Vous tenez une boutique en ligne ? Vous traitez bien plus de données personnelles que vous ne le pensez. Voici les 6 à 10 traitements à inscrire dans votre registre RGPD, avec les sous-traitants types et les pièges spécifiques à l'e-commerce.
Les 7 traitements types d'une boutique en ligne
1. Comptes clients
| Finalité | Gestion des commandes, livraisons, SAV, historique |
| Personnes | Clients particuliers, professionnels |
| Données | Identité, adresses, email, téléphone, historique achats |
| Base légale | Contrat (Art. 6.1.b) |
| Sous-traitants | Shopify/WooCommerce, Stripe, transporteur, ERP |
| Hors UE | Oui (Shopify CA, Stripe US) — CCT EU 2021/914 |
| Durée active | Durée du compte + 3 ans d'inactivité |
| Archivage | 10 ans (factures, Code de commerce) |
2. Cookies publicitaires et analytics
| Finalité | Mesure d'audience, retargeting, personnalisation |
| Données | Identifiants cookies, comportement de navigation, IP |
| Base légale | Consentement (Art. 82 LIL) |
| Sous-traitants | Google Analytics, Meta Pixel, TikTok Pixel, Klaviyo, Pinterest Tag |
| Durée active | 13 mois maximum (CNIL) |
| Sécurité | CMP conforme CNIL (Didomi, Axeptio…), refus aussi facile qu'accepter |
⚠️ Piège fréquent : la grande majorité des e-commerces chargent ces cookies AVANT le consentement utilisateur. C'est le motif de sanction CNIL n°1 (Google 150 M€, Meta 60 M€). Voir 5 erreurs courantes.
3. Programme de parrainage
| Finalité | Acquisition par recommandation, récompense parrains |
| Personnes | Clients parrains, prospects filleuls |
| Données | Email parrain + email filleul, code de parrainage |
| Base légale | Consentement (le parrain doit consentir à transmettre les coordonnées du filleul) |
| Sous-traitants | Mention-Me, Talon.One, emailing |
⚠️ Piège : transmettre les coordonnées d'un filleul sans son consentement explicite est sanctionnable. La CNIL a sanctionné plusieurs e-commerces sur ce point en 2024.
4. Avis clients et e-réputation
| Finalité | Collecte d'avis post-achat, modération, affichage |
| Données | Email, pseudo, contenu avis, note |
| Base légale | Intérêt légitime ou Consentement selon contexte |
| Sous-traitants | Trustpilot, Avis Vérifiés, Trusted Shops, Judge.me, Loox |
| Durée active | 3 ans après publication |
5. Newsletter
| Finalité | Communications commerciales, codes promo, nouveautés |
| Données | Email, prénom, préférences |
| Base légale | Consentement (Art. 6.1.a) — double opt-in recommandé |
| Sous-traitants | Brevo, Mailchimp, Klaviyo, Sendgrid, Resend |
| Durée active | 3 ans dernier clic ou désinscription |
⚠️ Piège fréquent : proposer « -10 % sur la 1ère commande contre inscription newsletter » peut vicier le consentement (Art. 7 RGPD). La CNIL admet la pratique si l'utilisateur peut acheter sans inscrire son email à la newsletter (case décochée par défaut).
6. Service client (tickets, chat, support)
| Finalité | Support technique, SAV, réclamations |
| Données | Identité, email, contenu des échanges, historique commandes |
| Base légale | Contrat (Art. 6.1.b) ou intérêt légitime |
| Sous-traitants | Intercom, Crisp, Zendesk, Gorgias (e-commerce spé) |
| Durée active | Durée du SAV + 3 ans |
7. Logs serveur et sécurité
| Finalité | Sécurité du système, détection d'intrusion, lutte anti-fraude |
| Données | Adresse IP, user-agent, horodatage, pages visitées |
| Base légale | Intérêt légitime (Art. 6.1.f) |
| Sous-traitants | Cloudflare, AWS, Datadog, Sentry |
| Durée active | 6 à 12 mois |
Spécificités Shopify
Si vous êtes sur Shopify, plusieurs traitements supplémentaires apparaissent par défaut :
- Shopify Trekkie / Web Pixels Manager : analytics natifs Shopify
- Shopify Inbox : chat intégré
- Shop Pay : portefeuille de paiement (consentement nécessaire pour la mémorisation)
- Apps installées : chaque app du Shopify App Store est un sous-traitant qui doit figurer dans votre registre
⚠️ Vérifiez la liste de vos apps actives, et pour chacune : DPA signé + ligne dans votre registre.
Spécificités WooCommerce
WordPress + WooCommerce ajoute typiquement :
- Plugins de cache (WP Rocket, Perfmatters) qui peuvent gérer des cookies
- Plugins emailing (Mailpoet, FluentSMTP) qui stockent les logs envois
- Yoast SEO / RankMath qui peuvent générer des données analytics
- Akismet pour la modération anti-spam (transfert US, à mentionner)
Automatisez votre registre avec un audit RGPD
Notre audit RGPD à 490 € scanne votre boutique Shopify / WooCommerce et identifie automatiquement vos traitements (apps installées, cookies, sous-traitants, transferts hors UE). Le rapport livré contient un registre des traitements pré-rempli, conforme à l'article 30. Voir un exemple de rapport.
Aller au-delà du registre
Le registre est une obligation. La conformité RGPD complète d'un e-commerce demande aussi : politique de confidentialité publiée, mentions légales LCEN, page cookies avec CMP conforme, contrats Art. 28 signés avec Shopify/Stripe/etc., procédure violation 72 h.
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.