Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce

Ce code de conduite aide les commerçants français du secteur de l’habillement et de la chaussure à s’engager en faveur de la protection de leurs clients. Il traduit concrètement les exigences du RGPD et renforce la protection des données dans la vente et la distribution, aussi bien en magasin qu’en ligne.

Qu’est-ce qu’un code de conduite ?

Un code de conduite est un outil de conformité prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer la conformité au RGPD et d’envoyer un signal positif aux clients et aux partenaires dans le secteur d’activité concerné.

Le RGPD prévoit qu’un code de conduite s’impose à ceux qui y adhèrent de façon contraignante : il oblige ses adhérents à se conformer aux règles écrites dans le code et à accepter qu’un organisme tiers, autre que la CNIL, contrôle sa bonne application.

Afin d’accompagner les professionnels dans leur démarche, la CNIL propose de nombreuses fiches pratiques pour comprendre comment élaborer puis soumettre un projet de code, qui peut être de portée nationale ou européenne.

Le premier code de conduite de portée nationale approuvé par la CNIL

Porté par l’Alliance du Commerce, ce s’inscrit dans une dynamique européenne en plein essor en matière d’outils de conformité au RGPD.

Il s’agit du premier code de portée nationale et du troisième code de conduite sectoriel approuvé par la CNIL, après les codes européens CISPE (2021) dédié à l’informatique en nuage et EUCROF (2024) relatif aux essais cliniques en santé. Il vient ainsi compléter la quinzaine de codes de conduite déjà mis en place en Europe depuis le RPGD.

À noter, seules les enseignes et magasins dont le centre de décision est situé en France ou celles qui constituent un établissement français de groupes internationaux peuvent adhérer à ce code.

Un outil opérationnel au service des professionnels du commerce de l’équipement de la personne

Le code de conduite est ouvert aux enseignes et magasins adhérents à l’Alliance du Commerce, agissant en qualité de responsable du traitement dans le cadre de leurs activités de vente et de distribution de détail à destination des consommateurs (en magasin ou en ligne). Il ne couvre pas, en revanche, les relations avec leurs fournisseurs ou employés.

Conçu comme un outil « clé en main », il vise à accompagner concrètement les enseignes dans leur conformité, notamment en matière d’activités mercatiques (marketing). Il permet d’identifier clairement les principaux points de contrôle et précise, pour chaque principe du RGPD, les exigences attendues et les éléments de preuve associés.

Les enseignes adhérentes pourront ainsi valoriser leur engagement avec un indicateur de conformité, gage de confiance pour leurs clients comme pour leurs partenaires.

À noter : ce code s’inscrit dans le cadre juridique existant et n’introduit aucune nouvelle règles pour le secteur.

"Ce code de conduite destiné aux professionnels du commerce de l’équipement de la personne favorise la conformité de nombreux enseignes et magasins adhérents. Les travaux menés ont permis de consolider des mesures opérationnelles adaptées aux enjeux sectoriels de la vente et de la distribution aux consommateurs.

Je salue les efforts de l’Alliance du Commerce pour mener à bien ce projet très attendu dans un secteur qui fait face à des enjeux structurels majeurs. Cette démarche démontre le fort engagement des professionnels à protéger les données personnelles de leurs clients."

Marie-Laure DENIS, présidente de la CNIL

Que contient ce code de conduite ?

Le code de conduite s’articule autour de huit chapitres qui couvrent notamment les thématiques suivantes :

Une présentation générale des spécificités sectorielles et du champ d’application du code de conduite.
La déclinaison des principes fondamentaux de protection aux activités du secteur (finalité, licéité, durées de conservation, etc.).
Les obligations des enseignes en tant que responsables du traitement (information, exercice des droits, sécurité, encadrement des et des transferts, gouvernance des données, etc.) sous la forme de règles pratiques et d’exigences auditables.
Les modalités de gouvernance (adhésion, contrôle et suivi de l’application, publication et révision).

En complément, les adhérents bénéficient d’une « boîte à outils » mise à disposition par l’Alliance du Commerce, composée de modèles de document afin de faciliter leur démarche de mise en conformité.

Ce code de conduite n’a pas vocation à encadrer les transferts de données hors de l’Union européenne, mais en rappelle les principales exigences.

Comment est contrôlée la bonne application de ce code de conduite ?

L’effectivité du code de conduite est assurée par l’intervention d’un organisme de contrôle chargé de vérifier sa bonne application par les adhérents. Pour proposer cette prestation, cet organisme doit être agréé par l’autorité de contrôle compétente (ici la CNIL). Ses pouvoirs ne se confondent pas avec les missions de contrôle de la CNIL.

Le code de conduite porté par l’Alliance du Commerce identifie un organisme externe chargé du contrôle du respect des exigences du code tant au préalable que pendant la durée de l’adhésion des enseignes concernées. L’agrément de cet organisme par la CNIL ne sera délivré que si les exigences du référentiel d’agrément sont respectées.

En pratique, le code de conduite de l’Alliance du Commerce sera pleinement opérationnel dès que cet organisme aura été agréé par la CNIL et qu’il pourra ainsi mener à bien sa mission de contrôle.