Shopify et conformité française : CGV, RGPD, mentions

Shopify est devenu l’une des plateformes e-commerce les plus utilisées par les vendeurs français. Sa facilité de déploiement et sa richesse fonctionnelle en font un choix populaire, des micro-entrepreneurs aux PME établies. Toutefois, la plateforme étant conçue principalement pour le marché nord-américain, sa configuration par défaut ne répond pas aux exigences spécifiques du droit français en matière de conditions générales de vente, de protection des données personnelles, de mentions légales et de droit de la consommation.

L’utilisation de Shopify ne dispense pas le vendeur de ses obligations légales. Le vendeur reste responsable de la conformité de sa boutique en ligne au regard du droit français et du droit européen. Ce guide identifie les points de conformité critiques et les actions a mener pour exploiter une boutique Shopify en toute légalité en France.

Les conditions générales de vente sur Shopify

L’obligation de CGV

Tout site e-commerce français vendant à des consommateurs doit proposer des CGV conformes au Code de la consommation. Shopify ne genere pas automatiquement de CGV conformes au droit français. La plateforme propose des modèles de “Terms of Service” et de “Refund Policy” inspires du droit anglo-saxon, qui ne couvrent pas les obligations spécifiques du droit français.

Le vendeur doit donc rédiger ou générer ses propres CGV, incluant les mentions obligatoires prévues par le Code de la consommation (articles L111-1 et suivants) : informations précontractuelles, droit de rétractation de 14 jours, garanties légales (conformité et vices cachés), modalités de livraison, conditions de paiement, médiation de la consommation.

Un générateur de CGV adapte au droit français permet de produire rapidement des CGV conformes. Les différences entré CGV B2B et B2C doivent être prises en compte si la boutique vend à la fois à des particuliers et à des professionnels.

L’intégration technique des CGV

Shopify permet d’ajouter des pages de contenu (pages statiques) dans lesquelles les CGV peuvent être intégrées. Le processus de commande doit être configure pour que le client accepté expressément les CGV avant la validation de sa commande. Shopify propose nativement une case à cocher d’acceptation des conditions dans les paramètres de commande (Settings > Legal > Terms of service), mais cette fonctionnalité doit être activée manuellement.

Le lien vers les CGV doit être accessible depuis le footer du site, depuis la page de paiement et depuis les emails de confirmation de commande.

Le droit de rétractation et la politique de remboursement

Shopify propose une page “Refund Policy” générée automatiquement, mais son contenu ne respecte pas les exigences du droit français. La politique de remboursement doit être entièrement réécrite pour intégrer le droit de rétractation de 14 jours prévu par l’article L221-18 du Code de la consommation, le formulaire type de rétractation (annexe à l’article L221-5), les exceptions au droit de rétractation (article L221-28), les modalités de remboursement (délai de 14 jours, même moyen de paiement) et les conditions de retour des biens.

Les mentions légales

L’obligation de mentions légales

L’article 6 de la LCEN impose à tout éditeur de site internet de mettre à disposition du public des mentions légales identifiant l’éditeur : dénomination sociale, forme juridique, siège social, capital social, numéro RCS, numéro TVA intracommunautaire, coordonnées, directeur de la publication et coordonnées de l’hébergeur.

Shopify ne genere pas de page de mentions légales. Le vendeur doit créer cette page manuellement dans l’administration Shopify (Online Store > Pages) et s’assurer qu’elle est accessible depuis le footer du site.

L’identification de l’hébergeur

Un point spécifique a Shopify concerne l’identification de l’hébergeur. Shopify Inc. étant une société canadienne, les informations relatives à l’hébergeur doivent mentionner la dénomination complète de Shopify, son adressé et ses coordonnées. L’adressé de Shopify Inc. (151 O’Connor Street, Ottawa, Ontario, K2P 2L8, Canada) doit figurer dans les mentions légales, avec une indication des lieux d’hébergement des données.

La conformité RGPD

Shopify en tant que sous-traitant

Dans la relation Shopify-vendeur, le vendeur est responsable de traitement au sens du RGPD et Shopify est sous-traitant. Le Data Processing Addendum (DPA) de Shopify constitue le contrat de sous-traitance au sens de l’article 28 du RGPD. Ce document, accessible dans les conditions d’utilisation de Shopify, doit être examiné pour vérifier sa conformité aux exigences de l’article 28.

Les points d’attention du DPA de Shopify incluent les transferts de données hors UE (Shopify hébergé les données sur des serveurs répartis dans plusieurs pays, y compris hors de l’UE, et s’appuie sur les clauses contractuelles types et d’autres mécanismes de transfert), la sous-traitance ultérieure (Shopify fait appel a de nombreux sous-traitants ultérieurs dont la liste doit être accessible), les droits d’audit (le DPA de Shopify limite généralement les droits d’audit du vendeur à la communication de rapports de certification) et les mesures de sécurité (Shopify met en oeuvre des mesures de sécurité mais le vendeur doit vérifier leur adéquation).

La politique de confidentialité

Shopify genere automatiquement une politique de confidentialité (Privacy Policy), mais son contenu est générique et insuffisant au regard des exigences du RGPD et des recommandations de la CNIL. Le vendeur doit rédiger ou adapter cette politique pour inclure l’identité du responsable de traitement et ses coordonnées, les coordonnées du DPO le cas échéant, les finalités et les bases légales de chaque traitement, les catégories de données collectées, les destinataires (y compris Shopify et les applications tierces), les transferts hors UE et leurs garanties, les durées de conservation et les droits des personnes et les modalités d’exercice.

La gestion des cookies

Shopify déposé par défaut plusieurs cookies, dont certains sont essentiels au fonctionnement de la boutique (panier, session) et d’autres ne le sont pas (analytics, marketing). Le droit français impose un consentement préalable au dépôt de cookies non essentiels.

La configuration par défaut de Shopify ne respecte pas cette exigence. Le vendeur doit installer une application de gestion du consentement aux cookies (Consent Management Platform) compatible avec les recommandations de la CNIL. Plusieurs applications Shopify (Osano, Cookie Consent, GDPR Cookie Bar) proposent cette fonctionnalité, mais leur configuration doit être vérifiée pour garantir le blocage effectif des cookies non essentiels avant le consentement, la présence de boutons “Accepter” et “Refuser” de taille équivalente, la possibilité de paramétrage fin par catégorie de cookies et l’enregistrement du consentement pour preuve de conformité.

Les applications tierces

L’écosystème Shopify repose sur un grand nombre d’applications tierces (apps) qui traitent des données personnelles : analytics, emailing, reviews, chatbot, retargeting, etc. Chaque application tierce constitue un sous-traitant (ou un responsable conjoint de traitement, selon les cas) au sens du RGPD.

Le vendeur doit inventorier toutes les applications installées et traitant des données personnelles, vérifier les conditions de traitement de chaque application (DPA, politique de confidentialité), s’assurer de l’existence d’un contrat de sous-traitance conforme à l’article 28, évaluer les transferts de données hors UE induits par chaque application et mentionner ces sous-traitants dans sa politique de confidentialité.

Les obligations de conformité RGPD en e-commerce s’appliquent intégralement aux boutiques Shopify, y compris pour les applications tierces.

Le droit de la consommation

Le processus de commande

Le droit français impose un processus de commande en trois étapes (article 1127-1 du Code civil) : récapitulatif de la commande, possibilité de modifier la commande et confirmation définitive. Le bouton de validation finale doit porter la mention “Commande avec obligation de paiement” ou une formule équivalente (article L221-14 du Code de la consommation).

La configuration par défaut de Shopify ne comporte pas toujours cette mention. Le vendeur doit vérifier et modifier le texte du bouton de validation dans les paramètres de langue de Shopify (Settings > Languages).

L’email de confirmation

L’article L221-13 du Code de la consommation impose la confirmation de la commande sur un support durable dans un délai raisonnable. L’email de confirmation envoyé par Shopify doit inclure les informations précontractuelles, les CGV, la politique de rétractation et le formulaire de rétractation. Les modèles d’emails de Shopify doivent être personnalisés pour intégrer ces éléments.

L’affichage des prix

Les prix doivent être affiches TTC pour les ventes B2C en France (article L112-1 du Code de la consommation). La configuration Shopify doit être vérifiée pour s’assurer que les prix affiches incluent la TVA et que le taux de TVA applique est correct.

La conformité IA

Les boutiques Shopify qui utilisent des fonctionnalités d’IA (recommandations de produits, chatbots, personnalisation) doivent également prendre en compte les obligations du AI Act et du RGPD en matière de décisions automatisées. Si les systèmes d’IA utilisés produisent des effets significatifs sur les personnes (par exemple, modulation de prix personnalisée), les obligations de transparence et de contrôle humain s’appliquent.

L’audit RGPD de la boutique Shopify doit inclure une évaluation des systèmes d’IA utilisés et de leur conformité.

La CNIL et la DGCCRF effectuent régulièrement des contrôles de conformité des sites e-commerce. Le texte du RGPD est consultable sur EUR-Lex. Le texte du Code de la consommation est disponible sur Legifrance.

Checklist de conformité Shopify France

La mise en conformité d’une boutique Shopify pour le marché français implique de créer une page de mentions légales complète, de rédiger des CGV conformes au droit français (Code de la consommation, Code de commerce), de rédiger une politique de rétractation et de remboursement conforme, de rédiger une politique de confidentialité conforme au RGPD, d’installer et configurer un bandeau cookies conforme, d’activer la case d’acceptation des CGV dans le processus de commande, de modifier le texte du bouton de validation (“Commande avec obligation de paiement”), de personnaliser les emails de confirmation pour inclure les informations obligatoires, de vérifier l’affichage des prix TTC, d’inventorier et encadrer les applications tierces et de vérifier le DPA de Shopify et les transferts de données hors UE.

L’exemple de formulaire RGPD peut être adapte pour permettre l’exercice des droits des clients de la boutique Shopify.

FAQ

Shopify est-il conforme au RGPD ?

Shopify a pris des mesures pour faciliter la conformité RGPD de ses utilisateurs : mise à disposition d’un Data Processing Addendum (DPA), outils de gestion des données clients, fonctionnalités de suppression de données. Toutefois, Shopify en tant que plateforme ne garantit pas a lui seul la conformité RGPD de la boutique du vendeur. La conformité RGPD est une responsabilité partagée : Shopify fournit les outils techniques, mais le vendeur reste responsable de la configuration de la boutique, de la rédaction de la politique de confidentialité, de la gestion du consentement aux cookies, de l’encadrement des sous-traitants (applications tierces) et de la gestion des droits des personnes. Le vendeur doit vérifier le DPA de Shopify, évaluer les transferts de données hors UE et mettre en place les mesures complémentaires nécessaires.

Faut-il modifier les templates Shopify pour le marché français ?

Oui. Plusieurs éléments des templates Shopify doivent être modifiés pour le marché français. Le texte du bouton de validation de commande doit mentionner l’obligation de paiement. Les pages légales (CGV, mentions légales, politique de confidentialité, politique de rétractation) doivent être créées ou réécrites en conformité avec le droit français. Les emails transactionnels doivent être adaptés pour inclure les informations obligatoires. Le bandeau cookies doit être installé et configure conformément aux recommandations de la CNIL. L’affichage des prix doit être verifie (TTC). Ces modifications sont indispensables et ne peuvent être reportées : un site e-commerce non conforme est en infraction des sa mise en ligne.

Comment gérer les transferts de données hors UE avec Shopify ?

Shopify hébergé les données de ses utilisateurs sur des serveurs situés dans plusieurs pays, y compris hors de l’Union européenne (notamment au Canada et aux États-Unis). Ces transferts sont encadrés par le DPA de Shopify, qui s’appuie sur les clauses contractuelles types adoptées par la Commission européenne et, pour les transferts vers le Canada, sur la décision d’adéquation de la Commission. Le vendeur doit néanmoins vérifier l’adéquation de ces mécanismes au cas par cas, évaluer les risques lies aux legislations locales (notamment le Cloud Act américain) et, si nécessaire, mettre en oeuvre des mesures supplémentaires (chiffrement, pseudonymisation). La politique de confidentialité de la boutique doit informer les clients de l’existence de ces transferts et des garanties mises en place.