Un site e-commerce conforme au RGPD a besoin de trois briques logicielles articulées : une plateforme de gestion du consentement (CMP) pour les cookies et traceurs, un registre des traitements couvrant clients, prospection et paiement, et un outil de gestion des demandes de droits (accès, effacement, opposition). Sur ces trois fronts, la CNIL sanctionne : les amendes cookies se comptent en dizaines de millions d’euros et la prospection sans consentement valide est une cause récurrente de plaintes. Voici ce qu’un stack e-commerce doit couvrir, un comparatif et la méthode de choix.
Key Takeaways
- Le e-commerce concentre trois risques RGPD : cookies/traceurs (consentement CNIL), prospection (opt-in email/SMS), et demandes de droits clients.
- Les cookies sont le poste le plus sanctionné : la CNIL a infligé 35 M€ à Amazon Europe Core et 150 M€ à Google en 2020-2021 sur les traceurs.
- La prospection par email exige un consentement préalable pour les prospects non clients (art. L.34-5 du code des postes et communications électroniques).
- Un stack e-commerce efficace = CMP + registre + gestion des demandes ; un tableur ne suffit pas au-delà de quelques centaines de commandes.
Ce qu’un logiciel RGPD e-commerce doit couvrir
La conformité d’une boutique en ligne se joue sur quatre traitements à haut risque, et l’outillage doit suivre :
- Les cookies et traceurs. Analytics, publicité, remarketing, réseaux sociaux : chaque traceur non essentiel exige un consentement recueilli via une CMP conforme aux règles de la CNIL. C’est le point de départ de la conformité cookies.
- La prospection commerciale. Newsletters, relances de panier, SMS promotionnels : l’opt-in email et SMS est obligatoire pour les prospects, et le désabonnement doit être immédiat.
- Le registre des traitements. Comptes clients, commandes, paiement, livraison, service après-vente, fidélité : une boutique recense vite 15 à 25 traitements dans son registre.
- Les demandes de droits. Accès, effacement, opposition à la prospection : un client mécontent qui écrit à la CNIL déclenche un contrôle. L’outil doit tracer chaque demande et sa réponse dans les délais.
Le cadrage complet des obligations figure dans notre guide des obligations RGPD du e-commerce.
Le critère décisif : une CMP réellement conforme
Pour un site marchand, la brique la plus exposée est la gestion du consentement. Une CMP conforme aux règles de la CNIL doit remplir quatre conditions :
- Refuser doit être aussi simple qu’accepter : un bouton « Tout refuser » au même niveau que « Tout accepter », sans dark pattern.
- Le consentement doit être préalable au dépôt de tout traceur non essentiel : aucun cookie publicitaire ne se dépose avant le clic.
- La preuve du consentement doit être conservée et horodatée, réutilisable en cas de contrôle.
- Le retrait doit être aussi facile que le recueil.
C’est là que se joue le choix : une CMP grand public bien paramétrée règle 80 % du risque cookies. Le détail des solutions figure dans notre comparatif des CMP de gestion du consentement, qui compare Axeptio, Didomi, Cookiebot et OneTrust CMP sur le prix, la preuve et le TCF.
Comparatif des briques pour une boutique en ligne
| Brique | Solutions | Prix indicatif | Ce qu’elle couvre |
|---|---|---|---|
| CMP (consentement cookies) | Axeptio, Didomi, Cookiebot | Gratuit à quelques centaines €/mois selon trafic | Bandeau, preuve, TCF |
| Plateforme RGPD (registre + droits) | Legiscope, Dastra, Data Legal Drive | Sur devis / dès env. 79 €/mois | Registre, AIPD, demandes de droits |
| Emailing conforme | Brevo, Mailchimp… | Selon volume | Opt-in, désinscription |
| Suite tout-en-un | OneTrust | Sur devis, souvent > 30 000 €/an | Modules groupés, surdimensionné pour une PME |
Deux observations :
Une boutique n’a pas besoin d’une suite enterprise. Le trio CMP + plateforme RGPD + outil d’emailing conforme couvre l’essentiel pour un marchand PME. Les suites tout-en-un se justifient pour des groupes multi-marques, pas pour une boutique unique.
Le registre reste le socle. La CMP gère les cookies, mais c’est la plateforme RGPD (registre, demandes de droits, clauses RGPD des CGV) qui documente la conformité globale. Pour choisir cette brique, voir notre comparatif des logiciels RGPD.
Les sanctions : les cookies en première ligne
Le risque e-commerce est parfaitement documenté. La CNIL a infligé 35 millions d’euros à Amazon Europe Core (délibération SAN-2020-013 du 7 décembre 2020) et 100 millions d’euros à Google le même jour pour dépôt de cookies publicitaires sans consentement préalable. En décembre 2021, elle a ajouté 150 millions d’euros à Google et 60 millions à Facebook pour un refus des cookies rendu plus difficile que l’acceptation. Ces montants visent des géants, mais la doctrine s’applique à toute boutique : la procédure simplifiée de la CNIL frappe désormais des PME pour des manquements ordinaires (amendes jusqu’à 20 000 €).
La prospection est l’autre foyer de plaintes : l’article L.34-5 du code des postes et des communications électroniques impose le consentement préalable pour tout email commercial à un prospect. Un stack qui ne trace pas l’origine du consentement vous laisse sans preuve le jour où un destinataire se plaint.
Le point aveugle : les demandes de droits clients
C’est le risque que la plupart des marchands sous-estiment. Un client peut à tout moment demander l’accès à ses données, leur effacement, ou s’opposer à la prospection. Le RGPD impose de répondre dans un délai d’un mois (art. 12.3), prolongeable de deux mois pour les demandes complexes. Sur une boutique qui traite des centaines de commandes, ces demandes arrivent par email, par formulaire, parfois par messagerie sociale — et se perdent.
Un logiciel qui gère ces demandes apporte trois choses qu’aucun tableur ne fournit :
- La centralisation : toutes les demandes dans un même registre, quel que soit le canal d’entrée.
- Le suivi des délais : une alerte avant l’échéance du mois, car un dépassement est un manquement caractérisé.
- La traçabilité de la réponse : la preuve, horodatée, que la demande a été traitée — c’est ce que la CNIL réclame en cas de plainte.
Le non-respect du droit d’accès est l’un des motifs de plainte les plus fréquents dans le e-commerce, souvent lié à un désabonnement ignoré ou à un compte non supprimé. L’outil transforme une source de contentieux en processus documenté.
L’articulation avec la prospection multicanale
Une boutique moderne prospecte par email, SMS, notifications push et retargeting publicitaire. Chaque canal a ses règles : l’opt-in préalable pour l’email et le SMS aux prospects, l’information et le retrait facile pour les notifications, le consentement cookies pour le retargeting. Un stack cohérent relie le consentement recueilli par la CMP à l’outil d’emailing, de sorte qu’un prospect qui refuse les cookies publicitaires ne se retrouve pas ciblé par une campagne de retargeting — incohérence que la CNIL sanctionne. C’est l’intérêt d’un socle commun entre la plateforme RGPD (qui tient le registre et les preuves de consentement) et les outils opérationnels de marketing.
Comment choisir : la méthode
- Auditez vos traceurs. Listez tous les cookies déposés par votre site (analytics, pub, chat, réseaux sociaux) avant de choisir une CMP dimensionnée à votre trafic.
- Cartographiez vos traitements. Comptez comptes clients, commandes, prospection, fidélité : c’est le périmètre de votre registre.
- Testez la gestion des demandes en démo. Simulez une demande d’effacement et vérifiez le suivi et les délais.
- Chiffrez le coût complet. CMP au volume + plateforme RGPD + emailing, sur trois ans.
Une plateforme comme Legiscope produit le registre, l’AIPD et le suivi des demandes de droits pré-configurés pour le droit de l’UE ; combinée à une CMP dédiée aux cookies, elle couvre le périmètre d’une boutique sans les modules superflus d’une suite enterprise. L’important est de raisonner par brique et par risque réel : la CMP éteint le risque cookies, la plateforme RGPD documente le reste, et l’outil d’emailing sécurise la prospection. Trois briques bien articulées valent mieux qu’une suite unique mal maîtrisée, surtout pour un marchand qui doit avant tout vendre.
FAQ
Quel logiciel RGPD pour un site e-commerce ?
Le trio gagnant est une CMP pour les cookies (Axeptio, Didomi, Cookiebot), une plateforme RGPD pour le registre et les demandes de droits (Legiscope, Dastra, Data Legal Drive), et un outil d’emailing conforme pour la prospection. Une suite tout-en-un est surdimensionnée pour une boutique PME.
Un bandeau cookies suffit-il à être conforme ?
Non. Le bandeau doit permettre de refuser aussi facilement que d’accepter, ne déposer aucun traceur non essentiel avant le consentement, et conserver la preuve horodatée du choix. Un simple bandeau « en poursuivant votre navigation vous acceptez » est non conforme et sanctionnable.
La prospection par email nécessite-t-elle un consentement ?
Oui pour les prospects non clients : l’article L.34-5 du code des postes et des communications électroniques impose un opt-in préalable. Pour vos clients existants, la relance sur des produits similaires est possible sous conditions, avec toujours un lien de désinscription immédiat.
Une petite boutique risque-t-elle vraiment une amende cookies ?
Oui. Au-delà des amendes géantes (Amazon 35 M€, Google 150 M€), la CNIL utilise une procédure simplifiée qui frappe des TPE et PME pour des manquements cookies ordinaires, avec des amendes pouvant atteindre 20 000 €. Une CMP conforme reste l’investissement le plus rentable.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo