E-commerce

Support client pour demandes RGPD : accès, suppression et export des données

Support client pour demandes RGPD : accès, suppression et export des données

1 juillet 2026

« Supprimez toutes mes données immédiatement. » « Je veux une copie de tout ce que vous détenez sur moi. » « J'ai demandé l'effacement, mon compte existe encore. » Trois tickets que le SAV traite souvent comme un simple désabonnement ou une demande compte client, avec risque légal et relationnel.

Le support demandes RGPD e-commerce exige un process opérationnel distinct : accès (DSAR), effacement, rectification, portabilité, limitation et opposition. Délai légal : un mois, extensible deux mois si complexe. Chaque demande doit être identifiée, vérifiée, traitée dans tous les systèmes et documentée.

Ce guide #383 couvre le framework DSAR-FLOW, typologie tickets, discovery multi-outils et KPI dsar_fcr. Il se distingue du RGPD chatbot (#142 area) (conformité bot, DPA, bases légales) et du désabonnement (#381) : ici, traitement ops SAV des droits des personnes accès, suppression et export.

Summary

Pourquoi le SAV doit-il traiter les demandes RGPD différemment des tickets classiques ?

Une demande RGPD client e-commerce n'est pas un ticket WISMO ni un désabonnement newsletter. C'est l'exercice d'un droit légal avec délai, preuve et périmètre multi-systèmes.

Cinq risques sans process DSAR

  • Délai dépassé : réponse au-delà d'un mois sans extension justifiée

  • Effacement partiel : Shopify supprimé, Klaviyo ou Gorgias oubliés

  • Confusion droits : unsub marketing traité comme effacement total

  • Sur-collecte identité : scan passeport systématique (sanctionné CNIL)

  • Plainte CNIL : client insatisfait escalade au régulateur

L'EDPB rappelle en 2025 que le droit d'accès doit recevoir les données réelles, pas un résumé, et que la réponse intervient au plus tard sous un mois, extensible deux mois si complexe avec information du demandeur (EDPB, guidelines droit d'accès 2025).

Angle #383 vs contenus voisins

Exemple DTC

Marque mode Shopify + Klaviyo + Gorgias, 18 demandes RGPD/trimestre avant DSAR-FLOW. Délai moyen traitement 24 jours, 2 effacements partiels audités. Après process : délai 11 jours, dsar_fcr 82 %, zero plainte CNIL post-déploiement.

Qui est concerné

Toute boutique vendant en UE/EEE, même société hors UE. Le support L1 est souvent le premier point de contact : il doit router, pas improviser l'effacement.

Quels droits RGPD les clients exercent-ils via le support ?

Cartographier les droits RGPD e-commerce évite de traiter une demande d'accès comme une suppression.

Sept droits et délais (Art. 15-22)

  • Accès (Art. 15) : copie données + info traitement. Délai 1 mois.

  • Rectification (Art. 16) : corriger données inexactes. Sans retard injustifié.

  • Effacement (Art. 17) : droit à l'oubli si conditions remplies. 1 mois.

  • Limitation (Art. 18) : gel traitement, conservation données. 1 mois.

  • Portabilité (Art. 20) : export structuré JSON/CSV si base consentement ou contrat.

  • Opposition (Art. 21) : stop traitement intérêt légitime (ex. prospection). 1 mois.

  • Retrait consentement (Art. 7.3) : lié préférences marketing (#381/#382), pas effacement.

La CNIL rappelle que le contrôleur doit faciliter l'exercice des droits et informer clairement sur les délais et éventuelles restrictions (CNIL, droits des personnes).

Matrice ticket type → droit

« Envoyez-moi toutes mes données » → dsar_access. « Effacez mon compte et mes commandes » → dsar_erasure (vérifier dérogations). « Corrigez mon adresse dans votre base » → dsar_rectification. « Export JSON pour changer de plateforme » → dsar_portability.

Distinction unsub vs effacement

« Arrêtez les emails promo » = #381 ou #382. « Supprimez toutes traces de moi » = #383 dsar_erasure. Macro GDPR-CLARIFY-01 si formulation ambiguë.

Portabilité e-commerce

Export typique : profil client Shopify, historique commandes, adresses, consentements marketing, tickets Gorgias anonymisés tiers. Format CSV ou JSON lisible machine.

Quels tickets gdpr_* cartographier avant le process ?

Douze typologies tickets RGPD support couvrent 95 % des demandes DTC.

Douze typologies gdpr_ticket

  1. dsar_access_full : copie complète données personnelles

  2. dsar_erasure_account : suppression compte + données associées

  3. dsar_erasure_guest : effacement sans compte Shopify (email seul)

  4. dsar_rectification : corriger nom, adresse, email

  5. dsar_portability : export structuré machine-readable

  6. dsar_restriction : gel marketing/analytics en litige

  7. dsar_objection_marketing : opposition prospection (proche #381)

  8. gdpr_confusion_unsub : confond désabonnement et effacement

  9. gdpr_third_party_request : conjoint, avocat, mandataire

  10. gdpr_still_data_post_erasure : relance J+30 données restantes

  11. gdpr_chatbot_logs : accès/effacement conversations bot

  12. gdpr_urgent_litigation : menace action + demande accès pré-procédure

Tags helpdesk

gdpr_dsar, gdpr_erasure, gdpr_access, gdpr_portability, gdpr_rectification, gdpr_handoff_dpo, gdpr_extension_2m, gdpr_refused_derogation. Priorité haute sur gdpr_urgent et gdpr_still_data.

Canaux d'entrée

  • Email privacy@ ou dpo@ (canal dédié recommandé CNIL)

  • Formulaire web /privacy-request

  • Chat support (routage bot → #384 futur)

  • Courrier postal (rare DTC, SLA identique)

Mining tickets 12 mois

Export mots-clés : RGPD, GDPR, données personnelles, effacement, oubli, accès, CNIL, delete my data. Quantifier volume trimestriel pour dimensionner ressource DPO/support privacy.

SLA première réponse

Accusé réception sous 48 h ouvrées avec numéro dossier DSAR-XXXX et délai estimé. Pas de traitement effacement avant vérif identité DF-3.

Comment appliquer le framework DSAR-FLOW en neuf étapes ?

Le framework DSAR-FLOW structure toute demande RGPD support en neuf étapes reproductibles et auditables.

Neuf étapes DSAR-FLOW

  1. DF-1 Intake : enregistrer date réception, canal, texte demande, email contact

  2. DF-2 Classifier droit : accès, effacement, rectification, portabilité, autre

  3. DF-3 Vérifier identité : calibrée au risque, pas sur-collecte

  4. DF-4 Discovery : recherche multi-systèmes (section 6)

  5. DF-5 Analyser dérogations : obligations légales conservation (section 7)

  6. DF-6 Exécuter : export, rectification, effacement partiel/total

  7. DF-7 Documenter : log systèmes touchés, date, agent, périmètre

  8. DF-8 Répondre client : confirmation + pièces ou refus motivé sous 1 mois

  9. DF-9 Clore dossier : tag résolu, rétention log 3 ans audit interne

DF-2 decision tree

Formulation mixte « supprimez et envoyez copie avant » → traiter accès d'abord (DF-6 export), puis effacement après confirmation client ou délai 7 j offert.

Extension 2 mois (Art. 12.3)

Si discovery complexe (10+ systèmes, B2B wholesale, multi-pays) : informer client sous 1 mois avec motifs et nouvelle échéance. Tag gdpr_extension_2m. Documenter dans registre traitements.

Accusé réception type

« Nous avons bien reçu votre demande [accès/effacement] le [date]. Référence DSAR-[ID]. Réponse sous 30 jours. Si vérification identité requise, voici la procédure. »

Horodatage légal

Le délai d'un mois démarre à la réception, pas à la fin vérif identité raisonnable (ECOSIRE, DSAR e-commerce). Paralléliser vérif identité et discovery préliminaire.

Escalade DPO

dsar_erasure avec commande litige, gdpr_urgent_litigation, refus dérogation contesté : handoff gdpr_handoff_dpo avant DF-6.

Quelles macros GDPR-* pour les agents support ?

Les macros agents GDPR-* standardisent communication sans promesse juridique hors périmètre agent.

Dix macros GDPR

  • GDPR-ACK-01 : accusé réception + référence DSAR + délai 30 j

  • GDPR-ID-01 : demande vérif identité proportionnée (section 5 bis)

  • GDPR-ACCESS-01 : envoi export sécurisé lien expirant 7 j

  • GDPR-ERASE-01 : confirmation effacement + périmètre conservé légal

  • GDPR-ERASE-PARTIAL-01 : refus partiel motivé (compta, litige)

  • GDPR-CLARIFY-01 : distinguer unsub (#381) vs effacement

  • GDPR-EXTEND-01 : notification extension 2 mois + motifs

  • GDPR-PORT-01 : livraison export JSON/CSV portabilité

  • GDPR-RECT-01 : confirmation rectification effectuée

  • GDPR-HANDOFF-01 : transfert DPO sous 24 h

Ton et limites agent L1

Agents L1 : intake, vérif identité basique, discovery checklist, macros ACK et CLARIFY. Pas de refus dérogation Art. 17 sans validation DPO. Pas de conseil juridique client.

Formation agents 90 min

Parcours : classifier droit, exécuter GDPR-CLARIFY, remplir discovery checklist, ne jamais delete customer Shopify sans DF-5. Quiz 10 questions fin formation.

Documentation ticket obligatoire

Champs : dsar_id, right_type, identity_verified_date, systems_searched[], systems_modified[], derogation_applied, response_date, agent_id.

Livraison export sécurisée

ZIP chiffré mot de passe séparé par SMS ou lien expirant 7 j. Jamais pièce jointe données complètes en clair sur ticket non chiffré.

Comment vérifier l'identité sans sur-collecter ?

La vérification identité DSAR doit être proportionnée au risque. Sur-collecte systématique = pratique sanctionnée.

Trois niveaux de vérif

  • Niveau 1 (faible risque) : accès depuis email compte + numéro commande récente

  • Niveau 2 (standard) : OTP email + confirmation 2 champs profil (nom, CP livraison)

  • Niveau 3 (élevé) : effacement total + historique commandes : OTP + pièce ID si doute raisonnable

La CNIL a sanctionné des opérateurs exigeant systématiquement un scan passeport pour toute DSAR, considéré disproportionné (Zunapro, RGPD e-commerce France 2026).

Cas guest checkout

Pas de compte Shopify : vérif via email + numéro commande + montant/date. Voir support guest checkout. Si insuffisant : Niveau 2 OTP email.

Tiers mandataire

Avocat ou conjoint : procuration écrite ou email depuis adresse compte titulaire confirmant mandat. Sinon refus poli avec explication Art. 12.

Refus identité non prouvée

Macro GDPR-ID-01 relance une fois. Sans réponse 14 j : suspendre dossier, informer client. Ne pas traiter effacement sans vérif sur demande à haut risque.

Parallélisation

Pendant attente vérif Niveau 3, lancer discovery préliminaire (lecture seule) pour tenir délai 1 mois.

Où chercher les données : discovery Shopify, Klaviyo et helpdesk ?

La discovery DSAR e-commerce parcourt chaque système contenant des données personnelles du demandeur.

Checklist discovery (14 systèmes types DTC)

  1. Shopify Customer : profil, adresses, commandes, metafields

  2. Shopify Orders : lignes, paiement tokenisé, notes

  3. Klaviyo Profile : email, segments, events, suppress status

  4. ESP alternatif : Shopify Email, Brevo si migration

  5. SMS provider : Attentive, Postscript subscriber

  6. Helpdesk Gorgias/Zendesk : tickets, chats, attachments

  7. Chatbot Qstomy/autre : logs conversation, session ID

  8. WhatsApp BSP : wa_id, historique si support WhatsApp

  9. Reviews Judge.me/Yotpo : avis liés email

  10. Loyalty Smile/LoyaltyLion : points, historique

  11. Analytics GA4 : User-ID si activé (limité, souvent agrégé)

  12. Payment Stripe/PayPal : données côté PSP (orienter demande séparée si besoin)

  13. ERP/3PL : expéditions, si données perso répliquées

  14. Backups CSV manuels : exports équipe marketing (souvent oubliés)

Export accès Art. 15

Compiler : données brutes + finalités + catégories + destinataires + durées conservation + source. Redacter données tiers (nom livreur colis voisin si visible).

Effacement Art. 17 par système

Shopify : anonymize customer ou delete selon policy. Klaviyo : delete profile. Gorgias : anonymize ticket requester. Chatbot : purge session logs API vendor.

Registre Article 30

Votre registre traitements liste déjà ces systèmes. Discovery = appliquer le registre à un email. Mettre à jour registre si système oublié trouvé.

Sous-traitants

Notifier vendors si effacement requis chez eux (DPA clause assistance Art. 28). Délai vendor inclus dans planning DSAR 30 j.

Template discovery Notion

Tableau : système | contact admin | search method | data found Y/N | action access/erase | date | agent.

Quand refuser ou limiter un effacement : dérogations Art. 17 ?

Le droit à l'effacement n'est pas absolu. Le SAV doit appliquer DF-5 avant tout delete Shopify.

Cinq dérogations fréquentes e-commerce

  • Obligation légale compta : factures 6 à 10 ans selon pays

  • Litige en cours : chargeback, retour contesté, garantie ouverte

  • Exercice droit légal : réclamation consommateur en cours

  • Intérêt public/archivage : rare DTC, sauf secteur régulé

  • Données anonymisées agrégées : hors scope si vraiment anonymes

Effacement partiel type

Supprimer : profil marketing, logs chat, avis optionnels. Conserver : commande anonymisée (nom → « Client effacé », email hash), facture légale. Macro GDPR-ERASE-PARTIAL-01 explique périmètre au client.

Commande récente sans litige

Effacement profil OK, conservation commande minimale anonymisée pour compta. Documenter dans DF-7.

Distinction compte vs données

Client veut « fermer compte » sans effacement RGPD : process compte standard (#guest). Effacement RGPD = périmètre plus large discovery.

Refus motivé

Art. 12.4 : informer refus, droit plainte CNIL, possibilité recours judiciaire. Validation DPO obligatoire avant envoi GDPR-ERASE-PARTIAL-01.

Post-effacement still_data

Ticket gdpr_still_data_post_erasure : re-discovery système oublié, excuse + complément sous 72 h.

Quels SLA et KPI dsar mesurer chaque trimestre ?

Les KPI demandes RGPD support prouvent discipline ops et préparent audit CNIL.

Huit métriques clés

  • dsar_volume_quarterly : nombre demandes par droit

  • dsar_median_days : jours réception → réponse (cible < 21)

  • dsar_sla_30d_rate : % réponses sous 30 j (cible 100 %)

  • dsar_fcr : résolu sans relance client / total

  • dsar_partial_erasure_rate : effacements partiels / total erasure

  • dsar_identity_reject_rate : dossiers suspendus identité

  • dsar_still_data_rate : relances post-effacement

  • gdpr_confusion_unsub_rate : reroutés vers #381 (qualité intake)

SLA internes recommandés

  • Accusé réception : 48 h ouvrées (GDPR-ACK-01)

  • Vérif identité relance : J+7 si silence

  • Discovery complète : J+14 max

  • Réponse finale : J+28 max (marge avant 30 j légal)

  • Handoff DPO : sous 24 h si gdpr_urgent

Rituel trimestriel privacy + support (60 min)

Revue volume, délais, still_data incidents, mise à jour discovery checklist, 1 simulation DSAR test. Partager dashboard avec direction.

Benchmark PME DTC

5 à 25 DSAR/trimestre selon taille. dsar_median_days 10-15 post-process. Zero plainte CNIL liée délai si SLA respecté.

Corrélation formation

Spike gdpr_confusion_unsub après embauche agents : replanifier formation 90 min DSAR-FLOW.

Quels edge cases et anti-patterns éviter ?

Huit edge cases RGPD support et anti-patterns à documenter dans le playbook équipe.

1. Confusion unsub vs effacement

Client dit « delete my data » après promo email. GDPR-CLARIFY-01 avant action. Si unsub suffit → router #381. Si effacement confirmé → DSAR-FLOW complet.

2. Demande via chatbot public

Ne jamais exécuter effacement dans le widget sans process DF-3. Bot accueille, crée ticket DSAR, oriente email privacy@. Futur #384 automatise triage.

3. Multi-comptes même personne

2 emails, 1 client : discovery sur les deux profils. Fusion ou effacement double documenté.

4. Données chatbot + LLM vendor

Effacement logs bot + demande suppression chez sous-traitant IA (DPA). CNIL 2025 : droits sur données entraînement IA si applicable, délais peuvent différer.

5. Client actif abonnement récurrent

Effacement = annuler abo d'abord. Lien save abonnement (#373) ne s'applique pas si demande RGPD confirmée.

6. Wholesale B2B contact

Données pro + perso : périmètre contract B2B peut limiter effacement compte revendeur actif.

7. Demande manifestement infondée

Art. 12.5 : refus ou fee raisonnable si demandes répétitives abusives. DPO valide. Rare en DTC.

8. Fuite export DSAR

Lien export non expiré envoyé mauvais email = incident breach. Procédure incident 72 h CNIL si risque.

Anti-patterns SAV

  • Delete Shopify customer sans discovery Klaviyo/Gorgias

  • Promettre effacement 24 h systématique

  • Scan passeport pour accès simple

  • Ignorer logs chatbot dans effacement

  • Agent L1 refuse dérogation sans DPO

Comment Qstomy accueille les demandes RGPD sans les exécuter seul ?

Qstomy accueille les demandes RGPD via chat : intake structuré, clarification droits, ticket DSAR pré-rempli. Il n'exécute pas l'effacement seul (validation humaine/DPO requise).

Capacités intake RGPD Qstomy

  • gdpr_detect_intent : accès, effacement, rectification, portabilité

  • gdpr_clarify_unsub : distinguer #381 unsub vs Art. 17

  • gdpr_collect_dsar_fields : email, droit demandé, précisions

  • gdpr_create_ticket : DSAR-ID, tag gdpr_dsar, handoff privacy@

  • gdpr_ack_sla : message délai 30 j + référence dossier

  • gdpr_no_auto_delete : jamais suppression sans workflow DF-3 à DF-7

Complète conformité bot (#142) et prépare le futur #384 bot triage RGPD automation avancée.

Scénario DTC chiffré

Marque skincare, 22 demandes RGPD/trimestre via chat + email, 40 % arrivaient en chat non structuré.

Après intake Qstomy + DSAR-FLOW #383 : gdpr_clarify_unsub 31 % reroutés #381 (gain temps), dsar_ticket_complete_rate 94 %, dsar_median_days 12 (vs 22), zero effacement partiel audit.

Explorez support client IA, Shopify et demander une démo.

Logs chat dans discovery

DSAR effacement inclut purge sessions Qstomy via API. Documenté DPA et registre traitements.

Quelle checklist pour déployer DSAR-FLOW cette semaine ?

Checklist DSAR-FLOW (12 étapes)

  1. Créer email privacy@ ou dpo@ + formulaire /privacy-request

  2. Documenter DSAR-FLOW DF-1 à DF-9 dans Notion

  3. Rédiger 10 macros GDPR-* + former agents 90 min

  4. Construire checklist discovery 14 systèmes section 7

  5. Définir 3 niveaux vérif identité proportionnée

  6. Documenter dérogations Art. 17 avec DPO

  7. Template export accès ZIP chiffré + lien expirant

  8. SLA internes J+2 ack, J+28 réponse max

  9. Dashboard KPI dsar trimestriel

  10. Simulation DSAR test trimestrielle

  11. Mettre à jour politique confidentialité (voie exercice droits)

  12. Aligner bot chat : intake only, pas auto-delete

En bref

  • #383 = ops SAV droits RGPD, pas conformité bot (#142)

  • DSAR-FLOW : 9 étapes intake → clôture

  • Délai légal 30 j : paralléliser vérif et discovery

  • Discovery multi-systèmes : Shopify, Klaviyo, Gorgias, bot

  • Effacement ≠ unsub : GDPR-CLARIFY-01 systématique

FAQ

Différence avec glossaire RGPD ?
Glossaire = cadre légal. #383 = workflow agents accès, suppression, export opérationnels.

Le support peut-il effacer seul ?
L1 exécute après DF-5 si playbook clair. Refus dérogation et cas litige : validation DPO.

Client demande effacement mais commande en litige ?
GDPR-ERASE-PARTIAL-01 : profil marketing + logs effacés, commande conservée anonymisée jusqu'à clôture litige.

Relation bot #384 ?
#383 = process humain DSAR-FLOW. #384 = triage et escalade IA automatisée.

Faut-il un DPO ?
Obligatoire si coeur activité = traitement massif. Sinon référent privacy interne suffit souvent PME DTC. Avis juridique recommandé.

Aller plus loin

Simulez un DSAR accès cette semaine sur profil test : chronométrez discovery 14 systèmes, identifiez le maillon oublié avant qu'un vrai client ne le découvre.

Partagez ce guide #383 avec support, DPO et direction : un DSAR-FLOW documenté transforme une obligation RGPD en process relation client maîtrisé et auditable.

Enzo

1 juillet 2026

Convert over 2,000 customers on average per month with Qstomy.

The world’s 1st Shopify AI dedicated to customer conversion

Empowering 200+ e-commerce merchants

Subscribe to the newsletter and get a personalized e-book!

No-code solution, no technical knowledge required. AI trained on your e-shop and non-intrusive.

*Unsubscribe at any time. We do not send spam.

Subscribe to the newsletter and get a personalized e-book!

No-code solution, no technical knowledge required. AI trained on your e-shop and non-intrusive.

*Unsubscribe at any time. We do not send spam.