La CNIL approuve le premier code de conduite RGPD national : ce que ça change pour le commerce de détail
Le 28 avril 2026, la CNIL a approuvé le code de conduite porté par l'Alliance du Commerce pour les enseignes d'habillement et de chaussure. Une première : c'est le premier code de conduite RGPD à portée nationale validé par l'autorité française, et le troisième code sectoriel tout court depuis 2018. Pour les commerçants, il devient un référentiel opérationnel — pas une simple déclaration d'intention.
Ce qui s'est passé
L'Alliance du Commerce, qui fédère les enseignes du commerce de l'équipement de la personne, a fait approuver par la CNIL un code de conduite sectoriel basé sur l'article 40 du RGPD. Concrètement, il traduit les obligations du règlement européen en règles pratiques applicables au quotidien d'un magasin ou d'un site e-commerce d'habillement : information du client, exercice des droits, durées de conservation, sécurité, encadrement des sous-traitants, gouvernance des données.
Le code s'articule autour de huit chapitres et propose une « boîte à outils » de modèles documentaires. Seules les enseignes dont le centre de décision est en France — ou les filiales françaises de groupes internationaux — peuvent y adhérer. Et l'adhésion n'est pas symbolique : elle est contraignante, et un organisme externe agréé par la CNIL contrôlera son application chez les adhérents.
Avant celui-ci, seuls deux codes sectoriels avaient été validés au niveau européen : CISPE pour le cloud (2021) et EUCROF pour les essais cliniques (2024). Ce nouveau code complète la quinzaine de textes en place en Europe depuis l'entrée en vigueur du RGPD.
Pourquoi c'est important
Un code de conduite n'est pas un guide de bonnes pratiques de plus. C'est un outil de conformité prévu directement par le RGPD, et la CNIL le rappelle : il permet à ses adhérents de démontrer leur conformité — un élément central du principe d'accountability. En cas de contrôle, brandir une adhésion à un code approuvé par l'autorité de contrôle a un poids juridique réel : l'article 40.5 du RGPD prévoit que ces codes sont opposables à la CNIL elle-même.
Pour le secteur du retail, ce point est stratégique. La conformité RGPD en e-commerce mobilise depuis huit ans des chantiers transverses : cookies, programmes de fidélité, profils marketing, durées de conservation, gestion des paniers abandonnés. Chaque enseigne avait jusqu'ici sa propre interprétation des textes. Le code donne enfin un socle commun, avec des points de contrôle identifiés et des éléments de preuve attendus pour chaque principe.
L'effet collatéral est aussi commercial. Les enseignes adhérentes pourront afficher un indicateur de conformité, ce qui transforme la protection des données en argument de confiance — auprès des clients comme des partenaires.
Ce que ça change pour les organisations
Si vous êtes DPO ou responsable conformité dans une enseigne d'habillement ou de chaussure, trois actions à court terme :
1. Évaluer l'opportunité d'adhérer. L'adhésion est volontaire mais engageante. Elle suppose d'accepter le contrôle d'un organisme externe et de se conformer aux règles écrites dans le code. En contrepartie, vous bénéficiez d'un référentiel sectoriel reconnu et d'une présomption de conformité sur les domaines couverts.
2. Aligner vos pratiques mercatiques. Le code couvre explicitement les activités marketing — un point sensible en retail. Si votre prospection commerciale et vos campagnes d'emailing ne sont pas déjà calées sur les attentes CNIL (consentement, opt-out clair, segmentation proportionnée), c'est l'occasion de remettre à plat le dispositif.
3. Documenter les éléments de preuve. Le code identifie pour chaque principe RGPD les exigences attendues et les preuves associées. C'est une feuille de route concrète pour mettre à niveau votre démarche d'accountability — registres, politiques, procédures, audits sous-traitants — sans réinventer la roue.
À noter : le code ne couvre ni les relations avec les fournisseurs, ni les traitements RH. Il ne traite pas non plus les transferts hors UE, même s'il en rappelle les exigences. Ces sujets restent à gérer en parallèle.
Côté calendrier, le code n'est pas encore pleinement opérationnel : il le deviendra dès que l'organisme de contrôle externe désigné par l'Alliance du Commerce aura été agréé par la CNIL. À surveiller dans les prochains mois.
Ce que Leto pense de cette décision
Cette approbation est une bonne nouvelle pour le secteur, mais sa portée dépendra entièrement de l'adhésion réelle des enseignes. Un code sectoriel sans adhérents reste une coquille vide. Le pari de la CNIL est clair : transformer la mise en conformité d'un coût subi en avantage compétitif affichable. C'est un signal fort pour les autres fédérations professionnelles — la voie nationale est désormais ouverte, et les premiers entrants auront l'avantage de façonner la norme. Pour les enseignes qui hésitent encore à structurer leur conformité, ce code est probablement le meilleur point de départ disponible aujourd'hui.
Sources :
