RGPD et carte de fidélité : le guide conformité 2026
Carte de fidélité et RGPD : contrat ou consentement, profilage des achats, durée de conservation (3 ans), partage entre enseignes. Guide pratique 2026.
- Trois traitements, trois bases légales distinctes
- Le socle contractuel : gérer le programme
- Le profilage des achats : consentement obligatoire
- Prospection commerciale : ne pas confondre les canaux
- Durées de conservation : la règle des 3 ans
- Partage entre enseignes : le point noir
- Erreurs fréquentes et risques de sanction
- FAQ
L’essentiel. Un programme de fidélité mélange trois traitements qu’il faut distinguer : gérer les points et avantages (base légale = exécution du contrat), profiler les achats pour du marketing ciblé et prospecter (base légale = consentement), partager les données entre enseignes (consentement spécifique et information claire). La CNIL admet une conservation des données en base « active » tant que le client reste actif, puis un archivage passé un délai d’inactivité de l’ordre de 3 ans après le dernier achat ou contact. Confondre ces couches — tout fonder sur le contrat, ou tout sur le consentement — est l’erreur la plus fréquente et la plus sanctionnable.
La carte de fidélité est l’un des traitements de données les plus répandus dans le commerce, et l’un des plus mal encadrés. Dans ma pratique de conseil auprès d’enseignes et de e-commerçants, je constate que le programme de fidélité est souvent conçu par le marketing sans arbitrage juridique préalable : on demande la date de naissance « pour offrir un cadeau », on active un profilage des achats par défaut, on partage les données avec des partenaires, et on conserve tout indéfiniment « au cas où ». Chacune de ces décisions, prise isolément, crée une non-conformité.
Ce guide décompose le programme de fidélité en briques juridiques autonomes, parce que c’est la seule manière de choisir la bonne base légale pour chacune. Un même client peut relever du contrat pour ses points et du consentement pour son profilage : ce n’est pas une subtilité, c’est la structure même de la conformité d’un programme de fidélité.
Trois traitements, trois bases légales distinctes
L’erreur de raisonnement consiste à se demander « quelle est la base légale de ma carte de fidélité ? ». La bonne question est : « quelles sont les finalités poursuivies, et quelle base légale pour chacune ? ». Le principe de finalité impose ce découpage.
| Finalité | Données concernées | Base légale (art. 6) |
|---|---|---|
| Gérer l’adhésion, cumuler et utiliser les points/avantages | Identité, historique de fidélité, solde de points | Exécution du contrat — art. 6(1)(b) |
| Analyser les achats pour personnaliser offres et communications | Historique d’achats détaillé, préférences, profilage | Consentement — art. 6(1)(a) |
| Prospecter par e-mail / SMS | Coordonnées électroniques | Consentement — art. 6(1)(a) + CPCE |
| Partager les données avec d’autres enseignes / partenaires | Profil, coordonnées | Consentement spécifique — art. 6(1)(a) |
Le fil directeur du choix de la base légale RGPD : ce qui est strictement nécessaire pour rendre le service demandé par le client (accumuler et dépenser des points) relève du contrat ; tout ce qui va au-delà — analyser finement ses comportements, lui envoyer de la publicité, transmettre ses données à des tiers — exige son consentement.
Le socle contractuel : gérer le programme
Lorsqu’un client adhère à une carte de fidélité, il conclut un contrat : en échange de son inscription et de ses achats, il obtient des avantages. Les données strictement nécessaires à ce mécanisme — identité, numéro d’adhérent, solde de points, historique des avantages utilisés — peuvent être traitées sur la base de l’exécution du contrat, prévue par l’article 6 du RGPD.
Deux garde-fous, ici :
- La minimisation. Le principe de minimisation des données interdit de collecter, sur le fondement du contrat, des données non indispensables au programme. La date de naissance, le foyer, les centres d’intérêt ne sont pas nécessaires pour cumuler des points : ils relèvent d’un autre fondement (consentement) et d’une autre finalité (personnalisation).
- L’information. Même sur base contractuelle, le client doit recevoir une information claire au moment de l’adhésion, conforme aux bonnes pratiques de l’article 12 : finalités, durées, destinataires, droits.
En clair : l’adhésion contractuelle justifie le « minimum vital » de la fidélité, pas la connaissance marketing approfondie du client.
Le profilage des achats : consentement obligatoire
C’est le cœur de la valeur d’un programme de fidélité pour l’enseigne — et le point le plus sensible juridiquement. Analyser l’historique d’achats pour segmenter les clients, prédire leurs besoins, déclencher des offres personnalisées constitue un profilage. Ce traitement ne peut pas se rattacher à l’exécution du contrat : le client peut parfaitement bénéficier de sa carte sans être profilé. Il repose donc sur le consentement RGPD, qui doit être libre, spécifique, éclairé et univoque.
Concrètement :
- Une case décochée par défaut, distincte de l’adhésion. Conditionner l’obtention de la carte à l’acceptation du profilage vicie le consentement (défaut de liberté).
- Une information dédiée sur ce que recouvre le profilage : quelles données, pour quelles offres, avec quelle logique.
- Un retrait aussi simple que l’octroi : le client doit pouvoir désactiver le profilage à tout moment.
- Un droit d’opposition au profilage à des fins de marketing, à honorer sans condition (voir le droit d’opposition).
Le modèle de recueil du consentement RGPD et la distinction opt-in / opt-out sont ici des références directes : la prospection et le profilage marketing relèvent de l’opt-in.
Faut-il craindre l’article 22 du RGPD sur les décisions automatisées ? En principe non : un profilage marketing classique ne produit pas d’« effet juridique » ni d’effet « significatif » comparable au refus d’un crédit. Mais si le programme conditionne des avantages majeurs à un scoring entièrement automatisé, une analyse spécifique s’impose.
Prospection commerciale : ne pas confondre les canaux
La prospection par voie électronique (e-mail, SMS) obéit à une règle propre, issue du Code des postes et des communications électroniques (art. L.34-5 CPCE) : le consentement préalable est le principe pour les particuliers. Une adhésion à une carte de fidélité ne vaut pas, à elle seule, consentement à recevoir des offres commerciales par e-mail. Il faut un recueil distinct.
Une exception encadre le cas du client existant : la sollicitation par e-mail est possible sans consentement préalable si elle porte sur des produits ou services analogues à ceux déjà achetés, et si le client a pu s’y opposer facilement au moment de la collecte comme à chaque envoi. Les règles détaillées de la prospection commerciale RGPD doivent être maîtrisées avant tout envoi. La prospection téléphonique et postale suit d’autres modalités (intérêt légitime possible, avec droit d’opposition et respect de Bloctel pour le téléphone).
Ma recommandation pratique : dissociez toujours, dans le formulaire d’adhésion, (1) l’adhésion elle-même, (2) le consentement au profilage, (3) le consentement à la prospection électronique. Trois cases, trois finalités, trois traçabilités.
Durées de conservation : la règle des 3 ans
La question qui revient le plus souvent : combien de temps garder les données d’un adhérent ? La logique de la CNIL, cohérente avec le principe de temporalité, repose sur la distinction base active / base intermédiaire.
- Base active : tant que le client est actif, c’est-à-dire tant que la relation se poursuit (achats, utilisation des points, interactions).
- Passage en inactivité : la CNIL retient classiquement un seuil de l’ordre de 3 ans après le dernier achat ou le dernier contact pour considérer un client de fidélité comme inactif au regard de la prospection. Au-delà, les données ne doivent plus servir à des fins de sollicitation active.
- Archivage intermédiaire : certaines données peuvent être archivées au-delà pour répondre à des obligations légales (comptables, fiscales) ou à la gestion d’un contentieux, avec un accès restreint.
- Suppression / anonymisation au terme de ces délais.
| Étape | Durée indicative | Finalité |
|---|---|---|
| Base active | Durée de la relation | Gestion de la fidélité, marketing |
| Inactivité | Dernier achat/contact + ~3 ans | Réactivation avant suppression |
| Archivage | Selon obligations légales | Preuve, comptabilité |
| Suppression / anonymisation | Au terme | — |
Ces durées doivent être formalisées : le tableau des durées de conservation est l’outil de référence pour figer, finalité par finalité, la politique du programme. Un point de vigilance récurrent : le compte de fidélité ne doit pas devenir un prétexte à conserver éternellement l’historique d’achats détaillé « pour le profilage ».
Partage entre enseignes : le point noir
Les programmes de fidélité mutualisés (coalitions d’enseignes, partenariats, cartes multi-marques) transfèrent les données de l’adhérent à des tiers. C’est un traitement à part entière, qui exige :
- Un consentement spécifique au partage, distinct des autres consentements. « Nos partenaires » n’est pas une information suffisante.
- L’identification des destinataires ou, à défaut, des catégories de destinataires précises, dans l’information délivrée au client.
- La qualification des rôles : responsables conjoints, responsables indépendants, ou relation responsable/sous-traitant selon l’architecture. Chaque scénario appelle un encadrement contractuel différent.
- La possibilité de refuser le partage sans perdre le bénéfice de la carte.
Dans les dossiers de coalitions que j’ai audités, la faiblesse est presque toujours au même endroit : un consentement global, opaque, qui ne permet pas au client de comprendre à qui ses données sont transmises ni pour quoi faire. C’est précisément ce que la CNIL sanctionne.
Erreurs fréquentes et risques de sanction
- Tout fonder sur le contrat, y compris le profilage et la prospection — la base légale la plus fréquemment invalidée.
- Consentement forcé : cocher le profilage par défaut ou conditionner la carte à son acceptation.
- Collecte excessive à l’adhésion (date de naissance, composition du foyer) sans finalité justifiée.
- Conservation indéfinie de l’historique d’achats détaillé.
- Partage opaque entre enseignes sans consentement spécifique ni identification des destinataires.
- Absence de purge des clients inactifs au-delà du délai de 3 ans.
Les sanctions RGPD à connaître rappellent que le secteur du commerce et de la prospection est régulièrement contrôlé par la CNIL ; le suivi de l’actualité RGPD 2026 confirme que les manquements sur les bases légales et les durées de conservation restent des motifs de mise en demeure et d’amende. Inscrire chaque brique du programme au registre des traitements est le point de départ d’une remise à plat.
Structurer un programme de fidélité multi-finalités, tracer les consentements et automatiser les purges à l’échéance est chronophage à la main ; un logiciel RGPD permet d’industrialiser le registre, la cartographie des durées et la traçabilité des consentements.
FAQ
Puis-je fonder toute ma carte de fidélité sur l’exécution du contrat ?
Non. Seul le mécanisme strictement nécessaire au service demandé — cumuler et utiliser des points, gérer l’adhésion — peut reposer sur le contrat. Le profilage des achats, la prospection électronique et le partage avec des tiers ne sont pas nécessaires pour bénéficier de la carte : ils exigent le consentement du client, recueilli séparément. Tout fonder sur le contrat est l’erreur la plus fréquemment sanctionnée sur ce type de traitement.
Combien de temps puis-je conserver les données d’un adhérent inactif ?
La CNIL retient classiquement un seuil de l’ordre de 3 ans après le dernier achat ou le dernier contact pour considérer un client de fidélité comme inactif au regard de la prospection. Au-delà, les données ne doivent plus servir à des sollicitations actives et doivent être supprimées ou anonymisées, sauf archivage justifié par une obligation légale (comptable, fiscale) ou un contentieux, avec accès restreint.
Dois-je demander le consentement pour analyser les achats de mes clients ?
Oui, dès lors que cette analyse dépasse la simple gestion des points et vise à personnaliser des offres ou communications. Le profilage marketing repose sur le consentement, recueilli par une case décochée par défaut, distincte de l’adhésion, avec une information claire sur la logique du profilage et un droit de retrait aussi simple que l’octroi. Le client doit pouvoir refuser le profilage sans perdre le bénéfice de sa carte.
La prospection par e-mail est-elle automatique dès l’adhésion ?
Non. L’adhésion à une carte de fidélité ne vaut pas consentement à recevoir des e-mails commerciaux. La prospection électronique auprès des particuliers suppose en principe un consentement préalable distinct (art. L.34-5 CPCE). Une exception encadrée existe pour les clients existants sollicités sur des produits analogues, à condition qu’ils aient pu s’y opposer facilement. Dissociez toujours l’adhésion et le consentement à la prospection.
Puis-je partager les données de fidélité avec des enseignes partenaires ?
Uniquement avec un consentement spécifique au partage, distinct des autres consentements, et une information identifiant les destinataires ou au moins des catégories précises. Une formule vague comme « nos partenaires » ne suffit pas. Le client doit pouvoir refuser le partage sans perdre le bénéfice de sa carte, et les rôles de chaque enseigne (responsables conjoints, indépendants, sous-traitant) doivent être encadrés contractuellement.
Le profilage de fidélité relève-t-il de l’article 22 sur les décisions automatisées ?
En général non : un profilage marketing classique ne produit pas d’effet juridique ni d’effet significatif comparable, par exemple, au refus d’un crédit. Il reste toutefois soumis à la transparence et au droit d’opposition. Une analyse spécifique s’impose si le programme conditionne des avantages majeurs à un scoring entièrement automatisé, susceptible d’affecter significativement le client : l’encadrement de l’article 22 pourrait alors s’appliquer.
Cet article fournit une analyse à titre documentaire et ne constitue pas un conseil juridique individualisé. Adaptez le découpage des finalités et les durées de conservation à l’architecture réelle de votre programme de fidélité, et faites valider votre dispositif avant déploiement.