PrestaShop et RGPD : guide de conformité 2026
PrestaShop et RGPD : module officiel, sous-traitants, cookies, sécurité et droits des clients. Le guide de conformité de votre boutique en ligne.
- PrestaShop, l’auto-hébergement et votre rôle de responsable de traitement
- Le module officiel RGPD : ce qu’il fait, ce qu’il ne fait pas
- Cartographier les traitements et tenir le registre
- Les modules et l’hébergeur : votre chaîne de sous-traitance
- Cookies et traceurs : la conformité côté navigateur
- Sécurité : l’article 32 dans un environnement auto-hébergé
- Durées de conservation et information des personnes
- Ce qu’il faut retenir
- FAQ
Installer le module « Official GDPR compliance » sur votre boutique PrestaShop et cocher la case « conforme » : c’est l’erreur que je rencontre le plus souvent en auditant des sites marchands. Le module gère une partie des obligations, pas toutes. PrestaShop étant une solution open source que vous hébergez vous-même, vous êtes seul responsable de traitement, et la conformité repose entièrement sur vos épaules — pas sur celles de l’éditeur.
Voici un cadre opérationnel pour mettre une boutique PrestaShop en conformité avec le RGPD, en distinguant ce que le logiciel fait pour vous de ce qui reste votre responsabilité pleine et entière.
PrestaShop, l’auto-hébergement et votre rôle de responsable de traitement
PrestaShop est un CMS e-commerce open source d’origine française, créé en 2007. Contrairement à une solution SaaS comme Shopify, vous installez PrestaShop sur l’hébergement de votre choix et vous gardez la maîtrise complète de votre base de données clients. Cet avantage a une contrepartie directe en droit de la protection des données.
Dans le modèle auto-hébergé, vous êtes le responsable de traitement au sens de l’article 4(7) du RGPD : c’est vous qui déterminez les finalités et les moyens du traitement des données de vos clients. PrestaShop SA, qui édite le logiciel, n’est pas votre sous-traitant pour l’exploitation de votre boutique : l’éditeur fournit un programme, il ne traite pas vos données pour votre compte. Cette distinction est importante, car elle écarte toute idée selon laquelle « PrestaShop s’occupe du RGPD ». PrestaShop met des outils à votre disposition ; l’obligation de conformité, elle, ne se délègue pas.
Vos véritables sous-traitants au sens de l’article 28 du RGPD sont ailleurs : votre hébergeur, les éditeurs des modules qui traitent des données personnelles, votre prestataire de paiement, votre solution d’emailing. Chacun de ces acteurs doit être encadré par un contrat conforme à l’article 28(3).
Le module officiel RGPD : ce qu’il fait, ce qu’il ne fait pas
PrestaShop publie un module gratuit et open source, « Official GDPR compliance » (dépôt psgdpr), compatible avec les versions 1.7 et 8 du logiciel. C’est un bon point de départ, à condition de comprendre son périmètre exact.
Ce que le module prend en charge
Le module ajoute trois fonctionnalités utiles. D’abord, un bloc d’information et une case de consentement sur les formulaires qui collectent des données (création de compte, newsletter, contact), pour matérialiser le recueil du consentement lorsqu’il constitue la base légale. Ensuite, une section dans l’espace client permettant au visiteur de télécharger ses données dans un format lisible et d’en demander l’effacement, ce qui facilite l’exercice du droit d’accès et du droit à l’effacement. Enfin, une journalisation des consentements, précieuse pour démontrer le respect du principe d’accountability de l’article 5(2).
Ce qui reste à votre charge malgré le module
Le module ne tient pas votre registre des traitements, ne qualifie pas vos bases légales, ne sécurise pas votre hébergement, n’encadre pas vos sous-traitants et ne gère pas les cookies déposés par vos autres modules. Présenter une boutique comme « conforme » au seul motif que ce module est installé est juridiquement faux. Le module traite l’interface avec la personne concernée ; il ne traite ni la gouvernance, ni la sécurité, ni la chaîne de sous-traitance.
Cartographier les traitements et tenir le registre
Avant tout réglage technique, la première étape est l’inventaire. Une boutique PrestaShop traite des données de commande (identité, adresses de livraison et de facturation, e-mail, téléphone, historique d’achats), des données de compte client (identifiant, mot de passe haché, préférences), des données de navigation (adresse IP, cookies, logs serveur) et, le cas échéant, des données marketing (consentements newsletter, segments, paniers abandonnés).
À cet inventaire de base s’ajoutent les traitements introduits par chaque module installé : avis clients, relances de panier, chat, retargeting, programme de fidélité, analytics. Chacun élargit le périmètre des données collectées. Ce recensement alimente votre registre des activités de traitement imposé par l’article 30 du RGPD, document que la CNIL réclame systématiquement en cas de contrôle.
Pour chaque traitement, vous devez identifier une base légale au titre de l’article 6(1) : l’exécution du contrat de vente (Art. 6(1)(b)) pour la gestion des commandes, le consentement (Art. 6(1)(a)) pour la prospection par e-mail, et éventuellement l’intérêt légitime (Art. 6(1)(f)) pour la prévention de la fraude ou certaines mesures d’audience, sous réserve d’un test de mise en balance documenté.
Les modules et l’hébergeur : votre chaîne de sous-traitance
C’est le point le plus négligé des boutiques PrestaShop. L’écosystème Addons compte des milliers de modules, et beaucoup transmettent des données personnelles à des serveurs tiers. Dès qu’un module traite des données pour votre compte, son éditeur est votre sous-traitant et doit être lié par un contrat conforme à l’article 28. Un questionnaire d’évaluation avant installation évite les mauvaises surprises.
Deux vérifications s’imposent pour chaque module et pour votre hébergeur. La première : où sont hébergées les données ? Un module qui appelle une API aux États-Unis ou un outil d’analyse hors Union européenne déclenche les obligations du chapitre V sur le transfert de données hors UE (décision d’adéquation, clauses contractuelles types, ou autre garantie de l’article 46). La seconde : votre contrat d’hébergement comporte-t-il bien les clauses de l’article 28(3) ? L’hébergeur qui stocke votre base clients est un sous-traitant à part entière.
C’est précisément ce travail de cartographie des sous-traitants et de suivi des bases légales que des outils comme Legiscope automatisent, là où une gestion manuelle sur tableur devient vite ingérable dès que la boutique accumule les modules.
Cookies et traceurs : la conformité côté navigateur
PrestaShop dépose nativement des cookies de fonctionnement (session, panier), qui relèvent de l’exemption de consentement de l’article 82 de la loi Informatique et Libertés. En revanche, les cookies déposés par vos modules d’analyse, de publicité ou de réseaux sociaux exigent un consentement préalable, libre et spécifique, conforme aux lignes directrices de la CNIL.
Concrètement, votre boutique doit afficher un bandeau cookies conforme qui bloque les traceurs non essentiels tant que l’utilisateur n’a pas consenti, propose un refus aussi simple que l’acceptation, et conserve la preuve du choix. Le module RGPD officiel ne remplit pas cette fonction : il faut une véritable CMP (plateforme de gestion du consentement) ou un module cookies dédié, correctement configuré pour bloquer les scripts en amont du consentement.
Sécurité : l’article 32 dans un environnement auto-hébergé
Parce que vous hébergez PrestaShop vous-même, la sécurité technique de l’article 32 du RGPD vous incombe directement. Aucun fournisseur SaaS n’applique les correctifs à votre place. Plusieurs mesures sont attendues : maintenir PrestaShop et tous les modules à jour, car une version obsolète est une porte d’entrée connue pour les attaquants ; forcer le HTTPS sur l’ensemble du site ; restreindre et tracer les accès au back-office ; et mettre en place des sauvegardes régulières et testées, stockées séparément.
La question des mots de passe mérite une attention particulière. PrestaShop hache les mots de passe clients, mais votre politique d’accès au back-office doit respecter la recommandation de la CNIL du 21 juillet 2022 sur les mots de passe (délibération n° 2022-100). Une boutique compromise expose aussi bien vos clients qu’elle vous oblige à gérer une violation de données — avec, à la clé, une éventuelle notification à la CNIL sous 72 heures au titre de l’article 33.
Durées de conservation et information des personnes
Le RGPD impose de ne pas conserver les données au-delà de ce qui est nécessaire (Art. 5(1)(e)). Sur une boutique PrestaShop, cela suppose de définir des règles claires : suppression ou anonymisation des comptes clients inactifs, purge des paniers abandonnés, archivage intermédiaire des données de facturation pour respecter les obligations comptables (généralement dix ans), effacement des prospects non convertis. Un tableau des durées de conservation par catégorie de données structure cette politique et se range dans le registre.
Côté transparence, votre boutique doit publier une politique de confidentialité accessible et des mentions légales conformes délivrant l’information de l’article 13 du RGPD : identité du responsable, finalités, bases légales, destinataires, durées, droits des personnes et coordonnées pour les exercer. Ces obligations recoupent les autres exigences applicables à toute boutique, détaillées dans notre guide des obligations RGPD du e-commerçant.
Ce qu’il faut retenir
- En auto-hébergé, vous êtes le responsable de traitement : PrestaShop SA n’est pas votre sous-traitant, et la conformité ne se délègue pas à l’éditeur du logiciel.
- Le module officiel « Official GDPR compliance » gère le consentement, l’espace client et la journalisation, mais ne couvre ni le registre, ni la sécurité, ni les cookies, ni la chaîne de sous-traitance.
- Chaque module traitant des données et votre hébergeur sont des sous-traitants à encadrer par un contrat conforme à l’article 28(3), avec vigilance sur les transferts hors UE.
- La sécurité de l’article 32 vous incombe entièrement : mises à jour, HTTPS, accès tracés, sauvegardes testées.
- Bandeau cookies conforme, durées de conservation définies et information de l’article 13 complètent le dispositif minimal.
FAQ
Le module RGPD officiel de PrestaShop suffit-il pour être conforme ?
Non. Le module « Official GDPR compliance » prend en charge le consentement sur les formulaires, l’export et l’effacement des données depuis l’espace client et la journalisation des consentements. Il ne tient pas votre registre des traitements, ne sécurise pas votre hébergement, n’encadre pas vos sous-traitants et ne gère pas les cookies de vos autres modules. Il constitue une brique utile, pas une garantie de conformité.
Qui est responsable de traitement sur une boutique PrestaShop ?
Le commerçant qui exploite la boutique. Comme PrestaShop est auto-hébergé, vous déterminez seul les finalités et les moyens du traitement : vous êtes responsable de traitement au sens de l’article 4(7) du RGPD. PrestaShop SA, qui édite le logiciel, n’agit pas comme sous-traitant pour l’exploitation de votre site.
Les modules PrestaShop sont-ils des sous-traitants RGPD ?
Oui, dès lors qu’ils traitent des données personnelles pour votre compte (envoi d’e-mails, analyse d’audience, relance de panier, avis clients, etc.). Leur éditeur doit être lié par un contrat conforme à l’article 28, et vous devez vérifier la localisation des données pour anticiper d’éventuels transferts hors Union européenne.
Quelles sanctions en cas de non-conformité d’une boutique en ligne ?
La CNIL peut prononcer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83(5)). Les manquements les plus fréquemment relevés sur les sites e-commerce concernent les cookies, les durées de conservation excessives et l’insuffisance des mesures de sécurité. Voir notre dossier sur les sanctions RGPD.