Audit RGPD E-commerce : Guide Complet pour Boutiques en Ligne
Les sites e-commerce collectent beaucoup plus de données personnelles qu'un site vitrine : comptes clients, adresses de livraison, données de paiement, historique d'achats, paniers abandonnés, newsletters... Ce guide vous accompagne dans l'audit RGPD spécifique aux boutiques en ligne.
Pourquoi les e-commerces sont-ils plus à risque ?
- Plus de données collectées : nom, adresse, téléphone, email, paiement
- Plus de traitements : commandes, livraison, marketing, relance panier
- Plus de sous-traitants : paiement, logistique, emailing, analytics
- Plus de trackers : conversion, retargeting, affiliation
Auditez Votre Boutique en Ligne
Diagnostic automatique de 127 points en 2 minutes
Lancer le Diagnostic GratuitLes 8 Zones à Risque d'un E-commerce
Les e-commerces utilisent généralement de nombreux trackers pour mesurer les conversions et faire du retargeting.
-
Google Analytics bloqué avant consentement Vérifiez que GA ne se charge pas avant le clic sur "Accepter"
-
Facebook Pixel conditionné au consentement Le pixel de conversion doit être bloqué jusqu'au consentement marketing
-
Google Ads / Tag Manager configuré Mode consentement v2 activé pour respecter les choix utilisateurs
-
Trackers d'affiliation contrôlés Awin, CJ, TradeDoubler... tous doivent attendre le consentement
-
Hotjar / Clarity soumis au consentement Les outils d'analyse comportementale nécessitent le consentement
La création de compte implique une collecte importante de données personnelles.
-
Mention d'information sous le formulaire d'inscription Finalité, droits, lien vers politique de confidentialité
-
Newsletter : case non pré-cochée L'inscription newsletter doit être un choix actif
-
Achat sans création de compte possible Option "Commander en invité" recommandée (minimisation)
-
Possibilité de supprimer son compte Droit à l'effacement accessible depuis l'espace client
-
Export des données personnelles Droit à la portabilité : permettre le téléchargement des données
Le tunnel de commande collecte des données sensibles : adresse, téléphone, email.
-
Minimisation des données collectées Ne demander que le nécessaire (ex: date de naissance rarement utile)
-
Séparation des consentements Newsletter, SMS, partenaires = 3 cases distinctes
-
Lien vers CGV et politique de confidentialité Visible avant validation de la commande
-
Durée de conservation des commandes définie Généralement : durée légale de garantie + prescription (5-10 ans)
Les données de paiement sont des données sensibles qui nécessitent une sécurité renforcée.
-
Paiement via prestataire certifié PCI-DSS Stripe, PayPal, Mollie, etc. Ne jamais stocker les CB vous-même
-
Pas de stockage de numéro de carte complet Seuls les 4 derniers chiffres peuvent être conservés (pour historique)
-
Enregistrement carte : consentement explicite L'option "Enregistrer ma carte" ne doit pas être pré-cochée
-
3D Secure activé Authentification forte obligatoire (DSP2)
La relance de paniers abandonnés est un sujet sensible en matière de RGPD.
-
Clients connectés : relance possible (intérêt légitime) Si le client est connecté, la relance peut être justifiée par l'intérêt légitime
-
Visiteurs non connectés : consentement requis Si l'email est collecté sans compte, le consentement marketing est nécessaire
-
Lien de désinscription dans chaque email Obligatoire pour tous les emails marketing/relance
-
Pas plus de 3 relances Au-delà, cela peut être considéré comme du spam
Attention : Les pop-ups "Laissez votre email pour sauvegarder votre panier" nécessitent un consentement clair pour la relance marketing. La simple sauvegarde du panier ne justifie pas l'envoi d'emails promotionnels.
-
Double opt-in recommandé Email de confirmation avant inscription effective
-
Pas d'inscription automatique à la commande L'inscription newsletter doit être un choix distinct de l'achat
-
Lien de désinscription fonctionnel En un clic, sans demander de se connecter
-
Preuve de consentement conservée Date, heure, IP, texte exact de la case cochée
-
Nettoyage des inactifs (3 ans) Supprimer les contacts sans interaction depuis 3 ans
-
Sollicitation d'avis : intérêt légitime ou consentement Un email post-achat demandant un avis est généralement accepté (intérêt légitime)
-
Prestataire avis certifié (Trustpilot, Avis Vérifiés...) Vérifier les clauses RGPD du contrat sous-traitant
-
Pas de publication de données personnelles Ne pas publier le nom complet sans accord (prénom + initiale suffit)
Un e-commerce typique utilise de nombreux prestataires qui traitent des données personnelles.
-
Liste des sous-traitants établie Paiement, logistique, emailing, analytics, hébergement...
-
Contrats article 28 signés Chaque sous-traitant doit avoir un contrat RGPD (DPA)
-
Transferts hors UE documentés Services US : vérifier les clauses contractuelles types (CCT)
-
Sous-traitants listés dans la politique Informer les clients des principaux prestataires
Analysez Votre E-commerce Maintenant
Diagnostic automatique de 127 points RGPD en 2 minutes
Lancer le Diagnostic GratuitRGPD par Plateforme E-commerce
Chaque plateforme e-commerce a ses spécificités en matière de conformité RGPD :
DPA inclus, apps RGPD disponibles, export données client possible. Attention aux apps tierces.
Nécessite plugins (GDPR Cookie Consent, etc.). Export données intégré depuis WP 4.9.6.
Module RGPD officiel gratuit, export et suppression de données intégrés.
Extensions nécessaires, complexité de mise en œuvre selon la version.
Les Sous-traitants Typiques d'un E-commerce
| Catégorie | Exemples | Données Traitées | Contrat DPA ? |
|---|---|---|---|
| Paiement | Stripe, PayPal, Mollie | Données bancaires, identité | Inclus |
| Logistique | Colissimo, Chronopost, Mondial Relay | Nom, adresse, téléphone | À vérifier |
| Emailing | Mailchimp, Brevo, Klaviyo | Email, prénom, historique | Inclus |
| Analytics | Google Analytics, Matomo | IP, comportement navigation | Inclus (GA) |
| Avis | Trustpilot, Avis Vérifiés | Email, nom, avis | Inclus |
| Chat | Zendesk, Crisp, Intercom | Conversations, email | À vérifier |
| Hébergement | OVH, Scaleway, AWS | Toutes les données du site | Inclus |
Les Erreurs RGPD les Plus Fréquentes en E-commerce
Les 5 erreurs fatales
- Google Analytics + Facebook Pixel chargés avant consentement
Risque : amende jusqu'à 4% du CA - Newsletter pré-cochée à la commande
Risque : plaintes CNIL, amende 20-50k€ - Relance panier sans base légale claire
Risque : plaintes, image de marque - Pas de politique de confidentialité ou incomplète
Risque : mise en demeure CNIL - Pas de possibilité de supprimer son compte
Risque : violation du droit à l'effacement
Durées de Conservation E-commerce
| Type de Données | Durée Recommandée | Base Légale |
|---|---|---|
| Données de commande | 10 ans | Obligation comptable + prescription |
| Compte client inactif | 3 ans après dernière activité | Recommandation CNIL |
| Prospects (newsletter) | 3 ans après dernier contact | Recommandation CNIL |
| Cookies | 13 mois maximum | Recommandation CNIL |
| Logs de connexion | 1 an | Recommandation CNIL |
| Données de paiement (4 derniers chiffres) | Durée de la relation commerciale | Intérêt légitime (historique) |
Questions Fréquentes E-commerce
Puis-je envoyer un email de relance de panier sans consentement ?
Si le client est connecté à son compte, oui (intérêt légitime). Si c'est un simple visiteur dont vous avez récupéré l'email via une pop-up, vous devez avoir obtenu un consentement explicite pour la prospection commerciale.
Les avis clients nécessitent-ils un consentement ?
La sollicitation d'avis post-achat peut être justifiée par l'intérêt légitime (améliorer le service). En revanche, la publication de l'avis avec des données personnelles (nom complet) nécessite l'accord de l'auteur.
Combien de temps conserver les données d'un client qui n'achète plus ?
La CNIL recommande 3 ans après la dernière activité (achat, connexion, interaction). Au-delà, les données doivent être supprimées ou anonymisées, sauf obligation légale (comptabilité : 10 ans).
Mon prestataire de paiement est-il responsable RGPD ?
Non, il est sous-traitant. Vous restez responsable de traitement. Vérifiez que votre prestataire (Stripe, PayPal...) a signé un DPA (Data Processing Agreement) - c'est généralement inclus dans leurs CGU.
Ressources Complémentaires
- Diagnostic RGPD Gratuit - Analysez votre e-commerce
- Checklist Audit RGPD (40 points)
- Audit Cookies CNIL - Focus sur les trackers
- Exemples de Violations Détectées
- Amendes RGPD en France