Le 28 avril 2026
Par Maëva Gomez, Avocate
La délibération de la CNIL approuvant le code de conduite du 27 janvier 2026 porté par Alliance du Commerce est intervenue le 12 février 2026. La communication officielle a été publiée le 28 avril 2026.
Ce code de conduite de 112 pages s’inscrit dans le cadre des articles 40 et 41 du RGPD relatifs aux codes de conduite ainsi qu’à leur mécanisme de contrôle et constitue le premier code de conduite de portée nationale approuvé par la CNIL.
Nature juridique des codes de conduite au titre du RGPD
Les codes de conduite constituent un mécanisme de conformité prévu par le RGPD, destiné à préciser l’application sectorielle des principes du règlement, à harmoniser les pratiques professionnelles et à faciliter la démonstration de conformité par les responsables de traitement.
Ils ne créent pas de normes juridiques nouvelles et ne se substituent pas au RGPD mais traduisent ses exigences en règles opérationnelles applicables à un secteur déterminé.
Ils doivent ainsi être appréhendés comme un outil de mise en œuvre et d’interprétation du droit existant, intégré dans une logique de soft law encadrée.
Régime d’adhésion et effets
L’adhésion à ce code, réservée aux membres de l’Alliance du Commerce, est facultative.
A noter que seules les enseignes dont le centre de décision est situé en France ou constituant un établissement français de groupes internationaux peuvent y adhérer.
La société souhaitant adhérer au code, devra se soumettre à la procédure d’adhésion, sous le contrôle de l’organisme de contrôle et remplir un formulaire d’adhésion (pages 107 à 109 du code conduite).
L’adhésion emporte un engagement à respecter les dispositions du code. Ce respect s’inscrit dans leur organisation interne de conformité et s’accompagne de l’acceptation d’un dispositif de contrôle externe.
L’adhésion ne modifie pas le cadre légal applicable : elle ne dispense pas du respect des obligations générales du RGPD.
Mécanisme de contrôle et supervision
Conformément à l’article 41 du RGPD, la mise en œuvre du code repose sur un organisme de contrôle indépendant, agréé par la CNIL.
Le RGPD prévoit que cette mission de contrôle peut être confiée à un organisme dédié, distinct des autorités de contrôle, sans interférence avec leurs prérogatives. Elle peut être exercée par un comité interne au porteur du code ou par un ou plusieurs organismes tiers.
Dans le cadre du présent code, son article 4.1 précise que : « Le représentant désigné de chaque Enseigne choisit l’Organisme de contrôle parmi la liste élaborée et tenue par l’Alliance du Commerce ».
L’organisme de contrôle ainsi désigné est chargé :
de vérifier la conformité des entreprises candidates à l’adhésion ;
de réaliser des audits réguliers des entités adhérentes ;
d’assurer le suivi dans la durée de la bonne application du code ;
La CNIL conserve son rôle d’autorité de contrôle, notamment en ce qui concerne l’agrément de l’organisme de suivi et la supervision générale du dispositif.
Champ d’application
Ce code s’applique aux enseignes et magasins adhérents intervenant dans le secteur de l’habillement et de la chaussure, agissant en qualité de responsables de traitement dans le cadre de leurs activités de vente et de distribution aux consommateurs (en magasin et en ligne).
Périmètre exclu :
les relations avec les fournisseurs (B2B) ;
les traitements relatifs à la gestion des ressources humaines.
Le code est ainsi strictement limité aux traitements B2C liés à l’activité commerciale.
Articulation sectorielle avec le RGPD
Le code précise les modalités d’application, dans le secteur du retail, des principes fondamentaux du RGPD, notamment le principe de licéité (articles 16 à 42 du code de conduite).
Il encadre également, de manière opérationnelle :
les obligations d’information des personnes concernées (p. 43 du code de conduite) ;
l’exercice des droits (accès, rectification, effacement, opposition) (p. 52 du code de conduite) ;
les relations avec les sous-traitants (p. 60 du code de conduite) ;
les transferts de données hors Union européenne (p. 71 du code de conduite) ;
la tenue du registre des traitements (p. 75 du code de conduite) ;
les obligations en matière de sécurité (p. 88 du code de conduite) ;
le rôle du DPO (conditions de désignation, modalités et missions) (p. 88 du code de conduite).
Une attention particulière est portée aux traitements liés à la publicité et au marketing, qui constituent un enjeu central dans le secteur du retail, notamment en matière de prospection commerciale, de segmentation et de ciblage des consommateurs.
Les objectifs poursuivis
Un outil de confiance : le code a pour vocation d’instaurer un cadre de confiance entre les acteurs et de garantir un haut niveau de protection des données personnelles.
Une conformité harmonisée : le code favorise l’adoption d’un langage commun ainsi que d’un niveau d’exigence homogène entre les différentes enseignes.
Une réponse aux spécificités sectorielles : Le secteur du retail se distingue par un niveau élevé de traitements de données personnelles, lié à la diversité des canaux de distribution, à la digitalisation des parcours clients et au développement des dispositifs de fidélisation et de marketing. Le code constitue ainsi un instrument de mise en conformité adapté aux spécificités du secteur.
Autrement dit, il vise à structurer et à harmoniser les pratiques de conformité au sein d’un secteur particulièrement exposé aux enjeux du RGPD.
Synthèse
Le code de conduite de l’Alliance du Commerce approuvé par la CNIL constitue :
un instrument de mise en œuvre du RGPD encadré par les articles 40 et 41 ;
un référentiel sectoriel applicable aux acteurs du commerce de détail habillement/chaussure ;
le premier code de conduite de portée nationale approuvé par la CNIL dans ce domaine, s’inscrivant dans une dynamique européenne de structuration des outils de conformité ;
un engagement contraignant pour les entités adhérentes ;
un dispositif assorti d’un contrôle indépendant agréé par la CNIL ;
un outil de documentation de la conformité via un indicateur dédié.
Il s’inscrit dans la logique de responsabilisation des acteurs prévue par le RGPD, en contribuant à la structuration des pratiques de protection des données dans un secteur fortement digitalisé.
Sources
Pour aller plus loin et sécuriser vos pratiques face aux exigences du RGPD, à travers notre expertise nous vous accompagnons dans la mise en conformité et la prévention des risques liés aux données personnel
