Concours conforme RGPD : guide 2026 pour les commerçants français et UE

Lancer un concours dans l'UE sans réfléchir au RGPD est l'une des erreurs les plus communes — et les plus coûteuses — des commerçants PME. Les amendes sont réelles, la CNIL est active, et l'exposition juridique s'accumule à chaque participant non conforme dont vous avez collecté les données. Ce guide montre ce que le RGPD exige réellement pour un concours retail, où les outils de concours génériques échouent, et comment lancer une campagne conforme sans sacrifier les mécaniques virales qui rendent les concours intéressants.

Le principe central : un concours est une activité marketing qui collecte des données personnelles (nom, email, parfois adresse). Sous le RGPD, ça demande une base légale (presque toujours le consentement), une information précise au participant sur l'usage de ses données, la capacité de retirer son consentement, et le droit d'effacer ses données. Rien de tout ça n'est optionnel, et « je suis une petite entreprise » n'est pas une défense — la CNIL a déjà sanctionné des PME pour des violations RGPD sur des concours d'une valeur de lot inférieure à 500 €.

Les cinq exigences RGPD que votre concours doit respecter. Premièrement, le consentement doit être spécifique et éclairé — le participant doit savoir exactement quelles données vous collectez et pourquoi. Une case générique « j'accepte d'être contacté » ne suffit pas ; il faut des opt-ins séparés et explicites pour l'entrée au concours d'un côté et pour les communications marketing futures de l'autre. Deuxièmement, le consentement doit être délié — un participant ne peut pas être obligé d'accepter les emails marketing comme condition d'entrée au concours. Troisièmement, vous devez avoir une politique de rétention de données documentée (quand les données des participants seront-elles supprimées ?). Quatrièmement, vous devez fournir un chemin clair vers la suppression des données (demande email, formulaire, ou self-service). Cinquièmement, si vous traitez des données de résidents UE, il faut une politique de confidentialité accessible depuis la page de concours.

Le consentement cookies est séparé. Si votre page de concours dépose des cookies de tracking (Google Analytics, Meta Pixel, tout au-delà du strictement nécessaire), il faut un bandeau cookies conforme CNIL. La plupart des outils de concours génériques n'en fournissent pas. La CNIL a des guidelines spécifiques — les bandeaux doivent avoir des boutons accept/reject d'égale proéminence, le refus doit être aussi facile que l'acceptation, et le consentement préalable est requis avant tout cookie non essentiel.

Où les outils de concours génériques échouent. KingSumo, SweepWidget, RafflePress, ViralSweep — tous d'origine américaine — ont été construits pour le contexte juridique US. Ils gèrent la mécanique de concours mais ne livrent pas de flows d'entrée conformes RGPD. Vous pouvez en général les configurer pour être conformes si vous comprenez les règles, mais la configuration est de votre responsabilité. Les outils construits en Europe (ou avec des fonctionnalités RGPD explicites comme le module concours de liflio, construit en France avec la conformité RGPD comme exigence fondamentale) émettent des flows conformes par défaut.

Et le droit de la consommation français (Code de la Consommation) ? Au-delà du RGPD, les commerçants français qui lancent des concours doivent publier un règlement officiel et peuvent avoir besoin de le déposer chez un huissier pour les lots de valeur supérieure à certains seuils. Le règlement doit inclure la période, les critères d'éligibilité, le mécanisme de sélection du gagnant, le lot, et comment réclamer. Pour les concours à échelle PME (lots sous ~500 €), le dépôt huissier est généralement contournable, mais le règlement publié non.