Il y a deux façons de regarder un programme d'animation commerciale. La première : comme un dispositif de performance, avec des objectifs, des récompenses, des classements, des participants mobilisés. La seconde, moins intuitive : comme un ensemble de traitements de données personnelles, soumis au RGPD, avec des bases légales à documenter, des obligations d'information à respecter et une plateforme partenaire dont le statut juridique engage directement la responsabilité de l'entreprise.
La plupart des directions commerciales opèrent depuis des années dans la première vision, au détriment de la seconde. Pour leur défense, il faut bien avouer que les guides disponibles sur l'intersection « RGPD et animation commerciale » restent le plus souvent bloqués sur la prospection B2B générique, sans jamais descendre dans la mécanique réelle d'un programme de points, d'un challenge avec classement nominatif ou d'un parrainage multi-acteurs. C'est précisément pour combler cet angle mort que nous vous proposons ce nouvel article. Bonne lecture !
RGPD et animation commerciale : que traitent vraiment vos programmes en termes de données personnelles ?
Lancer un challenge commercial, animer un réseau de revendeurs, structurer un programme de parrainage : autant d’initiatives qui peuvent s’apparenter à des “performances” pour la plupart des directions commerciales. Mais vu sous l’angle du RGPD (Règlement Général sur la Protection des Données), il est d’abord question de traitements de données personnelles. Et la nuance n'est pas rhétorique. Elle a même un prix, que la CNIL a commencé à fixer…
Ce que les sanctions récentes de la CNIL disent au marché
Entre janvier 2024 et janvier 2026, la CNIL a prononcé trois sanctions majeures impliquant des programmes d'animation commerciale. Trois amendes et trois enseignements que les directions commerciales auraient tort d'ignorer.
- Le 31 janvier 2024, la société FORIOU (spécialisée dans la gestion de programmes et cartes de fidélité, aujourd'hui en liquidation judiciaire) écope d'une amende de 310 000 euros pour avoir acheté des fichiers de prospects collectés via des formulaires de jeux-concours sans que son nom n'y figure parmi les partenaires destinataires. Les personnes démarchées ne pouvaient donc "raisonnablement s'attendre" à être contactées par cette société, au sens du considérant 47 du RGPD. Enseignement direct : un opérateur de programme d'incentive qui s'appuie sur une base de données tierce reste pleinement responsable de la licéité du traitement, y compris de la collecte initiale qu'il n'a pas réalisée lui-même.
- Le 15 mai 2025, la CNIL sanctionne SOLOCAL MARKETING SERVICES d'une amende de 900 000 euros, pour des motifs analogues : prospection sans consentement valide, transmission de données à des partenaires commerciaux sans base légale établie.
- Le 30 décembre 2025, une troisième délibération frappe plus fort : 3,5 millions d'euros d'amende (SAN-2025-017), adoptée en coopération avec 16 autorités européennes de protection des données, pour une société ayant transmis les données de son programme de fidélité à un réseau social à des fins de publicité ciblée, sans base légale valide ni information correcte des participants. La CNIL y relève notamment qu'une politique de confidentialité accessible « via un parcours complexe » ne suffit pas à fonder un consentement éclairé.
Point commun entre ces 3 décisions : dans chaque cas, c’est le programme d'animation commerciale, dans son fonctionnement ordinaire, qui est au cœur du dispositif incriminé (aucun lien avec des cas d’usage détourné ou de fuite de données).
Ce que recouvre un « traitement de données » dans un programme d'animation commerciale
Collecte, enregistrement, organisation, conservation, modification, consultation, utilisation, transmission, diffusion, rapprochement ou suppression (art. 4.2 RGPD) : un traitement de données personnelles recouvre toute opération appliquée à des informations permettant d'identifier (directement ou indirectement), une personne physique.
Trois éléments cumulatifs le constituent :
- des données personnelles,
- une opération portant sur ces données,
- un responsable qui en détermine les finalités et les moyens.
Ce qui le distingue d'un usage ponctuel d'une information tient à deux exigences : une structuration délibérée et une finalité déterminée. Dans un programme d'animation commerciale, ces traitements sont multiples et souvent invisibles pour ceux qui conçoivent le dispositif.
Pourquoi les guides existants ne suffisent pas
Les contenus disponibles sur l'intersection entre RGPD et pratiques commerciales couvrent principalement la prospection B2B générique : bases légales applicables au démarchage, durée de conservation des fichiers prospects, gestion des droits d'opposition. Ces éléments sont utiles. Ils ne descendent jamais dans la mécanique d'un programme de points avec classement nominatif, d'un challenge avec suivi comportemental, d'un parrainage multi-acteurs ou d'une plateforme SaaS gérant des données pour le compte d'une marque.
Ll’idée ici n’est pas de refaire un guide RGPD générique, mais de documenter les traitements réels que génèrent les trois grands dispositifs d'animation commerciale, les bases légales applicables à chacun, et ce qu’une « conception nativement RGPD » change concrètement dans le design d'un programme.
À noter : le référentiel CNIL "gestion commerciale" (délibération n° 2021-131 du 23 septembre 2021) couvre les programmes de fidélité sans adresser explicitement les programmes B2B de type marque/revendeurs. Les analyses présentées dans cet article constituent une transposition raisonnée de ce référentiel à ce contexte, et non une position officielle publiée de la CNIL sur les relations inter-entreprises.
Trois dispositifs pour trois logiques RGPD : ce que votre programme implique concrètement
Challenges internes, animation de réseaux, parrainage : trois mécaniques déployées par MASLO au quotidien pour ses clients. Soit autant de profils de traitement distincts et de combinaisons de bases légales différentes. Avec le même risque en cas de confusion : s'exposer à une situation de non-conformité. En faisant le choix de les cartographier d'emblée, vous placez vos programmes sur des bases solides.
Tableau synthétique : les 3 dispositifs et leur profil RGPD
Sources : référentiel CNIL "gestion commerciale", délibération n° 2021-131 du 23 septembre 2021 ; fiche CNIL parrainage, octobre 2016 ; art. L. 34-5 du Code des postes et des communications électroniques.
Challenge commercial et animation d'équipes : le droit du travail ne suffit pas
Objectifs individuels, scores, classements, primes : un challenge commercial interne mobilise des données que les directions commerciales considèrent souvent comme relevant du seul droit du travail. Ce n’est que partiellement vrai, car dès lors que ces données sont collectées, organisées et traitées dans une plateforme dédiée, elles entrent dans le périmètre du RGPD, en parallèle du cadre social.
Les données traitées dans ce type de dispositif couvrent l'identité des participants (salariés, agents commerciaux, prestataires), leurs scores individuels, leurs classements nominatifs, leur historique de performance sur la durée du challenge, et les communications personnalisées qui leur sont adressées (SMS, notifications push, emails de relance).
Base légale applicable
Pour la gestion des performances et l'attribution des récompenses, la base légale est l'exécution du contrat de travail ou du contrat commercial (art. 6.1.b du RGPD). Pour le profilage comportemental (soit le scoring automatisé, la détection de désengagement ou la personnalisation des communications selon le profil de chaque participant), c’est l'intérêt légitime (art. 6.1.f). Y recourir suppose un triple test documenté : légitimité de l'intérêt poursuivi, nécessité du traitement, absence de prévalence des droits fondamentaux des personnes concernées.
Le point de vigilance que presque personne n'anticipe
Un classement nominatif rendu visible à l'ensemble des participants constitue une communication de données personnelles entre pairs. Et ce n'est pas un détail. L'employeur ou l'organisateur du programme doit avoir informé les participants de cette modalité avant le lancement, pas seulement dans le cadre de conditions générales d'utilisation accessibles via trois clics. La délibération SAN-2025-017 a précisément sanctionné ce type d'information insuffisamment accessible. Le principe s'applique ici sans détour.
Ce qu'il faut prévoir en pratique
Une information claire au sens de l'art. 13 du RGPD doit être intégrée au règlement du challenge ou aux modalités d'inscription, visible et accessible avant toute collecte de données. Elle doit mentionner les finalités du traitement, la base légale, les destinataires des données (y compris les autres participants pour ce qui concerne le classement), la durée de conservation et les droits des personnes.
Animation de réseau revendeurs : attention aux personnes physiques derrière les entreprises
L'animation d'un réseau de revendeurs se déploie dans un cadre B2B : contrats de distribution, objectifs par enseigne, remontées de ventes par point de vente. Un cadre qui crée une illusion rassurante : on parlerait d'entreprises, pas de personnes. Or c’est inexact : dès lors que le programme identifie des commerciaux, des agents ou des gérants par leur nom, leur email ou leur numéro de téléphone, le RGPD s'applique intégralement.
Les données en jeu embarquent l'identité des commerciaux et agents des revendeurs, les ventes qu'ils déclarent individuellement, les points qu'ils accumulent, les récompenses qu'ils reçoivent et leurs comportements de connexion à la plateforme d'animation.
Base légale applicable
Pour la gestion des points et des récompenses dans le cadre d'un programme intégré à la relation contractuelle de distribution, c’est l'exécution du contrat (art. 6.1.b) qui constitue la base légale. Pour le profilage comportemental des revendeurs (scoring, segmentation, détection de désengagement), c’est l'intérêt légitime (art. 6.1.f), sous réserve du même « triple test » que pour les challenges internes.
Sur les communications électroniques : un régime à part
Concernant les SMS de lancement de challenge, les notifications push de classement ou les alertes d'objectif adressées aux commerciaux des revendeurs : dès lors qu'elles concernent des personnes physiques identifiables, c’est l'art. L. 34-5 du Code des postes et des communications électroniques qui s'applique. En B2B, la prospection électronique portant sur des produits ou services analogues à ceux déjà achetés peut reposer sur l'intérêt légitime. En dehors de ce périmètre précis, le consentement s'impose.
L'enseignement FORIOU, transposé à ce contexte
La délibération SAN-2024-003 a établi un principe clair : l'opérateur d'un programme qui s'appuie sur une base de données constituée par un tiers reste pleinement responsable de la licéité du traitement initial. Dans un programme d'animation réseau, si les données des commerciaux revendeurs sont transmises par la marque à la plateforme d'animation, cette chaîne de conformité doit être vérifiée et documentée avant le lancement. Et aucune clause contractuelle entre la marque et son prestataire ne peut justifier d’exonérer qui que ce soit de cette responsabilité.
Programme de parrainage : le cas le plus balisé, et le plus contraignant
Le parrainage est le dispositif pour lequel la CNIL a publié les règles les plus précises. C'est aussi celui qui génère le plus fréquemment des non-conformités, précisément parce que sa mécanique implique des données que l'entreprise n'a pas collectées elle-même.
Dans un programme de parrainage, deux populations coexistent avec des statuts juridiques distincts :
- Le parrain : ses données sont déjà en base, leur traitement s'inscrit dans la relation commerciale existante.
- Le filleul : ses coordonnées ont été transmises par le parrain. L'entreprise ne les a jamais collectées directement. C'est là que le régime change.
Ce que la CNIL pose comme règles non négociables (fiche parrainage et jeux-concours, octobre 2016 ; FAQ cnil.fr) :
Règle n°1 : usage unique
Les données communiquées par le parrain ne peuvent être utilisées qu'une seule fois, pour adresser au filleul l'offre suggérée par le parrain. Pas de segmentation, pas d'ajout en base CRM, pas de relance ultérieure sans consentement exprès préalable.
Règle n°2 : identification du parrain dès le premier contact
Lors de la première communication avec le filleul, l'identité de son parrain doit être mentionnée explicitement. C'est une condition de transparence et de licéité du contact.
Règle n°3 : deux cases à cocher distinctes
Si l'entreprise souhaite conserver les données du filleul pour lui adresser d'autres communications, elle doit obtenir son consentement exprès, matérialisé par une case dédiée, distincte de celle qui vaut acceptation de l'offre de parrainage. Une seule case groupée ne suffit pas.
Règle n°4 : suppression si pas de suite
Si le filleul ne donne pas suite à l'offre initiale, ses données doivent être supprimées. Le référentiel CNIL "gestion commerciale" fixe la durée de conservation maximale pour un prospect non-client à trois ans à compter de la collecte ou du dernier contact émanant du prospect.
Base légale du contact initial
La CNIL ne la précise pas explicitement pour le parrainage. Par transposition du référentiel « gestion commerciale » : intérêt légitime pour un premier contact par voie non électronique, consentement pour un premier contact par voie électronique (art. L. 34-5 CPCE).
À noter : pour la dimension stratégique et les mécaniques de performance d'un programme de parrainage, voir l'article MASLO "Prospection 2026 : pourquoi le parrainage va devenir votre meilleur allié".
Concevoir un programme RGPD-natif : quel impact dans le design et dans le choix de la plateforme ?
La conformité RGPD ne doit pas être entendue comme une couche à ajouter sur un programme existant. Elle se conçoit en même temps que le programme. Un dispositif pensé « RGPD-natif » dès le départ génère moins de friction à l'inscription, plus de confiance chez les participants, et aucun risque juridique en cours d'animation. Au final, cela constitue un avantage concurrentiel autant qu'une obligation légale.
Informer les participants : quand, quoi, comment ?
Le RGPD distingue deux situations selon le mode de collecte, et les obligations ne sont pas identiques.
Collecte directe (art. 13 RGPD)
Le participant s'inscrit lui-même au programme, saisit ses données dans un formulaire d'adhésion. L'information complète doit lui être fournie au moment même de cette collecte, visible et accessible depuis le formulaire. Pas dans un email de confirmation envoyé après validation. Pas davantage dans la politique de confidentialité générale du site, accessible via le pied de page. La délibération SAN-2025-017 a explicitement sanctionné cette pratique : une politique de confidentialité accessible « via un parcours complexe » ne suffit pas à fonder un consentement éclairé.
Collecte indirecte (art. 14 RGPD)
Les données ont été obtenues via un tiers, typiquement un parrain dans un programme de parrainage ou une base transmise par un partenaire. L'information doit être fournie dans un délai raisonnable n'excédant pas un mois après la collecte, ou avant le premier contact si celui-ci intervient avant ce délai.
Ce que l'information doit obligatoirement contenir, selon les articles 13 et 14 du RGPD :
- identité et coordonnées du responsable de traitement (et du DPO si désigné),
- finalités et bases légales de chaque traitement,
- intérêts légitimes poursuivis si cette base est retenue,
- destinataires ou catégories de destinataires des données,
- durée de conservation ou critères permettant de la déterminer,
- droits des personnes (accès, rectification, effacement, opposition, portabilité, limitation),
- droit de réclamation auprès de la CNIL. Pour la collecte indirecte : source des données et catégories de données concernées.
La plateforme SaaS est un sous-traitant : ce que ça implique
Quand une entreprise confie la gestion de son programme d'incentive à une plateforme tierce, elle reste responsable de traitement au sens de l'art. 4 du RGPD : c'est elle qui détermine les finalités et les moyens. La plateforme traite les données pour son compte, selon ses instructions. Elle agit en qualité de sous-traitant au sens de l'art. 28 du RGPD.
Cette qualification a une conséquence immédiate : un contrat de traitement de données (DPA, Data Processing Agreement) signé entre les deux parties est obligatoire. Son absence constitue un manquement à l'art. 28, qui a déjà été sanctionné par la CNIL.
Ce qu'il faut vérifier côté plateforme avant de signer : hébergement des données en France ou dans l'Union européenne, gestion intégrée des droits d'accès et de suppression, logs de consentement exportables, notification en cas de violation de données, possibilité effective d'audit sur demande.
Sur ce point, MASLO, certifié ISO 27001, héberge les données en France, intègre la gestion des droits dans sa console de pilotage et propose les exports URSSAF nécessaires à la gestion administrative des récompenses. Ces éléments sont directement vérifiables et constituent des réponses concrètes aux exigences de l'art. 28.
Un dernier point à ne pas négliger : si la plateforme détermine conjointement certaines finalités avec son client (analytics mutualisés, amélioration du moteur de scoring partagé entre clients), elle peut être qualifiée de co-responsable de traitement au sens de l'art. 26 du RGPD. Dans ce cas, un accord de co-responsabilité distinct du DPA est requis, précisant les rôles respectifs et les interlocuteurs pour l'exercice des droits.
