par la CNILRemarque
Données du compte actifPendant toute la durée de la relationMise à jour régulière si possible
Données d'un compte inactif3 ans après le dernier contactPurge ou anonymisation ensuite
Historique d'achats5 ans (obligations comptables)Peut être conservé anonymisé au-delà
Données de consentement SMS/email3 ans après le dernier consentementPreuve à conserver

Un compte "inactif", c'est simple : aucun achat ni contact depuis 3 ans. Avant de tout supprimer, envoyez un dernier message de réactivation — "On ne vous a pas vu depuis un moment, ça nous manque !" C'est à la fois une bonne pratique RGPD et une occasion de récupérer quelques clients dormants. D'une pierre deux coups.

Le droit à l'oubli en pratique

Quand un client vous dit "supprimez mes données", ce n'est pas une option — c'est une obligation légale. Vous avez un mois pour le faire.

En pratique, ça veut dire faire le ménage partout : logiciel de caisse, programme de fidélité, newsletter, et aussi ce fameux fichier Excel que tout le monde oublie (ou le cahier papier dans le tiroir de la caisse...).

Petite nuance rassurante : vous pouvez garder les données anonymisées pour vos statistiques — nombre total de transactions, panier moyen, etc. Ce qui doit disparaître, c'est tout ce qui permet d'identifier la personne.

Autre point important : la demande peut arriver par n'importe quel canal. Le client vous le dit en face au comptoir, par SMS, par email — tout est valable, aucune formalité n'est requise de son côté. Par contre, de votre côté, gardez une trace de la demande et de son traitement. Si un jour on vous demande des comptes, vous pourrez prouver que vous avez fait le nécessaire.

Les erreurs les plus fréquentes chez les commerçants

Les retours de terrain des contrôles CNIL dans le retail sont éclairants. On retrouve systématiquement les mêmes problèmes :

Le fichier Excel "open bar". On l'a tous vu : une feuille de calcul avec des milliers de numéros de téléphone, sans mot de passe, envoyée par email entre collègues comme on s'enverrait une photo de vacances. Chaque envoi, c'est potentiellement une violation de données.

Le syndrome de l'accumulation. Des données clients entassées depuis 10 ans, jamais purgées. On a vu des commerçants avec des fiches de personnes décédées ou déménagées depuis des lustres dans leur base. C'est le genre de détail qui ne pardonne pas en cas de contrôle.

Le "oui oui, ils avaient accepté". Le consentement marketing sans preuve, c'est comme un contrat sans signature — ça ne vaut rien. Pas de date, pas de trace du texte accepté, pas de case cochée documentée. En cas de litige, vous êtes à découvert.

La politique de confidentialité fantôme. Vous devez informer vos clients, au moment de l'inscription, de ce que vous faites de leurs données. Un petit affichage en caisse ou un QR code vers une page web suffit — mais il faut que ça existe quelque part.

Checklist de conformité RGPD pour votre programme de fidélité

Plutôt qu'un long discours, passons en revue ce que vous devez avoir en place :

À l'inscription

  • Formulaire qui sépare clairement les données nécessaires au programme et le consentement marketing
  • Information claire sur l'utilisation des données (peut se faire via un affichage ou un QR code)
  • Enregistrement de la date et du texte du consentement marketing si recueilli

Dans votre base de données

  • Accès protégé par mot de passe (et mot de passe robuste)
  • Sauvegardes régulières et sécurisées
  • Règle de purge des comptes inactifs définie (3 ans est la référence)

En cas de demande client

  • Procédure pour traiter une demande d'accès, de rectification ou d'effacement sous 1 mois
  • Trace conservée de la demande et de son traitement

Sur vos envois SMS/email

  • Lien de désinscription fonctionnel dans chaque message
  • Traitement des désinscriptions sous 10 jours (bonne pratique)

Documentation

  • Registre des traitements (obligatoire si plus de 250 salariés, recommandé sinon)
  • Politique de confidentialité accessible aux clients

Ce que ça coûte de se mettre en conformité

Rassurez-vous : pour une petite boutique avec un programme de fidélité standard, la mise en conformité ne nécessite pas forcément un prestataire externe. Un après-midi pour revoir votre formulaire d'inscription, une heure pour vérifier qui a accès à quoi dans votre logiciel, et l'instauration d'une routine de purge une fois par an. C'est faisable, et ça n'a rien de terrifiant.

Si vous utilisez un logiciel de fidélité dédié (type Grinch), vérifiez que le prestataire est lui-même conforme et peut vous fournir un contrat de sous-traitance de traitement de données — c'est une obligation légale quand vous confiez des données personnelles à un tiers.

Si vous préférez être accompagné, comptez 500 à 2 000 € pour une mise en conformité formalisée avec un cabinet spécialisé. Ça peut sembler un investissement, mais mettez-le en perspective : la CNIL peut théoriquement sanctionner jusqu'à 20 millions d'euros ou 4 % du CA mondial. En pratique, pour les TPE, les amendes tournent plutôt entre 3 000 et 50 000 € pour des manquements graves — et en 2025, la sanction la plus basse contre une structure commerciale était déjà de 5 000 €. Disons que 500 € de prévention valent mieux que 5 000 € d'amende.

La question du prestataire logiciel

C'est un point que beaucoup de commerçants ignorent. Si vous utilisez un outil externe pour gérer votre programme de fidélité, aux yeux de la loi, c'est vous le "responsable du traitement" et votre prestataire est le "sous-traitant". Le RGPD impose un contrat de traitement de données entre vous deux, qui doit préciser :

  • Quelles données sont traitées et pourquoi
  • Les mesures de sécurité mises en place
  • L'interdiction formelle pour le prestataire d'utiliser vos données à d'autres fins (pas question qu'il revende votre fichier client)
  • Ce qui se passe avec vos données si vous résiliez le contrat

Si votre prestataire actuel ne peut pas vous fournir ce document ou hésite à en parler, prenez-le comme un signal d'alarme sérieux. Un prestataire sérieux a ce contrat prêt — c'est la base.

FAQ — RGPD et programme de fidélité

Peut-on conserver le numéro de téléphone d'un client qui n'est jamais revenu depuis 4 ans ? Non, et c'est l'un des cas les plus courants. La CNIL recommande une purge ou anonymisation au bout de 3 ans d'inactivité. Vous pouvez tenter un dernier message de réactivation avant de supprimer ("On ne vous a pas vu depuis longtemps..."), mais si le client ne réagit pas, les données doivent partir.

Faut-il demander l'accord des clients déjà inscrits pour continuer à leur envoyer des SMS ? Ça dépend. Si vous avez une preuve de leur consentement initial (date, texte accepté, case cochée), vous êtes tranquille. Mais si vous ne pouvez pas prouver ce consentement — et soyons honnêtes, c'est le cas pour beaucoup de fichiers constitués "à l'ancienne" — il vaut mieux envoyer une campagne de re-consentement. C'est un petit effort qui vous met à l'abri.

Un client peut-il demander à voir toutes les données que j'ai sur lui ? Oui, c'est le droit d'accès, et vous avez un mois pour répondre. En pratique, pour un programme de fidélité, ça se résume à son compte, son historique d'achats et la trace de son consentement. Ce n'est pas la mer à boire.

La date de naissance est-elle obligatoire pour offrir un avantage d'anniversaire ? Non, et il y a une astuce toute simple : demandez juste le mois et le jour, sans l'année. C'est suffisant pour envoyer le bon anniversaire, et vous collectez moins de données — ce que le RGPD appelle le "principe de minimisation". Moins vous en avez, moins vous avez de risques.

Un programme de fidélité papier (carnet de tampons) est-il soumis au RGPD ? Tant que le carnet est anonyme — pas de nom, pas de numéro de téléphone dessus — non, le RGPD ne s'applique pas. Par contre, si vous tenez un fichier clients papier en parallèle (même un petit cahier), ce fichier-là est soumis au RGPD. C'est le fichier qui est régulé, pas le tampon.

Prêt à moderniser la fidélisation de votre commerce ?

Demander une démo gratuite

Restez informé de nos actualités

Recevez nos dernières nouveautés, conseils et offres exclusives directement dans votre boîte mail.

Nous respectons votre vie privée. Pas de spam, désinscription à tout moment.