Quel est le risque RGPD principal pour un site e-commerce ?

La gestion du consentement aux cookies et trackers marketing reste la première source de sanction. Plusieurs e-commerçants ont été sanctionnés en 2023-2024 pour des bandeaux non conformes ou un dépôt de tags avant consentement.

Faut-il un DPA avec Stripe, Klaviyo, Meta ?

Oui. Tout outil qui traite des données personnelles pour votre compte est un sous-traitant au sens RGPD. Vérifiez que les conditions DPA du fournisseur sont signées ou acceptées et conservez la preuve. Pour les outils US, vérifiez aussi le cadre Data Privacy Framework.

Combien de temps conserver les commandes clients ?

Recommandation CNIL : 3 ans en base active après la dernière commande pour la prospection, 5 à 10 ans en archivage intermédiaire pour les obligations comptables et fiscales, puis effacement.

Pour e-commerce

Audit RGPD pour sites e-commerce

Le e-commerce concentre les manquements RGPD les plus visibles : cookies, tracking marketing, transferts hors UE via les outils US, et fuites de données clients. La CNIL a ciblé ce secteur de manière prioritaire en 2024.

Lancer l'audit gratuit Calculer mon risque

Les 5 risques RGPD spécifiques au e-commerce

Cookies et trackers déposés avant consentement. GA4, Meta Pixel, TikTok, Hotjar, A/B testing : tout outil non strictement nécessaire au fonctionnement du site doit attendre l'opt-in explicite.
Refus de cookies plus difficile que l'acceptation. Le bouton "Refuser tout" doit être au même niveau visuel que "Accepter tout". Une UX volontairement asymétrique a déjà valu des sanctions à six chiffres.
Transferts hors UE non encadrés. Stripe, Klaviyo, HubSpot, Shopify : la plupart hébergent ou exposent des données aux US. Vérifiez les clauses contractuelles types et le DPF.
Comptes clients sans MFA. Les attaques par credential stuffing visent particulièrement les e-commerçants. Une fuite de comptes = notification CNIL sous 72h + information clients.
Newsletter sans double opt-in et sans purge. Liste achetée ou collectée sans consentement = infraction directe. Conservez les preuves de consentement et purgez les inactifs.

3 sanctions CNIL e-commerce

2023 — Site e-commerce mode
600 000 €

Refus de cookies plus difficile que l'acceptation, et défaut d'information sur les durées de conservation.

2024 — Marketplace 30 M€ CA
150 000 €

Tags marketing déclenchés avant le clic sur "Accepter" du bandeau cookies.

2024 — Pure player beauté
200 000 €

Fuite de 800 000 comptes clients et notification tardive à la CNIL au-delà des 72 h.

Checklist conformité e-commerce

Bandeau cookies CMP conforme, dépôt uniquement après consentement explicite, refus aussi facile que l'acceptation.
Catégorisation claire : cookies fonctionnels, mesure d'audience, marketing, réseaux sociaux.
Politique de confidentialité incluant la liste à jour des outils tiers (CRM, emailing, paiement, analytics).
DPA signés avec hébergeur, processeur paiement, plateforme emailing, CRM, outil de support.
Vérification des transferts hors UE (clauses types, DPF, mesures techniques additionnelles).
Comptes clients : mot de passe robuste, possibilité d'activer le MFA, déconnexion automatique.
Procédure de réponse aux demandes de droits (accès, rectification, effacement, portabilité).
Durées de conservation alignées sur la doctrine CNIL (3 ans actif / 5-10 ans archivage).
Procédure de notification de violation sous 72 h documentée et testée.
Liste des sous-traitants tenue dans le registre, avec versions de DPA.

Auditez votre boutique en 10 minutes

Score de conformité, risques prioritaires, recommandations actionnables.

Démarrer l'audit RGPD

Audit RGPD pour sites e-commerce

Les 5 risques RGPD spécifiques au e-commerce

3 sanctions CNIL e-commerce

Checklist conformité e-commerce

Auditez votre boutique en 10 minutes

Pour aller plus loin