Glossaire
Qu'est-ce que le RGPD ? Définition e-commerce
4 juin 2026
Le RGPD (Règlement général sur la protection des données, GDPR en anglais) est le cadre européen qui encadre la collecte, l'utilisation et la conservation des données personnelles des résidents de l'Union européenne. Pour un marchand e-commerce, il s'applique dès que vous traitez nom, email, adresse, historique commandes ou consentements marketing, y compris via Shopify, Klaviyo ou pixels pub. Complémentaire des règles cookies (cookie de tracking) et des CGV.
Sommaire
Définition du RGPD en e-commerce
Entré en application le 25 mai 2018, le RGPD harmonise la protection des données dans l'UE. Une donnée personnelle est toute information permettant d'identifier une personne (directement ou indirectement) : email, IP, adresse postale, numéro de commande lié à un nom.
Acteurs clés :
La notion se comprend mieux en distinguant plusieurs éléments : Responsable de traitement (data controller) : vous, le marchand, qui décide pourquoi et comment les données sont utilisées; Sous-traitant (processor) : prestataire qui traite pour votre compte (Shopify, Klaviyo, transporteur, helpdesk); Personne concernée : le client ou visiteur dont les données sont traitées.
Données e-commerce typiquement concernées :
La notion se comprend mieux en distinguant plusieurs éléments : Identité et contact (nom, email, téléphone); Adresses livraison et facturation; Historique commandes, paiements (sans stocker numéros carte complets); Consentements marketing email/SMS; Données navigation si liées à un profil (cookies, compte client); Échanges SAV, chat, tickets support.
Distinctions utiles :
La notion se comprend mieux en distinguant plusieurs éléments : RGPD vs cookie de tracking : le RGPD encadre tout traitement de données ; les cookies relèvent aussi de la directive ePrivacy / lignes CNIL sur les traceurs; RGPD vs CGV : RGPD = vie privée ; CGV = contrat commercial (vente, retours); Données personnelles vs données anonymisées : anonymisées hors RGPD si ré-identification impossible; RGPD vs PCI-DSS : PCI concerne la sécurité des paiements carte, pas le même référentiel; Base légale vs consentement : le consentement n'est qu'une des bases possibles (voir section 3).
Pourquoi le RGPD concerne toutes les boutiques en ligne
Même une petite boutique Shopify traite des données personnelles à chaque commande. Le RGPD n'est pas réservé aux grands groupes : il vise tout acteur ciblant des clients européens.
Ses effets se constatent à plusieurs niveaux : Confiance client : politique de confidentialité claire rassure avant achat; Sanctions : amendes administratives possibles en cas de manquement grave (montants plafonnés par le texte); Marketing légal : email/SMS sans base légale = spam et risque plainte; Apps tierces : chaque outil (ESP, chatbot, avis) traite des données pour vous; Export hors UE : vente internationale = vérifier transferts (États-Unis, clauses contractuelles); Base clients : gouvernance des données dans la base de données clients; Réputation : fuite ou mauvaise gestion des demandes d'effacement nuit à la marque.
La conformité RGPD est un cadre de points d’attention : minimiser les données, documenter les usages, répondre aux droits des personnes. Un avis juridique reste recommandé selon votre volume, vos marchés et vos traitements spécifiques.
Principes, bases légales et droits des clients
Principes fondamentaux RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité (accountability).
Bases légales courantes en e-commerce :
Les éléments à observer sont les suivants : Exécution du contrat : traiter une commande, livrer, facturer, SAV lié à l'achat; Consentement : newsletter, cookies marketing, SMS promo (libre, spécifique, révocable); Intérêt légitime : lutte fraude, sécurité site (analyse au cas par cas, droit d'opposition); Obligation légale : conservation comptable, factures.
Droits des clients à prévoir :
Les éléments à observer sont les suivants : Accès : copie des données détenues; Rectification : corriger une adresse erronée; Effacement (« droit à l'oubli »), sous réserves légales; Portabilité : export structuré (ex. CSV); Opposition : refuser prospection ou certains profilages; Limitation : gel temporaire du traitement en litige.
Dans la pratique, boutique FR « BioPantry », 2 000 commandes/mois. Cliente demande effacement par email SAV. Vérifications : commande en cours (non), obligation comptable factures 10 ans (conservation limitée aux champs légaux). Suppression fiche marketing Klaviyo + anonymisation partielle commande Shopify selon procédure interne. Réponse sous 30 jours avec confirmation. Consentement cookies marketing géré via CMP ; email promo uniquement si opt-in checkout coché.
RGPD et Shopify
Shopify agit en sous-traitant pour l'hébergement boutique et données clients (Shopify Help Center). Vous restez responsable des choix marketing, apps installées et politiques affichées.
Dans Shopify, cela se traduit notamment par : Politique de confidentialité : page dédiée (identité responsable, finalités, durées, droits, sous-traitants); Customer Privacy : API consentement, gestion préférences cookies; Export / suppression client : depuis fiche client admin ou demande personnalisée; Marketing consent : opt-in email enregistré sur fiche client; Apps : vérifier DPA (Data Processing Agreement) avec Klaviyo, Gorgias, etc; Checkout : case consentement marketing distincte du CGV (checkout); Chatbot / IA : conversations peuvent contenir des données personnelles ; informer l'utilisateur et limiter la conservation.
Checklist marchand :
Le déroulé peut se lire ainsi : d’abord Rédiger ou faire valider politique confidentialité + mentions légales; puis Installer CMP si cookies analytics/pub (UE); ensuite Documenter registre des traitements (modèle CNIL pour PME); après cela Procédure interne demandes RGPD (email dédié, délais 1 mois); enfin Lister sous-traitants et signer DPA si proposés; puis Former équipe SAV : ne pas demander de données inutiles par chat.
Points d’attention pour une gestion responsable des données
Les points de vigilance portent notamment sur : Minimiser la collecte : champs checkout strictement utiles; Séparer transactionnel et marketing : base légale distincte (campagnes email); Consentement cookies avant pixels non essentiels; Durées de conservation : définir combien de temps garder prospects inactifs; Sécurité : mots de passe admin forts, accès restreints, 2FA Shopify; Transparence : expliquer pourquoi vous collectez l'email pop-up; Journaliser les consentements : preuve opt-in marketing.
À surveiller :
Les points de vigilance portent notamment sur : Case marketing précochée au checkout (consentement non valide); Importer une liste email achetée sans base légale; Politique confidentialité générique non adaptée à vos apps; Ignorer demande d'effacement > 30 jours; Installer 20 apps sans vérifier où vont les données clients; Confondre CGV et politique confidentialité (deux documents); Stockage de numéros carte ou mots de passe en clair (interdit).
En bref
À retenir : RGPD = règlement UE sur protection des données personnelles (GDPR); Marchand = responsable ; Shopify/apps = sous-traitants; Bases légales : contrat, consentement, intérêt légitime, obligation légale; Droits clients : accès, rectification, effacement, portabilité, opposition; Distinct cookies (ePrivacy), CGV, PCI-DSS; Shopify : privacy policy, Customer Privacy, consent marketing, export client.
Termes associés, FAQ et ressources utiles
Termes associés
Cookie de tracking : traceurs soumis au consentement en UE.
Base de données clients : données soumises au RGPD.
CGV : contrat vente, distinct de la vie privée.
Compte client : espace données personnelles.
Customer support : traitement données via tickets SAV.
FAQ
RGPD et GDPR : même chose ?
Oui. GDPR (General Data Protection Regulation) est le nom anglais du RGPD français. Même règlement européen.
Le RGPD s'applique-t-il si ma boutique est hors UE ?
Si vous vendez ou ciblez des clients résidents UE, le RGPD s'applique généralement à leurs données, même si votre entreprise est aux États-Unis ou ailleurs. Vérifiez avec un conseil selon votre structure.
Puis-je envoyer des emails sans consentement explicite ?
En B2C UE, la prospection email requiert en principe un consentement préalable ou, dans certains pays, une exception « soft opt-in » très encadrée (client existant, produits similaires). En pratique, l'opt-in explicite au checkout ou pop-up reste la voie la plus sûre.
Shopify est-il conforme RGPD à ma place ?
Shopify fournit des outils et contractualise en sous-traitant, mais la conformité globale dépend de vos apps, pixels, emails, durées de conservation et réponses aux droits des personnes. Vous restez responsable du traitement.
Aller plus loin
Sources : Shopify Help Center (Privacy), Règlement UE 2016/679 (RGPD), CNIL (guides PME, cookies). Ce contenu est informatif, pas un avis juridique.
Enzo
13 mai 2026
Convertissez +2000 clients en moyenne par mois en utilisant Qstomy.
1ère IA Shopify dédiée à la conversion client au monde
200+ ecommerçants accompagnés
Abonnez-vous à la newsletter et obtennez un e-book personnalisé !
Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.
*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.