RGPD : le fichier client d'un commerce en règle
Ce que le RGPD exige vraiment d'un fichier client : bases légales, durées CNIL, mentions interdites, registre, avec 2,25 M€ d'amende Carrefour à l'appui.
Une cliente quitte votre atelier et vous tapez trois lignes dans sa fiche : l'ampli déposé, le devis accepté, son adresse e-mail. Puis le doute : a-t-on seulement le droit de garder ça ? Ce que les commerçants croient savoir du RGPD est faux dans les deux sens : le consentement n'est pas requis pour tout, et les petites boutiques ne sont pas dispensées de paperasse. Les vraies règles sont plus permissives que le mythe et plus précises que l'à-peu-près. Les voici, avec les décisions de la CNIL qui montrent comment elles s'appliquent.
Le consentement n'est pas la base légale du fichier client
Tenir un fichier de ses clients n'exige pas leur consentement. Le consentement n'est qu'une des bases légales prévues par l'article 6 du RGPD, et le fichier d'un commerce repose normalement sur deux autres : l'exécution du contrat (la vente, la réparation, la garantie) et l'intérêt légitime pour l'historique de la relation. « A acheté la Telecaster, cherche un étui rigide » ne demande aucune signature.
Pour les données ordinaires d'un fichier client, le consentement n'entre que par une porte : la prospection. Les règles de la CNIL sur la prospection par courrier électronique exigent un accord préalable pour l'e-mail promotionnel aux particuliers (libre, spécifique, éclairé, jamais de case pré-cochée), avec une exception que toute boutique doit connaître : on peut écrire à ses clients existants pour des produits ou services similaires de sa propre enseigne, avec une désinscription possible à chaque envoi. Existant veut dire qui a acheté ; un compte créé sans commande ne suffit pas. La fiche ne demande donc aucun consentement ; la lettre d'information, si, le plus souvent.
Combien de temps conserver les données clients sous le RGPD ?
Le RGPD lui-même ne donne aucun chiffre : les données se conservent « pas plus longtemps que nécessaire » (limitation de la conservation, article 5). C'est la CNIL qui a transformé le principe en repères dans son référentiel de 2022 sur la gestion commerciale : trois ans pour les prospects, la relation plus trois ans pour les clients, dix ans pour les factures.
| Données | Durée | Point de départ du délai |
|---|---|---|
| Prospect qui n'a jamais acheté | 3 ans | La collecte, ou son dernier contact (un clic dans un e-mail compte) |
| Client | La relation, plus 3 ans | La fin de la relation commerciale |
| Factures | 10 ans en archivage à accès restreint, obligation du code de commerce d'après les durées de conservation CNIL | L'émission de la facture |
Ces repères ne sont pas contraignants ; la foire aux questions de la CNIL précise qu'on peut s'en écarter, à condition de justifier l'écart. Tout garder pour toujours est la seule politique qui ne se justifie jamais. En 2020, la CNIL a infligé 2,25 millions d'euros d'amende à Carrefour France (délibération SAN-2020-008), notamment pour la conservation : plus de 28 millions de membres du programme de fidélité inactifs depuis cinq à dix ans, comme l'a rapporté Lefebvre Dalloz. La décision publiée est anonymisée (pratique CNIL habituelle après la période de publicité) ; c'est pourquoi le nom vient d'une source de presse.
Ce qu'on n'écrit jamais dans une fiche
Deux familles de mentions transforment un fichier utile en passif : les données sensibles, et les commentaires qu'on n'assumerait pas face au client. L'article 9 du RGPD interdit de traiter les données révélant la santé, la religion, l'origine ethnique, les opinions politiques, l'appartenance syndicale, la vie ou l'orientation sexuelle. L'interdit vaut par défaut ; hors exceptions étroites comme le consentement explicite du client, aucune finalité commerciale ne le lève.
La zone de commentaires est l'endroit où les boutiques dérapent sans s'en apercevoir. En 2015, la CNIL a mis une enseigne d'électroménager en demeure après avoir relevé 5 828 commentaires non pertinents dans sa base clients ; la décision n° 2015-063 cite mot pour mot des mentions comme « CLIENT TRES CON » ou « CLIENTE DE CONFESSION JUIVE ». Cette décision-là aussi est aujourd'hui anonymisée ; l'enseigne était Boulanger, comme l'a rapporté Next à l'époque. Chaque ligne était de la sténo de comptoir : soit une donnée sensible collectée illégalement, soit une remarque que le client avait parfaitement le droit de lire.
Un test tranche le reste : tout ce qui figure dans une fiche est communicable, puisque le client peut en demander copie et l'obtenir. Écrivez des faits datés (acheté, promis, réparé, remboursé) et le test se passe tout seul.
Le registre : les petites boutiques n'en sont pas dispensées
Une boutique de trois salariés doit tenir un registre des activités de traitement. L'article 30.5 du RGPD ressemble à une exemption pour les structures de moins de 250 salariés, mais il ne couvre que les traitements occasionnels, et le fichier client est le cas d'école du traitement non occasionnel. La page registre de la CNIL cite la gestion des clients parmi les traitements à inscrire quel que soit l'effectif. La plupart des guides pour TPE affirment le contraire ; ils ont tort.
La bonne nouvelle, c'est l'échelle. Pour un commerce, le registre tient dans un tableur court, avec quelques lignes par activité : à quoi sert le traitement, quelles données, qui y accède, combien de temps on les garde. La CNIL publie un modèle simplifié gratuit au format ODS. Le remplir prend une après-midi, et c'est le moment où l'on choisit ses durées de conservation au lieu d'hériter des réglages du logiciel.
Un mois pour répondre à une demande d'accès ou d'effacement
Quand un client demande ce que vous détenez sur lui, l'article 12.3 du RGPD vous laisse un mois pour répondre, prolongeable de deux mois pour les demandes complexes à condition de le signaler dans le premier mois ; la première copie est gratuite, rappelle la fiche CNIL pour les professionnels.
L'effacement obéit au même délai d'un mois, avec une limite à expliquer au comptoir : les données marketing partent sur demande, mais les factures sous obligation décennale restent en archivage restreint, car l'effacement ne prime pas sur une obligation légale de conservation. Dites au client ce que vous avez supprimé et ce que la loi vous impose de garder. Et n'attendez pas de papier à en-tête : deux lignes d'e-mail suffisent.
Des événements datés plutôt qu'un bloc de notes
Rien de tout cela n'exige un logiciel. Mais la forme de la fiche décide si rester en règle est un filtre ou un chantier de fouilles. Un historique tenu en événements datés et factuels, du type « 3 mars, achat de l'ampli » ou « 12 juin, retrait de la réparation », est structurellement plus facile à garder licite qu'un long bloc de notes.
Trois mécanismes font le travail. La purge : le délai de trois ans court à compter du dernier contact, donc avec des événements la purge est une requête sur la date de la dernière entrée de chaque client, alors qu'avec un bloc de notes personne ne sait dire quand la relation s'est terminée. Filtrer les contacts dont le dernier événement remonte à plus de trois ans, relire, supprimer : une minute, parce que chaque entrée porte une date. Les commentaires : le dérapage Boulanger illustre le défaut de conception du texte libre, une zone de commentaires appelle des opinions là où un événement demande ce qui s'est passé, et quand. L'accès : la demande devient l'export d'une chronologie, pas une relecture inquiète d'années de remarques.
C'est le modèle sur lequel repose Historis, le CRM de suivi client conçu pour les commerçants : chaque entrée est un événement daté sur la chronologie d'une personne, chaque écriture, humaine ou IA, est attribuée et traçable, et les données restent sur une infrastructure hébergée en Union européenne. Aucun outil ne vous rend conforme ; ces décisions restent les vôtres. Mais la structure transforme la purge en requête plutôt qu'en projet.
Pourquoi ça compte
Le fichier client est le premier actif du commerce. Un fichier aux bases légales connues, aux durées décidées et aux mentions factuelles est simplement un meilleur fichier : interrogeable, exportable, défendable, prêt pour le jour où un client, un comptable ou un repreneur demande à le voir. Répondez « voici tout ce que nous détenons sur vous, daté » dans la semaine, et vous aurez montré le soin qui fait revenir les gens.
Ceci est une information générale sur les règles européennes et françaises, pas un conseil juridique. Pour une situation précise, parlez-en à un avocat ou à la CNIL.
À lire aussi : pourquoi un client doit signifier une seule fiche, et qui peut voir une fiche au sein de votre équipe.
Questions fréquentes
- Faut-il le consentement du client pour tenir un fichier client ?
- Non. Le RGPD prévoit six bases légales et le consentement n'en est qu'une : un fichier client repose sur l'exécution du contrat et l'intérêt légitime. Le consentement ne devient obligatoire que pour la prospection par e-mail auprès des particuliers ; et encore, la CNIL admet une exception : on peut écrire à ses clients existants pour des produits ou services similaires, avec un lien de désinscription dans chaque message.
- Combien de temps un commerce peut-il conserver les données de ses clients ?
- Le RGPD ne fixe aucune durée chiffrée, seulement « pas plus longtemps que nécessaire ». La CNIL donne des repères dans son référentiel 2022 : trois ans pour les prospects à compter de leur collecte ou de leur dernier contact, la relation commerciale plus trois ans pour les clients, dix ans pour les factures en archivage restreint. La sanction Carrefour France de 2020 (2,25 millions d'euros, notamment pour 28 millions de fiches de fidélité inactives) prouve que la règle s'applique.
- Que n'a-t-on pas le droit d'écrire dans une fiche client ?
- Les données sensibles de l'article 9 (santé, religion, origine ethnique, opinions politiques, appartenance syndicale, orientation sexuelle) sont interdites par défaut ; hors exceptions étroites comme le consentement explicite, aucune finalité commerciale ne lève l'interdiction. Les commentaires excessifs ou insultants sont l'autre piège : la CNIL a mis Boulanger en demeure en 2015 après avoir relevé 5 828 commentaires excessifs dans sa base clients. Le test pratique : le client peut demander copie de tout ce que vous avez écrit.
- Une boutique de moins de 250 salariés doit-elle tenir un registre des traitements ?
- Oui, pour son fichier client. L'article 30.5 du RGPD n'exempte les structures de moins de 250 salariés que pour les traitements occasionnels, et la gestion des clients est le cas d'école du traitement non occasionnel : la CNIL la cite parmi les traitements à inscrire au registre, quelle que soit la taille. Elle publie d'ailleurs un modèle simplifié gratuit (format ODS) : pour une boutique, quelques lignes par activité suffisent.