← Retour aux guides
légal

RGPD et gestion des données clients : obligations concrètes pour commerçants

Les obligations RGPD expliquées simplement pour les commerçants. Ce que vous devez vraiment faire, sans jargon juridique.

:::intro Le RGPD. Vous en avez entendu parler. Vous savez vaguement que ça concerne les données personnelles. Mais concrètement, qu'est-ce que ça change pour votre commerce ?

Bonne nouvelle : ce n'est pas aussi compliqué qu'on le dit. Mauvaise nouvelle : vous ne pouvez pas l'ignorer.

Voyons ensemble ce que vous devez vraiment faire. :::

Ce que vous collectez (sans forcément le savoir)

En tant que commerçant, vous manipulez des données personnelles quotidiennement :

  • Fichier clients : noms, emails, téléphones, adresses
  • Programme de fidélité : historique d'achats, préférences
  • Newsletter : emails des inscrits
  • Vidéosurveillance : images des clients (oui, c'est une donnée personnelle)
  • Site web : cookies, formulaires de contact

Tout ça, c'est du RGPD.

:::context

Les 6 principes à respecter

  1. Licéité — Vous avez une raison légitime de collecter (contrat, consentement...)
  2. Finalité — Vous savez pourquoi vous collectez et vous le dites
  3. Minimisation — Vous ne collectez que le nécessaire
  4. Exactitude — Les données sont à jour
  5. Limitation — Vous ne gardez pas indéfiniment
  6. Sécurité — Vous protégez contre les accès non autorisés :::

Les obligations concrètes

1. Informer vos clients

Quand vous collectez des données, le client doit savoir :

  • Qui collecte (vous)
  • Pourquoi (facturation, fidélité, newsletter...)
  • Combien de temps vous gardez
  • Ses droits (accès, rectification, suppression)

En pratique : Une mention sur vos formulaires, une page "Politique de confidentialité" sur votre site.

2. Obtenir le consentement (quand nécessaire)

Pour la newsletter : case à cocher non pré-cochée + confirmation.

Pour la fidélité : explication claire de ce que vous faites des données.

Pour la prospection commerciale : opt-in explicite.

:::warning

Attention

Les cases pré-cochées sont interdites. Le silence ou l'inaction ne valent pas consentement. :::

3. Tenir un registre des traitements

Un simple tableau qui liste :

  • Quelles données vous collectez
  • Pourquoi
  • Qui y a accès
  • Combien de temps vous les gardez

La CNIL propose un modèle gratuit. Remplissez-le une fois, mettez-le à jour si ça change.

4. Répondre aux demandes des clients

Un client peut vous demander :

  • Accès : "Quelles données avez-vous sur moi ?"
  • Rectification : "Mon adresse a changé"
  • Suppression : "Effacez tout"
  • Portabilité : "Donnez-moi mes données dans un format lisible"

Vous avez 1 mois pour répondre.

:::tips

Conseil pratique

Créez-vous un modèle de réponse pour chaque type de demande. Le jour où ça arrive, vous n'aurez qu'à personnaliser. :::

5. Sécuriser les données

Pas besoin d'être expert en cybersécurité. Les bases :

  • Mot de passe fort sur vos outils
  • Accès limité (tout le monde n'a pas besoin de tout voir)
  • Sauvegarde régulière
  • Mise à jour des logiciels

6. Signaler les violations

Si vous subissez une fuite de données (piratage, perte de fichier...), vous devez :

  • Prévenir la CNIL sous 72h si risque pour les personnes
  • Prévenir les personnes concernées si risque élevé

Les erreurs les plus fréquentes

:::insight

Ce que la CNIL constate souvent

  1. Newsletter sans consentement — Ajouter des clients sans leur demander
  2. Conservation illimitée — Garder des données de clients de 2010
  3. Sécurité négligée — Fichier Excel sur le bureau accessible à tous
  4. Pas de registre — "On fait quoi des données ? Aucune idée"
  5. Vidéosurveillance non déclarée — Les caméras aussi sont concernées :::

Le cas de la vidéosurveillance

Si vous avez des caméras dans votre commerce :

  • Panneau d'information visible à l'entrée
  • Pas de surveillance des salariés à leur insu
  • Conservation limitée (généralement 1 mois max)
  • Accès restreint aux images

Les sanctions (pour de vrai)

Pour une TPE de bonne foi qui fait des efforts, la CNIL privilégie l'accompagnement.

Les amendes astronomiques (jusqu'à 4% du CA) visent les grosses entreprises qui font n'importe quoi sciemment.

Mais attention : une plainte client peut déclencher un contrôle. Mieux vaut être en règle avant.

:::summary

Ce qu'il faut retenir

  • Vous collectez plus de données que vous ne pensez
  • 6 obligations : informer, consentement, registre, répondre aux demandes, sécuriser, signaler
  • Le registre des traitements est obligatoire (modèle CNIL gratuit)
  • Répondez aux demandes clients sous 1 mois
  • La vidéosurveillance est aussi concernée
  • La CNIL accompagne les TPE de bonne foi :::

Avez-vous un registre des traitements à jour ? Si non, c'est votre première action. 30 minutes suffisent pour le créer.

💼 Ce guide t'intéresse mais tu préfères ne pas t'en occuper toi-même ?

Chris Conseil t'aide à choisir les bons outils et les bons partenaires pour ton activité.

Découvrir Chris Conseil →
← Voir tous les guides