Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 5 juillet 2026
Marketing Digital

RGPD influenceur : le guide de conformité 2026

Influenceur et RGPD : responsable de traitement, jeux-concours, données de mineurs, cookies d'affiliation. Le guide pratique anti-sanction CNIL.

La loi du 9 juin 2023 sur les influenceurs a monopolisé l’attention avec ses mentions « publicité » et « collaboration commerciale ». Mais un angle mort persiste : dès qu’un influenceur collecte une adresse e-mail, fait tirer un jeu-concours ou pose un pixel de suivi sur un lien affilié, il devient responsable d’un traitement de données personnelles au sens du RGPD. Et là, ce n’est plus la DGCCRF qui sanctionne, c’est la CNIL.

Dans mon expérience de conseil, les créateurs de contenu — comme leurs agences — confondent deux réglementations qui se cumulent : le droit de la consommation (transparence publicitaire) et le droit des données (protection des abonnés). Voici comment mettre votre activité d’influence en conformité RGPD, concrètement.

L’influenceur est un responsable de traitement

Le point de départ est juridique et non négociable. Dès lors que vous déterminez « les finalités et les moyens » d’un traitement de données, vous êtes responsable de traitement au sens de l’Art. 4(7) du RGPD. Un influenceur qui gère une communauté ne fait pas que « publier du contenu » : il collecte, stocke et exploite des données personnelles à des fins commerciales.

Concrètement, sont concernées :

  • les adresses e-mail collectées via un formulaire de newsletter, un lien Linktree ou une page de capture ;
  • les données saisies lors d’un jeu-concours (nom, e-mail, ville, parfois date de naissance) ;
  • les commentaires, messages privés et interactions conservés au-delà de la plateforme ;
  • les données de suivi générées par les liens d’affiliation, codes promo nominatifs et pixels publicitaires ;
  • les fichiers de contacts constitués pour la prospection commerciale ou le placement de produits.

Ce statut de responsable de traitement déclenche l’ensemble des obligations du RGPD : base légale, information, sécurité, respect des droits. Le fait d’exercer via une société unipersonnelle ou en nom propre ne change rien : le seuil de déclenchement du RGPD n’est pas une question de taille, c’est une question de finalité.

La base légale : le consentement domine

Chaque traitement doit reposer sur l’une des six bases légales de l’Article 6 RGPD. Pour l’activité d’influence, deux se distinguent.

Le consentement (Art. 6(1)(a)) s’impose pour toute collecte à visée marketing directe : inscription à une newsletter, réutilisation d’e-mails de jeu-concours pour envoyer des offres, dépôt de traceurs publicitaires. Le consentement doit être libre, spécifique, éclairé et univoque — une case pré-cochée ne vaut rien. Sur ce point, je renvoie à mon analyse détaillée du consentement RGPD valable : la charge de la preuve pèse sur vous.

L’intérêt légitime (Art. 6(1)(f)) peut fonder certains traitements internes (mesure d’audience non intrusive, gestion des partenariats), mais il exige un triple test documenté et ne couvre jamais la prospection par e-mail vers des personnes qui ne sont pas déjà clientes. Ne l’invoquez pas par défaut pour éviter de recueillir un consentement : la CNIL requalifie régulièrement ce type de montage.

Jeux-concours : le piège de la réutilisation

Le jeu-concours est le mode de collecte roi chez les influenceurs. C’est aussi le plus mal sécurisé juridiquement. Trois règles pratiques :

Informez au moment de la collecte. L’Art. 13 du RGPD impose de préciser, dès le formulaire, qui est responsable, pourquoi les données sont collectées, combien de temps elles sont conservées et comment exercer ses droits. Un simple « participez en commentaire » ne suffit pas dès que vous récupérez des e-mails.

Ne détournez pas la finalité. Collecter des adresses « pour tirer au sort le gagnant » puis les verser dans une base de prospection est un détournement de finalité. Si vous voulez réutiliser ces e-mails pour du marketing, il faut une case de consentement distincte et facultative — la participation au jeu ne peut pas être conditionnée à l’acceptation de la prospection.

Purgez après l’opération. Les données des non-gagnants doivent être supprimées à l’issue du concours, sauf consentement marketing explicite. Conserver « au cas où » est précisément ce que la CNIL sanctionne au titre de la durée de conservation.

Cette logique rejoint les règles générales de la prospection commerciale RGPD, où la CNIL a déjà prononcé des amendes à six chiffres pour réutilisation non consentie de fichiers.

Données des mineurs : le point le plus sensible

Une grande partie des audiences d’influence — mode, gaming, beauté, lifestyle — est composée de mineurs. C’est le sujet où le risque juridique et réputationnel est maximal.

En France, l’Art. 8 du RGPD combiné à l’article 45 de la loi Informatique et Libertés fixe à 15 ans l’âge à partir duquel un mineur peut consentir seul à un traitement dans le cadre d’une offre de services en ligne. En deçà, le consentement doit être recueilli auprès du titulaire de l’autorité parentale, ce qui est en pratique très difficile à sécuriser pour un influenceur.

Recommandations concrètes : évitez de collecter des données auprès d’un public que vous savez majoritairement mineur ; n’organisez pas de jeux-concours demandant des données personnelles à des enfants de moins de 15 ans sans mécanisme de vérification parentale ; bannissez tout profilage publicitaire ciblant les mineurs, que la CNIL considère comme particulièrement intrusif. Si votre communauté est jeune, documentez les mesures prises — c’est la première chose qu’un contrôle examinera.

Cookies, pixels et liens d’affiliation

L’affiliation repose sur du traçage. Un lien affilié, un pixel Meta ou TikTok, un tag de mesure : ce sont des traceurs soumis à l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy) et aux lignes directrices cookies de la CNIL.

La règle : tout traceur non strictement nécessaire au service exige le consentement préalable de l’internaute, recueilli via un bandeau conforme avant tout dépôt. Si vous exploitez un site ou une page de capture, vous devez déployer une gestion du consentement (CMP) au même titre qu’un e-commerçant. Le fait que le traceur appartienne à la plateforme d’affiliation ne vous exonère pas : vous êtes souvent co-responsable de la collecte que vous déclenchez sur votre propre audience.

Loi influenceurs 2023 et RGPD : deux logiques à ne pas confondre

Il faut distinguer clairement les deux corpus, car ils ne protègent pas la même chose et n’ont pas le même gendarme.

La loi n° 2023-451 du 9 juin 2023, modifiée par l’ordonnance n° 2024-978 du 6 novembre 2024, relève du droit de la consommation. Elle impose la transparence commerciale : mention « Publicité » ou « Collaboration commerciale » sur les contenus sponsorisés, mention « Images retouchées » ou « Images virtuelles » le cas échéant, encadrement du contrat entre l’influenceur et l’annonceur. Son autorité de contrôle est la DGCCRF, avec des sanctions pouvant atteindre deux ans d’emprisonnement et 300 000 € d’amende.

Le RGPD relève du droit des données personnelles. Il protège les abonnés dont vous traitez les informations. Son autorité de contrôle est la CNIL, avec des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Un influenceur parfaitement conforme à la loi de 2023 peut donc être totalement hors des clous du RGPD, et inversement. Les deux se cumulent.

Agences, plateformes et transferts hors UE

Deux angles morts fréquents chez les créateurs qui se structurent.

D’abord la sous-traitance. Si vous confiez la gestion de votre communauté ou de vos campagnes à une agence d’influence, à un outil d’e-mailing ou à une plateforme d’affiliation qui traite des données pour votre compte, l’Article 28 RGPD impose un contrat de sous-traitance encadrant leurs obligations. Sans ce contrat, la responsabilité en cas d’incident remonte directement vers vous.

Ensuite les transferts hors Union européenne. Instagram, TikTok, YouTube et les régies publicitaires associées transfèrent des données vers les États-Unis. Ces transferts doivent être encadrés (décision d’adéquation, clauses contractuelles types). Vous ne maîtrisez pas les flux internes de ces plateformes, mais vous devez en informer votre audience dans votre politique de confidentialité — un document que trop peu d’influenceurs publient réellement.

Pour cartographier l’ensemble de ces traitements, le réflexe reste le registre des activités de traitement. C’est exactement le type de travail de cartographie et de suivi que Legiscope automatise pour les petites structures qui n’ont pas de DPO dédié.

Ce qu’il faut retenir

  • Dès qu’un influenceur collecte des e-mails, organise un jeu-concours ou pose un traceur, il est responsable de traitement au sens de l’Art. 4(7) du RGPD, avec toutes les obligations qui en découlent.
  • Le consentement (Art. 6(1)(a)) est la base légale de référence pour le marketing ; l’intérêt légitime ne couvre jamais la prospection par e-mail non sollicitée.
  • Les jeux-concours ne permettent pas de constituer une base de prospection : il faut une case de consentement distincte et une purge des non-gagnants.
  • Les données des mineurs sont le point le plus risqué : en France, le consentement seul n’est valable qu’à partir de 15 ans (Art. 8 RGPD + article 45 LIL).
  • La loi influenceurs de 2023 (DGCCRF, transparence commerciale) et le RGPD (CNIL, données personnelles) se cumulent et ne se substituent pas.

FAQ

Un influenceur doit-il tenir un registre RGPD ?

Oui dès qu’il traite des données de façon non occasionnelle, ce qui est le cas de tout créateur gérant une newsletter, des jeux-concours ou de l’affiliation. L’exemption de l’Art. 30(5) pour les structures de moins de 250 personnes ne s’applique pas aux traitements réguliers ou à risque. En pratique, un registre est indispensable pour prouver sa conformité.

Peut-on réutiliser les e-mails d’un jeu-concours pour envoyer des offres ?

Seulement si les participants ont donné un consentement distinct et facultatif pour recevoir de la prospection, séparé de la participation au concours. Sans cette case dédiée, réutiliser les adresses constitue un détournement de finalité sanctionnable par la CNIL. Les données des non-gagnants doivent sinon être supprimées après l’opération.

Quelle différence entre la loi influenceurs de 2023 et le RGPD ?

La loi du 9 juin 2023 encadre la transparence publicitaire (mentions « Publicité », « Images retouchées ») et relève de la DGCCRF au titre du droit de la consommation. Le RGPD protège les données personnelles des abonnés et relève de la CNIL. Un influenceur doit respecter les deux, qui poursuivent des objectifs différents.

Que risque un influenceur en cas de non-conformité RGPD ?

Les sanctions RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Pour un créateur individuel, le risque le plus réaliste reste la mise en demeure de la CNIL, une amende proportionnée et le préjudice réputationnel — particulièrement lourd quand des données de mineurs sont en cause.


Recevez nos analyses conformité chaque semaine. Décryptages RGPD, décisions CNIL et guides pratiques pour les professionnels du digital — inscrivez-vous à la newsletter.