RGPD et e-commerce : les 7 obligations que chaque marchand doit maîtriser
Votre boutique en ligne collecte plus de données personnelles que vous ne le pensez
Un visiteur arrive sur votre site e-commerce. Il n’a encore rien acheté, rien cliqué, rien accepté. Et pourtant, en l’espace de trois secondes, votre site a potentiellement déclenché Google Analytics, le pixel Meta, un script de remarketing Google Ads, un chatbot, un outil de personnalisation produit et une demi-douzaine de cookies tiers. Chacun de ces scripts collecte des données personnelles. Chacun d’entre eux vous expose.
Le e-commerce est, par nature, l’un des secteurs qui traite le plus de données personnelles : identités, adresses postales, emails, coordonnées bancaires, historiques d’achat, comportements de navigation, avis clients. Et la CNIL le sait. C’est précisément pour cette raison que le commerce en ligne est devenu l’une de ses cibles prioritaires.
En 2025, 486,8 millions d’euros d’amendes ont été prononcés par la CNIL. Les deux plus lourdes sanctions — Google (325 M€) et SHEIN (150 M€) — concernaient des manquements directement liés au parcours e-commerce : cookies déposés sans consentement, traceurs publicitaires activés avant toute interaction. La procédure simplifiée, qui permet de sanctionner en quelques semaines pour des montants allant jusqu’à 20 000 euros, vise en priorité les infractions courantes des sites marchands. Et plus de 60 % des sanctions de 2025 concernaient des PME.
En 2025, 60 % des sanctions CNIL concernaient des PME. Le mythe selon lequel la CNIL ne s’intéresse qu’aux GAFAM est définitivement enterré. Votre boutique Shopify, PrestaShop ou WooCommerce est autant dans le viseur qu’Amazon.
Ce n’est pas un sujet réservé aux juristes. C’est un risque opérationnel que chaque marchand en ligne doit comprendre et traiter.
Pourquoi le e-commerce est dans le viseur de la CNIL
Les robots de contrôle scannent vos pages produit
Depuis 2021, la CNIL déploie des robots de contrôle automatisés qui parcourent les sites web français et enregistrent les cookies déposés avant toute interaction avec le bandeau de consentement. Ces robots ne distinguent pas un site vitrine d’une boutique Shopify à 500 références : ils scannent, ils enregistrent, ils signalent.
En pratique, les pages produit des sites e-commerce sont particulièrement exposées. Elles concentrent les scripts de remarketing, les pixels de conversion, les outils de recommandation personnalisée et les widgets de preuve sociale — autant de traceurs qui déposent des cookies dès le chargement de la page. Un site e-commerce type charge entre 15 et 40 scripts tiers. Chacun est un point de contrôle potentiel.
La procédure simplifiée cible les marchands en ligne
Opérationnelle depuis 2022, la procédure simplifiée permet à la CNIL de prononcer des amendes jusqu’à 20 000 euros sans passer par la formation restreinte (source : CNIL). Elle est conçue pour les infractions « simples et courantes » — exactement celles que commettent la majorité des sites e-commerce : cookies sans consentement, politique de confidentialité absente, absence de mentions légales, formulaires non conformes.
Le délai est redoutable : quelques semaines entre le constat et la sanction. Et la publication est nominative. Pour un marchand en ligne dont la réputation est un actif commercial, la publication d’une sanction CNIL sur le site de la CNIL et dans la presse peut avoir des conséquences disproportionnées par rapport au montant de l’amende.
Le e-commerce cumule les traitements à risque
Un site e-commerce ne fait pas qu’afficher des pages. Il gère des comptes clients, traite des paiements, envoie des newsletters, pilote des campagnes publicitaires, collecte des avis, stocke des historiques d’achat, et parfois transfère des données vers des prestataires situés hors de l’Union européenne. Chacun de ces traitements relève du RGPD. Leur accumulation fait du e-commerce l’un des secteurs les plus exposés au risque de non-conformité.
La CNIL l’a d’ailleurs reconnu en publiant un guide pratique pour les professionnels du commerce en ligne, qui détaille les obligations spécifiques au secteur.
Les 7 obligations RGPD pour les sites e-commerce
1. Consentement cookies sur les pages produit et pixels de tracking
C’est la première cause de sanction CNIL, tous secteurs confondus. Le principe est simple : aucun cookie non essentiel ne doit être déposé avant que l’utilisateur ait donné son consentement explicite.
Pour un site e-commerce, cela concerne en premier lieu les pixels de conversion (Google Ads, Meta Pixel, TikTok Pixel), les outils de remarketing, les scripts de recommandation personnalisée et les widgets de preuve sociale. Tous ces traceurs doivent être bloqués techniquement — pas masqués par un overlay — tant que le visiteur n’a pas cliqué sur “Accepter”.
La CNIL exige également que le bouton “Refuser” soit aussi visible et accessible que le bouton “Accepter”. Un bouton vert “Tout accepter” et un lien gris “Paramétrer mes choix” ne sont pas conformes.
En pratique : une CMP (Consent Management Platform) conforme bloque l’exécution des scripts tiers avant consentement et propose un refus au même niveau que l’acceptation. Cookilio répond à ces exigences et se déploie en quelques minutes sur n’importe quel CMS e-commerce.
2. Opt-in pour les newsletters et emails marketing
Le Code de la consommation (article L. 34-5 du CPCE) et le RGPD imposent un consentement préalable pour l’envoi de communications commerciales par email. Concrètement, la case “Je souhaite recevoir la newsletter” doit être décochée par défaut. Pré-cocher cette case est une violation.
La bonne pratique recommandée par la CNIL est le double opt-in : l’utilisateur coche la case, puis confirme son inscription via un email de validation. Ce mécanisme garantit un consentement explicite et documenté, et protège contre les inscriptions frauduleuses.
Exception : si le client a déjà acheté un produit ou un service, vous pouvez lui envoyer des communications relatives à des produits ou services analogues, sans consentement préalable — à condition de lui offrir un mécanisme de désinscription simple à chaque envoi (article L. 34-5 alinéa 4 du CPCE). Mais cette exception est strictement encadrée : elle ne couvre pas les communications de partenaires tiers, ni les offres sans rapport avec l’achat initial.
3. Comptes clients et durées de conservation
Chaque compte client stocke des données personnelles : nom, prénom, adresse, email, historique d’achat, préférences. Le RGPD exige que ces données ne soient conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées.
La CNIL a publié des référentiels de durées de conservation applicables au e-commerce :
| Catégorie de données | Durée de conservation | Détail |
|---|---|---|
| Données clients actifs | Durée de la relation commerciale | Tant que le client est actif |
| Données de prospects | 3 ans | Après le dernier contact |
| Données de clients inactifs | 3 ans | Après la dernière commande, puis archivage ou suppression |
| Données relatives aux commandes | 5 ans | Obligations comptables et fiscales (archivage intermédiaire) |
| Données de paiement | Suppression immédiate | Après la transaction, sauf consentement explicite |
L’affaire Vinted illustre ce point. Le géant de la seconde main a été sanctionné de 20 millions d’euros (en coopération avec le CEPD) pour des durées de conservation excessives et un manque de transparence sur le traitement des données des utilisateurs. Les données de comptes inactifs étaient conservées bien au-delà des délais justifiables.
4. Sécurité des données de paiement
Le e-commerce traite des données bancaires — la catégorie la plus sensible pour les consommateurs. Le RGPD impose des mesures techniques et organisationnelles appropriées (article 32), et le cadre sectoriel PCI DSS s’applique à tout commerçant qui traite, stocke ou transmet des données de carte bancaire.
Les règles clés :
- Stockage interdit : ne jamais stocker les données complètes de carte bancaire sur vos serveurs — utiliser un prestataire de paiement certifié PCI DSS (Stripe, Adyen, Mollie, etc.)
- Chiffrement obligatoire : chiffrer les données de paiement en transit (HTTPS) et au repos
- Accès restreint : limiter l’accès aux données de paiement aux seules personnes habilitées
- Suppression après transaction : supprimer les données de carte après la transaction, sauf consentement explicite pour la facilitation d’achats futurs (et dans ce cas, ne stocker que le numéro tronqué)
- Notification 72 h : notifier la CNIL dans les 72 heures en cas de violation de données (article 33 RGPD)
La sanction de FREE (42 M€ en janvier 2026) pour des failles de sécurité ayant exposé les données de 24 millions d’abonnés rappelle que la sécurité des données n’est pas une option — c’est une obligation dont le non-respect est sanctionné lourdement.
5. Avis clients et contenus générés par les utilisateurs
Les avis clients sont un levier de conversion majeur en e-commerce. Mais ils contiennent des données personnelles (pseudonymes, photos, parfois noms réels) et leur collecte doit respecter le RGPD.
Obligations :
- Base légale : l’intérêt légitime peut suffire pour la publication d’avis, mais le client doit être informé et pouvoir s’y opposer
- Droit de rectification et de suppression : le client doit pouvoir faire modifier ou supprimer son avis
- Modération : si vous modérez les avis (suppression, modification), vous devez en informer les utilisateurs dans vos conditions générales
- Prestataires tiers : si vous utilisez une plateforme d’avis externe (Trustpilot, Avis Vérifiés), vous êtes responsable conjoint du traitement — assurez-vous que le DPA (Data Processing Agreement) est en place
La norme NF ISO 20488 encadre également la gestion des avis en ligne en France et constitue une référence complémentaire au RGPD pour les marchands.
6. Remarketing, pixels publicitaires et trackers tiers
Le remarketing est au coeur de la stratégie d’acquisition de la plupart des sites e-commerce. Mais chaque pixel de conversion, chaque audience de remarketing, chaque segment comportemental repose sur des données personnelles — et nécessite un consentement préalable.
Ce qui est concerné :
- Google Ads : remarketing et conversion tracking
- Meta Pixel : Facebook et Instagram
- TikTok Pixel, Pinterest Tag, Snapchat Pixel : réseaux sociaux
- Criteo, RTB House : plateformes de retargeting
- Custom Audiences : audiences personnalisées basées sur les données clients
Chacun de ces outils dépose des cookies tiers et transfère des données vers des serveurs souvent situés hors de l’UE. La CNIL a sanctionné Criteo de 40 millions d’euros en 2023 précisément pour avoir collecté des données de navigation sans consentement valide via ses partenaires.
40 M€ pour Criteo, 150 M€ pour SHEIN — les deux sanctions les plus directement liées au remarketing e-commerce. Le point commun : des traceurs activés avant consentement.
La solution : bloquer tous les scripts publicitaires avant consentement via une CMP conforme, et remplacer les outils d’analyse nécessitant des cookies par des alternatives respectueuses de la vie privée. Mirage Analytics fonctionne sans cookies, est éligible à l’exemption de consentement CNIL, et ne transfère aucune donnée hors de l’Europe — vous conservez vos données de trafic même quand les visiteurs refusent les cookies.
7. Transferts de données hors UE et outils américains
L’arrêt Schrems II (CJUE, 2020) a invalidé le Privacy Shield et imposé des garanties renforcées pour tout transfert de données vers les États-Unis. Le Data Privacy Framework (DPF) adopté en 2023 apporte un nouveau cadre, mais il est précaire — un arrêt “Schrems III” est attendu.
En pratique, la quasi-totalité des outils utilisés par les sites e-commerce transfèrent des données vers les États-Unis : Google Analytics, Google Ads, Meta Business Suite, Mailchimp, Klaviyo, Shopify (serveurs canadiens et américains), Zendesk, Intercom. Chacun de ces transferts doit être encadré par une base juridique appropriée (décision d’adéquation, clauses contractuelles types, ou consentement explicite).
Le risque concret : la CNIL a mis en demeure plusieurs éditeurs de sites français pour l’utilisation de Google Analytics en raison de transferts illicites vers les États-Unis (source : CNIL). Privilégier des outils hébergés en Europe n’est pas du patriotisme numérique — c’est de la gestion de risque.
Sanctions CNIL emblématiques dans le e-commerce
| Entreprise | Montant | Motif principal |
|---|---|---|
| SHEIN | 150 M€ | Cookies publicitaires déposés sans consentement |
| Amazon France Logistique | 32 M€ | Surveillance excessive des salariés en entrepôt |
| Vinted | 20 M€ | Durées de conservation excessives, manque de transparence |
| Cdiscount | Procédure simplifiée | Traceurs avant consentement, refus plus complexe que l’acceptation |
SHEIN : 150 millions d’euros (2025)
Le géant chinois de la fast fashion a été sanctionné pour des cookies publicitaires déposés sans consentement dès le chargement des pages. Le bandeau de consentement existait, mais les traceurs étaient activés avant toute interaction de l’utilisateur.
Leçon : la présence d’un bandeau ne suffit pas. Le blocage des scripts doit être technique et vérifiable, pas cosmétique.
Amazon France Logistique : 32 millions d’euros (2024)
Amazon a été sanctionné pour la surveillance excessive de ses salariés dans ses entrepôts français. Les scanners enregistraient les temps d’inactivité de chaque préparateur de commandes, permettant un suivi individuel en temps réel jugé disproportionné par la CNIL.
Leçon : le RGPD ne protège pas seulement les clients. Il protège aussi les salariés. La surveillance au travail doit être proportionnée, transparente et documentée — un point que les e-commerçants avec des opérations logistiques doivent intégrer.
Vinted : 20 millions d’euros (2024)
Vinted a été sanctionné pour des durées de conservation excessives et un manque de transparence dans le traitement des données. Les données d’utilisateurs inactifs étaient conservées sans limitation claire, et les mécanismes d’exercice des droits étaient insuffisants.
Leçon : un compte client inactif depuis trois ans ne doit pas rester dans votre base comme s’il avait commandé hier. Les durées de conservation ne sont pas un détail administratif — c’est un motif de sanction à 20 millions d’euros.
Cdiscount : sanctions cookies (2023-2024)
Cdiscount a fait l’objet de plusieurs procédures pour des manquements aux règles sur les cookies : traceurs déposés avant consentement, refus plus complexe que l’acceptation, information insuffisante sur les finalités.
Leçon : les marketplaces et grands e-commerçants français ne sont pas épargnés. La CNIL applique les mêmes règles à tous, indépendamment de la taille ou de la notoriété.
Checklist de conformité RGPD pour votre site e-commerce
Voici les actions concrètes à mettre en place, par ordre de priorité.
Consentement et cookies :
- CMP conforme — Déployer une CMP qui bloque les scripts avant consentement
- Bouton refuser — Vérifier que le bouton “Refuser” est aussi visible que “Accepter”
- Audit cookies — Auditer les cookies déposés au chargement de chaque page (avant interaction)
- Preuve de consentement — Documenter la preuve de consentement (horodatée, identifiable)
Données clients :
- Durées de conservation — Appliquer les durées de conservation CNIL (3 ans prospect, 3 ans inactif, 5 ans comptable)
- Suppression automatique — Mettre en place un processus de suppression des comptes inactifs
- Exercice des droits — Permettre l’exercice des droits (accès, rectification, suppression, portabilité)
- Politique de confidentialité — Publier une politique de confidentialité spécifique et en langage clair
Paiement et sécurité :
- PSP certifié — Ne pas stocker les données complètes de carte — utiliser un PSP certifié PCI DSS
- HTTPS obligatoire — Activer HTTPS sur l’ensemble du site
- Plan de notification — Définir un plan de notification des violations de données (72 heures)
Marketing et publicité :
- Double opt-in — Mettre en place le double opt-in pour les newsletters
- Pixels bloqués — Bloquer tous les pixels publicitaires avant consentement
- Analytics conforme — Remplacer Google Analytics par une solution sans cookies et conforme CNIL
Transferts internationaux :
- Cartographie des flux — Cartographier les outils qui transfèrent des données hors UE
- Bases juridiques — Vérifier les bases juridiques (DPF, clauses contractuelles types)
- Outils européens — Privilégier des outils hébergés en Europe quand des alternatives existent
Outils pour accélérer la mise en conformité :
| Besoin | Solution |
|---|---|
| Audit de conformité | Complio — 89 €/audit |
| Bannière cookies conforme | Cookilio — 9 €/mois |
| Analytics sans cookie | Mirage Analytics — 19 €/mois |
FAQ
Un site e-commerce doit-il nommer un DPO (Délégué à la Protection des Données) ?
La désignation d’un DPO est obligatoire si votre activité implique un suivi régulier et systématique des personnes à grande échelle, ou si vous traitez des données sensibles à grande échelle (article 37 RGPD). Pour un site e-commerce de taille moyenne, ce n’est pas toujours obligatoire — mais c’est fortement recommandé par la CNIL dès lors que vous gérez une base clients importante. Un DPO externalisé peut être une solution proportionnée.
Puis-je stocker les numéros de carte bancaire pour faciliter les achats récurrents ?
Oui, mais uniquement avec le consentement explicite du client et en ne stockant que le numéro tronqué (4 derniers chiffres). En pratique, déléguez le stockage à votre prestataire de paiement certifié PCI DSS (Stripe, Adyen, etc.) qui gère la tokenisation. Ne stockez jamais de données complètes de carte sur vos propres serveurs.
La CNIL peut-elle sanctionner un site e-commerce étranger qui vend en France ?
Oui. Le RGPD s’applique à toute entreprise qui cible des résidents de l’UE, quel que soit son pays d’établissement (article 3). L’amende de 150 millions d’euros infligée à SHEIN — société basée en Chine — en est la démonstration. Si vous vendez en France, le droit français et le RGPD s’appliquent à vous.
Combien de temps puis-je conserver les données d’un client qui n’a plus commandé depuis longtemps ?
La CNIL recommande une durée de 3 ans après la dernière commande pour les données de clients inactifs. Au-delà, les données doivent être supprimées ou anonymisées, sauf obligations légales spécifiques (5 ans pour les données comptables, 10 ans pour certains documents commerciaux). Vinted a été sanctionné de 20 millions d’euros précisément pour des durées de conservation excessives.
Le double opt-in est-il obligatoire en France pour les newsletters e-commerce ?
Le double opt-in n’est pas une obligation légale stricte en France — le RGPD exige un consentement « libre, spécifique, éclairé et univoque », ce qu’un simple opt-in peut satisfaire. Cependant, la CNIL recommande fortement le double opt-in car il constitue la meilleure preuve de consentement en cas de contrôle. C’est la méthode la plus sûre juridiquement.
À lire aussi — Bannière cookie conforme CNIL : guide complet 2026 | Cookies et RGPD : tout ce qu’il faut savoir en 2026 | Checklist RGPD site web : 15 points essentiels | Sanctions CNIL : bilan complet des amendes RGPD | Audit RGPD site web : guide complet 2026
Sources : CNIL — Bilan des sanctions 2025, CNIL — Guide commerce en ligne, CNIL — Lignes directrices cookies, CNIL — Procédure de sanction simplifiée, CNIL — Transferts Google Analytics, CNIL — Sanction SHEIN (150 M€), CNIL — Sanction Amazon France Logistique (32 M€), CNIL — Sanction Vinted (20 M€). Article publié le 9 avril 2026.