Carte de fidélité et RGPD : ce que vous avez le droit de faire avec les données clients
RGPD et carte de fidélité : quelles données collecter, quel consentement pour les push et SMS, combien de temps conserver un fichier client. Guide commerçant.
Carte de fidélité et RGPD : ce que vous avez le droit de faire avec les données clients
Oui, un commerçant a le droit de collecter des données clients pour son programme de fidélité, à condition de respecter le RGPD (Règlement Général sur la Protection des Données) : collecter uniquement le nécessaire, informer le client, obtenir son consentement pour les messages marketing et supprimer les données quand elles ne servent plus. Le sujet RGPD carte fidélité est plus que jamais d'actualité : la CNIL (Commission Nationale de l'Informatique et des Libertés) a précisé en octobre 2025 l'application du droit à la portabilité aux programmes de fidélité, et les contrôles auprès des commerces se multiplient.
- Collectez le minimum : nom, email, téléphone et anniversaire suffisent pour une carte de fidélité. Chaque champ doit avoir une utilité.
- Distinguez transactionnel et marketing : mettre à jour le solde de points ne demande pas de consentement, envoyer une promo par SMS oui.
- Durée de conservation recommandée par la CNIL : 3 ans après le dernier contact actif du client.
- Droit à l'effacement : un client peut demander la suppression de ses données, vous avez 1 mois pour répondre.
- Hébergement en France + outil conforme (comme FidWallet) simplifient énormément votre mise en conformité.
Quelles données un commerçant peut-il collecter pour une carte de fidélité ?
Vous pouvez collecter toutes les données utiles et proportionnées au fonctionnement de votre programme : identité, coordonnées, historique de visites et de points. Le principe clé du RGPD s'appelle la minimisation : chaque information demandée doit servir à quelque chose de concret.
En pratique, pour un fichier client de commerce de proximité :
- Nom et prénom : identifier le client, personnaliser les messages. Légitime.
- Email et/ou téléphone : contacter le client (avec son accord pour le marketing). Légitime.
- Date d'anniversaire : offrir un avantage anniversaire. Légitime si vous proposez réellement cette offre. Bonne pratique : demander jour et mois, pas l'année de naissance.
- Historique de points, visites, paliers : c'est le cœur du programme. Légitime.
- À éviter : numéro de carte d'identité, situation familiale, données de santé, ou tout champ « au cas où ». Ces données sont soit interdites, soit disproportionnées pour de la fidélité.
Avec une carte de fidélité digitale, cette collecte se fait via un formulaire d'inscription. Sur FidWallet, ce formulaire est 100 % personnalisable : vous choisissez exactement les champs demandés, ce qui facilite l'application du principe de minimisation. Le client scanne un QR code, remplit le formulaire, et sa carte arrive dans Apple Wallet ou Google Wallet en moins de 30 secondes — votre base clients se constitue proprement, avec une trace de chaque inscription.
Faut-il un consentement pour envoyer des messages aux clients ?
Cela dépend du type de message. Le RGPD et les règles de prospection distinguent deux catégories, et c'est la distinction la plus importante à retenir pour un commerçant.
| Type de message | Exemples | Consentement marketing requis ? |
|---|---|---|
| Transactionnel / service | Mise à jour du solde de points, passage au palier Gold, confirmation d'inscription, récompense débloquée | Non : c'est l'exécution du programme auquel le client a adhéré |
| Marketing / promotionnel | Promo du week-end, nouveau produit, campagne SMS ou RCS, newsletter | Oui : consentement explicite (case à cocher non pré-cochée) pour email et SMS envers les particuliers |
Trois bonnes pratiques concrètes :
- Ajoutez une case d'opt-in sur votre formulaire d'inscription : « J'accepte de recevoir les offres de [votre boutique] ». Elle ne doit jamais être pré-cochée.
- Prévoyez une mention d'information visible au moment de la collecte : qui collecte, pourquoi, combien de temps, et comment exercer ses droits. C'est une exigence rappelée par la CNIL, y compris pour les formulaires de carte de fidélité en magasin.
- Offrez toujours un moyen de se désinscrire : lien de désabonnement, « STOP » par SMS, ou simple demande en boutique.
Point spécifique aux notifications push wallet : quand un client ajoute volontairement sa carte dans Apple Wallet ou Google Wallet, il accepte le fonctionnement du pass, notifications comprises, et peut les désactiver à tout moment dans les réglages de sa carte. C'est un canal naturellement respectueux du choix de l'utilisateur : le client garde la main, sans app à installer. Pour les campagnes RCS (Rich Communication Services, le successeur enrichi du SMS), appliquez les mêmes règles que le SMS marketing : opt-in préalable et possibilité de désinscription. Restez transparent dans tous les cas, et en cas de doute sur un canal, la CNIL est la référence.
Combien de temps peut-on conserver un fichier client ?
La CNIL recommande de conserver les données d'un fichier client 3 ans après le dernier contact actif du client : dernier achat, dernière visite, dernier clic sur un de vos messages. Au-delà, les données doivent être supprimées ou anonymisées.
Ce qu'il faut retenir :
- Le compteur repart à zéro à chaque interaction active : un client qui passe en caisse tous les mois reste dans votre base indéfiniment, tant qu'il est actif.
- Un « contact actif » est une action du client, pas un message que vous lui envoyez. Envoyer une promo à un client inactif ne prolonge pas la durée de conservation.
- Les statistiques peuvent survivre : vous pouvez conserver des données anonymisées (chiffres agrégés de rétention, fréquence de visite) sans limite, car elles ne permettent plus d'identifier personne.
Avantage d'un outil digital : les statistiques de FidWallet (cartes actives, fréquence de visite, taux de rétention) vous montrent précisément quels clients sont actifs et lesquels ne le sont plus, ce qui rend le tri de votre base beaucoup plus simple qu'avec un fichier papier ou un tableur.
Que faire si un client demande la suppression de ses données ?
Vous devez supprimer ses données personnelles et lui confirmer, dans un délai maximum d'1 mois après sa demande. C'est le droit à l'effacement (article 17 du RGPD), et il s'applique aux commerces de toute taille.
Procédure simple en 4 étapes :
- Vérifiez l'identité du demandeur (par exemple, la demande vient de l'email enregistré dans votre base).
- Supprimez la fiche client dans votre outil de fidélité : coordonnées, historique, carte.
- Confirmez par écrit au client que la suppression est effectuée.
- Documentez la demande et la date de traitement, en cas de contrôle.
Le client dispose aussi d'autres droits : accès (obtenir une copie de ses données), rectification (corriger une erreur), opposition (refuser le marketing tout en gardant sa carte) et portabilité. Sur ce dernier point, la CNIL a précisé en octobre 2025 comment la portabilité s'applique aux programmes de fidélité : un client peut demander à récupérer les données qu'il vous a fournies dans un format exploitable. Un export CSV propre (disponible dès le plan Pro de FidWallet) permet de répondre facilement à ce type de demande.
Comment un outil comme FidWallet aide-t-il à rester conforme ?
Un outil de fidélité digitale conforme fait une grande partie du travail à votre place. Voici ce que FidWallet apporte concrètement sur le volet données clients commerce :
- Hébergement des données en France : vos données clients ne quittent pas le territoire, un point souvent vérifié lors des contrôles.
- Formulaire personnalisable : vous appliquez la minimisation en ne demandant que les champs utiles.
- Consentement tracé : chaque client s'inscrit lui-même, avec une trace horodatée de son inscription — bien plus solide qu'un fichier papier rempli au comptoir.
- Suppression simple : effacer une fiche client se fait en quelques clics pour répondre à une demande d'effacement dans le délai d'1 mois.
- Export CSV (plan Pro et au-delà) : pour répondre aux demandes d'accès et de portabilité.
- Canaux respectueux : les notifications push wallet sont désactivables par le client à tout moment, directement sur sa carte.
Comparé aux méthodes traditionnelles, le digital simplifie nettement la conformité :
| Critère RGPD | Carte papier / cahier | Tableur Excel | Carte digitale (wallet) |
|---|---|---|---|
| Preuve du consentement | Quasi impossible | Difficile | Tracée et horodatée |
| Suppression sur demande | Manuelle, incertaine | Manuelle | En quelques clics |
| Sécurité des données | Aucune (vol, perte) | Faible (fichier local) | Hébergement sécurisé en France |
| Tri des clients inactifs (règle des 3 ans) | Impossible | Fastidieux | Automatique via les statistiques |
Important : cet article présente des bonnes pratiques, pas un conseil juridique. Pour les cas particuliers (données sensibles, transferts hors UE, litiges), consultez le site de la CNIL (cnil.fr) ou un professionnel du droit.
Questions fréquentes
Quelle mention est obligatoire sur un formulaire de carte de fidélité ?
Une mention d'information au moment de la collecte : qui collecte (votre commerce), pourquoi (le programme de fidélité), combien de temps, et comment exercer ses droits. Ajoutez une case d'opt-in non pré-cochée pour le marketing.
Le RGPD s'applique-t-il aux petits commerces indépendants ?
Oui, quelle que soit la taille de l'entreprise. Une boulangerie avec 50 clients fichés est concernée, mais les obligations restent proportionnées à l'activité.
Faut-il un consentement pour envoyer une notification de points ?
Non pour le transactionnel (solde de points, palier atteint) : cela fait partie du service. Oui pour le marketing par email ou SMS : consentement explicite préalable obligatoire.
Combien de temps garder les données d'un client inactif ?
3 ans après le dernier contact actif, selon la recommandation de la CNIL. Ensuite : suppression ou anonymisation.
Un client peut-il demander la suppression de ses données ?
Oui, c'est le droit à l'effacement. Vous avez 1 mois maximum pour supprimer sa fiche et lui confirmer par écrit.
Où doivent être hébergées les données clients ?
Le RGPD n'impose pas la France, mais exige des garanties pour tout transfert hors UE. Un hébergement en France, comme celui de FidWallet, élimine cette question. Pour aller plus loin sur la mise en place d'un programme conforme, consultez nos autres guides sur le blog FidWallet.
Prêt à fidéliser vos clients en toute conformité ? Essayez FidWallet gratuitement pendant 15 jours, sans carte bancaire et avec des données hébergées en France.