RGPD et WooCommerce en 2026 : mettre sa boutique en conformité

WooCommerce est la solution e-commerce la plus répandue en France, parce qu'elle est gratuite et adossée à WordPress. Mais cette flexibilité a un revers : une boutique WooCommerce accumule rapidement des extensions, des trackers et des données clients, chacun avec ses implications RGPD. Ce guide passe en revue, point par point, ce qu'il faut vérifier pour qu'une boutique WooCommerce soit conforme en 2026.

Pourquoi WooCommerce demande une attention particulière

Contrairement à une solution hébergée comme Shopify, WooCommerce repose sur votre installation WordPress. Vous êtes donc responsable de :

• la sécurité du serveur et des sauvegardes ;
• chaque extension que vous ajoutez (et donc chaque sous-traitant qu'elle implique) ;
• les cookies déposés par le thème, les extensions et les outils marketing ;
• la conformité des traitements (comptes clients, commandes, paiements).

Cette responsabilité étendue est la principale différence avec une boutique Shopify. Elle demande plus de rigueur, mais offre aussi plus de contrôle. Les fondamentaux RGPD d'un site WordPress s'appliquent — voyez notre guide RGPD WordPress.

1. Cartographier les données collectées

Une boutique WooCommerce collecte au minimum :

• comptes clients : nom, email, mot de passe, adresses de facturation et livraison ;
• commandes : produits, montants, historique d'achat ;
• données de paiement : gérées par la passerelle (Stripe, PayPal), pas stockées en clair par vous ;
• données de navigation : via les extensions analytics et marketing.

Chacune doit figurer dans votre registre des traitements, avec sa finalité et sa durée de conservation.

2. Maîtriser les cookies et trackers

C'est le point le plus sanctionné. WooCommerce lui-même dépose quelques cookies fonctionnels (panier, session) qui sont exemptés de consentement car strictement nécessaires. En revanche, les ajouts marketing ne le sont pas :

• Google Analytics / GA4 → consentement requis (voir Google Analytics et RGPD) ;
• pixel Meta / Facebook → consentement requis ;
• Google Ads, TikTok, Pinterest → consentement requis ;
• extensions de remarketing et de chat.

Vous devez installer une bannière de consentement qui bloque ces traceurs avant le choix de l'internaute. Beaucoup d'extensions « cookie » WordPress affichent une bannière sans rien bloquer : c'est de la conformité de façade. Vérifiez avec un scan gratuit qu'aucun cookie tiers n'est posé avant consentement. Le détail technique est dans notre guide de la bannière cookie conforme.

3. Recenser les sous-traitants (extensions et services)

Chaque extension ou service externe qui traite des données de vos clients est un sous-traitant au sens du RGPD, avec qui vous devez avoir un contrat de traitement (DPA) :

• la passerelle de paiement (Stripe, PayPal) ;
• l'hébergeur ;
• l'outil d'emailing (Mailchimp, Brevo, Klaviyo) ;
• les extensions de marketing, d'avis clients, de chat ;
• les services de livraison qui reçoivent les adresses.

Établissez la liste et récupérez les DPA correspondants. Notre guide sur les sous-traitants et DPA détaille la marche à suivre, avec des liens directs vers les DPA des principaux services.

4. Soigner les formulaires et le consentement

• Création de compte et commande : base légale = exécution du contrat. Pas de case de consentement nécessaire pour traiter la commande elle-même.
• Newsletter : case distincte, non pré-cochée et facultative au moment de la commande (voir RGPD newsletter). Ne jamais inscrire automatiquement un client à la newsletter parce qu'il a acheté.
• Avis clients par email : informez-en le client ; cela peut relever de l'intérêt légitime, à documenter.
• Cases obligatoires : seules les CGV peuvent faire l'objet d'une case obligatoire à la commande.

5. Définir les durées de conservation

WooCommerce conserve les commandes indéfiniment par défaut. Configurez une politique de conservation :

• comptes clients inactifs : à anonymiser après une période d'inactivité (souvent 3 ans) ;
• prospects / paniers abandonnés : 3 ans après le dernier contact ;
• factures : 10 ans (obligation légale).

WordPress propose des outils intégrés (Outils → Données personnelles) pour exporter et effacer les données d'un utilisateur. Apprenez à vous en servir : ils facilitent grandement le traitement des demandes. Voyez notre guide complet sur la durée de conservation des données.

6. Gérer les droits des clients

Vos clients peuvent demander l'accès à leurs données, leur rectification ou leur effacement. WooCommerce + WordPress fournissent des outils d'export et de suppression, mais pensez à propager la demande aux extensions et services externes (emailing, CRM). La procédure complète est décrite dans notre article demande d'accès ou d'effacement.

7. Sécuriser l'installation

La sécurité est une obligation RGPD à part entière. Pour WooCommerce :

• HTTPS sur tout le site (obligatoire pour le paiement de toute façon) ;
• WordPress, thème et extensions à jour (les failles d'extensions sont la première cause de fuite) ;
• mots de passe forts et double authentification sur l'admin ;
• sauvegardes régulières et testées ;
• limitation du nombre d'extensions : chaque extension est une surface d'attaque et un sous-traitant de plus.

En cas de fuite, vous avez 72 heures pour notifier la CNIL : voyez notre guide sur la notification de violation de données.

Checklist express WooCommerce

• [ ] Bannière qui bloque les trackers avant consentement
• [ ] Aucun cookie tiers avant le choix (vérifié au scanner)
• [ ] Politique de confidentialité listant tous les traitements
• [ ] Mentions légales complètes
• [ ] Registre des traitements à jour
• [ ] DPA signés avec chaque sous-traitant
• [ ] Newsletter en opt-in séparé, jamais automatique
• [ ] Durées de conservation définies et appliquées
• [ ] Outils d'export / effacement testés
• [ ] WordPress et extensions à jour, HTTPS, sauvegardes

Conclusion

Une boutique WooCommerce conforme repose sur la même logique que tout site e-commerce, avec une vigilance accrue sur les extensions : chacune ajoute des cookies, un sous-traitant et une surface d'attaque. Maîtrisez vos trackers avec une vraie bannière, recensez vos sous-traitants, fixez vos durées de conservation, et tenez vos documents à jour.

Commencez par un état des lieux objectif : scannez votre boutique gratuitement pour repérer les cookies et trackers chargés avant consentement, puis suivez notre checklist de conformité RGPD complète.