Dernière mise à jour : juin 2026.

Vous souhaitez un audit, mais l’idée de donner à un spécialiste externe accès à votre boutique PrestaShop en production vous fait hésiter — et c’est normal. Votre boutique contient des fiches clients, l’historique des commandes, la configuration des paiements et les identifiants qui font tourner votre activité. Confier ces clés à un inconnu représente un risque réel, et s’en méfier n’a rien de paranoïaque ; c’est une bonne hygiène opérationnelle. La bonne nouvelle, c’est qu’un audit sérieux n’a presque jamais besoin de l’accès profond que l’on redoute. Cet article explique précisément ce que les différents audits exigent réellement, comment accorder un accès sûr à n’importe quel auditeur, à quoi un prestataire fiable s’engage par écrit, quelles règles du RGPD s’appliquent aux boutiques de l’UE et quels signaux d’alerte doivent vous faire passer votre chemin.

De quel accès un audit a-t-il réellement besoin ?

Tableau de bord de sécurité PrestaShop avec contrôle d'intégrité réussi, compteurs de blocages et statut de protection
Un panneau de contrôle de sécurité montre le statut d'intégrité, les compteurs de blocages et les protections actives — la vue cloisonnée et en lecture seule à partir de laquelle un auditeur travaille habituellement.

Le réflexe initial — « ils vont avoir besoin de mon identifiant administrateur » — est faux pour la plupart des audits. Le niveau d’accès dépend entièrement de ce qui est examiné, et l’éventail est plus large qu’on ne l’imagine.

Les audits qui n’ont besoin que de votre URL

La majorité des audits courants se déroulent entièrement depuis l’extérieur, sur votre site public, sans aucun identifiant. Un audit SEO lit ce que Google lit : votre HTML rendu, les directives robots, les sitemaps, les balises canoniques, les données structurées et le maillage interne. Une analyse de performance mesure les chargements réels des pages, la livraison des ressources, les en-têtes de cache et les Core Web Vitals depuis le navigateur. Une revue du thème ou de l’hébergement permet d’évaluer l’essentiel — configuration HTTPS et TLS, réponse serveur, chaînes de redirection, chemins exposés — sans jamais se connecter. C’est l’approche « de l’extérieur vers l’intérieur », et c’est ainsi que nous commençons chaque mission sur notre espace services d’experts. Vous saisissez l’URL de votre boutique sur la page du service, une vérification de préparation en lecture seule s’exécute (elle confirme HTTPS/TLS et détecte PrestaShop, sans rien modifier), puis seulement ensuite l’audit est commandé — le domaine accompagne simplement la commande.

Les audits qui peuvent nécessiter un accès en lecture seule

Certains travaux plus approfondis gagnent à être menés avec un aperçu du back-office — par exemple une revue de configuration, un diagnostic de conflit entre modules ou certaines parties d’un audit de sécurité qui inspectent les modules installés, les permissions et les réglages. Même dans ce cas, l’auditeur doit lire, pas modifier. Un compte employé en lecture seule suffit pour voir la structure du catalogue, la liste des modules et la configuration, sans possibilité d’éditer quoi que ce soit. Point essentiel : aucun audit n’a besoin d’une copie de votre base de données clients ou commandes. Aucun.

La méthode sûre pour donner accès à n’importe quel auditeur

Ces conseils valent pour nous comme pour tout autre auditeur que vous pourriez engager. Utilisez-les comme checklist, quel que soit le prestataire choisi.

  • Ne partagez jamais votre propre identifiant ni votre mot de passe. Votre compte administrateur personnel doit rester à vous seul. Le partager supprime toute traçabilité, expose tout ce que vous êtes autorisé à faire et ne peut pas être révoqué proprement. Il n’y a jamais de bonne raison de le faire.
  • Créez un compte employé temporaire et dédié. Dans PrestaShop, allez dans Advanced Parameters > Team et ajoutez un nouvel employé pour l’auditeur, avec son propre e-mail et son propre mot de passe. Vous obtenez ainsi un compte proprement identifié, nominatif, que vous pourrez désactiver dès que le travail sera terminé.
  • Appliquez le principe du moindre privilège. Utilisez un profil de permissions limité uniquement aux droits de lecture/consultation. Le système de permissions de PrestaShop permet d’accorder « Voir » sans « Ajouter », « Modifier » ni « Supprimer ». Refusez totalement l’accès aux sections clients et commandes, sauf si une vérification précise et convenue le nécessite réellement.
  • Limitez l’accès dans le temps. Accordez l’accès uniquement pendant la fenêtre d’audit. Notez la date à laquelle le travail doit se terminer et prévoyez de révoquer l’accès ce jour-là.
  • Déléguez, ne transmettez pas, pour les outils tiers. Pour Google Search Console ou Analytics, ajoutez l’auditeur comme utilisateur délégué avec un accès en lecture via les fonctions de partage propres à la plateforme — ne lui donnez jamais votre mot de passe Google. Même logique pour votre panneau d’hébergement : un sous-compte limité vaut mieux que vos identifiants maîtres.
  • Révoquez l’accès une fois le travail terminé. Dès que l’audit est livré, désactivez ou supprimez le compte temporaire et retirez tout accès délégué. Un auditeur fiable vous le rappellera ; faites-le de toute façon, de votre propre initiative.
  • Privilégiez l’approche depuis l’extérieur. Si un audit peut être réalisé à partir de l’URL publique, laissez-le se faire ainsi. L’accès minimal qui permet quand même de mener le travail à bien est toujours le bon niveau d’accès.

À quoi s’engage un auditeur fiable

La manière dont un auditeur gère les accès en dit long sur la manière dont il traitera vos données. Voici les engagements que nous prenons par écrit, et le niveau d’exigence que vous devriez attendre de toute personne que vous engagez.

  • Lecture seule par défaut. Un audit est un diagnostic. Nous ne modifions rien sans un périmètre séparé, écrit et validé. Regarder n’est pas intervenir, et nous séparons strictement les deux.
  • Nous ne prenons pas votre base de données. Nous n’avons jamais besoin — et ne demandons jamais — de copie de vos données clients ou commandes. Si une vérification précise exige un accès à la base de données, il reste en lecture seule, et nous n’extrayons jamais de données personnelles.
  • Rien n’est conservé après la livraison. Une fois l’audit livré, les accès disparaissent et nous ne gardons rien — sauf si vous nous demandez explicitement de conserver une sauvegarde pour vous.
  • Votre boutique n’est pas notre support marketing. Nous n’utilisons jamais votre boutique comme cas client, référence de portfolio ou exemple, même anonymisé, sans votre accord écrit. Si vous acceptez d’être mis en avant, nous vous remercions avec une remise — mais c’est votre choix, jamais l’option par défaut.
  • NDA ou accord de traitement des données sur demande. Si vous avez besoin d’un accord de confidentialité ou d’un accord de traitement des données signé avant de commencer, demandez-le. Nous le signerons.

Points RGPD propres aux boutiques de l’UE

Si vous exploitez une boutique dans l’Union européenne, la relation ne relève pas seulement de la confiance — elle est encadrée. Lorsqu’un auditeur traite des données personnelles pour votre compte, vous êtes le responsable du traitement et l’auditeur agit comme sous-traitant. Cette distinction entraîne des obligations des deux côtés.

Vos responsabilités en tant que responsable du traitement : n’accorder que les accès strictement nécessaires, conserver une trace de ce que vous avez partagé et avec qui, et mettre en place un accord de traitement des données (DPA) lorsque des données personnelles sont concernées. Un sous-traitant sérieux agira uniquement sur vos instructions documentées — audit seulement, sans transfert à des tiers, sans réutilisation à d’autres fins, sans usage comme données d’entraînement et sans marketing. Nous sommes basés dans l’UE, à Tychy, en Pologne, et lorsqu’un audit touche des données personnelles, nous agissons strictement comme sous-traitant selon vos instructions. Un DPA est disponible sur demande. Pouvoir indiquer où se trouvent les données et sous quelle juridiction elles relèvent fait déjà partie de la réponse.

Signaux d’alerte : quand renoncer

La confiance se mérite par les actes, et certaines demandes doivent mettre fin à la discussion immédiatement :

  • Ils exigent d’emblée un accès administrateur complet pour un audit qui n’a même pas commencé. Un diagnostic ne nécessite pas le pouvoir de tout modifier.
  • Ils refusent de signer un NDA ou un DPA. Un professionnel qui manipule vos données ne devrait avoir aucun problème à s’engager par écrit à respecter la confidentialité.
  • Ils demandent un export de vos clients — un fichier de commandes, d’e-mails ou de données personnelles. Aucun audit SEO, performance, thème ou sécurité légitime n’a besoin de votre liste clients.
  • Ils veulent votre identifiant personnel plutôt qu’un compte dédié, ou contestent votre exigence d’un accès en lecture seule et limité dans le temps.

Un seul de ces signaux suffit à choisir quelqu’un d’autre.

Commencez avec votre URL, tout simplement

L’audit le plus sûr est celui qui ne vous demande jamais de baisser la garde. Nous avons rédigé notre position complète sur les accès et la gestion des données afin que vous puissiez la lire avant de vous engager — consultez notre politique de préparation aux audits de boutique, qui explique clairement ce que nous faisons et ne faisons pas avec l’accès à votre boutique. Et comme la plupart de nos missions se déroulent depuis l’extérieur, vous pouvez lancer un audit de sécurité ou parcourir toute notre gamme de services de préparation et d’audit avec rien de plus que l’URL de votre boutique — sans identifiant, sans base de données, sans saut dans l’inconnu.

Questions fréquentes

Aurez-vous un jour besoin de mon mot de passe administrateur ?

Non. Il n’y a jamais de bonne raison de partager votre identifiant administrateur personnel avec qui que ce soit — cela supprime la traçabilité, expose tout ce que vous pouvez faire et ne peut pas être révoqué proprement. Si une vérification exige réellement un aperçu du back-office, la bonne solution est un compte employé temporaire, nominatif et en lecture seule, que vous créez puis désactivez une fois le travail terminé. La plupart de nos audits n’ont même pas besoin de cela ; ils s’exécutent depuis votre URL publique.

Comment créer un compte en lecture seule qui ne peut rien modifier ?

Dans PrestaShop, allez dans Advanced Parameters > Team, créez un nouveau profil (par exemple « Auditeur »), puis dans Permissions, cochez uniquement la colonne Voir pour les sections examinées — laissez Ajouter, Modifier et Supprimer décochés. Ajoutez ensuite un employé rattaché à ce profil, avec son propre e-mail et son propre mot de passe. Refusez totalement les sections Clients et Commandes, sauf si une vérification précise et convenue en a besoin. Une fois l’audit livré, désactivez ou supprimez cet employé.

Et si un auditeur a réellement besoin de consulter des données clients ou commandes ?

C’est rare, et cela doit rester l’exception, avec un périmètre défini et accepté par écrit avant toute intervention — jamais la demande par défaut. Lorsque c’est justifié, l’accès reste en lecture seule, limité à la vérification précise, et aucune donnée personnelle n’est extraite ni copiée hors de votre boutique. Pour les boutiques de l’UE, c’est exactement le cas où un DPA s’impose : vous êtes le responsable du traitement, l’auditeur est le sous-traitant qui agit uniquement sur vos instructions documentées. Si quelqu’un veut un export massif de votre liste clients « pour être complet », c’est un signal d’alerte, pas une exigence.

Puis-je révoquer l’accès en cours de route si je change d’avis ?

Oui — c’est précisément l’intérêt d’un compte dédié et limité dans le temps. Comme il s’agit d’un profil employé distinct et non de votre propre identifiant, vous pouvez le désactiver ou le supprimer à tout moment sans perturber votre accès ni celui de quelqu’un d’autre. Même principe pour les accès délégués à Search Console ou au panneau d’hébergement : vous retirez la délégation via les contrôles de partage de la plateforme quand vous le souhaitez. Conserver ce bouton d’arrêt est exactement la raison pour laquelle vous ne devez jamais partager vos identifiants personnels.

Vous êtes dans un autre pays — mes données sont-elles protégées par le RGPD ?

Nous sommes basés dans l’UE, à Tychy, en Pologne ; pour les boutiques européennes, les données restent donc dans l’Union européenne et sous juridiction de l’UE. Lorsqu’un audit touche des données personnelles, nous agissons strictement comme sous-traitant selon vos instructions documentées : audit uniquement, aucun transfert à des tiers, aucune réutilisation, aucune utilisation comme données d’entraînement, aucun marketing. Un DPA est disponible sur demande, et pouvoir indiquer où se trouvent les données et de quelle loi elles relèvent fait partie de ce qui rend la relation responsable. Pour la plupart des audits, la question ne se pose de toute façon pas, puisque nous ne prenons jamais vos données.

Partager cet article:
David Miller

David Miller

Founder, mypresta.rocks

David Miller est un spécialiste PrestaShop fort de plus de dix ans d'expérience concrète et le fondateur de mypresta.rocks, un studio de développement situé à Tychy, en Pologne. Il conçoit et maintient un catalogue de 152 modules PrestaShop — dont 21 suites « Revolution » couvrant le SEO, le checkout, la sécurité, la performance, le marketing, la recherche, le support et la gestion d'entrepôt — qui améliorent chaque jour de vraies boutiques, testés sur PrestaShop 1.7.8, 8.x et 9.x. Il assure également la maintenance de boutiques en production réalisant plusieurs millions de chiffre d'affaires annuel : son travail se juge donc sur des ventes réelles, pas sur des démos. Son expérience couvre l'ensemble du e-commerce — performance, sécurité, SEO et marketing — et va au-delà de PrestaShop, jusqu'à WooCommerce, Shopify et les systèmes sur mesure. Sur le blog, il écrit sur la face technique de PrestaShop : ce que la plateforme fait vraiment, ce qui casse en production et quelles solutions tiennent dans la durée.

Cet article vous a plu ?

Recevez nos derniers conseils, guides et mises à jour de modules dans votre boîte mail.

Commentaires

Aucun commentaire pour le moment. Soyez le premier !

Soyez le premier à poser une question ou à partager un retour utile.

Chargement...
Retour en haut