RGPD E-commerce : Guide Complet 2025 Pour Boutiques en Ligne
Vous gérez une boutique en ligne ? Le RGPD impose des obligations spécifiques aux sites e-commerce. Entre les cookies de tracking, les données de paiement, les comptes clients et le remarketing, les risques de non-conformité sont élevés. Ce guide vous explique exactement comment protéger votre business.
⚠️ Alerte CNIL : Les e-commerces sont dans le top 3 des secteurs les plus contrôlés. En 2024, 37% des sanctions CNIL concernaient des boutiques en ligne pour non-conformité cookies et absence de consentement.
🛒 Audit RGPD Spécial E-commerce
Vérifiez la conformité de votre boutique en 5 minutes
Analyser Ma Boutique →🎯 Pourquoi Le RGPD Est Crucial Pour Les E-commerces
Les Données Sensibles Des E-commerces
Une boutique en ligne collecte bien plus de données qu'un site vitrine :
- Données d'identité : Nom, prénom, date de naissance
- Coordonnées : Email, téléphone, adresse de livraison et facturation
- Données de paiement : CB (même si tokenisée), historique d'achats
- Données comportementales : Navigation, paniers abandonnés, wishlist
- Données marketing : Préférences, segments, scoring
- Données techniques : IP, cookies, device fingerprinting
Les Risques Spécifiques
| Risque | Exemple | Amende Potentielle |
|---|---|---|
| Cookies avant consentement | Google Analytics, Facebook Pixel chargés automatiquement | 90M€ (Google 2020) |
| Remarketing sans consentement | Publicités ciblées sans opt-in | 60M€ (Facebook 2022) |
| Newsletter sans double opt-in | Inscription automatique à la commande | 15 000€ - 50 000€ |
| Conservation excessive | Données conservées plus de 3 ans | 25 000€ - 100 000€ |
| Fuite de données clients | Base clients piratée | 1,5M€ (Dedalus 2023) |
✅ Checklist RGPD E-commerce Complète
Avant Le Lancement
- Registre des traitements créé et à jour
- Politique de confidentialité complète et accessible
- Mentions légales avec toutes les infos obligatoires
- CGV mentionnant le traitement des données
- Bandeau cookies conforme installé
- Pas de cookies avant consentement
- Formulaires sans cases pré-cochées
- HTTPS sur tout le site
- Contrats de sous-traitance signés (hébergeur, paiement, CRM)
- Procédure d'exercice des droits en place
En Production
- Audit RGPD trimestriel
- Monitoring des nouveaux cookies
- Mise Ă jour du registre Ă chaque changement
- Réponse aux demandes d'accès sous 1 mois
- Suppression des comptes inactifs > 3 ans
- Test du bandeau cookies (refus, modification)
- Formation continue des Ă©quipes
🍪 Cookies et Tracking : Le Piège N°1
Les Erreurs Fatales
90% des sanctions e-commerce concernent les cookies. Voici les erreurs les plus fréquentes :
❌ Ce Qui Est INTERDIT
- Cookie wall : Bloquer l'accès si l'utilisateur refuse les cookies
- Cookies avant consentement : Aucun cookie ne doit se charger avant le clic
- Refus difficile : Le bouton "Refuser" doit ĂŞtre aussi visible que "Accepter"
- Cases pré-cochées : Toutes les cases doivent être décochées par défaut
- Consentement forcé : "En continuant, vous acceptez..." (scroll ≠consentement)
- Pas de détail : L'utilisateur doit pouvoir choisir par finalité
- Conservation > 13 mois : Le consentement expire après 13 mois max
âś… La Configuration Conforme
- Bandeau au chargement : Apparaît avant tout cookie
- Information claire : Finalité de chaque catégorie expliquée
- Granularité :
- Cookies essentiels (pas besoin de consentement)
- Cookies de préférence (opt-in)
- Cookies statistiques (opt-in)
- Cookies marketing/publicité (opt-in)
- Cookies réseaux sociaux (opt-in)
- Refus facile : Bouton "Tout refuser" aussi visible que "Tout accepter"
- Personnalisation : Bouton "Personnaliser" pour choisir
- Modification : Lien "GĂ©rer mes cookies" dans le footer
- Preuve : Conservation du consentement (qui, quand, quoi)
Les Cookies E-commerce Typiques
| Cookie/Service | Type | Consentement Requis ? |
|---|---|---|
| Session utilisateur | Essentiel | ❌ Non |
| Panier d'achat | Essentiel | ❌ Non |
| Authentification | Essentiel | ❌ Non |
| Google Analytics | Statistique | âś… Oui |
| Facebook Pixel | Marketing | âś… Oui |
| Google Ads | Marketing | âś… Oui |
| Hotjar / Crazy Egg | Statistique | âś… Oui |
| Avis clients (Trustpilot) | Fonctionnel | âś… Oui |
| Chat en ligne (Intercom) | Fonctionnel | âś… Oui (sauf si essentiel au service) |
Solutions Cookies Pour E-commerce
- Axeptio (49€/mois) : Design moderne, conforme CNIL, intégrations e-commerce
- Cookiebot (9€/mois) : Scan automatique, multi-sites
- OneTrust (sur devis) : Solution entreprise complète
- Tarteaucitron.js (gratuit) : Open source, Ă configurer manuellement
💳 Données de Paiement et Sécurité
PCI-DSS et RGPD : Double Obligation
Les données bancaires sont soumises à deux réglementations :
- PCI-DSS : Norme de sécurité des cartes bancaires
- RGPD : Protection des données personnelles
✅ Bonne pratique : Utilisez un PSP (Payment Service Provider) certifié comme Stripe, PayPal ou Mollie. Ils gèrent la conformité PCI-DSS et ne transmettent qu'un token à votre site.
Ce Que Vous Devez Faire
- Ne JAMAIS stocker de numéros de CB complets
- Utiliser la tokenisation : Le PSP stocke les données, vous stockez un token
- HTTPS obligatoire : Certificat SSL/TLS sur toutes les pages
- Conformité 3D Secure : Authentification forte DSP2
- Contrat de sous-traitance : Avec votre PSP (Stripe, PayPal, etc.)
- Logs sécurisés : Tracer les transactions sans exposer les données
- Suppression : Supprimer les tokens des clients qui demandent l'effacement
Durées de Conservation
| Donnée | Durée Légale | Base Légale |
|---|---|---|
| Historique d'achats | 3 ans après dernier achat | Obligation légale (comptabilité) |
| Données de facturation | 10 ans | Code de commerce |
| Token de paiement | Jusqu'Ă suppression du compte | Consentement client |
| Panier abandonné | 30 jours max | Intérêt légitime |
| Compte inactif | 3 ans sans connexion | Recommandation CNIL |
📧 Newsletter et Email Marketing
Le Double Opt-In Est Obligatoire
L'erreur la plus fréquente : Inscrire automatiquement à la newsletter lors de la commande.
❌ Ce Qui Est INTERDIT
- Case pré-cochée "Je souhaite recevoir la newsletter"
- Inscription automatique Ă la commande
- Opt-out : "DĂ©cochez si vous ne voulez pas..."
- Formulaire sans information sur la finalité
- Absence de lien de désinscription dans les emails
- Envoi après désinscription (même "par erreur")
✅ La Procédure Conforme
- Opt-in explicite : Case décochée par défaut + libellé clair
- ❌ "Accepter les CGV et la newsletter"
- ✅ "Je souhaite recevoir par email les offres et actualités de [Marque]"
- Double opt-in (recommandé) : Email de confirmation à valider
- Information complète :
- Fréquence d'envoi (hebdomadaire, mensuel)
- Type de contenu (offres, actualités, nouveautés)
- Possibilité de se désinscrire à tout moment
- Conservation du consentement : Date, heure, IP, texte du consentement
- Désinscription facile : Lien dans chaque email + respect immédiat
Email Marketing Post-Achat
Peut-on envoyer des emails après un achat ?
📧 Emails autorisés SANS consentement :
- Confirmation de commande
- Suivi de livraison
- Demande d'avis sur le produit acheté
- SAV et garantie
📧 Emails INTERDITS sans consentement :
- Offres sur d'autres produits
- Promotions générales
- Panier abandonné (sauf si client connecté = consentement implicite)
- RĂ©engagement ("Vous nous manquez")
Les Bonnes Pratiques Sendinblue / Mailchimp
- ✅ Synchronisation automatique : Liste de désinscrits partagée
- ✅ Double opt-in activé : Option dans les paramètres
- ✅ Champs personnalisés : Stocker date/source du consentement
- âś… Segments clairs : Clients vs prospects vs newsletter
- âś… Nettoyage annuel : Supprimer les inactifs > 3 ans
👤 Comptes Clients et Données Personnelles
Création de Compte
Le formulaire de création de compte doit être minimaliste :
✅ Données Strictement Nécessaires
- Email (identifiant)
- Mot de passe
- Nom/Prénom (pour la livraison)
- Adresse de livraison
❌ Données Excessives (Sans Justification)
- Date de naissance (sauf vente alcool, tabac)
- Téléphone (sauf si livraison à domicile)
- Genre (sauf si nécessaire au produit)
- Situation familiale
- Revenus
⚠️ Principe de minimisation : Ne collectez que les données strictement nécessaires à la finalité. Chaque champ supplémentaire doit être justifiable.
Espace Client Conforme
L'espace client doit permettre :
- Accès aux données : Voir toutes les données stockées
- Modification : Corriger nom, adresse, email
- Téléchargement : Exporter ses données (portabilité)
- Suppression : Supprimer son compte facilement
- Gestion des consentements : Newsletter, cookies, profilage
- Historique : Voir ses commandes, factures
Suppression de Compte
Délai de réponse : 1 mois maximum
Ce Qui Doit Être Supprimé
- ✅ Données d'identification (nom, prénom, email)
- âś… Adresses de livraison
- ✅ Préférences marketing
- âś… Historique de navigation
- ✅ Tokens de paiement enregistrés
Ce Qui Doit Être Conservé (Anonymisé)
- âś… Factures : 10 ans (obligation comptable)
- âś… Preuves de transactions : 3 ans (lutte anti-fraude)
- ✅ Statistiques anonymisées : Illimité
💡 Solution technique : Remplacez le nom par "Client supprimé [ID]" et anonymisez l'email en "deleted_[ID]@anonymized.local". Conservez uniquement le montant et la date de la commande.
🎯 Remarketing et Publicité Ciblée
Le Consentement Est Obligatoire
TOUS les pixels de tracking publicitaire nécessitent un consentement explicite :
- Facebook Pixel
- Google Ads (remarketing)
- TikTok Pixel
- Pinterest Tag
- Snapchat Pixel
- LinkedIn Insight Tag
Configuration Conforme
- Bandeau cookies : Catégorie "Publicité/Marketing" séparée
- Chargement conditionnel : Le pixel ne se charge QUE si consentement
- Information claire : "Ces cookies permettent d'afficher des publicités personnalisées sur Facebook, Google, etc."
- DĂ©sactivation : Si l'utilisateur refuse, retirer le pixel et informer les plateformes
Code Exemple (Facebook Pixel Conforme)
// Attendre le consentement
if (hasConsent('marketing')) {
!function(f,b,e,v,n,t,s){...}(window, document,'script',
'https://connect.facebook.net/en_US/fbevents.js');
fbq('init', 'VOTRE_PIXEL_ID');
fbq('track', 'PageView');
}
if (hasConsent('marketing')) {
!function(f,b,e,v,n,t,s){...}(window, document,'script',
'https://connect.facebook.net/en_US/fbevents.js');
fbq('init', 'VOTRE_PIXEL_ID');
fbq('track', 'PageView');
}
Alternatives Sans Cookies
Si vos clients refusent les cookies, vous pouvez utiliser :
- Conversion API : Tracking serveur-side (Facebook CAPI, Google Enhanced Conversions)
- Listes de remarketing : Upload de listes emails (avec consentement)
- Audiences similaires : Ciblage sans tracking individuel
🛠️ RGPD Par Plateforme E-commerce
PrestaShop
- âś… Module natif : "RGPD Compliance" inclus
- âś… Gestion des consentements : Formulaires conformes
- ✅ Export des données : Depuis le back-office
- ⚠️ Cookies : Module tiers requis (Axeptio, Cookiebot)
- ⚠️ Double opt-in newsletter : Module payant recommandé
WooCommerce (WordPress)
- ✅ Outils natifs : Export/suppression de données
- âś… Plugins gratuits : WP GDPR Compliance, GDPR Cookie Consent
- ⚠️ Vigilance : Certains plugins installent des trackers
- ✅ Mailchimp : Intégration RGPD disponible
Shopify
- ✅ Conformité intégrée : Gestion des consentements
- ✅ Bandeau cookies : Configuré automatiquement
- ✅ Demandes clients : Interface dédiée pour les droits
- âś… Apps : Pandectes GDPR, Consentmo
- ⚠️ Apps tierces : Vérifier la conformité de chaque app
Magento
- âś… Module natif : GDPR Compliance depuis 2.2.0
- âś… Suppression en masse : Automatique pour comptes inactifs
- ✅ Anonymisation : Commandes conservées anonymement
- ⚠️ Cookies : Extension payante recommandée
📋 Modèles de Documents E-commerce
Clause Newsletter Dans CGV
"L'abonnement à notre newsletter est facultatif et nécessite un consentement explicite lors de votre inscription. Vous recevrez un email de confirmation (double opt-in) avant tout envoi. Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque email ou depuis votre espace client. Vos données ne seront jamais transmises à des tiers à des fins commerciales."
Mention Cookies E-commerce
"Notre site utilise des cookies pour améliorer votre expérience d'achat. Les cookies essentiels (panier, session, sécurité) ne nécessitent pas votre consentement. Les cookies de statistiques (Google Analytics) et de marketing (Facebook Pixel, Google Ads) ne sont déposés qu'avec votre accord explicite via le bandeau cookies affiché à votre première visite."
🚀 Vérifiez Votre Conformité Maintenant
Audit automatisé en 5 minutes • Rapport détaillé instantané
Analyser Ma Boutique →127 points de contrôle • Sans engagement
💰 ROI de La Conformité RGPD
Coût Moyen Par Type de Boutique
| Type de Boutique | Budget RGPD | Temps |
|---|---|---|
| Dropshipping / Petite boutique | 500€ - 1 000€ | 8-12h |
| E-commerce PME (< 50k visiteurs/mois) | 2 000€ - 5 000€ | 20-30h |
| Marketplace / Gros e-commerce | 10 000€ - 50 000€ | 100-200h |
Économies Réalisées
- ✅ Éviter une amende : 15 000€ à 90M€
- ✅ Éviter une fuite de données : 100 000€ à 1,5M€ (sanction + coûts)
- âś… Augmenter la confiance : +22% de taux de conversion (Ă©tude Cisco)
- ✅ Améliorer le SEO : Google favorise les sites conformes (HTTPS, cookies)
- ✅ Réduire le CAC : Meilleure qualité de données = meilleur ciblage
âť“ FAQ E-commerce RGPD
Puis-je tracker sans cookies ?
Oui, via le tracking serveur-side (Facebook CAPI, Google GA4 server-side). Mais vous devez toujours informer les utilisateurs et obtenir leur consentement pour le traitement des données.
Dropshipping depuis la Chine : Conformité RGPD ?
Oui, si vous vendez à des Européens, vous êtes soumis au RGPD. Le fournisseur chinois est votre sous-traitant, vous devez avoir un contrat de traitement des données avec lui (difficile en pratique). Risque élevé.
Amazon FBA et RGPD ?
Amazon est responsable de traitement pour les données clients collectées via sa marketplace. Mais si vous exportez ces données (pour du remarketing, emailing), vous devenez responsable et devez être conforme.
Combien de temps garder l'historique d'achats ?
3 ans après le dernier achat pour les données marketing. 10 ans pour les factures (obligation comptable). Au-delà , anonymisation obligatoire sauf consentement explicite renouvelé.