Le RGPD s'applique-t-il à un petit commerce sans site e-commerce ?

Oui. Le RGPD s'applique à toute structure qui traite des données personnelles, quelle que soit sa taille. Une boutique sans site collecte souvent déjà des données via la caisse, la fidélité, les devis, les livraisons, les dossiers salariés ou la vidéosurveillance.

Un commerçant peut-il envoyer une newsletter à ses clients ?

Oui, mais pas dans tous les cas de la même manière. Pour des prospects, l'accord préalable est généralement requis. Pour ses propres clients, un commerçant peut dans certains cas promouvoir des produits ou services analogues, à condition d'informer clairement et de permettre une opposition simple à chaque envoi.

Combien de temps conserver les données d'un programme de fidélité ?

Il faut fixer une durée utile et documentée. En pratique, la CNIL recommande souvent trois ans à compter de la fin de la relation commerciale pour la prospection, ou trois ans après le dernier contact pour un prospect. Les images de vidéosurveillance sont en général conservées un mois maximum, sauf procédure particulière.

Que faire si un ordinateur de caisse ou un fichier client est compromis ?

Il faut qualifier rapidement l'incident, limiter son impact, conserver les preuves utiles et décider s'il s'agit d'une violation de données personnelles. Si la violation présente un risque pour les personnes, elle doit être notifiée à la CNIL dans les 72 heures. En cas de risque élevé, les personnes concernées doivent également être informées.

RGPD pour les commerçants : guide complet 2024

01 Introduction

Pourquoi le RGPD s'applique aussi aux petits commerçants

Le RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. En pratique, un petit commerce n'est presque jamais "hors sujet": il conserve au minimum des coordonnées de clients, des contacts fournisseurs, des données salariés ou des images vidéo liées à la sécurité du magasin.

Aucune exemption de taille

Le réflexe à corriger

Beaucoup de commerçants pensent encore que le RGPD concerne surtout les sites e-commerce ou les bases marketing massives. Pourtant, une simple carte de fidélité, un agenda de rendez-vous, une réservation téléphonique ou un devis nominatif suffisent à faire entrer votre activité dans le champ du règlement.

Un nom, un téléphone, une adresse e-mail ou une image vidéo peuvent déjà être des données personnelles.
Le RGPD couvre aussi les données des salariés, des candidats et des interlocuteurs fournisseurs.
La question n'est pas "ai-je beaucoup de données ?" mais "ai-je des données identifiantes et qu'en fais-je ?"

Une obligation utile, pas seulement défensive

Pour un petit commerce, mettre un minimum d'ordre sur les traitements évite surtout les dérives quotidiennes: collecte excessive, réutilisation floue des fichiers, comptes partagés à la caisse, conservation sans fin ou réponse improvisée à un client qui veut se désinscrire. Le RGPD sert donc autant à sécuriser l'activité qu'à réduire le risque de contrôle ou de plainte.

Vous gagnez en clarté sur les outils utilisés par la boutique.
Vous limitez les copies sauvages de fichiers clients ou RH.
Vous pouvez démontrer vos choix avec une logique simple et défendable.

Bon point d'entrée Si vous partez de zéro, commencez par la page RGPD générale, puis revenez ici pour le cadrage métier commerce. Le sujet devient plus simple quand on distingue clairement caisse, fidélité, prospection, RH et vidéosurveillance.

02 Cartographie

Quelles données collectez-vous dans un commerce ?

La première erreur en RGPD commerce est de sous-estimer le nombre de traitements déjà en place. Pour un point de vente physique, les données personnelles circulent souvent entre la boutique, le logiciel de caisse, le téléphone du gérant, le cabinet comptable, le service paie, l'outil d'e-mailing et parfois les caméras.

Faites l'inventaire

Côté clients et prospects

Les fichiers clients prennent plusieurs formes: comptes fidélité, devis, factures, commandes, click-and-collect, tickets dématérialisés, réservations, SAV, avis, jeux-concours ou newsletter. Même si chaque traitement paraît limité, l'ensemble forme déjà une base de données commerciale complète.

Identité et coordonnées: nom, prénom, téléphone, e-mail, adresse.
Données de relation commerciale: historique d'achat, points fidélité, incidents SAV, préférences ou fréquence d'achat.
Données marketing: consentement, opposition, clics d'e-mails, réponses à une campagne.

Côté fournisseurs, salariés et vidéosurveillance

Le RGPD ne s'arrête pas au fichier client. Un petit commerce traite aussi des coordonnées d'interlocuteurs fournisseurs, des RIB, des contrats, des CV, des plannings, des bulletins de paie, des informations de santé au travail et parfois des images de vidéosurveillance dans le magasin ou en réserve.

RH: candidatures, contrats, plannings, absences, accès aux outils, paie.
Fournisseurs: noms des contacts, téléphones, e-mails, données bancaires ou contractuelles.
Caméras: images, date, heure, lieu filmé, parfois gestes du client ou du salarié.

Astuce opérationnelle

Sur une feuille unique, listez chaque traitement avec quatre colonnes: quoi vous collectez, pourquoi, où c'est stocké et qui y a accès. Cette cartographie suffit souvent à révéler les angles morts les plus coûteux.

03 Obligations

Vos 5 obligations RGPD en tant que commerçant

Inutile de transformer votre commerce en cabinet juridique. En pratique, la conformité repose surtout sur cinq fondamentaux applicables à presque tous les points de vente, quel que soit le secteur.

Le coeur du sujet

1. Informer les clients et les personnes concernées

Toute collecte doit être accompagnée d'une information claire: identité du responsable, finalité, base légale, durée de conservation, destinataires, droits et point de contact. Cette information peut être remise sur un formulaire, un site, un email, une borne ou un affichage en caisse selon le contexte.

Ajoutez une mention lisible au moment où la donnée est collectée.
Prévoyez un affichage distinct pour la vidéosurveillance.
Ne noyez pas l'information utile dans des CGV interminables.

2. Sécuriser les données

Le niveau attendu est proportionné, mais un commerçant doit au minimum limiter les accès, éviter les comptes partagés, protéger les postes, faire les mises à jour, sauvegarder et encadrer ses prestataires. Une caisse connectée, un PC RH ou un smartphone de gérance ne doivent pas devenir des points d'entrée trop faciles.

Créez des accès nominatifs quand c'est possible.
Changez les mots de passe par défaut des logiciels et caméras.
Vérifiez les clauses RGPD de vos sous-traitants.

3. Ne pas conserver trop longtemps

Le réflexe "on garde, ça peut servir" est rarement défendable. Vous devez fixer des durées de conservation utiles et cohérentes. Pour la prospection, la CNIL donne par exemple des repères de trois ans après le dernier contact pour un prospect ou après la fin de la relation commerciale pour certaines données clients utilisées à des fins marketing. Les images vidéo sont en principe conservées un mois maximum, sauf procédure particulière.

Paramétrez des suppressions ou revues périodiques.
Différenciez archive légale et usage commercial courant.
Faites le tri dans les exports Excel et les listes locales.

4. Respecter les droits des personnes

Un client, un salarié ou un prospect peut demander l'accès à ses données, leur rectification, leur suppression dans certains cas, ou s'opposer à certaines utilisations. En principe, vous devez répondre dans un délai d'un mois. Pour un petit commerce, l'enjeu est surtout d'avoir une procédure simple et un interlocuteur identifié.

Centralisez les demandes reçues en magasin, par email ou par téléphone.
Gardez une preuve de votre réponse et de la date.
Prévoyez un lien de désinscription clair pour la newsletter.

5. Gérer et déclarer les violations de données

Vol d'ordinateur, envoi d'un fichier client au mauvais destinataire, compte compromis, caisse piratée, téléphone pro perdu: ces incidents peuvent constituer une violation de données personnelles. Si les faits présentent un risque pour les personnes, la notification à la CNIL doit intervenir sous 72 heures. Si le risque est élevé, les personnes concernées doivent aussi être informées.

Isolez l'incident, changez les accès et conservez les éléments utiles.
Documentez les faits même si la notification n'est finalement pas requise.
Formez la caisse et la gérance à remonter rapidement un incident.

À garder en tête Le RGPD commerce est d'abord une discipline de preuve: vous devez pouvoir expliquer ce que vous collectez, pourquoi, pendant combien de temps, avec quels prestataires et comment une personne peut reprendre la main sur ses données.

04 Cas pratiques

Caisse, fidélité, newsletter, vidéosurveillance: comment décider

Les sujets RGPD commerce reviennent souvent sur les mêmes situations. Voici les arbitrages pratiques à avoir en tête pour éviter les erreurs les plus visibles lors d'un contrôle ou d'une réclamation.

Situations terrain

Logiciel de caisse et ticket dématérialisé

Si vous proposez un ticket par e-mail ou un historique d'achats, ne collectez que les informations nécessaires au service rendu. Évitez de transformer automatiquement un email de ticket en abonnement marketing.

Distinguez la finalité "preuve d'achat" de la finalité "prospection".
Affichez une mention courte au moment de la collecte.
Vérifiez où les données sont stockées et qui peut les exporter.

Carte de fidélité ou compte client

Une carte de fidélité peut reposer sur l'exécution du service promis, mais elle ne justifie pas une collecte trop large. Date de naissance, composition familiale ou préférences détaillées ne sont pas toujours nécessaires pour accorder un avantage simple.

Demandez seulement les champs utiles au programme.
Expliquez si l'historique d'achat est utilisé pour des offres ciblées.
Préparez une suppression simple sur demande.

Newsletter et prospection commerciale

Pour des prospects, l'opt-in est en principe la règle. Pour vos propres clients, la prospection électronique peut être possible pour des produits ou services analogues, à condition que la personne soit informée dès la collecte et puisse s'opposer facilement, notamment à chaque email.

Conservez la preuve du consentement quand il est requis.
Ajoutez un lien de désinscription fonctionnel dans chaque campagne.
Ne mélangez pas tous vos fichiers sans vérifier leur origine.

Vidéosurveillance en magasin

Les caméras peuvent répondre à un objectif de sécurité, mais elles imposent une information visible du public, une limitation de l'accès aux images et une durée de conservation courte. Filmer en permanence un poste de travail ou conserver les images trop longtemps expose inutilement le commerce.

Affichez un panneau clair avant l'entrée dans la zone filmée.
Réservez l'accès aux images à un nombre restreint de personnes.
Revisitez le dispositif si vous filmez la caisse ou les salariés.

Maillage utile Si votre activité a une forte composante alimentaire ou service, croisez ce guide avec la checklist boulangerie ou la checklist restaurant. Les points RGPD se cumulent souvent avec l'hygiène, les réservations, la livraison ou le click-and-collect.

05 Sanctions

Les sanctions CNIL: pourquoi un petit commerce doit rester vigilant

Toutes les situations ne débouchent pas sur une amende maximale, mais c'est une erreur de croire qu'un commerce de petite taille ne risque rien. La CNIL peut prononcer plusieurs types de mesures: rappel à l'ordre, mise en demeure, injonction, limitation de traitement, publicité de la décision et sanction pécuniaire.

Risque réel

Ce que la CNIL peut décider

Le plafond général prévu par le RGPD peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. En parallèle, la CNIL dispose aussi d'une procédure simplifiée avec des sanctions pouvant aller jusqu'à 20 000 euros sur certains dossiers moins complexes.

Une petite structure peut être sanctionnée même sans base marketing massive.
Les manquements fréquents portent sur l'information, la sécurité ou la durée de conservation.
Une plainte client ou salarié peut déclencher un contrôle ciblé.

Ce qui coûte le plus cher en pratique

Au-delà de l'amende, un contrôle RGPD coûte du temps, des preuves à rassembler, des corrections urgentes, parfois une atteinte réputationnelle et une tension commerciale si des clients découvrent tardivement un incident ou une collecte floue.

Les comptes partagés, fichiers non triés et outils mal maîtrisés compliquent chaque réponse.
Une violation non gérée peut obliger à prévenir la CNIL et les personnes concernées.
Le vrai levier de réduction du risque reste la préparation en amont.

Approche réaliste L'objectif n'est pas d'atteindre une conformité théorique parfaite, mais d'éviter les manquements évidents, répétés et mal documentés. Un petit commerce qui sait expliquer ses traitements, ses durées et ses mesures de sécurité part déjà avec une défense plus solide.

06 Checklist

Checklist rapide RGPD commerce

Cochez les points déjà couverts dans votre commerce. La progression est enregistrée localement dans votre navigateur pour vous permettre de revenir sur cette page plus tard.

Action immédiate

Avancement de la mise en conformité

Un bon départ pour un petit commerce est de couvrir d'abord les points visibles et répétables.

0 / 8 cochés

J'informe les clients au point de collecte. Formulaire, caisse, devis, site ou borne: la finalité, la durée, les droits et le contact sont présentés.
J'ai listé mes traitements de données. Clients, prospects, fournisseurs, salariés, candidatures, vidéosurveillance, prestataires et outils sont identifiés.
Je collecte seulement les données nécessaires. Je supprime les champs ou demandes non utiles dans la fidélité, la newsletter ou les formulaires de contact.
Mes accès sont sécurisés. Mots de passe robustes, comptes nominatifs si possible, mises à jour, sauvegardes et droits limités sur la caisse et les fichiers.
J'ai défini des durées de conservation. Je sais quand supprimer ou archiver les données clients, prospects, RH et images vidéo.
Je peux répondre à une demande d'accès ou d'opposition. Je sais qui reçoit la demande, qui répond et comment prouver le traitement sous un mois.
Ma prospection email est cadrée. Je distingue clients et prospects, je garde les preuves utiles et chaque email permet de se désinscrire facilement.
J'ai un réflexe en cas d'incident. Perte de PC, piratage, fichier envoyé au mauvais destinataire: je sais isoler, documenter et décider d'une notification CNIL sous 72 heures si besoin.

Checklist restaurant Checklist boulangerie

07 FAQ

FAQ RGPD commerce

Ces réponses reprennent les questions les plus fréquentes posées par les petits commerçants qui démarrent leur mise en conformité.

Recherche longue traîne

Le RGPD s'applique-t-il à une boutique sans site web ?

Oui. Dès que vous traitez des données identifiantes sur des clients, salariés, prospects ou fournisseurs, le RGPD s'applique. Une simple caisse avec historique client, un carnet de rendez-vous ou une caméra suffit à créer des obligations.

Puis-je envoyer une newsletter à mes clients ?

Oui, mais il faut distinguer vos clients existants des prospects, ne pas mélanger les bases sans contrôle, et offrir une opposition simple à chaque envoi. Si vous vous appuyez sur le consentement, gardez-en la preuve.

Dois-je afficher quelque chose pour la vidéosurveillance ?

Oui. Les personnes doivent être informées avant d'entrer dans la zone filmée. En pratique, cela passe par un panneau visible indiquant l'existence du dispositif, sa finalité et les informations utiles pour exercer ses droits.

Que faire si un fichier client fuit ou si un poste est volé ?

Traitez cela comme un incident sérieux: limitez l'accès, changez les mots de passe, qualifiez les données touchées, documentez les faits et arbitrez rapidement la notification à la CNIL. Si le risque est élevé, les personnes concernées doivent aussi être averties.

RGPD pour les commerçants guide complet 2024