RGPD et gestion des données clients : obligations concrètes pour commerçants

Les obligations RGPD expliquées simplement pour les commerçants. Ce que vous devez vraiment faire, sans jargon juridique.

📅 03 January 2026
légal organisation

Le RGPD. Vous en avez entendu parler. Vous savez vaguement que ça concerne les données personnelles. Mais concrètement, qu'est-ce que ça change pour votre commerce ?

Bonne nouvelle : ce n'est pas aussi compliqué qu'on le dit. Mauvaise nouvelle : vous ne pouvez pas l'ignorer.

Voyons ensemble ce que vous devez vraiment faire.

Ce que vous collectez (sans forcément le savoir)

En tant que commerçant, vous manipulez des données personnelles quotidiennement :

  • Fichier clients : noms, emails, téléphones, adresses
  • Programme de fidélité : historique d'achats, préférences
  • Newsletter : emails des inscrits
  • Vidéosurveillance : images des clients (oui, c'est une donnée personnelle)
  • Site web : cookies, formulaires de contact

Tout ça, c'est du RGPD.

Les 6 principes à respecter

  1. Licéité — Vous avez une raison légitime de collecter (contrat, consentement...)
  2. Finalité — Vous savez pourquoi vous collectez et vous le dites
  3. Minimisation — Vous ne collectez que le nécessaire
  4. Exactitude — Les données sont à jour
  5. Limitation — Vous ne gardez pas indéfiniment
  6. Sécurité — Vous protégez contre les accès non autorisés

1. Informer vos clients

Quand vous collectez des données, le client doit savoir :
- Qui collecte (vous)
- Pourquoi (facturation, fidélité, newsletter...)
- Combien de temps vous gardez
- Ses droits (accès, rectification, suppression)

En pratique : Une mention sur vos formulaires, une page "Politique de confidentialité" sur votre site.

2. Obtenir le consentement (quand nécessaire)

Pour la newsletter : case à cocher non pré-cochée + confirmation.

Pour la fidélité : explication claire de ce que vous faites des données.

Pour la prospection commerciale : opt-in explicite.

⚠️

Attention

Les cases pré-cochées sont interdites. Le silence ou l'inaction ne valent pas consentement.

3. Tenir un registre des traitements

Un simple tableau qui liste :
- Quelles données vous collectez
- Pourquoi
- Qui y a accès
- Combien de temps vous les gardez

La CNIL propose un modèle gratuit. Remplissez-le une fois, mettez-le à jour si ça change.

4. Répondre aux demandes des clients

Un client peut vous demander :
- Accès : "Quelles données avez-vous sur moi ?"
- Rectification : "Mon adresse a changé"
- Suppression : "Effacez tout"
- Portabilité : "Donnez-moi mes données dans un format lisible"

Vous avez 1 mois pour répondre.

Conseil pratique

Créez-vous un modèle de réponse pour chaque type de demande. Le jour où ça arrive, vous n'aurez qu'à personnaliser.

5. Sécuriser les données

Pas besoin d'être expert en cybersécurité. Les bases :
- Mot de passe fort sur vos outils
- Accès limité (tout le monde n'a pas besoin de tout voir)
- Sauvegarde régulière
- Mise à jour des logiciels

6. Signaler les violations

Si vous subissez une fuite de données (piratage, perte de fichier...), vous devez :
- Prévenir la CNIL sous 72h si risque pour les personnes
- Prévenir les personnes concernées si risque élevé

Ce que la CNIL constate souvent

  1. Newsletter sans consentement — Ajouter des clients sans leur demander
  2. Conservation illimitée — Garder des données de clients de 2010
  3. Sécurité négligée — Fichier Excel sur le bureau accessible à tous
  4. Pas de registre — "On fait quoi des données ? Aucune idée"
  5. Vidéosurveillance non déclarée — Les caméras aussi sont concernées

Le cas de la vidéosurveillance

Si vous avez des caméras dans votre commerce :
- Panneau d'information visible à l'entrée
- Pas de surveillance des salariés à leur insu
- Conservation limitée (généralement 1 mois max)
- Accès restreint aux images

Les sanctions (pour de vrai)

Pour une TPE de bonne foi qui fait des efforts, la CNIL privilégie l'accompagnement.

Les amendes astronomiques (jusqu'à 4% du CA) visent les grosses entreprises qui font n'importe quoi sciemment.

Mais attention : une plainte client peut déclencher un contrôle. Mieux vaut être en règle avant.

Ce qu'il faut retenir

  • Vous collectez plus de données que vous ne pensez
  • 6 obligations : informer, consentement, registre, répondre aux demandes, sécuriser, signaler
  • Le registre des traitements est obligatoire (modèle CNIL gratuit)
  • Répondez aux demandes clients sous 1 mois
  • La vidéosurveillance est aussi concernée
  • La CNIL accompagne les TPE de bonne foi

Avez-vous un registre des traitements à jour ? Si non, c'est votre première action. 30 minutes suffisent pour le créer.