RGPD et PrestaShop en 2026 : mettre sa boutique en conformité

PrestaShop équipe des dizaines de milliers de boutiques en France. Solution open source et auto-hébergée, elle laisse au commerçant la responsabilité complète de la conformité RGPD. PrestaShop propose bien un module RGPD officiel, mais il ne couvre qu'une partie du sujet. Ce guide détaille tout ce qu'une boutique PrestaShop doit mettre en place pour être conforme en 2026.

Le module RGPD officiel : utile mais insuffisant

PrestaShop fournit un module de conformité RGPD officiel (gratuit). Il aide sur plusieurs points :

• ajouter des cases de consentement personnalisées sur les formulaires ;
• permettre aux clients de télécharger leurs données et de demander leur suppression depuis leur compte ;
• gérer certaines mentions.

C'est une bonne base, mais il ne gère ni les cookies/traceurs, ni le registre, ni les sous-traitants, ni les durées de conservation. Le considérer comme suffisant est l'erreur la plus fréquente. Voyez le panorama e-commerce dans notre guide RGPD e-commerce.

1. Maîtriser les cookies et les modules

C'est le point le plus sanctionné par la CNIL. PrestaShop dépose des cookies fonctionnels (panier, session, connexion) qui sont exemptés car strictement nécessaires. En revanche, les modules que vous ajoutez chargent souvent des traceurs soumis à consentement :

• modules d'analyse (Google Analytics — voir Google Analytics et RGPD) ;
• pixel Meta / Facebook, Google Ads, TikTok ;
• modules d'avis clients, de chat en direct, de remarketing.

Vous devez installer une bannière qui bloque réellement ces traceurs avant le consentement — pas un simple bandeau décoratif. Vérifiez avec un scan gratuit qu'aucun cookie tiers ne se dépose avant le choix du visiteur. Le détail technique est dans notre guide de la bannière cookie conforme.

Attention aussi aux Google Fonts et cartes/vidéos chargées à distance par le thème : voir Google Fonts et RGPD.

2. Recenser les sous-traitants

Chaque service externe traitant les données de vos clients est un sous-traitant avec qui vous devez avoir un DPA signé :

• passerelle de paiement (Stripe, PayPal, banque) ;
• hébergeur ;
• outil d'emailing (voir Mailchimp et RGPD) ;
• transporteurs recevant les adresses de livraison ;
• modules tiers traitant des données.

Établissez la liste et récupérez les DPA. Notre guide sur les sous-traitants et DPA explique la démarche.

3. Soigner le consentement sur les formulaires

• Création de compte et commande : base légale = exécution du contrat. Pas de case de consentement pour traiter la commande.
• Newsletter : case distincte, non pré-cochée et facultative. Ne jamais inscrire automatiquement un acheteur (voir RGPD newsletter).
• Avis clients par email : informer le client ; documenter la base légale.
• Seules les CGV peuvent faire l'objet d'une case obligatoire à la commande.

Le module RGPD de PrestaShop permet d'ajouter proprement ces cases personnalisées.

4. Définir les durées de conservation

PrestaShop conserve les commandes et comptes indéfiniment par défaut. Mettez en place une politique :

• comptes clients inactifs : anonymiser après une période d'inactivité (souvent 3 ans) ;
• prospects / paniers abandonnés : 3 ans après le dernier contact ;
• factures : 10 ans (obligation légale).

Voyez notre guide complet sur la durée de conservation des données, et documentez ces durées dans votre registre des traitements.

5. Gérer les droits des clients

Vos clients peuvent demander l'accès, la rectification ou l'effacement de leurs données. Le module RGPD facilite l'export et la suppression côté PrestaShop, mais pensez à propager la demande aux modules et services externes (emailing, CRM). Procédure complète dans notre article demande d'accès ou d'effacement.

6. Sécuriser la boutique

La sécurité est une obligation RGPD. Pour PrestaShop :

• HTTPS sur tout le site (obligatoire pour le paiement) ;
• PrestaShop, thème et modules à jour (les failles de modules sont la première cause de fuite) ;
• mots de passe forts et accès admin restreint ;
• sauvegardes régulières et testées ;
• limiter le nombre de modules : chaque module est une surface d'attaque et un sous-traitant potentiel de plus.

En cas de fuite, vous avez 72 heures pour notifier la CNIL — voir notre guide sur la notification de violation de données.

Checklist express PrestaShop

• [ ] Bannière qui bloque les traceurs avant consentement
• [ ] Aucun cookie tiers avant le choix (vérifié au scanner)
• [ ] Module RGPD officiel installé et configuré
• [ ] Politique de confidentialité listant tous les traitements
• [ ] Mentions légales complètes
• [ ] Registre des traitements à jour
• [ ] DPA signés avec chaque sous-traitant
• [ ] Newsletter en opt-in séparé, jamais automatique
• [ ] Durées de conservation définies et appliquées
• [ ] PrestaShop et modules à jour, HTTPS, sauvegardes

Conclusion

Le module RGPD officiel de PrestaShop est un bon point de départ, mais il ne fait pas tout : la vraie conformité repose sur la maîtrise des cookies (bannière qui bloque réellement), le recensement des sous-traitants, des durées de conservation appliquées et une boutique sécurisée et à jour. Comme toute solution auto-hébergée, PrestaShop vous donne le contrôle — et la responsabilité.

Faites un état des lieux objectif : scannez votre boutique gratuitement pour repérer les traceurs chargés avant consentement, puis suivez notre checklist de conformité RGPD complète.