Préparer le lancement de ma boutique

Mettre sa boutique en ligne en conformité RGPD : guide complet

Découvrez comment mettre votre boutique e-commerce en conformité RGPD : cookies, données clients, registre. Un guide actionnable pour e-commerçants.

Définition courte

En bref

La conformité RGPD pour une boutique en ligne consiste à respecter le Règlement Général sur la Protection des Données (UE 2016/679) en matière de collecte, traitement et stockage des données personnelles des clients, via des mesures comme le consentement aux cookies, la politique de confidentialité et la tenue d'un registre des traitements.

Résumé opérationnel

L'essentiel

Pour mettre votre boutique en ligne en conformité RGPD, commencez par auditer l'ensemble des données personnelles que vous collectez (nom, email, adresse, IP, historique d'achat). Mettez en place un bandeau cookies conforme (opt-in actif, refus aussi simple que l'acceptation). Rédigez une politique de confidentialité claire listant vos traitements, finalités et durées de conservation. Enfin, tenez un registre des activités de traitement (obligatoire dès 1 employé ou 250 clients). Ces actions vous protègent des amendes (jusqu'à 4% du CA mondial) et renforcent la confiance client.

Sur le terrain

Cas fréquent observé : de nombreux e-commerçants utilisent encore des solutions de tracking (Google Analytics, Facebook Pixel) sans consentement préalable explicite, ou avec un bandeau cookies qui ne permet pas un refus aussi simple que l'acceptation. Dans les faits, la CNIL sanctionne désormais les sites qui ne respectent pas le principe de 'parité des moyens' entre accepter et refuser. En accompagnement, la difficulté réelle est de concilier performance marketing (pixels, retargeting) et conformité, car la plupart des outils publicitaires ne sont pas conçus 'RGPD by design'.

Pourquoi la conformité RGPD est cruciale pour votre boutique en ligne

Le RGPD (Règlement Général sur la Protection des Données) s'applique à toute entreprise qui traite des données personnelles de citoyens européens, quel que soit son pays d'origine. Pour une boutique en ligne, cela concerne : les noms, emails, adresses, numéros de téléphone, adresses IP, données de navigation, historique d'achat, et même les avis clients. Les sanctions financières peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé. Au-delà de l'aspect juridique, la conformité est un atout commercial : 79 % des consommateurs déclarent être plus fidèles aux marques qui protègent leurs données (source : Cisco Consumer Privacy Survey, 2023).

Un site non conforme expose aussi à des plaintes auprès de la CNIL (en France) ou des autorités locales, et peut subir des injonctions de mise en conformité sous astreinte. Enfin, les plateformes comme Google ou Facebook peuvent désactiver vos comptes publicitaires si vos pratiques de tracking ne respectent pas leurs propres règles (consentement obligatoire pour les données personnelles).

Auditer les données personnelles collectées sur votre site

La première étape consiste à cartographier l'ensemble des données que vous collectez, directement ou via des tiers. Passez en revue chaque point de contact client :

  • Formulaire d'inscription / de commande : nom, prénom, adresse email, adresse postale, téléphone, date de naissance (si demandée).
  • Cookies et traceurs : Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Hotjar, etc. Chacun collecte des données de navigation (pages visitées, durée, clics).
  • Paiement : les données bancaires sont généralement gérées par un prestataire (Stripe, PayPal) et ne doivent pas être stockées sur votre serveur.
  • Emails transactionnels : confirmation de commande, suivi de livraison, factures.
  • Service client : échanges par email, chat, téléphone (enregistrement possible).

Pour chaque donnée, notez : la finalité (exécution du contrat, marketing, analyse), la base légale (consentement, intérêt légitime, obligation légale), la durée de conservation, et les destinataires (sous-traitants). Cette cartographie servira de base pour votre registre des traitements.

Mettre en place un bandeau cookies conforme

Le bandeau cookies est l'élément le plus visible de la conformité RGPD. Depuis les recommandations de la CNIL (2020), les règles sont précises :

  • Opt-in actif : le dépôt de cookies non essentiels (publicitaires, analytics, réseaux sociaux) est interdit avant le consentement explicite de l'utilisateur. Un simple 'scroll' ou 'navigation continue' ne constitue pas un consentement valide.
  • Parité des moyens : le bouton 'Tout refuser' doit être aussi facile à cliquer que 'Tout accepter'. Pas de bouton 'Accepter' en couleur et 'Refuser' en gris discret.
  • Granularité : l'utilisateur doit pouvoir choisir catégorie par catégorie (essentiels, analytics, marketing, réseaux sociaux).
  • Information claire : le bandeau doit indiquer la finalité de chaque catégorie et un lien vers la politique de confidentialité.

Des solutions comme Cookiebot, Axeptio, ou les modules natifs de Shopify (Customer Privacy API) permettent de respecter ces exigences. Attention : Google Analytics nécessite un consentement 'analytics' distinct, et le partage de données avec Google (pour les rapports) doit être désactivé si l'utilisateur refuse.

Rédiger une politique de confidentialité complète et transparente

La politique de confidentialité (ou notice d'information) est obligatoire et doit être accessible depuis chaque page du site (footer, lien 'Confidentialité'). Elle doit contenir :

  • L'identité et les coordonnées du responsable de traitement (vous, ou votre entreprise).
  • Les finalités de chaque traitement (ex : 'gestion des commandes', 'envoi de newsletters', 'analyse d'audience').
  • La base légale pour chaque finalité (consentement, intérêt légitime, exécution du contrat).
  • La durée de conservation des données (ex : '3 ans après le dernier achat pour les données clients').
  • Les destinataires des données (prestataires de paiement, transporteurs, outils marketing).
  • Les droits des personnes (accès, rectification, effacement, opposition, portabilité).
  • Les modalités d'exercice de ces droits (adresse email, formulaire de contact).
  • Le droit d'introduire une réclamation auprès de la CNIL.

Utilisez un langage simple et évitez le jargon juridique. Exemple concret : 'Nous utilisons vos données de navigation (pages visitées, temps passé) pour améliorer notre site. Vous pouvez vous y opposer à tout moment via notre gestionnaire de cookies.'

Tenir un registre des activités de traitement

Le registre des traitements est obligatoire pour toute entreprise de plus de 250 salariés, mais aussi pour celles qui traitent des données sensibles ou qui effectuent un suivi régulier et systématique des personnes (ce qui est le cas de toute boutique en ligne avec analytics et emailing). En pratique, la CNIL recommande à toutes les entreprises de le tenir.

Le registre doit lister chaque traitement de données personnelles avec :

  • Le nom du traitement (ex : 'Gestion des commandes', 'Newsletter', 'Google Analytics').
  • La finalité (ex : 'Exécution du contrat de vente').
  • Les catégories de personnes concernées (clients, prospects, visiteurs).
  • Les catégories de données (nom, email, adresse IP, historique d'achat).
  • La base légale (exécution du contrat, consentement, intérêt légitime).
  • La durée de conservation (ex : '3 ans après le dernier achat').
  • Les destinataires (prestataires, sous-traitants).
  • Les mesures de sécurité (chiffrement, accès restreint).

Des outils comme 'RGPD Registre' (gratuit) ou des modèles Excel sont disponibles. Mettez à jour ce registre à chaque nouveau traitement (ex : ajout d'un outil de chat, nouveau partenaire marketing).

Gérer les droits des personnes : accès, rectification, effacement

Le RGPD accorde aux clients et visiteurs plusieurs droits qu'ils peuvent exercer à tout moment. Vous devez être en mesure de répondre dans un délai d'un mois (prolongeable de deux mois en cas de complexité). Les principaux droits :

  • Droit d'accès : le client peut demander une copie de toutes les données que vous détenez sur lui.
  • Droit de rectification : il peut faire corriger des données inexactes (ex : adresse erronée).
  • Droit à l'effacement (droit à l'oubli) : il peut demander la suppression de ses données, sauf si vous avez une obligation légale de les conserver (ex : factures).
  • Droit d'opposition : il peut s'opposer au traitement de ses données à des fins de marketing direct (ex : se désabonner de la newsletter).
  • Droit à la portabilité : il peut recevoir ses données dans un format structuré (CSV, JSON) pour les transmettre à un autre service.

Pour faciliter la gestion, mettez en place un formulaire de contact dédié (rubrique 'Vos droits' dans votre compte client ou page contact). Automatisez les réponses pour les demandes simples (ex : désabonnement newsletter) et formez votre service client aux procédures.

Sécuriser les données : mesures techniques et organisationnelles

La sécurité des données est une obligation légale (article 32 du RGPD). Pour une boutique en ligne, les mesures essentielles incluent :

  • Chiffrement SSL/TLS : obligatoire pour toutes les pages (pas seulement la page de paiement). Votre site doit être en HTTPS.
  • Chiffrement des données en base : les mots de passe doivent être hashés (bcrypt, Argon2), les données sensibles comme les emails peuvent être chiffrées.
  • Accès restreint : seuls les employés qui en ont besoin (service client, logistique) doivent avoir accès aux données personnelles. Utilisez des comptes individuels avec des droits limités.
  • Sauvegardes régulières : avec restauration testée, pour éviter la perte de données en cas d'incident.
  • Pare-feu et anti-malware : protégez votre serveur et votre site contre les attaques (XSS, injections SQL).
  • Plan de réponse aux incidents : en cas de fuite de données, vous devez notifier la CNIL dans les 72 heures et informer les personnes concernées si le risque est élevé.

Si vous utilisez une plateforme SaaS (Shopify, PrestaShop Cloud), vérifiez les certifications de sécurité (ISO 27001, SOC 2) et l'emplacement des serveurs (préférez l'UE).

Gérer les sous-traitants : contrats et clauses RGPD

Si vous utilisez des prestataires qui traitent des données personnelles en votre nom (hébergeur, plateforme e-commerce, outil d'emailing, transporteur), vous devez signer un contrat de sous-traitance conforme à l'article 28 du RGPD. Ce contrat doit préciser :

  • L'objet et la durée du traitement.
  • La nature et la finalité du traitement.
  • Le type de données personnelles et les catégories de personnes concernées.
  • Les obligations du sous-traitant (confidentialité, sécurité, assistance pour les droits des personnes).
  • L'interdiction de sous-traiter sans votre autorisation écrite.
  • Les mesures de sécurité mises en œuvre.
  • Le sort des données à la fin du contrat (suppression ou restitution).

Vérifiez que vos outils (Mailchimp, Sendinblue, Google Analytics, Facebook) proposent un Data Processing Agreement (DPA) signable en ligne. Pour Shopify, le DPA est inclus dans les conditions générales, mais vous devez l'accepter explicitement dans votre administration. Conservez tous ces contrats dans un dossier dédié.

Former votre équipe et maintenir la conformité dans le temps

La conformité RGPD n'est pas un projet ponctuel, mais un processus continu. Pour éviter les dérives :

  • Formez vos collaborateurs : chaque employé qui manipule des données (service client, marketing, logistique) doit connaître les bases du RGPD (ne pas divulguer d'informations, respecter les demandes de suppression, signaler les incidents).
  • Révisez vos traitements chaque année : ajoutez les nouveaux outils, supprimez ceux qui ne sont plus utilisés, mettez à jour les durées de conservation.
  • Auditez votre site régulièrement : utilisez des outils comme 'WebAnalyzer' ou 'Cookiebot Scanner' pour détecter les cookies non déclarés.
  • Surveillez les évolutions légales : la CNIL publie des recommandations et des délibérations (ex : sur l'utilisation de Google Analytics, interdit dans certains cas sans consentement).
  • Documentez vos actions : conservez les preuves de consentement (logs de cookies), les audits, les formations. En cas de contrôle, cela montre votre diligence.

Un bon réflexe : désigner un Délégué à la Protection des Données (DPO) si votre activité implique un suivi régulier et systématique des personnes à grande échelle (souvent le cas des boutiques avec plus de 5000 clients). Le DPO peut être externe (prestataire) et doit être déclaré auprès de la CNIL.

Obligations RGPD pour une boutique en ligne : récapitulatif
ObligationDétailSanction en cas de non-respect
Bandeau cookies conformeOpt-in actif, parité accepter/refuser, granularitéJusqu'à 4% du CA ou 20M€
Politique de confidentialitéAccessible, complète, langage clairAvertissement CNIL, injonction
Registre des traitementsListe de tous les traitements, finalités, bases légalesAmende jusqu'à 20M€
Droits des personnesRéponse sous 1 mois, accès, effacement, oppositionPlainte client, amende
Sécurité des donnéesHTTPS, chiffrement, accès restreint, sauvegardesAmende + notification obligatoire en cas de fuite
Contrats sous-traitantsDPA signé avec chaque prestataireResponsabilité solidaire en cas de fuite
Comparatif des solutions de gestion des cookies pour e-commerce
SolutionFonctionnalités clésTarif indicatifIntégration e-commerce
Cookiebot (Cybot)Scan automatique, consentement granulaire, multilangueGratuit jusqu'à 100 pages, puis à vérifierFacile : plugin Shopify, PrestaShop, WooCommerce
AxeptioDesign personnalisable, CMP certifiée CNIL, gestion des consentementsÀ vérifier sur la page officiellePlugin Shopify, PrestaShop, API
Complianz (WordPress)Assistant de configuration, cookies analytics, marketingGratuit (base), premium à vérifierPlugin WordPress uniquement
CookieYesScan, consentement, multilangue, logsGratuit jusqu'à 50 pages, payant à vérifierPlugin Shopify, WooCommerce, site statique
Shopify Customer Privacy APIIntégré à Shopify, conforme CNIL (si configuré)Inclus dans ShopifyNatrif Shopify (nécessite développement pour personnalisation)
Durées de conservation recommandées pour les données clients e-commerce
Type de donnéesDurée recommandéeBase légaleExemple
Données de commande (nom, adresse, produit)3 ans après la dernière commandeExécution du contrat + obligation comptable (factures : 10 ans)Client commande en 2023 : données conservées jusqu'en 2026
Données de navigation (cookies analytics)13 mois max (CNIL)ConsentementCookie Analytics : durée de vie 13 mois, puis renouvellement
Données de prospection (email, téléphone)3 ans après le dernier contact (CNIL)Intérêt légitime ou consentementProspect non actif depuis 3 ans : suppression
Données de newsletterJusqu'au désabonnement + 3 ansConsentementDésabonné en 2024 : données supprimées en 2027
Données bancaires (via prestataire)Non conservées par le marchandSous-traitanceStripe conserve les données selon sa politique
Vérification de conformité : checklist pour votre boutique
Point de contrôleStatut (OK / À faire / Non applicable)Action prioritaire
Bandeau cookies avec refus aussi simple que l'acceptationVérifier la parité des boutons
Politique de confidentialité accessible depuis le footerRédiger ou mettre à jour
Registre des traitements à jourCréer le registre avec tous les traitements
DPA signé avec Google, Facebook, Mailchimp, etc.Contacter chaque prestataire pour signer le DPA
Formulaire de contact pour les droits RGPDAjouter une page 'Vos droits'
Sauvegardes régulières et test de restaurationPlanifier des sauvegardes automatiques
Plan de réponse aux incidents de donnéesRédiger une procédure de notification CNIL

Plan d'action en 30 jours pour la mise en conformité RGPD

Semaine 1 — Audit et cartographie
  • Lister tous les points de collecte de données sur le site (formulaires, cookies, outils tiers)
  • Identifier chaque cookie/traceur et sa finalité (essentiel, analytics, marketing)
  • Vérifier les contrats avec les sous-traitants (hébergeur, plateforme, outils emailing)
  • Noter les durées de conservation actuelles pour chaque type de donnée
Semaine 2 — Mise en place des outils de consentement
  • Choisir et installer une solution de gestion des cookies (Cookiebot, Axeptio, etc.)
  • Configurer le bandeau : opt-in actif, parité accepter/refuser, granularité par catégorie
  • Intégrer le consentement aux outils tiers (Google Analytics, Facebook Pixel, Hotjar)
  • Tester le parcours utilisateur : refus, acceptation, modification du consentement
Semaine 3 — Documentation et registre
  • Rédiger la politique de confidentialité complète (finalités, bases légales, durées, droits)
  • Créer le registre des traitements (modèle CNIL ou outil dédié)
  • Ajouter un formulaire de contact pour les droits RGPD (page dédiée ou section compte client)
  • Signer les DPA avec les sous-traitants (vérifier les conditions générales)
Semaine 4 — Sécurité, formation et lancement
  • Vérifier la sécurité du site : HTTPS, chiffrement, accès restreint, sauvegardes
  • Former l'équipe (service client, marketing) aux procédures RGPD
  • Tester les demandes de droits (accès, effacement) en conditions réelles
  • Publier la politique de confidentialité et activer le bandeau cookies
  • Planifier une revue trimestrielle de la conformité

Checklist

  • Auditer toutes les données personnelles collectées (formulaires, cookies, emails, paiement)
  • Mettre en place un bandeau cookies avec opt-in actif et parité accepter/refuser
  • Rédiger une politique de confidentialité complète et accessible depuis chaque page
  • Créer et tenir à jour un registre des activités de traitement
  • Signer un Data Processing Agreement (DPA) avec chaque sous-traitant (hébergeur, outils marketing, transporteur)
  • Mettre en place un formulaire de contact pour les droits des personnes (accès, effacement, opposition)
  • Sécuriser le site : HTTPS, chiffrement, accès restreint, sauvegardes
  • Former l'équipe aux bases du RGPD et à la gestion des demandes clients
  • Configurer les outils analytics (Google Analytics, Facebook Pixel) pour respecter le consentement
  • Planifier une revue annuelle de la conformité et des traitements

Questions fréquentes

Qu'est-ce que le RGPD et pourquoi concerne-t-il ma boutique en ligne ?

Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen qui encadre la collecte et le traitement des données personnelles. Il concerne toute boutique en ligne qui traite des données de clients européens, quel que soit le pays d'hébergement. Les obligations incluent le consentement aux cookies, une politique de confidentialité claire, la tenue d'un registre des traitements, et la sécurisation des données.

Quelles sont les sanctions en cas de non-conformité au RGPD pour un e-commerce ?

Les sanctions peuvent aller jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé). La CNIL peut aussi prononcer des injonctions de mise en conformité sous astreinte (ex : un montant selon le prestataire par jour de retard). En pratique, les premières sanctions visent souvent les manquements aux cookies et à l'information des personnes.

Dois-je obligatoirement tenir un registre des traitements pour ma boutique ?

Oui, si vous avez plus de 250 salariés, ou si vous traitez des données sensibles, ou si vous effectuez un suivi régulier et systématique des personnes (ce qui est le cas de toute boutique avec analytics et emailing). La CNIL recommande à toutes les entreprises de le tenir. Le registre liste chaque traitement (finalité, base légale, durée de conservation, destinataires).

Comment mettre en place un bandeau cookies conforme aux règles de la CNIL ?

Le bandeau doit proposer un opt-in actif (pas de consentement par défaut), un bouton 'Tout refuser' aussi visible que 'Tout accepter', et une granularité par catégorie (essentiels, analytics, marketing). Il doit aussi informer sur les finalités et renvoyer vers la politique de confidentialité. Utilisez des solutions comme Cookiebot, Axeptio ou les modules natifs de Shopify.

Quels sont les droits des clients sur leurs données personnelles ?

Les clients ont le droit d'accéder à leurs données (copie), de les rectifier (correction d'une adresse), de les effacer (droit à l'oubli), de s'opposer au traitement (ex : se désabonner de la newsletter), et de demander la portabilité (recevoir les données dans un format structuré). Vous devez répondre sous un mois.

Que faire en cas de fuite de données (data breach) sur ma boutique ?

Vous devez notifier la CNIL dans les 72 heures après en avoir pris connaissance, via le formulaire en ligne. Si la fuite présente un risque élevé pour les personnes (ex : données bancaires, mots de passe), vous devez aussi informer les clients concernés. Préparez un plan de réponse aux incidents à l'avance.

Puis-je utiliser Google Analytics sur ma boutique sans violer le RGPD ?

Oui, à condition d'obtenir le consentement explicite des visiteurs via votre bandeau cookies (catégorie 'analytics'), et de configurer Google Analytics pour anonymiser les adresses IP, désactiver le partage de données avec Google (pour les rapports), et signer un DPA avec Google. Attention : la CNIL a considéré que Google Analytics n'est pas toujours conforme, notamment pour le transfert de données vers les États-Unis.

Lancement de boutique

Prêt à passer de l'idée à la première vente ?

On cadre votre projet Shopify — plateforme, design, fiches produits, paiement — pour lancer sur des bases solides.

  • Choix plateforme et thème adaptés
  • Tunnel d'achat pensé pour convertir
  • Mise en ligne accompagnée
Préparer le lancement de ma boutiqueRecevoir la checklist de lancement

Sources : Shopify — démarrer · service-public.fr — vente en ligne · economie.gouv.fr — commerce électronique.

À lire aussi
Audit d'accessibilité e-commerce : conformité et expérience pour tousAudit de contenu boutique articles de sport : diagnostic et leviers prioritairesAudit de contenu boutique beauté : diagnostic et leviers prioritaires
Sur cette page
  1. Définition courte
  2. Résumé opérationnel
  3. Pourquoi la conformité RGPD est cruciale pour votre boutique en ligne
  4. Auditer les données personnelles collectées sur votre site
  5. Mettre en place un bandeau cookies conforme
  6. Rédiger une politique de confidentialité complète et transparente
  7. Tenir un registre des activités de traitement
  8. Gérer les droits des personnes : accès, rectification, effacement
  9. Sécuriser les données : mesures techniques et organisationnelles
  10. Gérer les sous-traitants : contrats et clauses RGPD
  11. Former votre équipe et maintenir la conformité dans le temps
  12. Plan d'action en 30 jours pour la mise en conformité RGPD
  13. Checklist
  14. Questions fréquentes