{ "@context": "https://schema.org", "@graph": [ { "@type": "BlogPosting", "headline": "Parrainage B2B via revendeurs : le guide RGPD pour sécuriser un programme tripartite", "description": "Co-responsabilité, accord art. 26, statut du revendeur-parrain : le guide RGPD complet d'un programme de parrainage en réseau indirect.", "image": "https://cdn.prod.website-files.com/644bc0888f7a2c65e6123ab6/6a0d6a9434af61c0a7571555_Parrainage%20B2B%20via%20revendeurs%20le%20guide%20RGPD%20pour%20s%C3%A9curiser%20un%20programme%20tripartite_image%20HERO.png", "datePublished": "2026-05-20", "dateModified": "2026-05-20", "author": { "@type": "Person", "name": "Arnaud Bussières", "url": "https://www.maslo.app/auteurs/bussieres-arnaud" }, "publisher": { "@type": "Organization", "name": "MASLO", "logo": { "@type": "ImageObject", "url": "https://cdn.prod.website-files.com/644bc0888f7a2c13ec123a91/6735aa11651ff1eb14e22984_Logo_maslo_new.svg" } }, "mainEntityOfPage": { "@type": "WebPage", "@id": "https://www.maslo.app/blog/parrainage-b2b-via-revendeurs-guide-rgpd-programme-tripartite" } }, { "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "Mon revendeur signe un simple formulaire pour participer au programme. Est-ce suffisant juridiquement ?", "acceptedAnswer": { "@type": "Answer", "text": "Probablement non, dans une configuration de parrainage en réseau indirect structuré. Un formulaire d'adhésion simple positionne le revendeur en utilisateur du programme, sans qualifier sa relation juridique avec la marque au regard du RGPD. Or, dès lors que le revendeur participe à une collecte organisée et récurrente de données de prospects, sous incentive, dans un cadre contractuel préexistant, il est probablement co-responsable de traitement au sens de l'article 26 RGPD. Cette qualification exige un accord écrit dédié, distinct du contrat de distribution, précisant la répartition des obligations RGPD entre les deux parties." } }, { "@type": "Question", "name": "Le filleul est le gérant d'une SARL. Le RGPD s'applique-t-il à ses données professionnelles ?", "acceptedAnswer": { "@type": "Answer", "text": "Oui. Le RGPD protège les personnes physiques, indépendamment de leur qualité professionnelle ou privée. La SARL n'est pas couverte par le règlement, mais le gérant qui la dirige l'est, dès lors qu'il est nominativement identifiable. Son nom, son prénom, son email professionnel nominatif (jean.dupont@entreprise.fr), son numéro de téléphone direct sont des données personnelles au sens de l'article 4§1 RGPD. La position de la CNIL est constante depuis la loi Informatique et Libertés de 1978 et n'a pas évolué sous le RGPD." } }, { "@type": "Question", "name": "Quelle base légale pour le premier contact d'un filleul B2B transmis par un revendeur ?", "acceptedAnswer": { "@type": "Answer", "text": "Pour un premier contact par voie électronique (email ou SMS), le consentement préalable du filleul est requis. L'exception B2B prévue par l'article L. 34-5 du CPCE (intérêt légitime pour produits ou services analogues à ceux déjà achetés) ne s'applique pas, parce que le filleul n'est pas un client préexistant de la marque. Pour un premier contact par voie non électronique (appel ou courrier postal), la base légale peut être l'intérêt légitime au sens de l'article 6.1.f RGPD, sous réserve du test de mise en balance et d'une information du prospect dans les meilleurs délais." } }, { "@type": "Question", "name": "DPA ou accord de co-responsabilité : comment trancher ?", "acceptedAnswer": { "@type": "Answer", "text": "La qualification dépend du rôle réel des parties dans le traitement. Le DPA s'applique quand un acteur (sous-traitant) traite les données pour le compte d'un autre (responsable), sur ses instructions, sans déterminer ses propres finalités. L'accord article 26 s'impose quand deux acteurs co-déterminent les finalités et les moyens du traitement. Dans un programme de parrainage en réseau indirect structuré, le revendeur participe activement à la collecte et à la transmission, dans un cadre incentivé qu'il ne se contente pas d'exécuter. Cette participation effective penche vers la co-responsabilité dans la majorité des configurations, et donc vers un accord article 26." } }, { "@type": "Question", "name": "Faut-il un accord article 26 distinct du contrat de distribution, ou un avenant suffit-il ?", "acceptedAnswer": { "@type": "Answer", "text": "L'EDPB recommande un acte juridique contraignant dédié, sans exiger formellement qu'il soit autonome. Un avenant au contrat de distribution est juridiquement possible, à condition qu'il identifie clairement les traitements couverts, qu'il structure la répartition des obligations RGPD entre les parties, et qu'il soit accessible aux personnes concernées dans ses grandes lignes (article 26§2 RGPD). En pratique, un document distinct offre une meilleure visibilité juridique et une plus grande lisibilité pour les autorités de contrôle. La sécurité juridique penche pour un document distinct, sans en faire une obligation absolue." } } ] }, { "@type": "BreadcrumbList", "itemListElement": [ { "@type": "ListItem", "position": 1, "name": "Accueil", "item": "https://www.maslo.app/" }, { "@type": "ListItem", "position": 2, "name": "Blog", "item": "https://www.maslo.app/blog" }, { "@type": "ListItem", "position": 3, "name": "Parrainage B2B via revendeurs : le guide RGPD pour sécuriser un programme tripartite", "item": "https://www.maslo.app/blog/parrainage-b2b-via-revendeurs-guide-rgpd-programme-tripartite" } ] } ] }
Retour accueil
Nos ressources
Blog
Parrainage B2B via revendeurs : le guide RGPD pour sécuriser un programme tripartite
Parrainage

Parrainage B2B via revendeurs : le guide RGPD pour sécuriser un programme tripartite

Un fabricant signe un contrat de partenariat avec ses revendeurs, une plateforme structure les transmissions de leads, un programme rémunère chaque lead converti : des situations commerciales aussi familières que leurs conséquences juridiques sont abstraites, notamment sous l'angle du RGPD... Point complet dans cet article.

Article rédigé par :

Bussieres Arnaud
20 mai 2026
Temps de lecture : 
8 mn
Carte ancienne sépia dans le style d'une gravure du XIXe siècle, représentant un trajet entre trois points balisés sur une route terrestre. Pt 1 : un sceau ou un cachet à l'encre marquant un comptoir ou une maison de commerce (la marque). Pt 2 : un relais intermédiaire avec une enseigne et une annotation manuscrite (le revendeur). Pt 3 : une destination plus modeste, marquée d'une étoile ou d'un compas (le filleul). Les trois points sont reliés par une route tracée à l'encre brune, avec des annotations marginales décoratives évoquant des règles ou des avis. Papier vieilli, grain de gravure, couleurs parchemin, brun et sépia, atmosphère de carte commerciale ancienne.

En résumé

Parrainage B2B en réseau indirect : de quoi parle-t-on ?

Un programme de parrainage en réseau indirect est un dispositif par lequel une marque (responsable de traitement) anime ses revendeurs ou distributeurs (parrains) pour leur faire transmettre les coordonnées de prospects professionnels (filleuls). Schéma à trois acteurs au lieu de deux. Cas non couvert par la fiche CNIL parrainage d'octobre 2016, pensée pour le parrainage classique entre une marque et ses clients.

Le statut juridique du revendeur-parrain n'est pas anecdotique. Selon les Lignes directrices 07/2020 du Comité européen de la protection des données (EDPB) et la jurisprudence de la Cour de justice de l'Union européenne (CJUE), il peut être qualifié de co-responsable de traitement au sens de l'article 26 RGPD. Conséquence directe : un simple contrat de sous-traitance entre la marque et le revendeur ne suffit pas. Un accord de co-responsabilité distinct est requis.

3 chiffres à retenir :

  • 310 000 euros : amende prononcée par la CNIL contre la société FORIOU le 31 janvier 2024 pour utilisation de données collectées par des tiers sans vérification effective de la base légale (délibération SAN-2024-003)
  • 9 clauses obligatoires : contenu minimal d'un contrat de sous-traitance imposé par l'article 28.3 du RGPD
  • 7 clauses essentielles : composition d'un accord de co-responsabilité au sens de l'article 26 RGPD, selon les Lignes directrices 07/2020 de l'EDPB

Un fabricant signe un contrat de partenariat avec ses revendeurs, une plateforme structure les transmissions de leads, un programme rémunère chaque lead converti : des situations commerciales aussi familières que leurs conséquences juridiques sont abstraites.

Car sous l'angle du RGPD, une question reste ouverte : ce revendeur qui collecte et transmet des données dans un cadre incentivé est-il un simple parrain au sens de la fiche CNIL d'octobre 2016, ou bien est-il devenu, sans le savoir, co-responsable de traitement au sens de l'article 26 ?

Cette distinction est tout sauf théorique : elle conditionne l'architecture contractuelle du programme, la qualification de la base légale et, en cas de contrôle, la répartition des sanctions. Mieux vaut donc savoir où l’on met les pieds…

Le parrainage en réseau indirect : un cas hors-fiche CNIL

La fiche CNIL parrainage d'octobre 2016 a posé les règles du jeu pour des années. Claire et bien construite, elle reste la référence francophone. Mais cette fiche a été pensée pour un schéma à deux acteurs : une marque qui propose un parrainage à ses clients, des clients qui transmettent les coordonnées d'un proche. Un schéma qui touche ses limites dès lors qu’un revendeur s'intercale dans la chaîne.

La fiche CNIL 2016 : ce qu’elle couvre, ce qu'elle laisse de côté

La fiche CNIL parrainage et jeux concours définit l'opération de parrainage comme la « sollicitation d'une personne afin qu'elle communique les coordonnées d'un tiers susceptible d'être intéressé par une offre commerciale ». Elle pose quatre règles structurantes, stables, largement reprises dans la doctrine CNIL postérieure : 

  • usage unique des données du filleul, 
  • identification obligatoire du parrain dans le premier message, 
  • double consentement si l'entreprise souhaite conserver les données pour d'autres usages, 
  • suppression en l'absence de suite. 

Un angle moins évident tient dans le présupposé du document : le parrain y est traité comme un utilisateur du mécanisme proposé par l'entreprise, pas comme un acteur juridique du traitement. La fiche s'adresse à l'entreprise organisatrice, seule identifiée comme responsable de traitement. Le parrain, lui, n'a aucune qualité juridique propre dans le dispositif. Il transmet une information ponctuelle, à titre individuel, sans organisation préalable.

Cohérent avec le cas envisagé en 2016 : un client particulier qui recommande la marque à un proche. Pas de contrat de distribution dans l'équation, ni programme incentivé, ni registre structuré côté parrain. La fiche fait ce qu'elle dit faire… Reste tout ce qui se passe quand un revendeur entre dans l'équation. 

L'anatomie d'un parrainage en réseau indirect : marque, revendeur-parrain, filleul professionnel

Le parrainage en réseau indirect repose sur un schéma à trois acteurs :

  • La marque organise le programme. Elle conçoit le mécanisme, fixe les conditions, finance les récompenses, traite in fine les leads transmis. Sa qualité de responsable de traitement n'est pas en question.
  • Le revendeur-parrain s'intercale entre la marque et le filleul. Lié contractuellement à la marque par un contrat de distribution, il participe activement à la collecte des prospects. Une participation qui se déroule dans un cadre structuré, le plus souvent via une plateforme dédiée combinant animation réseau et parrainage digital, avec un dispositif d'incentive qui rémunère chaque lead transmis et abouti.
  • Le filleul professionnel est nominativement identifié. C'est le gérant d'une TPE, le responsable achat d'une PME, le directeur technique d'une ETI prospect. Il est un décideur professionnel (pas un consommateur final), contacté dans un contexte B2B, mais ses données sont des données personnelles au sens du RGPD dès lors qu'elles l'identifient en tant que personne physique.

Trois éléments distinguent ce schéma du parrainage classique :

  1. Le contrat de distribution préexistant entre la marque et le revendeur crée un lien organisationnel et commercial qui change la nature du rôle joué par le revendeur. 
  2. La collecte est structurée et répétée. Il ne s'agit plus d'un acte ponctuel et isolé, mais d'un processus organisé, outillé, mesuré. 
  3. Le revendeur peut tenir son propre registre des prospects transmis, ne serait-ce que pour suivre les primes versées et reconnaître ses propres performances dans le programme.

Pris isolément, aucun de ces éléments ne suffirait à faire basculer la qualification juridique du revendeur. Pris ensemble, ils dessinent le portrait d’un acteur dont la fonction n'a plus grand-chose à voir avec celle d’un parrain particulier qui recommanderait son boulanger à un voisin.

Aucune position officielle française n'adresse spécifiquement ce cas. Le cadre d'analyse vient donc du RGPD lui-même et de ses deux textes d'interprétation structurants : les Lignes directrices 07/2020 de l'EDPB (Comité européen de la protection des données) et la jurisprudence CJUE postérieure à 2018. Pour les règles applicables à tout programme d'incentive hors réseau indirect,  le guide RGPD complet d'un programme d'incentive (conçu par MASLO et mis en ligne en avril 2026) reste à ce jour la référence à consulter en complément.

Revendeur-parrain : simple ambassadeur ou co-responsable de traitement ?

C’est le statut juridique du revendeur dans le programme qui conditionne tout le reste. De fait, un mauvais diagnostic au départ, et l'architecture contractuelle s’avère fausse de bout en bout.

Les critères de qualification posés par l'EDPB

Les notions de responsable du traitement, de responsables conjoints et de sous-traitant sont des notions fonctionnelles. Elles se déterminent par les rôles réels des parties, non par les désignations contractuelles. Il s’agit là d’un des points centraux des Lignes directrices 07/2020 du Comité européen de la protection des données (EDPB), version 2.0 du 7 juillet 2021.

Selon l'EDPB, deux entités sont co-responsables lorsqu'elles déterminent conjointement les finalités et les moyens d'un traitement, et lorsque la participation de chacune est « inextricablement liée » à celle de l'autre. L'expression a son importance : si le traitement ne peut pas exister sans la participation effective des deux parties, le critère est rempli, même si les décisions sont prises séparément ou si l'une des parties n'a pas accès aux données brutes.

La distinction avec la sous-traitance (régie par l'article 28 du RGPD) est une question de nature : le sous-traitant exécute, il agit sur instruction, ne détermine pas de finalités propres. De son côté, le co-responsable… co-décide. Si un sous-traitant commence à fixer ses propres finalités, il bascule en responsable de traitement et peut être sanctionné pour avoir outrepassé ses instructions (art. 28§10 RGPD).

Les trois arrêts CJUE qui définissent le statut du revendeur-parrain 

La Cour de justice de l'Union européenne a précisé les contours de la co-responsabilité dans une série d'arrêts dont trois sont particulièrement structurants pour le cas du revendeur-parrain.

  1. L'arrêt Wirtschaftsakademie (CJUE, 5 juin 2018, C-210/16) a établi que l'administrateur d'une page Facebook est co-responsable du traitement avec Facebook, parce qu'il a participé à la détermination des finalités et des moyens par son paramétrage. L'enseignement central : l'absence d'accès aux données brutes ne suffit pas à exclure la co-responsabilité. Ce qui compte, c'est l'influence sur les finalités.
  2. L'arrêt Fashion ID (CJUE, 29 juillet 2019, C-40/17) a introduit le principe de co-responsabilité limitée. Un acteur n'est co-responsable que pour les opérations dont il détermine effectivement et conjointement les finalités et les moyens. Les traitements ultérieurs réalisés par l'autre partie seule sortent du périmètre. Cette précision est cruciale pour borner la responsabilité du revendeur-parrain : il peut être co-responsable de la collecte et de la transmission, sans l'être pour le traitement aval réalisé par la marque seule.
  3. L'arrêt Jehovan todistajat (CJUE, 10 juillet 2018, C-25/17) est le plus directement transposable au cas du revendeur-parrain. La Cour y a jugé qu'une communauté religieuse est responsable conjoint du traitement des données collectées par ses membres lors de leur prédication de porte-à-porte, même sans accès aux données et sans instructions explicites. Le lien organisationnel et l'influence factuelle sur la collecte ont suffi. L'EDPB s'appuie expressément sur cet arrêt dans ses Lignes directrices 07/2020. Un arrêt plus récent, Russmedia Digital (CJUE, 2 décembre 2025, C-492/23), confirme la tendance : l'opérateur d'une marketplace en ligne est co-responsable des données contenues dans les annonces de ses utilisateurs, par le simple fait qu'il structure les échanges.

Le test du revendeur-parrain : 6 critères pour positionner son réseau

Comment qualifier concrètement un revendeur-parrain dans un programme donné ? L'EDPB ne propose pas de seuil quantitatif, et la qualification s’apprécie au cas par cas. Cela dit, six critères opérationnels permettent de positionner précisément le rôle du revendeur dans le dispositif (par comparaison avec le parrain particulier que la fiche CNIL 2016 avait en tête).

Critère Parrain particulier (CNIL 2016) Revendeur parrain (réseau indirect structuré)
Lien contractuel avec la marque Aucun Contrat de distribution préexistant
Caractère de la collecte Acte ponctuel et isolé Processus organisé et récurrent
Influence sur les finalités Nulle (transmission brute) Possible (sélection ou qualification des leads)
Accès aux données transmises Aucun Possible (suivi des primes, CRM revendeur)
Incentive associé Aucun Rémunération directe au lead transmis ou converti
Qualification juridique Utilisateur du mécanisme Co-responsable de traitement à tester

Décryptage : plus une configuration coche de cases dans la colonne de droite, plus la qualification de co-responsabilité au sens de l'article 26 RGPD devient probable. Aucun précédent CNIL ou CJUE ne tranche directement le cas, mais l'application des critères EDPB et la transposition des arrêts CJUE convergent vers cette qualification dans la majorité des configurations en réseau structuré. Une zone grise demeure : la qualification peut basculer entre co-responsabilité (article 26) et responsable de traitement indépendant pour la phase de collecte. La sécurité juridique consiste à privilégier l'hypothèse de co-responsabilité tant qu'aucune décision officielle ne précise le contraire.

Le filleul professionnel nominatif : quand le RGPD s'invite dans la relation B2B

Une SARL n'a pas de droits au sens du RGPD. Son gérant, si. Et la nuance suffit à faire entrer un programme de parrainage B2B dans le périmètre du règlement. 

Email pro nominatif : le RGPD s'applique, même en B2B 

Le RGPD protège les données des personnes physiques (périmètre fixé par son article 1§1). Les personnes morales (sociétés, associations, structures publiques) ne sont pas couvertes par le règlement.

La frontière entre les deux paraît simple, mais elle est plus subtile en B2B. La CNIL est explicite : un nom, un prénom, un email professionnel nominatif, un numéro de téléphone fixe ou portable sont autant de données personnelles dès lors qu'elles permettent d'identifier une personne physique, sans distinction entre usage privé et professionnel. La position n'a pas évolué sous le RGPD, et le Conseil d'État l'a confirmée en 2015 dans une décision relative aux annuaires professionnels.

Conséquence pour un programme de parrainage en réseau indirect : si le filleul transmis par le revendeur est désigné par son nom et son email professionnel (jean.dupont@entreprise.fr), ses données entrent dans le périmètre du RGPD. La forme juridique de la société qu'il représente (SARL, SAS, ETI) n'a pas d'incidence. Ce n'est pas la société qui est protégée par le RGPD, mais le gérant, le responsable achat ou le directeur technique, en sa qualité de personne physique identifiable.

Base légale du contact initial : intérêt légitime ou consentement ?

La règle applicable au premier contact d'un filleul professionnel diffère selon le canal de prospection. Une distinction posée par l'article L. 34-5 du Code des postes et des communications électroniques (CPCE), qui transpose en France la directive ePrivacy.

Pour la voie électronique (email, SMS, messagerie instantanée), le consentement préalable constitue la règle de principe. Avec une exception pour le B2B : la prospection par email peut reposer sur l'intérêt légitime si elle porte sur des produits ou services analogues à ceux déjà fournis par l'entreprise au destinataire, sous condition d'information au moment de la collecte et de droit d'opposition simple. Hors de ce périmètre précis, le consentement s'impose. La CNIL a confirmé cette lecture dans sa fiche sur la prospection commerciale par courrier électronique (mise à jour le 4 février 2022).

Pour la voie non électronique (appel téléphonique, courrier postal), la base légale peut être l'intérêt légitime au sens de l'article 6.1.f du RGPD, sous réserve d'un test de mise en balance et d'une information du prospect dans les meilleurs délais.

Le cas du filleul transmis par un revendeur-parrain présente deux particularités. D'abord, les coordonnées n'ont pas été collectées directement auprès du filleul, mais auprès d'un tiers : c'est l'article 14 du RGPD qui s'applique, pas l'article 13. Ensuite, le filleul n'est pas un client préexistant de la marque. La condition de produits ou services analogues n'est pas remplie. Pour un premier contact par voie électronique avec un filleul B2B identifié nominativement, le consentement préalable est requis.

Information du filleul (art. 14 RGPD) : qui informe, quand, comment

L'article 14 du RGPD régit le cas où les données ont été obtenues via un tiers. Trois exigences le distinguent de l'article 13.

  1. L'information doit être fournie « dans un délai raisonnable, au plus tard dans un délai d'un mois » après la collecte, ou avant le premier contact si celui-ci intervient avant ce délai. En pratique, dans un parrainage, le premier contact intervient toujours dans le délai d'un mois : c'est à ce moment que l'information complète doit être fournie. 
  2. L'information doit également mentionner la source des données (« vos coordonnées nous ont été communiquées par [prénom] [nom] »), ce qui rejoint la règle CNIL d'identification du parrain dans le premier message. 
  3. Elle doit enfin préciser les catégories de données concernées, en plus des éléments standard de l'article 13 (identité du responsable, finalités, base légale, durée de conservation, droits des personnes).

Reste une question pratique non tranchée : dans un schéma tripartite, qui informe le filleul ? 

  • La marque, qui est le responsable de traitement aval ? 
  • Le revendeur, qui a effectué la transmission ? 

L'EDPB et la CNIL ne tranchent pas formellement le cas. La réponse saine et prudente est la suivante : la marque informe par défaut, sauf si l'accord de co-responsabilité prévoit explicitement un partage de cette obligation. Cette répartition est précisément l'un des points qu'un accord article 26 doit régler.

Sécuriser l'architecture contractuelle d'un programme tripartite

Une fois la qualification posée, la contractualisation suit une logique précise. Restent trois écueils typiques à éviter…

DPA ou accord de co-responsabilité : la grille de décision

DPA et accord de co-responsabilité sont deux instruments juridiques distincts, qui répondent à deux qualifications différentes. L'erreur fréquente consiste à utiliser un DPA pour une relation qui relève de l'article 26 RGPD. En l'état, la doctrine est claire : un mauvais instrument ne corrige pas une mauvaise qualification. Il l'aggrave.

Critère DPA - article 28 RGPD Accord co-RT - article 26 RGPD
Relation juridique Responsable / sous-traitant (hiérarchique) Co-responsables (entre pairs)
Qui décide des finalités Le responsable seul Les deux parties conjointement
Régime des instructions Le sous-traitant suit des instructions documentées Les co-responsables se coordonnent
Droits des personnes Adressés au responsable de traitement Exerçables contre chacun des co-responsables
Visibilité publique Aucune obligation de publication Grandes lignes disponibles pour les personnes (art. 26§2)
Forme juridique Contrat ou acte juridique contraignant Contrat ou acte juridique contraignant
Responsabilité solidaire Non (responsabilités propres distinctes) Oui (art. 82 : solidarité face à la personne concernée)
Quand l'utiliser Le tiers exécute pour le compte du responsable Les deux parties co-décident des finalités

Dans un programme de parrainage en réseau indirect, l'application des critères du tableau précédent (lien contractuel structuré, collecte organisée, influence sur les finalités, accès possible aux données, incentive direct) penche dans la majorité des cas vers une qualification de co-responsabilité au sens de l'article 26 RGPD. Le DPA reste l'instrument approprié pour la relation entre la marque et la plateforme SaaS qui héberge le programme. Il ne suffit pas pour la relation avec les revendeurs.

Les 7 clauses essentielles d'un accord article 26 

Le contenu de l'accord article 26 RGPD est précisé par les Lignes directrices 07/2020 de l'EDPB (paragraphes 170 à 186). Sept clauses essentielles structurent un accord opérationnel :

  1. Identification des traitements couverts et des finalités respectives de chaque co-responsable.
  2. Répartition des obligations d'information au sens des articles 13 et 14 RGPD : qui informe les personnes concernées, à quel moment, sous quel format.
  3. Répartition de la gestion des droits des personnes (accès, rectification, effacement, portabilité, opposition) et désignation d'un point de contact unique.
  4. Répartition des mesures de sécurité au sens de l'article 32 RGPD.
  5. Procédure de notification des violations de données : délai d'alerte interne permettant la notification CNIL dans les 72 heures.
  6. Prise en charge des analyses d'impact (AIPD) si le traitement conjoint présente un risque élevé.
  7. Sort des données en fin de programme : restitution, destruction certifiée ou conservation selon des critères explicites.

Une règle critique distingue cet accord du DPA : l'article 26§3 du RGPD prévoit que la personne concernée peut exercer ses droits contre n'importe lequel des co-responsables, indépendamment de la répartition convenue dans l'accord. La répartition entre les parties est un pacte interne, pas une opposabilité externe. La marque ne peut pas se retrancher derrière le revendeur pour refuser de répondre à une demande d'effacement, et inversement. Pour une trame de référence accessible publiquement, l'accord de responsabilité conjointe annexé à la convention de collaboration développement économique de Coeur de Loire (octobre 2024) propose un exemple structuré et daté.

Le cas tripartite avec plateforme SaaS : DPA et accord article 26 coexistent

La complexité opérationnelle d'un programme de parrainage en réseau indirect tient au fait que trois acteurs interviennent, chacun avec un rôle distinct. 

  • La marque conçoit le programme et reçoit les leads. 
  • Le revendeur participe à la collecte et à la transmission. 
  • La plateforme SaaS héberge l'infrastructure technique. Trois rôles, deux instruments contractuels qui se superposent.

L'EDPB admet explicitement la coexistence d'une co-responsabilité et d'une sous-traitance dans une même architecture. 

Concrètement : la relation marque / revendeur relève d'un accord de co-responsabilité au sens de l'article 26 RGPD dans la majorité des configurations en réseau indirect structuré. La relation marque / plateforme SaaS relève d'un DPA au sens de l'article 28 RGPD, à condition que la plateforme se borne à traiter les données selon les instructions de la marque.

Une vigilance particulière s'impose sur la plateforme : si elle détermine elle-même certains paramètres du traitement (modalités d'envoi des messages, durée de conservation par défaut, format des données collectées, scoring partagé entre clients), son statut peut basculer vers la co-responsabilité. La qualification dépend de l'architecture contractuelle et technique réelle, à analyser cas par cas avant la signature.

Trois écueils à éviter et le réflexe FORIOU

Trois écueils typiques affaiblissent les programmes de parrainage en réseau indirect.

  • Premier écueil : utiliser un DPA standard pour la relation marque / revendeur. C'est le réflexe par défaut, parce que le DPA est plus simple à rédiger. Il s’agit également d’une qualification juridiquement fragile dans la majorité des configurations.
  • Deuxième écueil : intégrer une simple clause de protection des données dans le contrat de distribution existant, sans structuration spécifique. L'EDPB recommande un acte contraignant dédié. Une clause noyée dans un contrat de cinquante pages n'a ni la visibilité ni la force juridique requises pour fonder un partage transparent des responsabilités.
  • Troisième écueil : se contenter d'un engagement contractuel du revendeur à respecter le RGPD, sans vérification effective des conditions de collecte. C'est précisément l'écueil sanctionné par la CNIL dans la délibération SAN-2024-003 du 31 janvier 2024. La société FORIOU a écopé d'une amende de 310 000 euros pour avoir utilisé des données collectées par des courtiers sans contrôler la validité du consentement initial. La CNIL a posé un principe directement transposable au cas du revendeur-parrain : les obligations contractuelles imposées aux fournisseurs ne peuvent exonérer la société de sa responsabilité en tant que responsable de traitement. La vérification doit être effective, pas seulement contractuelle.

Une délibération plus récente confirme l'exigence dans un contexte connexe. La CNIL a sanctionné le 28 avril 2026 une entreprise pour transmission de données de son programme de fidélité à un réseau social tiers, sans base légale valide. Le principe posé : la transmission structurée de données dans le cadre d'un programme commercial est une opération de traitement autonome qui requiert une base légale propre, indépendamment de la collecte initiale.

Vous pilotez ou envisagez un programme de parrainage en réseau indirect ? Les questions de qualification juridique font partie intégrante de l'équation, et plus tôt elles sont traitées, moins coûteuse est la mise en conformité.

MASLO intègre nativement les exigences RGPD dans sa plateforme : hébergement des données en France, certification ISO 27001, DPA disponible pour la relation plateforme/marque, structuration possible d'un accord de co-responsabilité pour la relation marque/revendeurs.

Demander un diagnostic conformité

Sommaire
Example H2

Les questions fréquentes

Mon revendeur signe un simple formulaire pour participer au programme. Est-ce suffisant juridiquement ?

Probablement non, dans une configuration de parrainage en réseau indirect structuré. Un formulaire d'adhésion simple positionne le revendeur en utilisateur du programme, sans qualifier sa relation juridique avec la marque au regard du RGPD. Or, dès lors que le revendeur participe à une collecte organisée et récurrente de données de prospects, sous incentive, dans un cadre contractuel préexistant, il est probablement co-responsable de traitement au sens de l'article 26 RGPD. Cette qualification exige un accord écrit dédié, distinct du contrat de distribution, précisant la répartition des obligations RGPD entre les deux parties.

Le filleul est le gérant d'une SARL. Le RGPD s'applique-t-il à ses données professionnelles ?

Oui. Le RGPD protège les personnes physiques, indépendamment de leur qualité professionnelle ou privée. La SARL n'est pas couverte par le règlement, mais le gérant qui la dirige l'est, dès lors qu'il est nominativement identifiable. Son nom, son prénom, son email professionnel nominatif (jean.dupont@entreprise.fr), son numéro de téléphone direct sont des données personnelles au sens de l'article 4§1 RGPD. La position de la CNIL est constante depuis la loi Informatique et Libertés de 1978 et n'a pas évolué sous le RGPD.

Quelle base légale pour le premier contact d'un filleul B2B transmis par un revendeur ?

Pour un premier contact par voie électronique (email ou SMS), le consentement préalable du filleul est requis. L'exception B2B prévue par l'article L. 34-5 du CPCE (intérêt légitime pour produits ou services analogues à ceux déjà achetés) ne s'applique pas, parce que le filleul n'est pas un client préexistant de la marque. Pour un premier contact par voie non électronique (appel ou courrier postal), la base légale peut être l'intérêt légitime au sens de l'article 6.1.f RGPD, sous réserve du test de mise en balance et d'une information du prospect dans les meilleurs délais.

DPA ou accord de co-responsabilité : comment trancher ?

La qualification dépend du rôle réel des parties dans le traitement. Le DPA s'applique quand un acteur (sous-traitant) traite les données pour le compte d'un autre (responsable), sur ses instructions, sans déterminer ses propres finalités. L'accord article 26 s'impose quand deux acteurs co-déterminent les finalités et les moyens du traitement. Dans un programme de parrainage en réseau indirect structuré, le revendeur participe activement à la collecte et à la transmission, dans un cadre incentivé qu'il ne se contente pas d'exécuter. Cette participation effective penche vers la co-responsabilité dans la majorité des configurations, et donc vers un accord article 26.

Faut-il un accord article 26 distinct du contrat de distribution, ou un avenant suffit-il ?

L'EDPB recommande un acte juridique contraignant dédié, sans exiger formellement qu'il soit autonome. Un avenant au contrat de distribution est juridiquement possible, à condition qu'il identifie clairement les traitements couverts, qu'il structure la répartition des obligations RGPD entre les parties, et qu'il soit accessible aux personnes concernées dans ses grandes lignes (article 26§2 RGPD). En pratique, un document distinct offre une meilleure visibilité juridique et une plus grande lisibilité pour les autorités de contrôle. La sécurité juridique penche pour un document distinct, sans en faire une obligation absolue.

Ces articles pourraient également vous intéresser

Carte ancienne sépia dans le style d'une gravure du XIXe siècle, représentant un trajet entre trois points balisés sur une route terrestre. Pt 1 : un sceau ou un cachet à l'encre marquant un comptoir ou une maison de commerce (la marque). Pt 2 : un relais intermédiaire avec une enseigne et une annotation manuscrite (le revendeur). Pt 3 : une destination plus modeste, marquée d'une étoile ou d'un compas (le filleul). Les trois points sont reliés par une route tracée à l'encre brune, avec des annotations marginales décoratives évoquant des règles ou des avis. Papier vieilli, grain de gravure, couleurs parchemin, brun et sépia, atmosphère de carte commerciale ancienne.
Parrainage

Parrainage B2B via revendeurs : le guide RGPD pour sécuriser un programme tripartite

Un fabricant signe un contrat de partenariat avec ses revendeurs, une plateforme structure les transmissions de leads, un programme rémunère chaque lead converti : des situations commerciales aussi familières que leurs conséquences juridiques sont abstraites, notamment sous l'angle du RGPD... Point complet dans cet article.

Lire l'article
Carte nautique ancienne montrant une route balisée entre des récifs et zones de danger, illustrant la navigation entre les écueils RGPD dans un programme d'incentive commercial.
Parrainage

Challenges, animation réseau et parrainage : concevoir des programmes d'incentive conformes au RGPD

Parce qu'un programme d'incentive qui embarque nativement le RGPD génère moins de friction à l'inscription, plus de confiance chez les participants, et aucun risque juridique en cours d'animation. On vous dit tout ici...

Lire l'article
apporteur d'affaire immobilier
Parrainage

Guide complet : Apporteur d'affaires immobilier

Générez des revenus complémentaires en immobilier sans être agent. Commissions de 3% à 10% du prix de vente possible.

Lire l'article
mise en relation professionnelle
Parrainage

Système de parrainage

Les clients parrainés ont une LTV supérieure de 16% et coûtent 25% moins cher à acquérir. Voici comment bâtir votre machine.

Lire l'article
Pour aller plus loin...
Livre blanc Maslo

Télécharger le livre blanc