RGPD et e-commerce : les points de conformité d'une boutique en ligne
Un site e-commerce concentre plus de données personnelles qu'un simple site vitrine : comptes clients, adresses, historiques d'achat, paiements, e-mailing, publicité. Autant de traitements qui multiplient les points de conformité. Voici ceux à sécuriser en priorité.
Comptes clients et minimisation
La création de compte doit se limiter aux données nécessaires à la commande et à la livraison. Multiplier les champs obligatoires « pour mieux connaître le client » va à l'encontre du principe de minimisation. Proposer une commande en tant qu'invité, sans création de compte imposée, est une bonne pratique.
Paiement et sécurité
Les données de paiement sont particulièrement sensibles. En pratique, elles doivent transiter par un prestataire de paiement conforme (standard PCI-DSS) plutôt que d'être stockées par la boutique. Le site doit être en HTTPS de bout en bout, et l'obligation de sécurité de l'article 32 s'applique pleinement.
Prospection et newsletters
L'envoi de newsletters et d'offres suppose en principe le consentement du destinataire. Une exception encadre le « client existant » : vous pouvez le solliciter pour des produits analogues, à condition qu'il ait pu s'y opposer facilement au moment de la collecte et dans chaque message. Les cases pré-cochées d'inscription à la newsletter ne sont pas valables.
Les documents et durées à ne pas oublier
- Une politique de confidentialité reflétant les traitements réels (compte, paiement, marketing, cookies).
- Des mentions légales complètes et des CGV.
- L'information sur chaque formulaire (finalité + lien vers la politique).
- Des durées de conservation définies (compte inactif, prospects, historiques).
- Des contrats de sous-traitance avec l'hébergeur, le prestataire de paiement, l'outil d'e-mailing.
- Minimisez les données de compte et proposez la commande sans inscription imposée.
- Déléguez le paiement à un prestataire conforme ; HTTPS et sécurité sont incontournables.
- La prospection suppose le consentement, sauf exception « client existant » encadrée.
- Les traceurs publicitaires et de reciblage exigent un consentement préalable — point faible fréquent.
Questions fréquentes
Sur le même sujet
Sources & références officielles
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.