CNIL valide un code de conduite RGPD pour le commerce de détail

La CNIL a approuvé, le 28 avril 2026, un code de conduite RGPD pour les enseignes d’habillement/chaussure en France. Un signal fort pour les retailers frontaliers et groupes établis en France, avec des exigences auditables et un contrôle tiers. cnil.fr

Lead (qui, quoi, où, quand)

La Commission nationale de l’informatique et des libertés (CNIL) a approuvé, le 28 avril 2026, le premier code de conduite national du secteur du commerce de détail (habillement/chaussure), porté par l’Alliance du Commerce. Ce référentiel transforme les exigences du RGPD en règles opérationnelles pour les activités en magasin et en ligne, avec un organisme de contrôle externe chargé de vérifier le respect du code une fois agréé. cnil.fr

Contexte réglementaire

Les codes de conduite sont des outils prévus aux articles 40 et 41 du RGPD : ils traduisent la conformité en pratiques sectorielles et permettent aux adhérents de démontrer, par des preuves auditables, la licéité des traitements, la minimisation des données, les durées de conservation, l’information des personnes, la sécurité et l’encadrement des sous-traitants et transferts. Le code validé par la CNIL couvre spécifiquement les activités B2C du commerce de l’équipement de la personne (hors relations fournisseurs/employés), et devient contraignant pour les enseignes qui y adhèrent, sous la supervision d’un organisme tiers qui devra obtenir l’agrément de la CNIL pour opérer les contrôles. Il s’agit du premier code national approuvé par la CNIL et du troisième code sectoriel après CISPE (cloud) et EUCROF (essais cliniques). Le texte complet du code précise la gouvernance (adhésion, audits, suivi, publication, révision) et inclut une boîte à outils de modèles documentaires. cnil.fr

Ce que ça change pour les entreprises au Luxembourg

• Groupes luxembourgeois disposant d’un « établissement » en France ou d’un centre de décision français : l’adhésion au code devient un levier de conformité et de confiance client sur ce marché, avec un indicateur de conformité valorisable commercialement. Les directions doivent anticiper la montée en charge des audits par l’organisme de contrôle (une fois agréé) et l’alignement des pratiques entre pays. cnil.fr
• Retailers luxembourgeois vendant en ligne vers la France sans établissement : même si l’adhésion est limitée aux entités établies en France, le contenu du code fournit une « liste de contrôle » pragmatique pour harmoniser les mentions d’information, durées de conservation, bases légales marketing, sécurité et gestion des sous-traitants. C’est une opportunité d’aligner les parcours omnicanaux (e-shop, click & collect en Belgique/France/Allemagne) et de réduire les écarts de conformité transfrontalière. cnil.fr
• Effet d’entraînement dans la Grande Région : la publication d’un code auditable et supervisé par un tiers crée un précédent utile pour d’autres secteurs (distribution spécialisée, santé/beauté, sport) et pourrait inspirer des initiatives similaires aux niveaux CNPD/CERP (Luxembourg) ou autorités voisines. Pour les groupes multi-pays, il devient stratégique d’industrialiser la preuve de conformité (registre, AIPD, clauses sous-traitants, journalisation des consentements, tests de restauration) selon une trame commune. cnil.fr

Actions concrètes à entreprendre cette semaine

• Cartographier vos flux « retail » exposés côté France (magasins, e-commerce FR, marketing FR) et comparer vos pratiques au sommaire du code : finalités/licéité, cookies/tracking, durées de conservation, droits (accès/opposition), sécurité (chiffrement, contrôle d’accès), sous-traitants, transferts. Prioriser les écarts à fort impact client (marketing, cookies, sécurité paiement). cnil.fr
• Préparer un « pack d’adhésion » réutilisable : registre de traitements à jour, preuves de base légale marketing, procédures de gestion des droits, modèles contractuels sous-traitants (art. 28), matrice de durées de conservation, plan d’audit interne. Anticiper la supervision de l’organisme de contrôle (audit initial, audits périodiques) dès son agrément. cnil.fr
• Harmoniser l’omnicanal Grande Région : aligner bannières cookies et CMP, mentions d’information et préférences marketing entre sites luxembourgeois, belges, français et allemands. Mettre à jour les playbooks incidents (notification CNIL/APD/CNPD selon l’établissement responsable), renforcer la preuve de sécurité (journal d’accès, tests de pénétration orientés parcours client, revues des droits « back-office retail »). cnil.fr

Sources

• CNIL – Commerce de détail : code de conduite approuvé, 28 avril 2026
• Code de conduite Alliance du Commerce – texte intégral

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.