Le e-commerce est l’un des secteurs les plus concernes par le RGPD. Les boutiques en ligne collectent massivement des donnees personnelles : comptes clients, historiques d’achat, donnees de paiement, adresses de livraison, cookies de suivi, avis clients. La conformite RGPD n’est pas seulement une obligation legale, c’est aussi un levier de confiance qui impacte directement le taux de conversion et la fidelisation des clients.
Les donnees collectees par les sites e-commerce
Donnees de compte client
La creation d’un compte client implique la collecte d’informations personnelles : nom, prenom, adresse email, mot de passe, adresse postale, telephone. Ces donnees sont necessaires a l’execution du contrat de vente et doivent etre protegees par des mesures de securite adequates (chiffrement des mots de passe, connexion HTTPS).
Donnees de commande et de paiement
Chaque commande genere des donnees supplementaires : produits achetes, montant, mode de paiement, adresse de livraison et de facturation. Les donnees bancaires sont generalement traitees par un prestataire de paiement (Stripe, PayPal, Adyen) et ne doivent pas etre stockees directement par le commercant, sauf s’il est certifie PCI DSS.
Donnees de navigation et cookies
Les sites e-commerce utilisent de nombreux traceurs : cookies analytiques (Google Analytics), cookies publicitaires (retargeting, affiliation), cookies de personnalisation (recommandations de produits). Le consentement prealable de l’utilisateur est obligatoire pour les cookies non essentiels, via un bandeau de consentement conforme aux recommandations de la CNIL.
Bandeau cookies et consentement
La gestion des cookies est un enjeu majeur pour les sites e-commerce. Le bandeau de consentement doit permettre a l’utilisateur d’accepter ou de refuser chaque categorie de cookies de maniere granulaire. Le refus doit etre aussi simple que l’acceptation (pas de dark patterns). Les cookies essentiels au fonctionnement du site (panier, connexion) ne necessitent pas de consentement.
Les solutions de gestion du consentement (CMP) comme Axeptio, Didomi ou Cookiebot permettent d’automatiser cette gestion et de conserver la preuve du consentement, comme l’exige la CNIL.
Emails marketing et prospection commerciale
L’emailing est un levier essentiel du e-commerce. Le RGPD et la directive ePrivacy encadrent ces pratiques : le consentement prealable (opt-in) est obligatoire pour la prospection par email aupres des particuliers. Une exception existe pour les clients existants, que le commercant peut solliciter pour des produits similaires a ceux deja achetes, sous reserve de leur avoir donne la possibilite de s’y opposer au moment de la collecte.
Chaque email commercial doit contenir un lien de desinscription fonctionnel et la demande de desinscription doit etre traitee sans delai.
Avis clients et donnees personnelles
Les avis clients sont des donnees personnelles lorsqu’ils sont associes a un nom ou un pseudonyme identifiable. Le client doit etre informe de la publication de son avis et de ses droits (modification, suppression). Les plateformes d’avis certifies (Avis Verifies, Trustpilot) sont des sous-traitants dont les pratiques doivent etre conformes au RGPD.
Sous-traitants et ecosysteme e-commerce
Un site e-commerce fait appel a de nombreux prestataires qui traitent des donnees personnelles : hebergeur, plateforme e-commerce (Shopify, WooCommerce, PrestaShop), prestataire de paiement, transporteur, outil d’emailing, solution de chat en ligne, outil d’analyse web. Chacun de ces prestataires est un sous-traitant au sens du RGPD.
Le commercant doit cartographier l’ensemble de ses sous-traitants, verifier leurs garanties de conformite et s’assurer que des clauses de protection des donnees sont integrees dans les contrats. Une attention particuliere doit etre portee aux transferts de donnees hors de l’Union europeenne.
Droits des clients et gestion des demandes
Les clients d’un site e-commerce peuvent exercer leurs droits RGPD : acces a leurs donnees, rectification, suppression du compte, portabilite des donnees, opposition au profilage commercial. Le site doit proposer des mecanismes simples pour exercer ces droits : formulaire de contact dedie, espace client avec options de gestion des donnees, ou adresse email du DPO.
Le droit a l’effacement est limite par les obligations legales de conservation : les factures doivent etre conservees 10 ans, les donnees de transaction 5 ans pour la garantie legale. Le commercant peut donc supprimer le compte client tout en archivant les donnees necessaires au respect de ses obligations.
Politique de confidentialite et mentions legales
Tout site e-commerce doit disposer d’une politique de confidentialite complete et accessible, detaillant les traitements de donnees, les cookies utilises, les sous-traitants, les transferts de donnees et les droits des personnes. Cette politique doit etre redigee dans un langage clair et comprehensible, et non dans un jargon technique ou legal.
