E-commerce et RGPD : 10 obligations du vendeur

Le commerce en ligne repose sur la collecte et le traitement massif de données personnelles : identité des clients, adressés de livraison, coordonnées bancaires, historiques d’achat, données de navigation, préférences de consommation. Chaque interaction d’un internaute avec un site e-commerce genere des données personnelles soumises au RGPD. Pour le vendeur en ligne, la conformité au RGPD n’est pas optionnelle : elle conditionné la légalité de son activité et protégé contre des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ce guide identifie les 10 obligations fondamentales du vendeur en ligne au regard du RGPD et fournit des recommandations pratiques de mise en conformité.

1. Établir un registre des traitements

L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Pour un site e-commerce, ce registre doit recenser l’ensemble des traitements de données personnelles lies à l’activité : gestion des commandés, gestion des comptes clients, prospection commerciale (newsletters, emailings), gestion des cookies et du tracking, gestion des avis clients, analyse du comportement de navigation, gestion des réclamations et des retours et gestion des sous-traitants.

Chaque traitement doit être décrit avec ses finalités, sa base légale (article 6 du RGPD), les catégories de données traitées, les destinataires, les durées de conservation et les mesures de sécurité. L’audit RGPD permet d’établir ce registre de manière exhaustive.

2. Déterminer les bases légales de chaque traitement

Le RGPD impose de fonder chaque traitement sur l’une des six bases légales prévues par l’article 6. En e-commerce, les bases légales les plus fréquentes sont l’exécution du contrat (article 6(1)(b)) pour le traitement des commandés, la livraison, la facturation et le service après-vente, l’obligation légale (article 6(1)©) pour la conservation des facturés (obligation comptable et fiscale) et la lutte contre la fraude, le consentement (article 6(1)(a)) pour la prospection commerciale par email, le dépôt de cookies non essentiels et la personnalisation de l’expérience et l’intérêt légitime (article 6(1)(f)) pour la sécurité du site, la prévention de la fraude et les statistiques anonymisées.

Le choix de la base légale conditionné les droits des personnes. Par exemple, lorsque le consentement est la base légale, la personne dispose d’un droit de retrait du consentement à tout moment. Lorsque l’intérêt légitime est invoqué, un test de mise en balance doit être documenté.

3. Informer les personnes concernées

Les articles 13 et 14 du RGPD imposent une obligation d’information complète des personnes dont les données sont collectées. Pour un site e-commerce, cette obligation se traduit par la rédaction d’une politique de confidentialité accessible et compréhensible.

La politique de confidentialité doit indiquer l’identité et les coordonnées du responsable de traitement, les coordonnées du DPO le cas échéant, les finalités et les bases légales de chaque traitement, les catégories de données collectées, les destinataires des données (y compris les sous-traitants), les transferts hors UE et leurs garanties, les durées de conservation pour chaque finalité, les droits des personnes et les modalités d’exercice et le droit de réclamation auprès de la CNIL.

Cette politique doit être accessible depuis chaque page du site (lien en pied de page) et depuis les formulaires de collecte de données. Elle doit être rédigée en français, dans un langage clair et simple. Les conditions générales de vente doivent renvoyer à cette politique.

4. Recueillir le consentement pour les cookies

La directive ePrivacy et les recommandations de la CNIL imposent un consentement préalable au dépôt de cookies non essentiels. Le bandeau cookies doit informer l’internaute de la finalité des cookies utilisés, proposer un choix clair entré accepter et refuser, permettre un paramétrage fin par catégorie de cookies et ne déposer aucun cookie non essentiel avant le recueil du consentement.

La CNIL a précisé que les “cookie walls” (conditionnement de l’accès au site à l’acceptation des cookies) ne sont acceptables que si une alternative raisonnable est proposée. Les boutons “Accepter” et “Refuser” doivent être présentes de manière équivalente (même taille, même visibilité).

Les plateformes e-commerce comme Shopify et WooCommerce proposent des extensions de gestion du consentement aux cookies, mais leur configuration par défaut n’est pas toujours conforme au droit français.

5. Sécuriser les données personnelles

L’article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriées pour assurer la sécurité des données. Pour un site e-commerce, les mesures essentielles incluent le chiffrement HTTPS obligatoire sur l’ensemble du site, la sécurisation des paiements (conformité PCI-DSS), le hachage des mots de passe (bcrypt, Argon2), la mise à jour régulière du CMS et des extensions, la protection contre les injections SQL et les failles XSS, la sauvegarde régulière des données, la gestion des droits d’accès (principe du moindre privilège) et la journalisation des accès aux données sensibles.

En cas de violation de données, l’article 33 impose une notification à la CNIL dans les 72 heures et, si le risque pour les personnes est élevé, une notification aux personnes concernées (article 34).

6. Respecter le principe de minimisation

L’article 5(1)© du RGPD impose de ne collecter que les données strictement nécessaires à la finalité poursuivie. En e-commerce, ce principe implique de ne pas rendre obligatoires des champs de formulaire non nécessaires à la finalité (par exemple, la date de naissance pour une livraison), de ne pas collecter de données “au cas où” pour des finalités non définies, de limiter les données de profilage au strict nécessaire et de ne pas conserver les coordonnées bancaires après le paiement (sauf consentement explicité pour le paiement en un clic).

Le formulaire de commande doit être conçu conformément au principe de minimisation. Chaque champ obligatoire doit être justifié par la finalité du traitement.

7. Définir et respecter les durées de conservation

L’article 5(1)(e) du RGPD impose de conserver les données pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Pour un site e-commerce, les durées de conservation types sont les suivantes : données relatives à une commande (5 ans à compter de la livraison pour les obligations comptables), coordonnées bancaires (suppression après le paiement, sauf consentement pour le paiement en un clic : suppression à l’expiration de la carte), données de compte client (3 ans à compter du dernier contact actif, conformément à la recommandation CNIL), données de prospection (3 ans à compter du dernier contact actif), cookies (13 mois maximum conformément à la recommandation CNIL) et données de journalisation (6 mois pour les logs de connexion).

La purgé des données à l’expiration de la durée de conservation doit être automatisée. Un processus de revue périodique des durées doit être mis en place.

8. Encadrer la sous-traitance

L’article 28 du RGPD impose d’encadrer contractuellement les relations avec les sous-traitants traitant des données personnelles pour le compte du vendeur. En e-commerce, les sous-traitants typiques incluent l’hébergeur du site, le prestataire de paiement, le transporteur, le prestataire d’emailing, le prestataire d’analytics et le fournisseur de solution de chat ou de chatbot.

Pour chaque sous-traitant, un contrat conforme à l’article 28 doit être conclu, couvrant les obligations de sécurité, de confidentialité, de limitation des finalités, de sous-traitance ultérieure, d’assistance aux droits des personnes et de restitution ou suppression des données.

Les plateformes e-commerce SaaS (Shopify, etc.) sont elles-mêmes des sous-traitants dont les conditions contractuelles doivent être examinées au regard de l’article 28. La conformité des clauses de sous-traitance IA est également à vérifier si le site utilise des systèmes d’IA.

9. Garantir l’exercice des droits des personnes

Les articles 15 à 22 du RGPD conferent aux personnes concernées des droits spécifiques que le vendeur doit garantir : droit d’accès (article 15), droit de rectification (article 16), droit à l’effacement (article 17), droit à la limitation du traitement (article 18), droit à la portabilité (article 20) et droit d’opposition (article 21).

En pratique, le vendeur doit mettre en place un processus de réception et de traitement des demandes d’exercice des droits, un mécanisme de vérification de l’identité du demandeur, un délai de réponse de 30 jours (prolongeable de 2 mois en cas de complexité) et une information claire des modalités d’exercice des droits dans la politique de confidentialité.

Le droit d’opposition à la prospection commerciale doit être respecte de manière absolue : tout email de prospection doit contenir un lien de désinscription fonctionnel.

Pour les sites utilisant des systèmes d’IA pour des décisions automatisées, l’article 22 du RGPD impose des garanties supplémentaires : droit à l’intervention humaine, droit d’exprimer son point de vue et droit de contester la décision.

10. Réaliser une AIPD si nécessaire

L’article 35 du RGPD impose la réalisation d’une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. En e-commerce, une AIPD est généralement nécessaire en cas de profilage à grande échelle (analyse comportementale, personnalisation poussee, scoring client), de traitement de données sensibles (données de santé pour la parapharmacie, opinions religieuses pour les sites spécialisés), de surveillance systématique à grande échelle (tracking multi-sites, fingerprinting) et d’utilisation de systèmes d’IA pour la prise de décision automatisée.

La CNIL a publié une liste des types de traitements pour lesquels une AIPD est requise, ainsi qu’un outil PIA facilitant la réalisation de l’analyse.

Les sanctions en e-commerce

Les sanctions prononcées par la CNIL dans le secteur du e-commerce illustrent l’effectivité du régime sanctionnateur du RGPD. Des amendes significatives ont été prononcées pour des défauts de sécurité (absence de chiffrement des mots de passe, conservation en clair des coordonnées bancaires), des défauts d’information (politique de confidentialité absente ou incomplète), des défauts de consentement aux cookies (dépôt de cookies avant recueil du consentement, absence de mécanisme de refus) et des défauts de gestion des droits (non-réponse aux demandes d’accès, non-effacement des données).

Les mentions légales incomplètes, bien que relevant de la LCEN et non du RGPD, s’ajoutent aux risques de sanctions.

Le site du ministère de l’Economie fournit des fiches pratiques complémentaires sur les obligations des vendeurs en ligne. Le texte du RGPD est consultable sur EUR-Lex. Le générateur de CGV doit intégrer les clauses RGPD essentielles.

FAQ

Un site e-commerce doit-il nommer un DPO ?

La désignation d’un délégué à la protection des données (DPO) est obligatoire dans trois cas : lorsque le traitement est effectué par une autorité publique, lorsque les activités de base du responsable de traitement consistent en des traitements qui exigent un suivi régulier et systématique des personnes à grande échelle, ou lorsque les activités de base consistent en un traitement à grande échelle de données sensibles. Pour un site e-commerce, la désignation d’un DPO est obligatoire si le site realise un profilage à grande échelle de ses clients (par exemple, un site a fort trafic qui utilise des algorithmes de personnalisation sophistiqués). Pour les sites de taille moyenne ne pratiquant pas de profilage à grande échelle, la désignation d’un DPO n’est pas obligatoire mais reste une bonne pratique recommandée. Le DPO peut être interne ou externe à l’organisation.

Les avis clients sont-ils soumis au RGPD ?

Oui. Les avis clients contiennent des données personnelles (nom ou pseudonyme de l’auteur, éventuellement sa photo, son email, son expérience personnelle). Le traitement de ces données est soumis au RGPD. Le vendeur doit informer le client de la collecte et de la publication de son avis (finalité, base légale, durée de conservation). La base légale la plus appropriée est généralement le consentement (le client choisit de déposer un avis) ou l’intérêt légitime du vendeur (transparence commerciale). Le client doit pouvoir demander la suppression de son avis au titre du droit à l’effacement, sous reserve des obligations légales de conservation (la loi du 7 octobre 2016 impose la conservation des avis pendant une durée raisonnable). Si les avis sont gérés par un tiers (Trustpilot, Avis Verifies, etc.), un contrat de sous-traitance conforme à l’article 28 doit être conclu.

Les coordonnées bancaires peuvent-elles être conservées pour faciliter les achats futurs ?

La conservation des coordonnées bancaires au-delà du paiement de la transaction n’est possible que sur la base du consentement libre, spécifique, éclairé et univoque du client. Le consentement ne peut pas être préalablement coche ou impose comme condition de la vente. Le client doit être clairement informe de la finalité de la conservation (faciliter les achats futurs), de la durée de conservation (jusqu’à l’expiration de la carte ou le retrait du consentement) et de son droit de retirer son consentement à tout moment. La CNIL recommandé que la conservation des coordonnées bancaires soit accompagnée de mesures de sécurité renforcées : chiffrement, tokenisation, authentification forte pour chaque utilisation. Le prestataire de paiement est généralement sous-traitant pour la conservation des coordonnées bancaires et son contrat doit être conforme à l’article 28 du RGPD.