RGPD et e-commerce : mettre sa boutique en ligne en conformité (2026)
Comptes clients, paiement, panier abandonné, emailing, avis : le guide RGPD complet pour les boutiques en ligne en 2026, sans jargon.
RGPD et e-commerce : mettre sa boutique en ligne en conformité
Une boutique en ligne traite bien plus de données qu'un site vitrine : comptes clients, adresses, paiements, historique d'achats, paniers abandonnés, emailing, avis, retargeting publicitaire. Chaque brique est un traitement de données personnelles. Voici la conformité RGPD d'un e-commerce en 2026, expliquée par cas d'usage concret.
Le principe directeur : une base légale par traitement
En e-commerce, l'erreur classique est de tout justifier par « le client a accepté les CGV ». Faux. Chaque finalité a sa propre base légale :
- Traiter et livrer une commande → exécution du contrat (pas besoin de consentement).
- Facturation et comptabilité → obligation légale (conservation 10 ans).
- Newsletter / promotions → consentement (sauf prospection sur produits similaires à un client existant, encadrée).
- Cookies analytics / publicitaires → consentement préalable.
- Lutte contre la fraude → intérêt légitime.
Mélanger ces bases (ex. cocher d'office la newsletter dans le tunnel de commande) est l'un des manquements les plus sanctionnés.
Cas n°1 : le compte client et le tunnel de commande
- Minimisation : ne demandez que les données nécessaires à la commande. Pas de date de naissance « pour le fun ».
- Case newsletter : décochée par défaut, séparée de l'acceptation des CGV. Le consentement doit être un acte positif distinct.
- Compte obligatoire ? Proposez idéalement une commande « invité » : imposer la création de compte pour acheter est discutable au regard de la minimisation.
- Information : un lien vers votre politique de confidentialité visible dans le tunnel.
Cas n°2 : le paiement
Vous ne devez jamais stocker les numéros de carte en clair. Utilisez un prestataire conforme PCI-DSS (Stripe, PayPal, votre PSP). Mentionnez ce sous-traitant dans votre politique de confidentialité, et précisez les éventuels transferts hors UE et leur encadrement.
Cas n°3 : le panier abandonné et le retargeting
C'est le piège favori des boutiques. Envoyer un email « vous avez oublié quelque chose » ou afficher une pub de relance suppose :
- soit le consentement (cookies publicitaires, scénarios marketing) ;
- soit l'exception de prospection sur produits similaires pour un client ayant déjà acheté, avec opt-out facile à chaque message.
Un email de relance panier envoyé à un simple visiteur non-client, sans consentement, est non conforme. Et le pixel publicitaire qui alimente le retargeting ne doit pas se charger avant consentement — voir cookies tiers : ce qui change.
Cas n°4 : les avis clients
Si vous sollicitez un avis après achat, c'est de la prospection : informez-en le client au moment de la commande. Publier l'avis avec le prénom/nom suppose une information claire. Les avis doivent par ailleurs être loyaux (pas de tri trompeur) — sujet à la fois RGPD et droit de la consommation.
Cas n°5 : les cookies et trackers e-commerce
Une boutique cumule souvent : analytics, pixel Meta/Google Ads, outil de A/B testing, chat, recommandation produit, heatmaps. Aucun de ces scripts non essentiels ne doit se charger avant le consentement. Beaucoup de thèmes e-commerce et d'apps (Shopify, PrestaShop, WooCommerce) les injectent par défaut, dès l'arrivée sur la page.
Le seul moyen fiable de savoir ce qui se déclenche réellement sur votre boutique : la scanner. Vous verrez page par page quels trackers partent avant tout clic — c'est souvent une surprise.
Cas n°6 : durées de conservation et droits
- Clients : données conservées pendant la relation + obligations légales (factures 10 ans). Au-delà, archivage ou suppression.
- Prospects : ~3 ans après le dernier contact.
- Droit à l'effacement : un client peut demander la suppression de son compte ; vous devez pouvoir l'exécuter (en conservant ce qu'impose la loi comptable).
- Portabilité : fournir ses données dans un format réutilisable sur demande.
Check-list conformité e-commerce 2026
| Élément | Conforme si… | | --- | --- | | Tunnel de commande | Minimisation + newsletter décochée séparée | | Paiement | PSP PCI-DSS, aucune carte stockée, sous-traitant déclaré | | Panier abandonné / retargeting | Consentement ou exception client + opt-out | | Cookies / pixels | Bloqués avant consentement, bannière conforme | | Politique de confidentialité | À jour, traitements réels, sous-traitants nommés | | Mentions légales & CGV | Présentes et accessibles | | Droits clients | Procédure d'effacement/portabilité opérationnelle | | Suivi dans le temps | Scan récurrent (apps/plugins réintroduisent des trackers) |
En résumé
Un e-commerce conforme ne demande pas un budget d'entreprise — il demande de la méthode : une base légale par traitement, des trackers bloqués avant consentement, des documents qui décrivent vos traitements réels, et un suivi continu car chaque nouvelle app ré-ouvre une brèche. Commencez par l'inventaire : scannez votre boutique gratuitement.
Pour aller plus loin
Recevez vos conseils de conformité RGPD
Un email occasionnel avec l'essentiel de la conformité RGPD pour votre site. Désinscription en un clic.
À lire aussi
RGPD et PrestaShop en 2026 : mettre sa boutique en conformité
PrestaShop intègre un module RGPD officiel mais ne suffit pas seul. Checklist complète : cookies et modules, consentement, sous-traitants, durées de conservation, droits des clients et sécurité pour une boutique PrestaShop conforme.
Stripe et RGPD en 2026 : encaisser en ligne en restant conforme
Stripe traite des données de paiement pour votre compte : sous-traitance, transfert hors UE, mentions à inclure. Le guide pratique pour utiliser Stripe en conformité RGPD sur votre site ou SaaS.
RGPD et WooCommerce en 2026 : mettre sa boutique en conformité
WooCommerce collecte commandes, comptes clients, paiements et trackers. Checklist complète de conformité RGPD pour une boutique WooCommerce : cookies, extensions, sous-traitants, durées de conservation et droits des clients.