Conformité et Juridique

RGPD pour les boutiques en ligne : ce que vous devez faire (et ce que vous pouvez ignorer)

David Miller Publié : 15/06/2026 Créé : 28/02/2026 Mis à jour : 28/05/2026 Conformité et Juridique

Le RGPD est en vigueur depuis mai 2018, mais de nombreux propriétaires de boutiques le traitent encore soit comme un champ de mines juridique terrifiant, soit comme quelque chose qu'ils peuvent ignorer parce qu'ils sont « trop petits pour compter ». Les deux attitudes sont fausses. Le RGPD est sérieux, mais pour une boutique PrestaShop typique, les exigences pratiques sont gérables. Séparons ce que vous devez faire de ce que vous pouvez raisonnablement mettre de côté.

Ce que le RGPD exige réellement

Au fond, le RGPD dit : informez les gens des données que vous collectez à leur sujet, pourquoi vous les collectez, gardez-les en sécurité et donnez-leur le contrôle sur leurs informations. C'est le principe. Les exigences spécifiques pour les boutiques en ligne :

1. Politique de confidentialité (Obligatoire)

Vous avez besoin d'une politique de confidentialité qui explique en langage clair et simple :

Quelles données personnelles vous collectez (noms, e-mails, adresses, informations de paiement, données de navigation)
Pourquoi vous collectez chaque type de données (traitement des commandes, marketing, analyse)
Combien de temps vous les conservez
Avec qui vous les partagez (processeurs de paiement, transporteurs, fournisseurs d'analyse)
Comment les clients peuvent accéder à leurs données, les modifier ou les supprimer
Vos coordonnées pour les demandes relatives à la protection des données

Cela n'a pas besoin d'être rédigé par un avocat, bien qu'il soit utile d'en faire vérifier le contenu par un professionnel. Cela doit être compréhensible par une personne normale — pas caché derrière du jargon juridique.

2. Consentement aux cookies (Obligatoire)

Si votre boutique utilise des cookies au-delà de ce qui est strictement nécessaire au fonctionnement de la boutique, vous avez besoin du consentement avant de placer ces cookies. Cela signifie :

Cookies strictement nécessaires (session, panier, connexion) — aucun consentement requis
Cookies d'analyse (Google Analytics, Matomo) — consentement requis
Cookies marketing (Facebook Pixel, Google Ads, retargeting) — consentement requis
Cookies de préférence (langue, devise) — discutable, mais généralement traités comme nécessaires

Votre bannière de cookies doit offrir un vrai choix — un bouton « Accepter » bien visible et une option « Refuser » ou « Gérer les préférences » tout aussi visible. Les dark patterns (cacher l'option de refus, utiliser un langage confus, cocher des cases à l'avance) sont explicitement non conformes.

3. Consentement pour le marketing (Obligatoire)

Vous ne pouvez pas ajouter automatiquement des clients à votre liste d'e-mails marketing. L'inscription à la newsletter doit être une action délibérée et volontaire — une case non cochée que le client coche activement, ou un formulaire d'inscription séparé. Les cases « s'abonner à la newsletter » pré-cochées lors du paiement ne sont pas conformes.

Vous pouvez envoyer des e-mails aux clients concernant leurs commandes (e-mails transactionnels) sans consentement supplémentaire. Vous pouvez également envoyer des e-mails aux clients existants concernant des produits similaires sous le principe de l'« intérêt légitime » dans la plupart des pays de l'UE — mais vous devez offrir une option de désabonnement facile.

4. Droits d'accès et de suppression des données (Obligatoire)

Les clients ont le droit de :

Accès : Demander une copie de toutes les données que vous détenez sur eux
Rectification : Vous demander de corriger des données inexactes
Effacement : Vous demander de supprimer leurs données (le « droit à l'oubli »)
Portabilité : Demander leurs données dans un format lisible par machine

PrestaShop 1.7+ inclut un module RGPD qui gère les demandes basiques d'export et de suppression de données depuis l'espace client. Assurez-vous qu'il est installé et configuré.

5. Sécurité des données (Obligatoire)

Vous devez mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Pour une boutique en ligne, cela signifie :

Chiffrement SSL/TLS sur l'ensemble de votre site (HTTPS partout)
Mots de passe forts et accès administrateur limité
Mises à jour régulières des logiciels (noyau PrestaShop, modules, logiciel serveur)
Traitement sécurisé des paiements (conformité PCI DSS — généralement gérée par votre passerelle de paiement)
Sauvegardes de base de données stockées de manière sécurisée

Vous n'avez pas besoin d'une infrastructure de sécurité de niveau entreprise. Vous avez besoin de mesures raisonnables adaptées aux données que vous traitez. Pour la plupart des boutiques, les pratiques basiques de sécurité de boutique satisfont cette exigence.

Ce que vous pouvez probablement ignorer

Délégué à la protection des données (DPO)

Un DPO n'est requis que si vous traitez des données personnelles à grande échelle en tant qu'activité principale ou si vous traitez des catégories spéciales de données (santé, croyances religieuses, etc.). Une boutique en ligne typique vendant des produits de consommation n'a pas besoin d'un DPO. Vous devriez avoir quelqu'un responsable de la protection des données, mais cela n'a pas besoin d'être un rôle formel de DPO.

Analyse d'impact relative à la protection des données (AIPD)

Les AIPD sont requises pour les traitements susceptibles d'entraîner un risque élevé pour les personnes — profilage à grande échelle, surveillance systématique d'espaces publics ou traitement de données sensibles. Une boutique e-commerce standard qui traite des commandes et envoie des e-mails marketing n'a généralement pas besoin d'une AIPD.

Il existe une idée fausse selon laquelle vous avez besoin d'un consentement individuel pour chaque cookie. En pratique, regrouper les cookies par finalité (nécessaire, analyse, marketing) et obtenir le consentement par catégorie est accepté par la plupart des autorités de protection des données. Vous n'avez pas besoin d'une case à cocher pour chaque cookie individuel.

Supprimer toutes les données immédiatement sur demande

Le droit à l'effacement comporte des exceptions. Vous pouvez conserver les données nécessaires pour :

Finaliser une commande en cours
Des obligations légales (documents fiscaux — généralement 7 à 10 ans selon le pays)
L'établissement ou la défense de réclamations juridiques

Lorsqu'un client demande la suppression, vous supprimez ses données marketing et ses informations de compte personnel, mais vous pouvez conserver des données de commande anonymisées à des fins comptables et fiscales.

Idées reçues courantes

« Le RGPD ne s'applique qu'aux entreprises de l'UE »

Faux. Le RGPD s'applique à toute entreprise qui traite des données de résidents de l'UE, quel que soit le lieu d'implantation de l'entreprise. Si vous vendez à des clients de l'UE depuis une boutique basée aux États-Unis, le RGPD s'applique à ces transactions.

« Les petites boutiques sont exemptées »

Il n'y a pas d'exemption de taille. Certaines obligations (comme le registre des activités de traitement) peuvent être simplifiées pour les petites organisations, mais les principes fondamentaux — consentement, transparence, sécurité, droits des personnes concernées — s'appliquent à tous.

« Nous avons besoin du consentement aux cookies avant de charger toute page »

Les cookies strictement nécessaires (gestion de session, fonctionnalité du panier, jetons de sécurité) ne nécessitent pas de consentement. Votre boutique peut se charger et fonctionner avant que l'utilisateur ne fasse un choix concernant les cookies. Ce que vous ne pouvez pas faire, c'est charger des scripts d'analyse ou de marketing avant d'obtenir le consentement.

« Les adresses IP ne sont pas des données personnelles »

La CJUE (Cour de justice de l'Union européenne) a statué que les adresses IP sont des données personnelles. Cela signifie que l'enregistrement des adresses IP, y compris à des fins d'analyse, constitue un traitement de données personnelles au sens du RGPD.

Liste de contrôle pratique de conformité

Rédigez ou mettez à jour votre politique de confidentialité. Rendez-la accessible depuis chaque page (lien en pied de page).
Mettez en place une bannière de consentement aux cookies appropriée avec de vraies options d'acceptation/refus.
Assurez-vous que l'inscription à la newsletter est en opt-in (non pré-cochée).
Installez et configurez le module RGPD de PrestaShop pour l'export et la suppression des données.
Vérifiez que votre boutique utilise HTTPS partout.
Examinez quels tiers reçoivent des données clients (analyse, paiement, expédition) et listez-les dans votre politique de confidentialité.
Définissez des durées de conservation des données — ne conservez pas les données indéfiniment sans raison.
Créez un processus simple pour traiter les demandes d'accès et de suppression des données.
Vérifiez vos conditions générales de vente pour vous assurer qu'elles font référence à votre politique de confidentialité.

Cette liste de contrôle couvre 90 % de ce dont une boutique e-commerce de petite à moyenne taille a besoin pour la conformité au RGPD. Si vous traitez des données inhabituelles, vendez des produits soumis à des restrictions d'âge ou opérez dans des secteurs fortement réglementés (santé, finance), vous pourriez avoir besoin de mesures supplémentaires — et c'est là que le conseil juridique vaut l'investissement.

Le RGPD ne va pas disparaître, et l'application se renforce. Mais la conformité pour la plupart des boutiques en ligne n'est pas le fardeau écrasant qu'on présente souvent. Traitez les données personnelles de manière responsable, soyez transparent avec vos clients et donnez-leur le contrôle sur leurs informations. C'est à la fois une bonne pratique commerciale et la conformité au RGPD.

Tags : PrestaShop RGPD SEO

David Miller

Plus d'une décennie d'expertise pratique PrestaShop. David développe des modules e-commerce haute performance axés sur le SEO, l'optimisation du passage en caisse et la gestion de boutique. Passionné par le code propre et les résultats mesurables.

Cookie	Fournisseur	Finalité	Durée
PrestaShop-*	PrestaShop	Gestion de session et fonctionnalité du panier	Session
PHPSESSID	PHP	Identifiant de session PHP	Session
mprcr_consent	MPR Cookies Revolution	Enregistre les préférences de consentement des cookies	365 jour(s)
mprcr_version	MPR Cookies Revolution	Suit la version de la configuration du consentement	365 jour(s)

Cookie	Fournisseur	Finalité	Durée
TawkConnectionTime	Tawk.to	Suit le temps de connexion de la session de chat	Session
__tawkuuid	Tawk.to	Identifie les visiteurs récurrents du chat	6 mois

Cookie	Fournisseur	Finalité	Durée
_ga	Google Analytics	Distingue les utilisateurs uniques en attribuant un numéro généré aléatoirement	2 année(s)
_ga_*	Google Analytics	Utilisé pour maintenir la session entre les requêtes de pages	2 année(s)
_gid	Google Analytics	Distingue les utilisateurs uniques pendant 24 heures	24 heure(s)