Hier, le 14 octobre 2025, la CNIL a apporté d’importantes précisions sur l’application du droit à la portabilité des données personnelles dans le cadre des programmes de fidélité. Saisie par plusieurs acteurs du secteur de la distribution, l’autorité a clarifié quelles informations doivent être communiquées aux clients souhaitant exercer ce droit, notamment les codes-barres (GTIN) et les montants des promotions dont ils ont bénéficié.
Des données d’achat désormais reconnues comme portables
Dans un programme de fidélité, chaque produit acheté est identifié par un code-barre unique (GTIN), permettant d’associer précisément un bien à un consommateur identifiable. Lorsque ces données d’achat sont reliées à des éléments d’identification tels que le nom, le courriel ou le numéro de fidélité, elles prennent la qualification de données personnelles au sens du RGPD.
La CNIL confirme donc que ces informations peuvent être réclamées dans le cadre d’une demande d’accès ou d’une demande de portabilité. Concrètement, le distributeur concerné, ou un organisme mandaté par le client, doit être en mesure de fournir l’ensemble des codes-barres correspondant aux produits achetés. Ces données peuvent ensuite être transmises à une autre enseigne ou plateforme, conformément à la logique du droit à la portabilité posé par l’article 20 du RGPD.
Les montants des promotions : une donnée portable sous condition
La même logique s’applique aux montants des réductions ou promotions obtenues par le client dans le cadre d’un programme de fidélité.
Lorsque le rabais appliqué est rattachable de manière identifiable à une personne, cette information constitue une donnée personnelle portable. Le montant correspond alors à la différence entre le prix initial et le prix payé après promotion.
Le client, ou son mandataire, peut donc récupérer ces montants et les transmettre à un autre opérateur, comme pour toute autre donnée éligible à la portabilité. Cette possibilité ouvre la voie à une meilleure interopérabilité entre programmes de fidélité et pourrait, à terme, favoriser une concurrence accrue entre enseignes sur la base de la transparence des avantages réellement obtenus.
Une limite nette : les algorithmes de calcul exclus du périmètre
En revanche, la CNIL précise que les méthodes ou algorithmes utilisés pour déterminer les promotions ne relèvent pas du champ du droit à la portabilité. Ces éléments, considérés comme des procédés internes ou des secrets commerciaux, ne constituent pas des données personnelles.
Le consommateur ne peut donc pas exiger la communication des critères de ciblage, des règles d’attribution ou des modèles de scoring qui ont conduit à lui accorder une réduction.
Cette distinction est essentielle : la portabilité concerne uniquement les données qui décrivent le client et ses transactions, non les mécanismes de calcul internes à l’entreprise.
Les obligations pratiques pour les distributeurs
Les enseignes doivent dès à présent vérifier que leurs systèmes d’information permettent :
-
d’extraire les codes-barres des produits achetés de manière structurée ;
-
de calculer et exporter les montants des promotions obtenues, lorsque ceux-ci sont liés à un client identifiable ;
-
de fournir ces informations dans un format couramment exploitable (CSV, JSON, etc.), conformément à l’article 20 du RGPD ;
-
et de répondre dans les délais légaux aux demandes d’accès ou de portabilité.
Pour éviter tout risque de non-conformité, il est également recommandé d’actualiser les notices d’information clients, de documenter les traitements concernés dans le registre et d’inclure les modalités de portabilité dans les procédures internes RGPD.
Une clarification attendue dans le secteur de la distribution
Cette décision apporte une réponse claire à une question fréquemment soulevée par les distributeurs : jusqu’où s’étend le droit à la portabilité dans un programme de fidélité ?
En reconnaissant la portabilité des codes-barres d’achat et des montants de promotion attribués, tout en excluant la logique interne de calcul, la CNIL établit un équilibre entre le droit du consommateur à disposer de ses données et la protection des intérêts commerciaux légitimes des entreprises.
Cette clarification s’inscrit dans la continuité du travail de la CNIL visant à renforcer la transparence des traitements et à donner aux personnes un contrôle concret sur leurs données économiques. Les acteurs du commerce devront s’y conformer sans délai, sous peine de s’exposer à des rappels à l’ordre ou à des sanctions administratives.
- AIPD et données de santé confiées à une IA : le résultat de l’analyse d’impact peut-il dispenser de consulter la CNIL ?
- RGPD et cosmetique : proteger les donnees clients et programmes de fidelite
- Cahier Innovation et Prospective : La CNIL explore la mort numérique : que deviennent nos données après nous ?
