RGPD et e-commerce : guide conformité pour les boutiques en ligne

Le e-commerce est l'un des secteurs les plus exposés aux enjeux RGPD. Entre les cookies de tracking, les données de paiement, le profilage marketing, les avis clients et la prospection commerciale, les points de vigilance sont nombreux. Pourtant, une conformité bien gérée peut devenir un véritable avantage concurrentiel en renforçant la confiance des consommateurs.

Les données collectées par un site e-commerce

• Données d'identification : nom, prénom, email, telephone, adresse de livraison
• Données de paiement : numéro de carte bancaire (via prestataire PSP), historique des transactions
• Données de navigation : pages visitees, produits consultés, panier, historique d'achat
• Données marketing : preferences, segments, scores, historique des campagnes
• Données de cookies : identifiants publicitaires, trackers tiers (Facebook Pixel, Google Ads)
• Avis et commentaires clients
• Données du service client : tickets, réclamations, échanges

Cookies et consentement : le point critique

Le bandeau cookie est souvent le premier point de non-conformité des sites e-commerce. Les cookies de tracking publicitaire (Google Ads, Facebook Pixel, Criteo), d'analyse (Google Analytics) et de retargeting nécessitent un consentement préalable. Les cookies strictement nécessaires (panier, session, paiement) sont exemptes. Assurez-vous que le bouton "Refuser" est aussi visible que "Accepter" et qu'aucun cookie non essentiel n'est depose avant le consentement.

Prospection commerciale : les règles

Pour les clients existants, vous pouvez envoyer des emails de prospection pour des produits similaires sans consentement préalable (intérêt légitime), à condition d'offrir un moyen simple de se désinscrire. Pour les prospects (non-clients), le consentement opt-in est obligatoire. Chaque email doit contenir un lien de désinscription fonctionnel.

Checklist conformité e-commerce

• Bandeau cookie conforme avec consentement granulaire par finalité
• Politique de confidentialité complete et accessible (pied de page)
• Mentions d'information sur chaque formulaire (inscription, commande, newsletter)
• Case a cocher non pré-cochée pour la newsletter (opt-in)
• Lien de désinscription dans chaque email marketing
• Sécurisation des données de paiement (PCI-DSS via votre PSP)
• Durées de conservation définies (3 ans prospects inactifs, 5 ans factures)
• Processus de traitement des demandes DSR (accès, suppression de compte)
• Contrats Article 28 avec tous les sous-traitants (hébergeur, PSP, emailing, analytics)