RGPD pour les boutiques PrestaShop : Ce dont vous avez vraiment besoin

Avertissement : Ce guide fournit des informations générales sur la conformité au RGPD pour les propriétaires de boutiques PrestaShop. Il ne constitue pas un avis juridique. Le droit de la protection des données varie selon les juridictions et est soumis à l’interprétation des régulateurs et des tribunaux. Consultez un professionnel du droit qualifié pour obtenir des conseils adaptés à votre situation, votre pays et votre modèle commercial.

Ce que le RGPD exige réellement (en termes simples)

Le Règlement Général sur la Protection des Données semble terrifiant. Le document fait 88 pages, rempli de jargon juridique, et les amendes peuvent atteindre 20 millions d’euros. Pas étonnant que les propriétaires de boutiques paniquent.

Mais voici le point essentiel — la plupart de ce que le RGPD exige consiste simplement à traiter les données des clients avec un respect élémentaire. Si vous êtes déjà un commerçant honnête qui n’abuse pas des informations de ses clients, vous êtes probablement conforme à 70 % sans même essayer. Ce guide couvre les 30 % restants — les étapes pratiques que vous devez suivre pour mettre votre boutique PrestaShop en conformité.

L’idée fondamentale

Le RGPD se résume à un principe : les personnes sont propriétaires de leurs données personnelles, pas vous. Vous les empruntez pour gérer votre activité, et vous devez les traiter de manière responsable. Cela signifie :

• Informez les gens de ce que vous collectez et pourquoi — pas de suivi caché, pas de collecte de données secrète
• Ne collectez que ce dont vous avez réellement besoin — si vous n’avez pas besoin de la date de naissance de quelqu’un pour lui vendre des chaussures, ne la demandez pas
• Obtenez un consentement valide — « Nous utilisons des cookies, cliquez OK » ne suffit plus
• Permettez aux gens de consulter, corriger et supprimer leurs données — si quelqu’un veut partir, vous le laissez partir
• Protégez les données — si vous les collectez, vous les protégez
• Ne conservez pas les données plus longtemps que nécessaire — stocker des données de paniers abandonnés de 2018 n’est pas nécessaire

Le RGPD s’applique-t-il à vous ?

Oui. Presque certainement oui.

Le RGPD s’applique si :

• Votre entreprise est basée dans l’UE ou l’EEE
• Vous vendez des produits ou services à des personnes dans l’UE (même si votre entreprise est aux États-Unis, au Brésil, en Inde ou ailleurs)
• Vous surveillez le comportement de personnes dans l’UE (analyse, suivi, profilage)

Si vous acceptez les euros, proposez la livraison vers des pays de l’UE, ou si votre site est disponible dans une langue de l’UE — le RGPD s’applique à vous. Le règlement vise à protéger les données des résidents de l’UE, indépendamment de l’emplacement de l’entreprise qui traite ces données.

Ne perdez pas de temps à vous demander si le RGPD s’applique à vous. Si vous gérez une boutique en ligne accessible depuis l’Europe, conformez-vous tout simplement. Le coût de la conformité est bien inférieur au coût de la non-conformité — et la plupart des exigences relèvent de bonnes pratiques commerciales de toute façon.

Qu’est-ce qui constitue une donnée personnelle ?

Une donnée personnelle est toute information permettant d’identifier une personne, directement ou indirectement. Dans le contexte d’une boutique PrestaShop, cela inclut :

• Éléments évidents : nom, adresse e-mail, numéro de téléphone, adresse postale, date de naissance
• Données de commande : ce qu’ils ont acheté, quand, combien ils ont payé, moyen de paiement utilisé
• Données de compte : mots de passe (même hachés), date de création du compte, historique de connexion
• Données techniques : adresses IP, empreintes de navigateur, informations sur l’appareil
• Données comportementales : pages visitées, produits consultés, contenu du panier, requêtes de recherche
• Données de cookies : identifiants de session, cookies de suivi, cookies de préférences

Le mot clé est « identifie ». Une adresse IP seule ne permet peut-être pas d’identifier quelqu’un, mais combinée à un horodatage et aux journaux du serveur, elle le peut. Cette combinaison en fait une donnée personnelle au sens du RGPD.

Les six bases juridiques du traitement des données

Vous ne pouvez pas simplement collecter des données parce que vous en avez envie. Vous avez besoin d’une justification légale — l’une de ces six :

• Consentement : La personne a explicitement accepté (inscription à la newsletter, e-mails marketing)
• Contrat : Vous avez besoin des données pour exécuter une commande (adresse de livraison pour expédier les produits)
• Obligation légale : La loi vous oblige à les conserver (factures à des fins fiscales)
• Intérêts vitaux : Rarement applicable au e-commerce
• Intérêt public : Ne s’applique pas au e-commerce
• Intérêt légitime : Vous avez une raison commerciale réelle qui ne prévaut pas sur les droits de la personne (prévention de la fraude, analyses de base)

Pour la plupart des boutiques PrestaShop, vous utiliserez trois de ces bases : le contrat (traitement des commandes), le consentement (marketing et cookies) et l’obligation légale (conservation des factures).

Ce que votre boutique PrestaShop collecte (et où c’est stocké)

Avant de pouvoir être transparent sur la collecte de données, vous devez savoir exactement ce que votre boutique collecte. Les boutiques PrestaShop accumulent plus de données que la plupart des propriétaires ne le réalisent.

Comptes clients

La table ps_customer stocke tout ce qui concerne les clients enregistrés :

• Prénom, nom, adresse e-mail
• Mot de passe (haché avec bcrypt ou l’ancienne méthode md5+cookie_key)
• Date de naissance (si vous la demandez — demandez-vous si vous en avez vraiment besoin)
• Genre / civilité
• Indicateurs newsletter et opt-in
• Date de création du compte, date de dernière connexion
• Adresse IP lors de l’inscription
• Nom de société et numéros SIRET/APE associés (champs B2B)

Commandes et adresses

Chaque commande crée des enregistrements dans plusieurs tables :

• ps_orders — détails de la commande, totaux, moyen de paiement, état actuel
• ps_order_detail — produits individuels de chaque commande
• ps_order_payment — références des transactions de paiement
• ps_order_history — changements de statut avec horodatages
• ps_address — adresses de livraison et de facturation (liées au client)
• ps_order_carrier — méthode d’expédition et numéros de suivi
• ps_message — messages du service client rattachés aux commandes

Notez que ps_address peut contenir des adresses postales complètes, des numéros de téléphone, et même un numéro d’identité nationale (champ DNI) selon le pays.

Données des visiteurs et connexions

Même les visiteurs qui ne créent jamais de compte laissent des traces :

• ps_guest — identification du navigateur/système d’exploitation pour chaque visiteur
• ps_connections — chaque visite enregistrée avec adresse IP et horodatage
• ps_connections_source — referer HTTP (d’où ils viennent)
• ps_connections_page — chaque page consultée pendant la visite
• ps_page et ps_page_viewed — statistiques de pages vues

Ces tables grossissent rapidement. Une boutique moyennement fréquentée peut accumuler des millions de lignes dans ps_connections en un an. Ce sont des données personnelles (adresses IP + comportement de navigation), et la plupart des boutiques les conservent indéfiniment sans s’en rendre compte.

Données de panier

PrestaShop crée un enregistrement de panier (ps_cart) dès qu’un visiteur ajoute quelque chose à son panier — même s’il ne finalise jamais sa commande. Cela inclut :

• Produits sélectionnés (avec combinaisons/attributs)
• Identifiant client ou identifiant visiteur associé
• Références des adresses de livraison et de facturation
• Sélection du transporteur
• Horodatages de création et de dernière mise à jour du panier

Les paniers abandonnés sont des données personnelles s’ils sont liés à un compte client ou contiennent suffisamment d’informations pour identifier quelqu’un. La plupart des boutiques ne les nettoient jamais.

Inscriptions à la newsletter

Le module newsletter par défaut stocke les adresses e-mail dans ps_emailsubscription (ou ps_newsletter dans les versions plus anciennes). Cela inclut l’adresse e-mail, la date d’inscription, et parfois l’adresse IP. Si vous utilisez un service d’e-mail marketing tiers, les données y sont également stockées.

Cookies

PrestaShop définit plusieurs cookies par défaut :

• Cookie de session PrestaShop — identifie la session utilisateur (essentiel au fonctionnement de la boutique)
• Cookie de panier — mémorise le contenu du panier
• Cookie employé/admin — authentification du back-office

Ce sont des cookies fonctionnels. La préoccupation liée au RGPD concerne principalement les cookies non essentiels ajoutés par des modules tiers — Google Analytics, Facebook Pixel, balises de remarketing, widgets de chat et outils de suivi similaires.

Journaux du serveur

Votre serveur web (Apache ou Nginx) enregistre chaque requête par défaut. Ces journaux contiennent des adresses IP, des horodatages, les URL demandées, les agents utilisateurs et les referers HTTP. Ils sont stockés sous forme de fichiers texte bruts sur le serveur et constituent des données personnelles au sens du RGPD.

La plupart des hébergeurs conservent ces journaux pendant 30 à 90 jours. Informez-vous sur ce que fait votre configuration d’hébergement — et configurez la rotation des journaux si vous gérez votre propre serveur.

Données spécifiques aux modules

Les modules tiers créent souvent leurs propres tables de base de données. Exemples courants :

• Modules d’avis/notation : nom du client, e-mail, contenu de l’avis, adresse IP
• Modules de liste de souhaits : produits enregistrés, liens avec les clients
• Modules de chat en direct : transcriptions complètes des conversations, noms des clients, e-mails
• Modules d’analyse : comportement de navigation détaillé, suivi des conversions
• Modules de fidélité/récompenses : soldes de points, historique des transactions
• Modules de récupération de paniers abandonnés : adresses e-mail, contenu des paniers, historique des relances

Auditez chaque module que vous avez installé. Vérifiez quelles tables de base de données ils créent (recherchez les tables avec le préfixe du module dans phpMyAdmin). Vous ne pouvez pas être transparent sur la collecte de données si vous ne savez pas ce que vos modules collectent.

Consentement aux cookies : bien faire les choses

Le consentement aux cookies est le domaine où la plupart des boutiques PrestaShop échouent en matière de conformité au RGPD. Le niveau d’exigence est plus élevé que ce que la plupart des gens pensent.

Ce que la loi exige réellement

La directive ePrivacy (qui fonctionne en complément du RGPD) exige que :

• Les cookies essentiels (session, panier, sécurité) peuvent être déposés sans consentement — ils sont nécessaires au fonctionnement du site
• Les cookies non essentiels (analyse, marketing, réseaux sociaux, personnalisation) nécessitent un consentement explicite, éclairé et par opt-in avant d’être déposés
• Le consentement doit être librement donné — vous ne pouvez pas en faire une condition d’utilisation du site
• Le consentement doit être spécifique — les utilisateurs doivent pouvoir accepter les cookies d’analyse tout en refusant les cookies marketing
• Le consentement doit être éclairé — les utilisateurs doivent savoir quels cookies vous déposez et pourquoi
• Il doit être aussi facile de retirer son consentement que de le donner

Ce qui ne constitue pas un consentement valide

Ces approches courantes ne sont pas conformes au RGPD :

• « En continuant votre navigation, vous acceptez les cookies » — le consentement implicite n’est pas un consentement
• Un bandeau avec uniquement un bouton « OK » — aucun choix réel n’est proposé
• Cases de consentement pré-cochées — le consentement doit être opt-in, pas opt-out
• Cookie wall (tout accepter ou partir) — c’est contesté, mais la plupart des régulateurs considèrent cela non conforme
• Un bandeau cookies qui s’affiche mais charge les scripts de suivi quand même — le bandeau doit réellement bloquer les cookies non essentiels jusqu’à ce que le consentement soit donné

Cookies PrestaShop par défaut

PrestaShop, dans sa configuration de base, dépose ces cookies :

• PrestaShop-[hash] — cookie de session principal (essentiel)
• PHPSESSID — identifiant de session PHP (essentiel)
• PrestaShop_admin — session du back-office (essentiel, admin uniquement)

Ce sont tous des cookies strictement nécessaires. Une installation PrestaShop standard sans modules tiers n’a pas besoin de bandeau de consentement aux cookies pour ceux-ci. Les problèmes commencent lorsque vous ajoutez Google Analytics, Facebook Pixel, Hotjar, des outils de chat en direct ou tout module marketing qui dépose des cookies de suivi.

Comment mettre en place un consentement aux cookies conforme

Une implémentation conforme du consentement aux cookies doit :

1. Bloquer tous les cookies non essentiels par défaut — Google Analytics, Facebook Pixel et les scripts similaires ne doivent pas se charger tant que le consentement n’est pas donné
2. Afficher un bandeau de consentement clair lors de la première visite avec des options pour accepter, refuser ou personnaliser
3. Proposer un contrôle granulaire — au minimum, des catégories séparées : Nécessaires, Analyse, Marketing, Préférences
4. Mémoriser le choix — ne pas redemander à chaque chargement de page (stocker le consentement dans un cookie — oui, c’est ironique)
5. Permettre le retrait — fournir un moyen de modifier les préférences de cookies ultérieurement (généralement un lien dans le pied de page)
6. Conserver un historique — enregistrer quand le consentement a été donné et pour quelles catégories

L’implémentation technique fonctionne généralement comme suit :

<!-- Instead of loading Google Analytics directly: -->
<script src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

<!-- Load it conditionally based on consent: -->
<script type="text/plain" data-cookieconsent="statistics">
  // This script only executes after the user consents to statistics cookies
  (function(){ /* GA code here */ })();
</script>

L’attribut type="text/plain" empêche le navigateur d’exécuter le script. Votre outil de gestion du consentement le remplace par type="text/javascript" une fois le consentement donné.

Le problème Google Analytics

Google Analytics est le plus gros casse-tête lié au consentement aux cookies pour les propriétaires de boutiques. Voici pourquoi :

• GA dépose plusieurs cookies (_ga, _gid, _gat) classés comme cookies d’analyse/statistiques
• Ceux-ci nécessitent un consentement explicite au titre du RGPD
• Si la plupart des visiteurs refusent les cookies d’analyse (et beaucoup le font), vos données d’analyse deviennent peu fiables
• Google Analytics 4 transfère toujours les données vers les serveurs américains de Google, ce qui soulève des préoccupations supplémentaires en matière de transfert de données dans le cadre du EU-US Data Privacy Framework

Options à envisager :

• Conserver GA avec un consentement adéquat : Acceptez que vous perdrez les données des visiteurs qui refusent. Vos analyses resteront utiles pour les tendances, simplement moins complètes.
• Utiliser des analyses côté serveur : Des outils comme Matomo (auto-hébergé) ou Plausible peuvent être configurés pour fonctionner sans cookies, ce qui peut permettre leur utilisation au titre de l’« intérêt légitime » sans consentement. Consultez votre conseiller juridique sur cette approche.
• Utiliser le mode consentement de Google : GA4 prend en charge le mode consentement, qui envoie des pings sans cookies lorsque le consentement est refusé et utilise des données modélisées pour combler les lacunes. C’est un compromis.

Le module RGPD officiel de PrestaShop

PrestaShop fournit un module RGPD officiel (psgdpr) qui gère certaines fonctionnalités de consentement aux cookies. Il :

• Affiche un bandeau de consentement aux cookies
• Permet aux clients de demander l’exportation et la suppression de leurs données depuis leur compte
• Vous permet de configurer quels modules sont concernés par le RGPD
• Fournit un journal des consentements

Cependant, le module officiel a ses limites. Il peut ne pas bloquer tous les cookies avant le consentement (selon votre thème et vos autres modules), et la personnalisation du bandeau est basique. De nombreuses boutiques le complètent avec une plateforme de consentement aux cookies plus robuste ou le remplacent entièrement par une Plateforme de Gestion du Consentement (CMP) dédiée comme Cookiebot, Complianz ou CookieYes.

Quelle que soit la solution de consentement que vous utilisez, testez-la. Ouvrez votre boutique dans une fenêtre de navigation privée, ouvrez les DevTools (F12 > Application > Cookies), et vérifiez quels cookies sont déposés avant d’interagir avec le bandeau de consentement. Si vous voyez des cookies Google Analytics ou Facebook, votre implémentation est défaillante — le consentement est conttourné.

Votre page de politique de confidentialité

Chaque boutique a besoin d’une politique de confidentialité. Ce n’est pas optionnel, et une déclaration vague de deux paragraphes ne répond pas aux exigences. Votre politique de confidentialité doit être spécifique à votre boutique et couvrir exactement ce que vous faites des données clients.

Ce qui doit être inclus

En vertu des articles 13 et 14 du RGPD, votre politique de confidentialité doit inclure :

• Votre identité et vos coordonnées — nom de l’entreprise, adresse, e-mail
• Les coordonnées du Délégué à la Protection des Données (si vous en avez un — la plupart des petites boutiques n’en ont pas besoin)
• Quelles données personnelles vous collectez — soyez précis (noms, e-mails, adresses, adresses IP, données de cookies)
• Pourquoi vous les collectez — la finalité pour chaque type de données
• La base juridique de chaque type de traitement (consentement, contrat, intérêt légitime, obligation légale)
• Avec qui vous partagez les données — processeurs de paiement, transporteurs, services d’e-mailing, fournisseurs d’analyses
• Transferts internationaux de données — si les données quittent l’UE (Google, Stripe, services basés aux États-Unis)
• Durée de conservation des données — périodes de conservation pour chaque type de données
• Droits des clients — accès, rectification, effacement, portabilité, opposition, limitation
• Comment exercer ces droits — coordonnées, procédure
• Droit de réclamation auprès d’une autorité de contrôle
• Si la fourniture de données est obligatoire (par ex., vous avez besoin d’une adresse pour expédier une commande)
• Prise de décision automatisée — si vous en utilisez (la plupart des boutiques non)
• Informations sur les cookies — ou un lien vers une politique de cookies séparée

Modèle de structure pour la politique de confidentialité

Voici une structure pratique pour la politique de confidentialité d’une boutique PrestaShop. Vous devrez remplir les détails spécifiques à votre boutique :

1. Who We Are
   - Company name, registration number, address
   - Contact email for privacy matters

2. What Data We Collect
   - Account registration data (name, email, password)
   - Order data (shipping address, billing address, order contents)
   - Payment data (note: we don't store card numbers — our payment processor does)
   - Communication data (contact form messages, order messages)
   - Technical data (IP address, browser type, cookies)
   - Newsletter subscription (email address)

3. Why We Collect It (Purposes and Legal Basis)
   - To process your orders (contract)
   - To create and manage your account (contract)
   - To send order confirmations and shipping updates (contract)
   - To send marketing emails (consent — you can unsubscribe at any time)
   - To improve our website (legitimate interest / consent for analytics cookies)
   - To comply with tax and accounting laws (legal obligation)
   - To prevent fraud (legitimate interest)

4. Who We Share Your Data With
   - Payment processor: [Name] — processes card payments
   - Shipping carrier: [Name] — receives delivery address and phone number
   - Email service: [Name] — sends transactional and marketing emails
   - Analytics: [Name] — website usage statistics
   - Hosting provider: [Name] — stores all website data

5. International Transfers
   - [List any services that transfer data outside the EU/EEA]
   - Safeguards in place (EU-US Data Privacy Framework, Standard Contractual Clauses)

6. How Long We Keep Your Data
   - Account data: until you delete your account
   - Order data: [X] years (legal requirement for invoices)
   - Abandoned cart data: [X] months
   - Analytics data: [X] months
   - Server logs: [X] days

7. Your Rights
   - Access, rectification, erasure, portability, objection, restriction
   - How to exercise them (email, account settings, GDPR module)
   - Right to complain to [your country's supervisory authority]

8. Cookies
   - [Summary or link to cookie policy]

9. Changes to This Policy
   - Last updated: [date]

10. Contact Us
    - Email for privacy inquiries

Où lier votre politique de confidentialité

Votre politique de confidentialité doit être facilement accessible. Créez un lien depuis :

• Le pied de page du site — sur chaque page
• Le formulaire d’inscription — avec une case à cocher (« J’ai lu et j’accepte la politique de confidentialité »)
• La page de commande — en particulier si la commande en tant qu’invité est activée et que vous collectez des données de visiteurs non enregistrés
• Le formulaire de contact — avant qu’ils soumettent des informations personnelles
• Le formulaire d’inscription à la newsletter — à côté du formulaire d’abonnement
• Le bandeau de consentement aux cookies — lien vers la politique complète depuis le bandeau

Dans PrestaShop, vous pouvez créer la politique de confidentialité en tant que page CMS (Back Office > Design > Pages) et configurer le lien dans votre pied de page via le module « Link Widget » ou la configuration du pied de page de votre thème.

Droits des clients sur leurs données

Le RGPD accorde à vos clients des droits spécifiques sur leurs données personnelles. Vous devez être en mesure de satisfaire ces demandes dans un délai de 30 jours.

Droit d’accès (exportation des données)

Tout client peut demander : « Quelles données détenez-vous sur moi ? » Vous devez fournir une réponse complète incluant toutes les données de tous les systèmes — pas seulement les informations de la page du compte, mais aussi l’historique des commandes, les adresses, les enregistrements de consentement, le statut newsletter et toutes les données stockées par les modules tiers.

Le module RGPD officiel de PrestaShop ajoute une section « RGPD » à la page de compte du client où il peut demander une exportation de ses données. Cela génère un PDF ou CSV contenant ses données issues de la base de données PrestaShop.

Si vous gérez cela manuellement, vous devrez interroger plusieurs tables :

-- Get all data for a specific customer
SELECT * FROM ps_customer WHERE id_customer = {ID};
SELECT * FROM ps_address WHERE id_customer = {ID};
SELECT * FROM ps_orders WHERE id_customer = {ID};
SELECT * FROM ps_cart WHERE id_customer = {ID};
SELECT * FROM ps_message WHERE id_customer = {ID};
SELECT * FROM ps_customer_message WHERE id_customer = {ID};

-- Don't forget module-specific tables
SELECT * FROM ps_emailsubscription WHERE email = '{EMAIL}';
-- Check any other module tables that store customer data

Droit à l’effacement (droit à l’oubli)

Les clients peuvent demander que vous supprimiez toutes leurs données personnelles. Cependant, ce droit n’est pas absolu — vous pouvez refuser si :

• Vous devez conserver les données pour des raisons légales (factures, documents fiscaux — généralement 5 à 10 ans selon votre pays)
• Il y a un litige juridique en cours
• Les données sont nécessaires à un objectif légitime qui prévaut sur la demande

En pratique, pour une boutique PrestaShop, cela signifie généralement :

• Supprimer : le compte client, les adresses non liées aux commandes, les paniers abandonnés, l’inscription à la newsletter, les enregistrements de visiteurs, la liste de souhaits, les avis
• Anonymiser : les données de commande (remplacer les détails personnels par « Client supprimé » ou similaire — conserver la commande pour la comptabilité mais retirer les informations identifiantes)
• Conserver : les factures (obligation légale) — mais vous pouvez anonymiser la copie client et ne garder que le document financier

Le module RGPD peut automatiser la suppression de compte client et l’anonymisation des données. Si vous gérez cela manuellement, voici l’approche :

-- Anonymize customer record (don't DELETE — linked orders would break)
UPDATE ps_customer SET
  firstname = 'Deleted',
  lastname = 'Customer',
  email = CONCAT('deleted_', id_customer, '@anonymous.invalid'),
  passwd = '',
  birthday = '0000-00-00',
  phone = '',
  optin = 0,
  newsletter = 0,
  deleted = 1,
  active = 0
WHERE id_customer = {ID};

-- Anonymize addresses not linked to delivered orders
UPDATE ps_address SET
  firstname = 'Deleted',
  lastname = 'Customer',
  address1 = 'Deleted',
  address2 = '',
  postcode = '00000',
  city = 'Deleted',
  phone = '',
  phone_mobile = '',
  other = '',
  company = '',
  vat_number = '',
  dni = '',
  deleted = 1
WHERE id_customer = {ID}
AND id_address NOT IN (
  SELECT id_address_delivery FROM ps_orders WHERE id_customer = {ID}
  UNION
  SELECT id_address_invoice FROM ps_orders WHERE id_customer = {ID}
);

-- Delete abandoned carts (not converted to orders)
DELETE FROM ps_cart_product
WHERE id_cart IN (
  SELECT id_cart FROM ps_cart
  WHERE id_customer = {ID}
  AND id_cart NOT IN (SELECT id_cart FROM ps_orders)
);
DELETE FROM ps_cart
WHERE id_customer = {ID}
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Remove newsletter subscription
DELETE FROM ps_emailsubscription WHERE email = '{ORIGINAL_EMAIL}';

Attention : Faites toujours une sauvegarde avant d’exécuter des requêtes de suppression. Anonymisez plutôt que de supprimer partout où les données sont liées à des commandes ou des factures. Testez d’abord en environnement de préproduction. Et n’oubliez pas — les requêtes ci-dessus sont des exemples ; votre configuration spécifique peut comporter des tables de modules supplémentaires qui nécessitent également un nettoyage.

Droit à la portabilité

Les clients peuvent demander leurs données dans un format lisible par machine (JSON, CSV, XML). Cela leur permet de transférer leurs données vers un autre service. La fonctionnalité d’exportation du module RGPD couvre généralement ce besoin, en générant un CSV ou PDF.

Si vous gérez cela manuellement, fournissez les données dans un format structuré — JSON ou CSV — couvrant les mêmes points de données que la réponse au « droit d’accès ».

Droit de rectification

Les clients peuvent vous demander de corriger des données inexactes. Dans la plupart des cas, les clients PrestaShop peuvent le faire eux-mêmes via la page de leur compte (mise à jour du nom, de l’e-mail, de l’adresse). Mais s’ils vous le demandent, vous devez vous conformer dans un délai de 30 jours.

C’est généralement le droit le plus facile à satisfaire — il suffit de mettre à jour l’enregistrement dans le back-office.

Gérer les demandes de données en pratique

Mettez en place un processus pour traiter les demandes RGPD :

1. Vérifiez l’identité — avant d’envoyer les données de quelqu’un ou de supprimer un compte, assurez-vous que c’est bien cette personne. Demandez-lui d’envoyer la demande depuis l’adresse e-mail associée à son compte.
2. Enregistrez la demande — notez quand vous l’avez reçue et ce qui a été demandé
3. Répondez dans un délai de 30 jours — c’est le délai légal. Si une demande est complexe, vous pouvez prolonger de 60 jours supplémentaires, mais vous devez en informer le demandeur dans les 30 premiers jours.
4. Traitez la demande — exportez, supprimez, corrigez ou expliquez pourquoi vous ne pouvez pas (avec une justification légale)
5. Confirmez le traitement — informez le client que la demande a été satisfaite

Conservez un journal de toutes les demandes des personnes concernées et de vos réponses. Cela démontre votre responsabilité si un régulateur vous interroge.

Gestion du consentement

Le consentement au titre du RGPD doit être librement donné, spécifique, éclairé et non ambigu. Voici ce que cela signifie en pratique pour votre boutique PrestaShop.

Formulaire d’inscription

Lorsque les clients créent un compte, vous avez besoin :

• D’une case à cocher (non cochée par défaut) renvoyant vers votre politique de confidentialité : « J’ai lu et j’accepte la Politique de confidentialité »
• Cette case ne doit pas être pré-cochée — le client doit activement la cocher
• Vous ne pouvez pas regrouper cela avec le consentement marketing — ce sont deux choses distinctes

Dans PrestaShop 1.7+ et 8.x, vous pouvez configurer cela via les paramètres du module RGPD ou en modifiant le template d’inscription client. Le module ajoute généralement des cases à cocher de consentement au formulaire d’inscription, au processus de commande et au formulaire de contact.

Consentement newsletter

L’inscription à la newsletter nécessite son propre consentement séparé. Le client doit :

• Donner son accord activement (case non cochée ou formulaire d’inscription séparé)
• Savoir à quoi il s’inscrit (« Recevez nos offres hebdomadaires et nos nouveautés produits »)
• Pouvoir se désinscrire facilement (lien de désinscription dans chaque e-mail)

Le module newsletter de PrestaShop inclut une case à cocher d’opt-in. Assurez-vous qu’elle n’est pas pré-cochée — vérifiez le template du bloc newsletter de votre thème.

Consentement marketing

Si vous partagez des données clients avec des tiers à des fins marketing (par ex., transmettre des listes d’e-mails à Facebook pour les Audiences Personnalisées), vous avez besoin d’un consentement explicite pour cette finalité spécifique. « J’accepte la politique de confidentialité » ne couvre pas cela — vous avez besoin d’une case à cocher séparée comme : « J’accepte de recevoir de la publicité personnalisée basée sur mon comportement d’achat »

La plupart des boutiques PrestaShop n’en ont pas besoin, sauf si elles réalisent des intégrations marketing avancées.

Conservation des preuves de consentement

Vous devez être en mesure de prouver que le consentement a été donné. Cela signifie enregistrer :

• Qui a donné son consentement (identifiant client ou e-mail)
• Quand le consentement a été donné (horodatage)
• À quoi la personne a consenti (politique de confidentialité, newsletter, marketing)
• Comment le consentement a été donné (case à cocher du formulaire d’inscription, popup newsletter, etc.)
• Quelle version de la politique de confidentialité était en vigueur à ce moment

Le module RGPD officiel conserve un journal des consentements. Si vous gérez cela manuellement, créez une table de base de données pour suivre les événements de consentement :

CREATE TABLE ps_gdpr_consent_log (
  id_consent_log INT AUTO_INCREMENT PRIMARY KEY,
  id_customer INT DEFAULT NULL,
  customer_email VARCHAR(255) NOT NULL,
  consent_type VARCHAR(50) NOT NULL,  -- 'privacy_policy', 'newsletter', 'marketing'
  consent_given TINYINT(1) NOT NULL,  -- 1 = given, 0 = withdrawn
  ip_address VARCHAR(45) DEFAULT NULL,
  date_add DATETIME NOT NULL,
  request_details TEXT DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Conservation des données : combien de temps pouvez-vous les garder ?

Le RGPD ne spécifie pas de durées de conservation exactes — il indique que les données doivent être conservées « pas plus longtemps que nécessaire ». Vous devez définir votre propre politique de conservation et vous y tenir.

Durées de conservation recommandées

• Comptes clients actifs : Conservez tant que le compte est actif. Considérez les comptes comme inactifs après 24 à 36 mois sans connexion ni achat.
• Comptes clients inactifs : Envoyez un e-mail de réengagement, puis anonymisez si pas de réponse dans les 30 jours.
• Données de commande : Conservez aussi longtemps que la loi l’exige pour des raisons fiscales/comptables. Dans la plupart des pays de l’UE, c’est 5 à 10 ans. Anonymisez les détails personnels mais conservez les enregistrements financiers.
• Données de facturation : Doivent être conservées pendant la durée légale obligatoire (généralement 7 à 10 ans dans la plupart des pays de l’UE).
• Données de paniers abandonnés : Supprimez après 6 à 12 mois maximum. Il n’y a aucune justification pour conserver les paniers abandonnés plus longtemps.
• Données visiteurs : Les données des tables ps_guest et ps_connections doivent être nettoyées régulièrement — 6 mois maximum pour la plupart des boutiques.
• Abonnés newsletter : Conservez jusqu’à désinscription. Reconfirmez périodiquement les abonnés inactifs.
• Journaux du serveur : 30 à 90 jours est la norme. Appliquez une rotation et supprimez les journaux plus anciens.
• Enregistrements de consentement aux cookies : Conservez au moins pendant la durée du consentement (généralement 12 mois).

Nettoyage des anciennes données : requêtes SQL

Voici des requêtes de nettoyage sûres pour les données courantes de PrestaShop. Faites toujours une sauvegarde et testez en préproduction.

-- Delete guest records older than 6 months
DELETE FROM ps_guest
WHERE id_guest NOT IN (SELECT id_guest FROM ps_cart WHERE id_cart IN (SELECT id_cart FROM ps_orders))
AND id_guest IN (
  SELECT g.id_guest FROM ps_guest g
  INNER JOIN ps_connections c ON c.id_guest = g.id_guest
  GROUP BY g.id_guest
  HAVING MAX(c.date_add) < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

-- Delete old connection records (keeps stats but removes IP-linked data)
DELETE FROM ps_connections_source
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections_page
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections
WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH);

-- Delete abandoned carts older than 12 months (not converted to orders)
DELETE cp FROM ps_cart_product cp
INNER JOIN ps_cart c ON cp.id_cart = c.id_cart
WHERE c.date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND c.id_cart NOT IN (SELECT id_cart FROM ps_orders);

DELETE FROM ps_cart
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Clean old page view statistics (anonymous aggregate data — lower priority)
DELETE FROM ps_page_viewed
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH);

Envisagez d’automatiser ces nettoyages avec une tâche cron. Exécutez-les mensuellement pendant les heures creuses. Encadrez toujours les requêtes destructives dans une transaction ou au moins vérifiez le nombre de lignes avec un SELECT avant d’exécuter le DELETE. Et ne sautez jamais la sauvegarde.

Automatiser la conservation des données

Créez un script PHP ou une tâche cron qui exécute ces requêtes de nettoyage selon un calendrier :

# Example crontab entry — runs at 3 AM on the 1st of each month
0 3 1 * * /usr/bin/php /path/to/your/store/scripts/gdpr-cleanup.php >> /var/log/gdpr-cleanup.log 2>&1

Le script doit enregistrer ce qui a été supprimé et quand — cela fait partie de votre documentation de responsabilité RGPD.

Services tiers et sous-traitants de données

Votre boutique PrestaShop ne fonctionne pas de manière isolée. Vous partagez des données clients avec divers services tiers. Au sens du RGPD, ceux-ci sont appelés « sous-traitants » — ils traitent des données pour votre compte.

Sous-traitants courants pour les boutiques PrestaShop

• Passerelles de paiement (Stripe, PayPal, Adyen, Mollie) — reçoivent le nom du client, l’e-mail, l’adresse de facturation, les coordonnées bancaires
• Transporteurs (DHL, UPS, DPD, transporteurs locaux) — reçoivent le nom du destinataire, l’adresse, le numéro de téléphone, parfois l’e-mail
• Services d’e-mail marketing (Mailchimp, Brevo/SendinBlue, Klaviyo) — reçoivent les adresses e-mail, les noms, l’historique d’achats
• Analyse (Google Analytics, Matomo) — reçoivent les adresses IP, le comportement de navigation, les informations sur l’appareil
• Hébergeur — stocke toutes vos données (base de données, fichiers, journaux)
• CDN / services de sécurité (Cloudflare, Sucuri) — voient tout le trafic, y compris les adresses IP
• Outils de support client (Zendesk, Freshdesk) — peuvent stocker les communications et données des clients
• Pixels de réseaux sociaux (Facebook, TikTok, Pinterest) — reçoivent le comportement de navigation et les données de conversion
• ERP / logiciel de comptabilité — reçoit les données de commandes et de clients pour la gestion de l’entreprise

Accords de sous-traitance (DPA)

Le RGPD vous oblige à avoir un Accord de Sous-traitance (Data Processing Agreement) avec chaque sous-traitant qui traite des données personnelles pour votre compte. Le DPA doit préciser :

• Quelles données sont traitées
• La finalité et la durée du traitement
• Les obligations du sous-traitant en matière de sécurité des données
• Ce qui advient des données lorsque l’accord prend fin
• L’obligation du sous-traitant de vous notifier les violations de données

La bonne nouvelle : la plupart des grands prestataires de services disposent déjà de DPA standard :

• Stripe : Intégré dans leurs Conditions Générales d’Utilisation
• PayPal : Disponible dans leur documentation juridique
• Google : Avenant relatif au traitement des données disponible dans l’administration de Google Analytics
• Mailchimp : DPA standard disponible sur leur site
• Brevo/SendinBlue : DPA inclus dans leurs conditions ou disponible sur demande
• Cloudflare : DPA disponible dans leur documentation de confiance

Téléchargez et signez (ou acceptez en ligne) le DPA de chaque service que vous utilisez. Conservez des copies. Un régulateur peut vous demander de les présenter.

Transferts internationaux de données

Si l’un de vos sous-traitants est basé hors de l’UE (et beaucoup le sont — Stripe, Google, Mailchimp sont tous basés aux États-Unis), vous avez besoin d’un mécanisme juridique pour le transfert de données. Actuellement, les principales options sont :

• EU-US Data Privacy Framework — les entreprises américaines certifiées dans le cadre de ce dispositif peuvent recevoir des données personnelles européennes. Vérifiez si vos sous-traitants figurent sur la liste sur dataprivacyframework.gov.
• Clauses Contractuelles Types (CCT) — clauses contractuelles approuvées par la Commission européenne pour les transferts internationaux. La plupart des grands prestataires les incluent dans leurs DPA.
• Décisions d’adéquation — certains pays hors UE ont été reconnus comme offrant une protection des données adéquate (Royaume-Uni, Canada, Japon, Corée du Sud, et d’autres).

Listez tous les transferts internationaux de données dans votre politique de confidentialité. Précisez le pays et le mécanisme juridique qui protège le transfert.

Procédure en cas de violation de données

Une violation de données est tout incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite, à des données personnelles. Pour une boutique PrestaShop, cela pourrait être :

• Votre boutique est piratée et des données clients sont volées
• Une sauvegarde de base de données est laissée accessible publiquement
• Des données de commande de clients sont accidentellement envoyées par e-mail à la mauvaise personne
• Une vulnérabilité de module expose les informations des clients
• Un employé accède aux données clients sans autorisation
• Un rançongiciel chiffre votre base de données et vous perdez l’accès aux dossiers clients

La règle des 72 heures

Si vous subissez une violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes, vous devez :

1. Notifier votre autorité de contrôle dans les 72 heures suivant la prise de connaissance de la violation
2. Notifier les personnes concernées dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits

« 72 heures suivant la prise de connaissance » signifie à partir du moment où vous avez raisonnablement déterminé qu’une violation s’est produite — pas à partir du moment où la violation a eu lieu. Mais on attend de vous que vous disposiez d’un dispositif de surveillance pour détecter les violations rapidement.

Que doit contenir une notification de violation

Votre notification à l’autorité de contrôle doit inclure :

• La nature de la violation (ce qui s’est passé)
• Les catégories et le nombre approximatif de personnes concernées
• Les catégories et le nombre approximatif d’enregistrements de données personnelles concernés
• Les coordonnées de votre DPO ou point de contact principal
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation

La notification aux personnes concernées doit décrire la violation en termes clairs et inclure les mêmes informations, ainsi que des conseils sur la manière dont elles peuvent se protéger (changer de mot de passe, surveiller le phishing, etc.).

Plan de réponse aux violations

N’attendez pas qu’une violation se produise pour savoir quoi faire. Préparez-vous à l’avance :

1. Identifiez votre autorité de contrôle — il s’agit de l’autorité de protection des données du pays de l’UE où votre entreprise est basée (par ex., CNIL en France, ICO au Royaume-Uni, UODO en Pologne, BfDI en Allemagne)
2. Connaissez la procédure de notification — la plupart des autorités disposent d’un formulaire en ligne. Mettez-le en favori.
3. Préparez un modèle de notification de violation (pour l’autorité et pour les clients)
4. Documentez tout — même les violations que vous décidez de ne pas signaler. La documentation de votre processus de décision est elle-même requise par le RGPD.
5. Prévoyez un plan de réponse technique — qui enquête, qui corrige, qui communique

Tous les incidents de sécurité ne constituent pas une violation à signaler. Si votre pare-feu bloque une attaque et qu’aucune donnée n’est compromise, c’est un incident, pas une violation. Mais enregistrez-le quand même — cela montre que vous disposez d’un dispositif de surveillance.

Erreurs RGPD courantes des boutiques PrestaShop

Après avoir examiné des centaines de boutiques PrestaShop pour la conformité RGPD, voici les erreurs que nous constatons le plus souvent :

1. Cases de consentement pré-cochées

La case newsletter lors de l’inscription ou du passage en caisse est pré-cochée. C’est une violation manifeste du RGPD. Le consentement doit être opt-in. Vérifiez dans les templates de votre thème si une case à cocher possède l’attribut checked ou checked="checked" par défaut sur les formulaires liés au consentement.

2. Aucun moyen de supprimer son compte

De nombreuses boutiques PrestaShop n’offrent aucun mécanisme permettant aux clients de supprimer leur compte. Le front-office PrestaShop par défaut ne propose pas la suppression de compte. Vous avez besoin du module RGPD ou d’une solution personnalisée pour offrir cette fonctionnalité.

3. Conservation des données indéfiniment

Aucune politique de conservation des données. Des enregistrements de visiteurs de 2015 toujours dans la base de données. Des journaux de connexion remontant à plusieurs années. Des paniers abandonnés de clients qui ont oublié l’existence de votre boutique il y a trois ans. Définissez des durées de conservation et appliquez-les.

4. Sécurité des données insuffisante

Le RGPD exige des « mesures techniques et organisationnelles appropriées » pour protéger les données. Manquements courants :

• Pas de certificat SSL — toutes les boutiques doivent utiliser HTTPS. Il n’y a aucune excuse en 2026.
• Mots de passe admin faibles — imposez des mots de passe robustes pour tous les comptes du back-office
• Version de PrestaShop obsolète — les correctifs de sécurité comptent. Faire tourner PrestaShop 1.6 avec des vulnérabilités connues est un risque.
• Modules non mis à jour — les modules présentant des failles de sécurité connues sont un vecteur d’attaque courant
• Pas de sauvegardes de la base de données — ou des sauvegardes stockées dans des emplacements accessibles au public
• Hébergement mutualisé avec une mauvaise isolation — si un autre site sur le même serveur est compromis, vos données pourraient être menacées
• FTP au lieu de SFTP — le FTP transmet les identifiants en clair

5. Google Analytics sans consentement

La violation la plus courante que nous constatons. Le code de suivi Google Analytics se charge sur chaque page pour chaque visiteur, indépendamment du consentement aux cookies. Cela envoie des données personnelles (adresse IP, comportement de navigation) à Google avant que le visiteur n’ait la moindre possibilité de consentir.

6. Bandeau cookies qui ne fonctionne pas réellement

Un bandeau cookies est affiché, mais les cookies non essentiels sont chargés avant que le consentement ne soit donné. Le bandeau est cosmétique — il ne contrôle pas réellement le comportement des cookies. Vérifiez-le vous-même : ouvrez les DevTools, examinez quels cookies et requêtes réseau sont effectués avant d’interagir avec le bandeau.

7. Pas de politique de confidentialité (ou une politique générique)

Soit il n’y a aucune politique de confidentialité, soit c’est un modèle générique copié d’Internet qui ne reflète pas ce que la boutique fait réellement. Votre politique de confidentialité doit être spécifique à votre boutique, à vos pratiques en matière de données et à vos services tiers.

8. Absence de conservation des preuves de consentement

Les clients ont coché la case de consentement, mais il n’y a aucun enregistrement de quand, de ce à quoi ils ont consenti, ni de quelle version de la politique de confidentialité était en vigueur. Si un régulateur demande « prouvez que ce client a consenti aux e-mails marketing », vous devez pouvoir en apporter la preuve.

9. Ignorer les données des modules

Les propriétaires de boutiques auditent les données de base de PrestaShop mais oublient les données collectées par les modules tiers. Modules d’avis, de liste de souhaits, de récupération de paniers abandonnés, outils de chat — ils collectent tous des données personnelles qui relèvent du RGPD.

10. Pas d’accords de sous-traitance

Utiliser Stripe, Google Analytics, Mailchimp et une douzaine d’autres services sans avoir de DPA en place. Ceux-ci sont souvent disponibles gratuitement auprès du fournisseur de services — il suffit de les signer.

Checklist de conformité RGPD pour les boutiques PrestaShop

Utilisez cette checklist pour évaluer la conformité RGPD de votre boutique. Passez en revue chaque élément et indiquez s’il est fait, en cours ou nécessite votre attention.

Fondements juridiques

• Politique de confidentialité créée et publiée sur la boutique
• La politique de confidentialité couvre toutes les informations requises (voir la section ci-dessus)
• La politique de confidentialité est liée depuis le pied de page, le formulaire d’inscription, la page de commande et le formulaire de contact
• Politique de cookies créée (page séparée ou section au sein de la politique de confidentialité)
• Conditions générales de vente mises à jour pour faire référence à la politique de confidentialité
• Accords de sous-traitance signés avec tous les sous-traitants tiers
• Registre des activités de traitement (ROPA) créé — un document listant toutes les activités de traitement des données
• Délégué à la Protection des Données désigné (si requis — généralement pour le traitement à grande échelle)

Consentement

• Le formulaire d’inscription comporte une case à cocher non cochée pour la politique de confidentialité
• L’inscription à la newsletter nécessite un opt-in actif (pas de cases pré-cochées)
• Le consentement marketing est séparé du consentement à la politique de confidentialité
• Bandeau de consentement aux cookies implémenté et fonctionnel
• Le bandeau cookies bloque les cookies non essentiels jusqu’au consentement
• Le bandeau cookies propose un choix granulaire (tout accepter, tout refuser, personnaliser)
• Les préférences de cookies peuvent être modifiées après le choix initial (par ex., lien en pied de page)
• Les preuves de consentement sont enregistrées avec horodatage, utilisateur et type de consentement

Droits des clients

• Les clients peuvent accéder à leurs données personnelles et les exporter
• Les clients peuvent demander la suppression de leur compte
• Les clients peuvent corriger leurs données personnelles
• Les clients peuvent télécharger leurs données dans un format lisible par machine
• Un processus existe pour traiter les demandes des personnes concernées dans un délai de 30 jours
• Procédure de vérification d’identité pour les demandes de données
• Module RGPD installé et configuré (ou fonctionnalité équivalente)

Gestion des données

• Durées de conservation définies pour toutes les catégories de données
• Nettoyage automatisé des anciennes données visiteurs/connexions
• Nettoyage automatisé des paniers abandonnés au-delà de la durée de conservation
• Rotation des journaux du serveur configurée
• Les comptes clients inactifs sont identifiés et traités
• Tous les emplacements de stockage des données sont documentés (base de données, système de fichiers, services tiers)

Sécurité

• Certificat SSL/TLS installé (HTTPS imposé)
• Version de PrestaShop à jour avec les correctifs de sécurité
• Tous les modules à jour
• Mots de passe robustes imposés pour les comptes admin
• Répertoire d’administration renommé par rapport au nom par défaut
• Sauvegardes régulières configurées et testées
• Sauvegardes stockées de manière sécurisée (pas dans un répertoire web public)
• SFTP ou SSH utilisé au lieu du FTP
• Permissions de fichiers correctement configurées (pas de répertoires en 777)
• Accès à la base de données restreint (pas d’accès root distant)

Préparation aux violations

• Autorité de contrôle identifiée
• Processus de notification des violations documenté
• Modèle de notification de violation préparé
• Personne référente désignée pour les incidents de violation
• Surveillance de la sécurité en place (revue des journaux, détection d’intrusion)

Services tiers

• Tous les services tiers qui traitent des données clients sont listés
• DPA en place avec chaque sous-traitant
• Transferts internationaux de données documentés avec base juridique
• Services tiers listés dans la politique de confidentialité
• Scripts d’analyse chargés uniquement après consentement aux cookies
• Pixels marketing chargés uniquement après consentement aux cookies

Conclusion

La conformité au RGPD n’est pas un projet ponctuel — c’est une pratique continue. Votre politique de confidentialité doit être mise à jour lorsque vous ajoutez de nouveaux modules ou services. Votre nettoyage des données doit s’exécuter régulièrement. Vos mécanismes de consentement doivent être testés après chaque mise à jour de thème ou de module.

La bonne nouvelle, c’est que la majeure partie du travail lourd ne se fait qu’une fois. Mettre en place un consentement aux cookies conforme, rédiger votre politique de confidentialité, signer les DPA et configurer la conservation des données — ce sont des tâches ponctuelles avec une maintenance occasionnelle.

Et voici quelque chose que la plupart des guides RGPD ne vous diront pas : la perfection n’est pas le standard. Les régulateurs recherchent un effort sincère et une approche raisonnable de la protection des données. Une boutique qui dispose d’une bonne politique de confidentialité, d’un consentement aux cookies conforme, de règles de conservation des données et d’un processus de traitement des demandes clients est en bonne position — même si chaque infime détail n’est pas parfait.

Ce que les régulateurs sanctionnent, c’est la négligence : les boutiques qui ne font rien, ignorent les demandes des clients, collectent des données dont elles n’ont pas besoin et les laissent sans protection indéfiniment. Ne soyez pas cette boutique.

Commencez par la checklist ci-dessus, traitez-la au cours des prochaines semaines, et revenez-y chaque trimestre. C’est cela, la conformité RGPD en pratique — pas de panique, pas de perfection, juste des bonnes pratiques constantes avec les données clients.

Rappel : ce guide porte sur les principes généraux de conformité au RGPD pour les boutiques PrestaShop. Le droit de la protection des données est complexe et en constante évolution. Pour un avis juridique contraignant, adapté à votre entreprise, votre juridiction et vos activités de traitement des données, consultez un avocat ou un consultant qualifié en protection des données. L’investissement dans un conseil juridique professionnel est minime comparé aux conséquences potentielles d’une erreur.