Un site e-commerce traite par nature un volume massif de données personnelles : identités, adresses, historiques d’achat, coordonnées bancaires, comportements de navigation. La CNIL a sanctionné CRITEO de 40 millions d’euros (Délibération n° SAN-2023-009, 15 juin 2023) pour des manquements au consentement sur le ciblage publicitaire, et Amazon Europe de 746 millions d’euros par la CNPD luxembourgeoise (juillet 2021) pour le traitement de données à des fins publicitaires. Ce guide détaille les obligations RGPD e-commerce que tout site marchand doit respecter.
Points Clés
- Les cookies et traceurs nécessitent un consentement préalable conforme aux lignes directrices CNIL (sauf cookies strictement nécessaires).
- Les formulaires de commande ne doivent collecter que les données strictement nécessaires à l’exécution de la commande (Art. 5(1)© RGPD).
- Les données de carte bancaire ne doivent pas être conservées après la transaction sauf consentement explicite du client.
- Chaque sous-traitant (Stripe, Shopify, transporteur) doit faire l’objet d’un DPA conforme à l’Art. 28 RGPD.
Cookies et traceurs sur un site e-commerce
La gestion des cookies est la première obligation visible pour un site marchand. Les lignes directrices CNIL de 2020 et la recommandation de 2023 imposent un cadre strict.
Cookies nécessitant un consentement. Tous les cookies non strictement nécessaires au fonctionnement du site requièrent le consentement préalable de l’utilisateur : analytics (Google Analytics, Matomo en mode complet), publicité (Meta Pixel, Google Ads), retargeting, A/B testing avec identification. Le consentement doit être recueilli via une bannière conforme avant le dépôt du cookie.
Cookies exemptés de consentement. Seuls les cookies strictement nécessaires au fonctionnement du service demandé par l’utilisateur sont exemptés : panier d’achat, authentification, préférences de langue, cookies de sécurité (CSRF). Un cookie de mesure d’audience peut être exempté s’il respecte les conditions strictes définies par la CNIL (données non croisées, durée limitée, information de l’utilisateur).
Durée de vie. La CNIL recommande une durée maximale de 13 mois pour les cookies, et le consentement doit être re-sollicité à intervalles réguliers. La preuve du consentement doit être conservée.
La CNIL a prononcé des sanctions majeures pour non-conformité des cookies : 150 millions d’euros contre Google (Délibération n° SAN-2021-023, 31 décembre 2021) et 35 millions d’euros contre Amazon (Délibération n° SAN-2020-012, 7 décembre 2020) pour dépôt de cookies sans consentement préalable.
Formulaires de commande et minimisation des données
L’Art. 5(1)© RGPD impose le principe de minimisation : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être collectées.
Pour un formulaire de commande, les données strictement nécessaires sont : nom, adresse de livraison, adresse email (confirmation de commande), coordonnées de paiement. Les champs facultatifs (date de naissance, numéro de téléphone) doivent être clairement identifiés comme tels.
Mentions d’information obligatoires. Chaque formulaire de collecte doit être accompagné d’une mention d’information conforme à l’Art. 13 RGPD : identité du responsable de traitement, finalités, base légale, destinataires, durées de conservation, droits des personnes, coordonnées du DPO. En pratique, un lien vers la politique de confidentialité complète suffit, accompagné d’un résumé des points essentiels.
Comptes clients. La création d’un compte client constitue un traitement distinct de la commande. L’achat sans compte (“guest checkout”) doit être proposé. La CNIL considère que forcer la création d’un compte pour finaliser un achat constitue une collecte excessive si le compte n’est pas nécessaire à l’exécution de la commande.
Conservation des données clients
Les durées de conservation des données clients e-commerce sont encadrées par la réglementation et les recommandations CNIL.
| Type de données | Durée de conservation | Base réglementaire |
|---|---|---|
| Données de commande | 5 ans (obligation comptable) | Art. L.123-22 Code de commerce |
| Données de carte bancaire | Fin de transaction | Recommandation CNIL n° 2013-358 |
| Avec consentement CB | 13 mois (15 pour CB à débit différé) | Recommandation CNIL |
| Données de compte client | 3 ans après dernier contact actif | Référentiel CNIL |
| Données de prospection | 3 ans après dernier contact actif | Référentiel CNIL |
| Logs de connexion | 1 an | Décret n° 2011-219 (LCEN) |
Données de paiement. Les coordonnées de carte bancaire ne doivent pas être conservées après la transaction, sauf consentement explicite du client pour faciliter les achats ultérieurs. Même dans ce cas, le numéro de carte doit être tronqué en base de données et la conservation est limitée à 13 mois. La CNIL a sanctionné plusieurs e-commerçants pour conservation illicite de données bancaires.
La durée de conservation des données doit être documentée dans le registre des traitements et communiquée aux clients dans la politique de confidentialité.
Sous-traitants e-commerce et DPA
Un site e-commerce s’appuie sur de nombreux sous-traitants au sens de l’Art. 28 RGPD : plateforme (Shopify, WooCommerce, PrestaShop), paiement (Stripe, PayPal, Adyen), hébergement (AWS, OVH, Scaleway), emailing (Mailchimp, Brevo), analytics (Google, Matomo), transporteurs.
Obligations du responsable de traitement. Chaque sous-traitant doit faire l’objet d’un contrat de traitement de données (DPA) conforme aux exigences de l’Art. 28(3) RGPD. Ce contrat doit préciser : l’objet et la durée du traitement, les catégories de données, les obligations de sécurité, les conditions de sous-traitance ultérieure et les modalités d’audit.
Transferts hors UE. Vérifiez la localisation des données pour chaque sous-traitant. Stripe, Shopify et AWS transfèrent potentiellement des données vers les États-Unis. Le Data Privacy Framework EU-US offre un mécanisme de transfert pour les entreprises certifiées, mais des clauses contractuelles types (Art. 46(2)© RGPD) restent nécessaires comme garantie complémentaire pour les sous-traitants non certifiés.
Responsabilité. En cas de violation de données chez un sous-traitant, le responsable de traitement reste le premier interlocuteur de la CNIL et des personnes concernées. La notification de violation doit intervenir dans les 72 heures (Art. 33 RGPD).
Droits des clients et gestion des demandes
Les clients d’un site e-commerce disposent de l’ensemble des droits prévus par le RGPD.
Droit d’accès (Art. 15). Le client peut demander l’accès à toutes les données le concernant : historique d’achats, données de compte, logs de connexion, données de profilage. Le délai de réponse est d’un mois maximum.
Droit à l’effacement (Art. 17). Le client peut demander la suppression de son compte et de ses données. L’e-commerçant peut toutefois conserver les données nécessaires au respect d’obligations légales (factures pendant 10 ans au titre de l’Art. L.123-22 du Code de commerce).
Droit à la portabilité (Art. 20). Le client peut demander la restitution de ses données dans un format structuré et lisible par machine. Ce droit s’applique aux données fournies par le client sur la base du consentement ou de l’exécution du contrat.
Un formulaire de contact dédié aux demandes d’exercice de droits facilite le traitement et la traçabilité des requêtes. La CNIL vérifie systématiquement la capacité des e-commerçants à répondre aux demandes lors de ses contrôles.
Prospection post-achat
L’exception du “soft opt-in” (Art. L.34-5 CPCE) permet d’envoyer des emails commerciaux à un client existant pour des produits ou services analogues à ceux déjà achetés, sans consentement préalable. Mais trois conditions cumulatives s’appliquent :
- Le client a été informé de l’utilisation de son adresse à cette fin au moment de la collecte.
- Un droit d’opposition simple et gratuit est proposé à chaque envoi.
- La prospection concerne des produits ou services analogues fournis par la même entreprise.
Au-delà de cette exception, toute prospection B2C nécessite un consentement opt-in conforme. La gestion du consentement marketing est un enjeu central pour les e-commerçants.
FAQ
Un site e-commerce doit-il désigner un DPO ?
La désignation d’un DPO est obligatoire si le site effectue un suivi régulier et systématique des personnes à grande échelle (Art. 37(1)(b) RGPD). Un e-commerçant qui utilise du profilage comportemental, du retargeting ou du scoring client à grande échelle entre dans cette catégorie. Pour les petits e-commerçants sans profilage, le DPO n’est pas obligatoire mais un référent conformité est recommandé.
Peut-on conserver les données de carte bancaire pour faciliter les achats futurs ?
Oui, mais uniquement avec le consentement explicite du client (case à cocher dédiée). Le numéro de carte doit être tronqué, la conservation est limitée à 13 mois (15 mois pour les cartes à débit différé) et le client doit pouvoir retirer son consentement à tout moment. Le cryptogramme visuel (CVV) ne doit jamais être conservé.
Quelles obligations pour un marketplace vis-à-vis des vendeurs tiers ?
Le marketplace est généralement responsable conjoint (Art. 26 RGPD) avec les vendeurs tiers pour les traitements liés à la plateforme (compte client, transaction, livraison). Un accord de responsabilité conjointe doit définir les rôles respectifs, notamment pour la gestion des demandes d’exercice de droits et la notification des violations de données.
Le RGPD s’applique-t-il aux sites e-commerce hors UE qui vendent en France ?
Oui. L’Art. 3(2) RGPD s’applique dès lors que le site cible des personnes situées dans l’UE (site en français, prix en euros, livraison en France). Le site doit désigner un représentant dans l’UE (Art. 27 RGPD) et respecter l’ensemble des obligations du règlement.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope