Quelles sont les obligations RGPD spécifiques au e-commerce ?

En plus des obligations RGPD générales, un site e-commerce doit : obtenir le consentement pour les cookies de retargeting et analytics, informer sur le traitement des données de paiement, afficher des CGV conformes au Code de la consommation (droit de rétractation 14 jours, prix TTC), et permettre aux clients d'exercer leurs droits sur leur compte.

Puis-je envoyer des emails marketing à mes clients existants ?

Oui, sous conditions. L'article L34-5 du Code des postes et des communications électroniques autorise la prospection par email à des clients existants si : les produits ou services proposés sont similaires à ceux déjà achetés, le client a été informé lors de la collecte, et un lien de désinscription figure dans chaque email. Pour les prospects non-clients, le consentement préalable (opt-in) est obligatoire.

Combien de temps puis-je conserver les données de commande ?

Les factures et données comptables doivent être conservées 10 ans (Code de commerce). Les données clients actifs sont conservées pendant la durée de la relation commerciale. Après le dernier achat, les données de prospection peuvent être conservées 3 ans. Au-delà, suppression ou anonymisation obligatoire.

Le retargeting publicitaire est-il soumis au consentement ?

Oui. Les cookies de retargeting (Facebook Pixel, Google Ads remarketing, Criteo) nécessitent un consentement explicite via votre bannière cookies. Le script ne doit pas se charger avant que le visiteur ait accepté. La CNIL a sanctionné plusieurs acteurs pour du retargeting sans consentement.

RGPD et confidentialité Pages légales

RGPD pour le e-commerce en France : obligations et checklist

Steven | TrustYourWebsite · 13 avril 2026 · Dernière mise à jour : avril 2026

Un site e-commerce français traite un volume important de données personnelles : noms, adresses, emails, numéros de téléphone, données de paiement, historiques d'achat, comportements de navigation. Chacune de ces données est protégée par le RGPD.

La CNIL porte une attention particulière au e-commerce. Les sanctions pour non-conformité peuvent atteindre 4 % du chiffre d'affaires mondial. En pratique, les premiers contrôles aboutissent souvent à des mises en demeure, mais les récidives entraînent des amendes significatives.

1. Bannière cookies et trackers

Un site e-commerce utilise presque toujours des cookies non essentiels :

Google Analytics : mesure du trafic et des conversions
Facebook Pixel / Meta Pixel : retargeting publicitaire
Google Ads remarketing : reciblage des visiteurs
Criteo, Taboola : publicité programmatique
Hotjar, Microsoft Clarity : cartes de chaleur, enregistrement de sessions

Tous ces outils nécessitent un consentement explicite avant chargement. Votre bannière cookies doit :

Offrir un bouton "Tout refuser" aussi visible que "Tout accepter"
Ne charger aucun script de tracking avant consentement
Ne pas pré-cocher les catégories analytics ou marketing
Permettre de modifier le choix à tout moment

Impact business : oui, bloquer les trackers avant consentement réduit les données analytics. Mais c'est la loi. La CNIL a infligé 150 M€ d'amende à Google précisément pour ce problème.

2. Politique de confidentialité spécifique e-commerce

Votre politique de confidentialité doit détailler chaque traitement lié au e-commerce :

Traitement	Base juridique	Durée de conservation
Création de compte client	Exécution du contrat	Durée de la relation + 3 ans
Passation de commande	Exécution du contrat	Durée de la relation
Données de facturation	Obligation légale	10 ans
Newsletter	Consentement	Jusqu'au retrait du consentement
Retargeting publicitaire	Consentement	13 mois (cookies)
Avis clients	Intérêt légitime ou consentement	Durée de publication
Service après-vente	Exécution du contrat	Durée de la garantie

3. Données de paiement

Vous ne stockez probablement pas les données de carte bancaire directement. Votre prestataire de paiement (Stripe, PayPlug, Mollie, PayPal) s'en charge. Mais vous devez :

Mentionner le prestataire dans votre politique de confidentialité
Vérifier que le prestataire est certifié PCI-DSS
Ne jamais stocker les numéros de carte complets dans votre propre base de données
S'assurer que le prestataire dispose d'un DPA conforme au RGPD

Attention : certaines boutiques Shopify ou WooCommerce activent le stockage des données de carte pour les "achats en un clic". Vérifiez que cette fonctionnalité est gérée par le prestataire PCI-DSS, pas par votre serveur.

4. Emails marketing et prospection

Clients existants (soft opt-in)

L'article L34-5 du Code des postes et des communications électroniques autorise l'envoi d'emails marketing à vos clients existants sans consentement préalable, sous trois conditions :

Les produits/services proposés sont similaires à ceux déjà achetés
Le client a été informé au moment de la collecte qu'il recevrait des sollicitations
Chaque email contient un lien de désinscription fonctionnel

Prospects (opt-in obligatoire)

Pour les personnes qui n'ont jamais acheté chez vous, le consentement préalable (opt-in) est obligatoire. Cela signifie :

Case non pré-cochée lors de l'inscription à la newsletter
Formulation claire de ce que la personne va recevoir
Double opt-in recommandé (email de confirmation)

Règles CNIL pour tous les emails commerciaux

Lien de désinscription dans chaque email
Identité de l'expéditeur claire
Objet non trompeur
Fréquence raisonnable (pas de harcèlement commercial)

5. Droit de rétractation et CGV

Le Code de la consommation (articles L221-18 à L221-28) impose un droit de rétractation de 14 jours pour les achats en ligne. Calendrier opérationnel :

Étape	Délai	Point de départ	Référence
Délai de rétractation pour le client	14 jours	Réception du bien (ou conclusion du contrat pour un service)	L221-18 Code de la consommation
Notification de la rétractation par le client	Avant la fin des 14 jours	Formulaire type, email ou courrier	L221-21
Remboursement par le marchand	14 jours maximum	Date de notification de la rétractation	L221-24
Retour du bien par le client	14 jours maximum	Date de notification de la rétractation	L221-23

Vos CGV doivent également mentionner les exceptions au droit de rétractation (produits personnalisés, denrées périssables, contenus numériques après début d'exécution), les prix TTC, les frais de livraison et les conditions de retour.

L'absence de CGV conformes sur un site e-commerce est une infraction au Code de la consommation, sanctionnable par la DGCCRF.

6. Comptes clients et droits des personnes

Vos clients doivent pouvoir :

Consulter leurs données personnelles (profil, historique de commandes)
Modifier leurs informations (adresse, téléphone, email)
Supprimer leur compte (avec les données associées, sauf obligations légales de conservation)
Exporter leurs données dans un format lisible (droit à la portabilité)
Se désinscrire de la newsletter

Délai de réponse : 1 mois maximum. Mettez en place un processus interne pour traiter ces demandes.

Suppression de compte : vous devez supprimer les données de profil, mais vous pouvez conserver les données de facturation pendant 10 ans (obligation légale) et les données nécessaires à la gestion des litiges pendant la durée de prescription.

7. Sous-traitants et transferts de données

Listez tous vos prestataires et vérifiez leurs engagements RGPD :

Prestataire type	Données concernées	Action
Hébergeur (OVH, Scaleway, AWS)	Toutes les données du site	DPA obligatoire
Plateforme e-commerce (Shopify, WooCommerce)	Données clients et commandes	DPA obligatoire
Paiement (Stripe, PayPlug)	Données de paiement	DPA + PCI-DSS
Emailing (Brevo, Mailchimp)	Emails, noms	DPA obligatoire
Analytics (Google Analytics, Matomo)	Données de navigation	DPA + consentement
Livraison (Colissimo, Chronopost, Mondial Relay)	Noms, adresses	DPA obligatoire
Retargeting (Facebook, Google Ads, Criteo)	Données de navigation	DPA + consentement

Checklist RGPD e-commerce

Vérifiez votre boutique en ligne

Notre scanner analyse automatiquement les aspects RGPD de votre site e-commerce : bannière cookies, trackers, politique de confidentialité, HTTPS, mentions légales et plus encore.

Scanner ma boutique en ligne →

Résultat en 60 secondes. Aucun compte requis.

Sources

Ceci est une analyse technique, pas un conseil juridique.

Partager cet article

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Lancer le check gratuit

Guides pour votre site web

RGPD TPE et PME France : obligations et checklist 2026

Checklist RGPD pour les TPE et PME françaises. Obligations concrètes, sanctions CNIL, registre des traitements, DPO. Guide pratique avec exemples.

Mentions légales site web : obligations LCEN en France

Quelles mentions légales sont obligatoires sur un site web français ? LCEN, SIREN, RCS, hébergeur. Checklist complète et sanctions encourues.