Magento et RGPD : guide de conformité 2026
Magento et RGPD : éditions, sous-traitants, extensions, cookies, sécurité et droits des clients. Le guide de conformité de votre boutique Magento.
- Magento, Adobe Commerce et votre rôle de responsable de traitement
- Aucune extension RGPD officielle : un point de vigilance
- Cartographier les traitements et tenir le registre
- Extensions, hébergeur et CDN : votre chaîne de sous-traitance
- Cookies et traceurs : la conformité côté navigateur
- Sécurité : l’article 32 dans un environnement Magento
- Droits des personnes : accès, effacement, anonymisation
- Durées de conservation et information des personnes
- Ce qu’il faut retenir
- FAQ
« On est sur Magento, donc Adobe gère le RGPD. » Cette phrase, je l’entends régulièrement en auditant des boutiques marchandes — et elle est fausse. Magento ne « gère » pas votre conformité : la plateforme fournit des briques techniques, mais c’est vous, commerçant, qui restez responsable de traitement. Et selon que vous utilisez Magento Open Source ou Adobe Commerce, la répartition des responsabilités change sensiblement.
Voici un cadre opérationnel pour mettre une boutique Magento en conformité avec le RGPD, en distinguant clairement ce que la plateforme fait pour vous de ce qui demeure votre responsabilité pleine et entière.
Magento, Adobe Commerce et votre rôle de responsable de traitement
Première chose à clarifier : « Magento » désigne aujourd’hui deux produits distincts. Magento Open Source est la version gratuite et auto-hébergée que vous installez sur l’infrastructure de votre choix. Adobe Commerce (anciennement Magento Commerce) est la version payante et enrichie d’Adobe, disponible en auto-hébergé ou en mode cloud managé (Adobe Commerce on Cloud). Cette distinction est déterminante pour qualifier les rôles.
Dans tous les cas, c’est vous qui exploitez la boutique, déterminez les finalités et les moyens du traitement des données de vos clients : vous êtes le responsable de traitement au sens de l’article 4(7) du RGPD. Adobe, qui édite le logiciel Magento Open Source, n’est pas votre sous-traitant pour la simple fourniture d’un programme que vous hébergez vous-même : éditer un code n’est pas traiter des données pour le compte d’autrui.
La nuance apparaît avec Adobe Commerce on Cloud : dès lors qu’Adobe héberge et opère votre infrastructure, il traite des données personnelles pour votre compte et devient votre sous-traitant au sens de l’article 28 du RGPD. Adobe fournit alors un Data Processing Agreement (DPA) qu’il faut accepter et conserver. Cela ne transfère pas votre responsabilité de responsable de traitement : cela encadre celle d’un maillon de votre chaîne. La conformité, elle, ne se délègue jamais.
Aucune extension RGPD officielle : un point de vigilance
Contrairement à PrestaShop, qui publie un module RGPD officiel, Magento ne propose pas d’extension de conformité unique et estampillée par l’éditeur. La plateforme intègre quelques fonctions de base — gestion d’une politique de confidentialité, points de recueil de consentement sur les formulaires, suppression d’un compte client — mais aucune ne couvre l’ensemble des obligations.
En pratique, la plupart des boutiques s’appuient sur une extension RGPD tierce issue du marketplace Adobe Commerce ou de la communauté (Amasty, Mageplaza, Aheadworks, Opengento, etc.). Ces extensions ajoutent l’export des données client, l’anonymisation des commandes, la journalisation des consentements et un bandeau cookies. C’est une démarche saine, à condition de garder deux idées en tête : aucune extension ne « rend conforme » à elle seule, et l’extension elle-même devient un traitement à intégrer dans votre cartographie. Installer un module et cocher mentalement la case « RGPD fait » est précisément l’erreur que la CNIL relève le plus souvent.
Cartographier les traitements et tenir le registre
Avant tout réglage technique, la première étape est l’inventaire. Une boutique Magento traite des données de commande (identité, adresses de livraison et de facturation, e-mail, téléphone, historique d’achats), des données de compte client (identifiant, mot de passe haché, listes de souhaits, préférences), des données de navigation (adresse IP, cookies, logs serveur) et, le cas échéant, des données marketing (consentements newsletter, segments, paniers abandonnés, scoring).
À cet inventaire de base s’ajoutent les traitements introduits par chaque extension installée : avis clients, relances de panier, recherche intelligente, chat, retargeting, programme de fidélité, analytics. Magento étant une plateforme volontiers utilisée par des sites à fort volume et fortement personnalisés, ce périmètre s’élargit vite. Ce recensement alimente votre registre des activités de traitement imposé par l’article 30 du RGPD, document que la CNIL réclame systématiquement en cas de contrôle.
Pour chaque traitement, vous devez identifier une base légale au titre de l’article 6(1) : l’exécution du contrat de vente (Art. 6(1)(b)) pour la gestion des commandes, le consentement (Art. 6(1)(a)) pour la prospection par e-mail, et éventuellement l’intérêt légitime (Art. 6(1)(f)) pour la prévention de la fraude ou certaines mesures d’audience, sous réserve d’un test de mise en balance documenté. Un registre au format exploitable reste le socle de tout le reste.
Extensions, hébergeur et CDN : votre chaîne de sous-traitance
C’est le point le plus négligé des boutiques Magento, et souvent le plus risqué, parce que l’architecture est riche. Vos véritables sous-traitants sont nombreux : votre hébergeur (ou Adobe pour la version Cloud), les éditeurs des extensions qui traitent des données, votre prestataire de paiement, votre solution d’emailing, votre moteur de recherche externalisé, votre CDN, vos outils d’analyse. Chacun doit être encadré par un contrat conforme à l’article 28(3).
Deux vérifications s’imposent pour chaque maillon. La première : où sont hébergées les données ? Une extension qui appelle une API aux États-Unis, un moteur de recommandation hors Union européenne ou un service Adobe traitant des données outre-Atlantique déclenchent les obligations du chapitre V sur le transfert de données hors UE (décision d’adéquation — comme le Data Privacy Framework pour les États-Unis —, clauses contractuelles types, ou autre garantie de l’article 46). La seconde : disposez-vous bien des clauses de l’article 28(3) avec chaque prestataire ? Un questionnaire d’évaluation avant intégration d’une extension évite les mauvaises surprises.
C’est précisément ce travail de cartographie des sous-traitants et de suivi des bases légales que des outils comme Legiscope automatisent, là où une gestion manuelle sur tableur devient vite ingérable dès qu’une boutique Magento accumule extensions et services tiers.
Cookies et traceurs : la conformité côté navigateur
Magento dépose nativement des cookies de fonctionnement (session, panier, comparateur), qui relèvent de l’exemption de consentement de l’article 82 de la loi Informatique et Libertés. En revanche, les cookies déposés par vos extensions d’analyse, de publicité ou de réseaux sociaux exigent un consentement préalable, libre et spécifique, conforme aux lignes directrices de la CNIL.
Concrètement, votre boutique doit afficher un bandeau cookies conforme qui bloque les traceurs non essentiels tant que l’utilisateur n’a pas consenti, propose un refus aussi simple que l’acceptation, et conserve la preuve du choix. Les fonctions natives de Magento ne remplissent pas cette mission : il faut une véritable CMP (plateforme de gestion du consentement) ou une extension cookies dédiée, correctement configurée pour bloquer les scripts en amont du consentement — y compris ceux injectés par Google Tag Manager si vous l’utilisez.
Sécurité : l’article 32 dans un environnement Magento
La sécurité technique de l’article 32 du RGPD vous incombe directement, et l’ampleur de cette obligation dépend de votre édition. En Magento Open Source ou en Adobe Commerce auto-hébergé, vous appliquez vous-même l’ensemble des mesures. En Adobe Commerce on Cloud, Adobe prend en charge une partie de la sécurité de l’infrastructure, mais la configuration applicative, la gestion des accès et les extensions restent de votre ressort : la sécurité est partagée, jamais entièrement déléguée.
Plusieurs mesures sont attendues dans tous les cas : maintenir Magento et toutes les extensions à jour et appliquer sans délai les correctifs de sécurité (les vulnérabilités de type « Magecart », qui injectent du code de vol de cartes bancaires sur des boutiques non patchées, sont un risque documenté et récurrent) ; forcer le HTTPS sur l’ensemble du site ; restreindre, cloisonner et tracer les accès à l’admin ; activer l’authentification à deux facteurs, disponible nativement ; et mettre en place des sauvegardes régulières, testées et stockées séparément.
La question des accès mérite une attention particulière. Votre politique de mots de passe pour le back-office doit respecter la recommandation de la CNIL du 21 juillet 2022 (délibération n° 2022-100). Une boutique compromise expose vos clients et vous oblige à gérer une violation de données — avec, à la clé, une éventuelle notification à la CNIL sous 72 heures au titre de l’article 33, et l’information des personnes concernées en cas de risque élevé (article 34).
Droits des personnes : accès, effacement, anonymisation
Une boutique Magento doit permettre l’exercice effectif des droits des clients. Le droit d’accès (Art. 15) suppose de pouvoir exporter, sur demande, l’ensemble des données d’un client dans un format lisible. Le droit à l’effacement (Art. 17) suppose de pouvoir supprimer un compte et les données associées.
C’est ici qu’intervient une difficulté propre à l’e-commerce : vous ne pouvez pas purement et simplement effacer une commande, car les données de facturation doivent être conservées pour respecter vos obligations comptables et fiscales (généralement dix ans). La bonne pratique consiste alors à anonymiser les données personnelles rattachées à la commande — nom, adresse e-mail, téléphone — tout en conservant les éléments comptables strictement nécessaires. La plupart des extensions RGPD pour Magento proposent cette anonymisation automatisée, qui concilie droit à l’effacement et obligation légale de conservation.
Durées de conservation et information des personnes
Le RGPD impose de ne pas conserver les données au-delà de ce qui est nécessaire (Art. 5(1)(e)). Sur une boutique Magento, cela suppose des règles claires : suppression ou anonymisation des comptes inactifs, purge des paniers abandonnés, archivage intermédiaire des données de facturation, effacement des prospects non convertis. Un tableau des durées de conservation par catégorie de données structure cette politique et se range dans le registre.
Côté transparence, votre boutique doit publier une politique de confidentialité accessible et des mentions légales conformes délivrant l’information de l’article 13 du RGPD : identité du responsable, finalités, bases légales, destinataires, durées, droits des personnes et coordonnées pour les exercer. Ces obligations recoupent celles applicables à toute boutique, détaillées dans notre guide des obligations RGPD du e-commerçant. Pour les briques voisines, voyez aussi nos guides WooCommerce, PrestaShop et Stripe.
Ce qu’il faut retenir
- « Magento » recouvre deux produits : Magento Open Source (auto-hébergé) et Adobe Commerce (dont une version cloud où Adobe devient votre sous-traitant au titre de l’article 28).
- Dans tous les cas, vous êtes le responsable de traitement : la conformité ne se délègue ni à l’éditeur, ni à une extension.
- Magento ne fournit pas d’extension RGPD officielle unique : vous combinez fonctions natives et modules tiers, qui doivent eux-mêmes être intégrés à votre cartographie.
- Extensions, hébergeur, CDN et services tiers forment une chaîne de sous-traitance à encadrer par des contrats article 28(3), avec vigilance sur les transferts hors UE.
- Sécurité de l’article 32 (correctifs, 2FA, HTTPS, accès tracés, sauvegardes), anonymisation des commandes pour concilier droit à l’effacement et conservation comptable, bandeau cookies conforme et information de l’article 13 complètent le dispositif minimal.
FAQ
Magento est-il conforme au RGPD par défaut ?
Non. Ni Magento Open Source ni Adobe Commerce ne sont conformes « clés en main ». La plateforme offre des briques techniques (recueil de consentement, suppression de compte, politique de confidentialité), mais la conformité dépend de votre configuration, de votre hébergement, de vos extensions et de votre gouvernance. C’est vous, en tant que responsable de traitement, qui devez la construire et la documenter.
Adobe est-il responsable ou sous-traitant pour ma boutique Magento ?
Cela dépend de l’édition. Pour Magento Open Source que vous hébergez vous-même, Adobe se borne à fournir un logiciel : il n’est ni responsable ni sous-traitant de l’exploitation de votre site. Pour Adobe Commerce on Cloud, Adobe héberge et opère l’infrastructure et traite donc des données pour votre compte : il devient votre sous-traitant au sens de l’article 28, encadré par un Data Processing Agreement (DPA). Dans les deux cas, vous restez responsable de traitement.
Quelle extension RGPD choisir pour Magento ?
Il n’existe pas d’extension officielle unique. Plusieurs éditeurs sérieux (Amasty, Mageplaza, Aheadworks, ou le module open source Opengento) proposent l’export et l’anonymisation des données, la journalisation des consentements et un bandeau cookies. Le bon critère n’est pas la marque mais la couverture réelle de vos besoins, la localisation des données traitées par l’extension, et la qualité du contrat de sous-traitance de son éditeur. Aucune extension ne vous dispense de tenir votre registre et d’encadrer vos autres prestataires.
Comment effacer un client sans perdre mes obligations comptables ?
En anonymisant plutôt qu’en supprimant. Le droit à l’effacement (Art. 17) ne fait pas obstacle à la conservation des données de facturation imposée par le droit comptable et fiscal (environ dix ans). La pratique consiste à anonymiser les données personnelles de la commande — nom, e-mail, téléphone — tout en conservant les éléments comptables nécessaires. La plupart des extensions RGPD pour Magento automatisent cette anonymisation.
Quelles sanctions en cas de non-conformité d’une boutique en ligne ?
La CNIL peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83(5)). Les manquements les plus fréquemment relevés sur les sites e-commerce concernent les cookies, les durées de conservation excessives et l’insuffisance des mesures de sécurité. Voir notre dossier sur les sanctions RGPD.