WooCommerce et RGPD : mise en conformité

WooCommerce, extension e-commerce de WordPress, alimente un nombre considérable de boutiques en ligne en France. Solution open source et auto-hébergée, WooCommerce offre au vendeur un contrôle total sur ses données, ce qui constitue un avantage significatif en matière de conformité RGPD par rapport aux solutions SaaS. Toutefois, ce contrôle s’accompagné d’une responsabilité pleine et entière : le vendeur est seul maître de la conformité de sa boutique et ne peut se reposer sur les garanties d’un hébergeur SaaS.

La mise en conformité RGPD d’une boutique WooCommerce requiert une approche méthodique couvrant la gestion des données personnelles, la sécurité, le consentement, les sous-traitants et les droits des personnes. Ce guide fournit un cadre opérationnel pour atteindre et maintenir la conformité.

Les données personnelles collectées par WooCommerce

L’inventaire des données

WooCommerce collecté et traité de nombreuses catégories de données personnelles. Les données de commande incluent le nom, le prénom, l’adressé de livraison et de facturation, l’email, le téléphone, les produits commandés et les montants. Les données de compte client incluent l’identifiant, le mot de passe (hashe), l’email, l’adressé et l’historique de commandés. Les données de paiement incluent le mode de paiement, les informations de transaction (les coordonnées bancaires sont généralement traitées par un prestataire tiers). Les données techniques incluent l’adressé IP, les cookies, les données de session, les User-Agents et les logs du serveur.

À ces données s’ajoutent celles collectées par les extensions WordPress (plugins) installées : analytics, emailing, reviews, chatbot, retargeting, formulaires de contact, etc. L’inventaire complet des données collectées est la première étape de la mise en conformité. L’audit RGPD de la boutique doit couvrir l’ensemble des traitements, y compris ceux des extensions.

Le registre des traitements

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement. Pour une boutique WooCommerce, les traitements types a documenter sont la gestion des commandés et des livraisons (base légale : exécution du contrat), la gestion des comptes clients (base légale : exécution du contrat ou consentement), la prospection commerciale par email (base légale : consentement), l’analyse de la navigation et le tracking (base légale : consentement), la gestion des avis clients (base légale : intérêt légitime ou consentement), la lutte contre la fraude (base légale : intérêt légitime), les obligations comptables et fiscales (base légale : obligation légale) et la gestion des cookies (base légale : consentement pour les cookies non essentiels).

Le formulaire RGPD peut être adapte pour documenter chaque traitement dans le registre.

Les fonctionnalités RGPD natives de WordPress et WooCommerce

Les outils WordPress

Depuis la version 4.9.6, WordPress intègre des fonctionnalités facilitant la conformité RGPD. L’outil d’exportation de données personnelles permet de générer un fichier contenant l’ensemble des données personnelles d’un utilisateur. L’outil de suppression de données personnelles permet d’anonymiser ou de supprimer les données d’un utilisateur. Le générateur de politique de confidentialité propose un modèle de page, que chaque extension peut enrichir avec ses propres informations. La case de consentement dans les formulaires de commentaires permet de recueillir le consentement au stockage du nom et de l’email.

Les outils WooCommerce

WooCommerce ajouté des fonctionnalités spécifiques au commerce en ligne. L’export et l’effacement des données de commande permettent de répondre aux demandes d’accès et d’effacement. La gestion des consentements au checkout permet d’ajouter des cases de consentement dans le formulaire de commande. La rétention des données permet de configurer des règles de suppression automatique des données à l’expiration d’un délai (commandés inactives, comptes inactifs).

Ces fonctionnalités constituent un socle utile mais insuffisant. Elles doivent être complétées par des configurations spécifiques et, souvent, par des extensions complémentaires.

La sécurité des données

Les mesures techniques essentielles

WooCommerce étant une solution auto-hébergée, la sécurité des données relève entièrement de la responsabilité du vendeur. L’article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriées.

Les mesures essentielles incluent le chiffrement HTTPS sur l’intégralité du site (certificat SSL/TLS), la mise à jour régulière de WordPress, WooCommerce et de toutes les extensions (les vulnérabilités dans les plugins WordPress sont une source majeure de compromission), l’utilisation de mots de passe forts et uniques pour les comptes administrateurs, l’authentification a deux facteurs pour les accès administrateur, la limitation des tentatives de connexion (protection contre le brute forcé), la sauvegarde régulière et sécurisée des données (stockage chiffre, site distant), la restriction des droits d’accès (principe du moindre privilège) et la protection contre les injections SQL, les failles XSS et les attaques CSRF.

L’hébergement

Le choix de l’hébergeur est un élément clé de la sécurité et de la conformité RGPD. L’hébergeur est sous-traitant au sens de l’article 28 du RGPD. Le contrat d’hébergement doit être conforme aux exigences de l’article 28, incluant les obligations de sécurité, de confidentialité, de localisation des données et de coopération en cas de violation.

Il est recommandé de choisir un hébergeur offrant un hébergement au sein de l’Union européenne (pour éviter les problématiques de transferts hors UE), des garanties de sécurité documentées (certifications ISO 27001, SOC 2), un contrat de sous-traitance conforme à l’article 28 et une assistance en cas de violation de données.

La gestion du consentement

Le consentement aux cookies

WooCommerce ne dispose pas de fonctionnalité native de gestion du consentement aux cookies conforme au droit français. L’installation d’une extension de Consent Management Platform (CMP) est indispensable.

Les extensions recommandées (Complianz, CookieYes, GDPR Cookie Compliance) doivent être configurées pour bloquer les cookies non essentiels avant le consentement, proposer un choix granulaire par catégorie (cookies essentiels, analytics, marketing, fonctionnels), afficher des boutons “Accepter” et “Refuser” de manière équivalente, conserver la preuve du consentement et permettre la modification du choix à tout moment.

La configuration de la CMP doit être cohérente avec la politique de cookies decrite dans la politique de confidentialité. Les cookies déposés par les extensions WordPress (Google Analytics, Facebook Pixel, etc.) doivent être repertories et soumis au consentement.

Le consentement à la prospection commerciale

L’envoi de newsletters et d’emails de prospection commerciale est soumis au consentement préalable (article L34-5 du Code des postes et des communications électroniques). WooCommerce permet d’ajouter une case de consentement dans le formulaire de commande, mais cette case ne doit pas être précochée et doit être clairement séparée de l’acceptation des CGV.

L’exception dite de “soft opt-in” permet d’adresser des communications commerciales sans consentement préalable aux clients existants, pour des produits ou services analogues a ceux précédemment achetés, à condition d’offrir un mécanisme de désinscription simple et gratuit.

Les extensions et les sous-traitants

L’inventaire des extensions

Chaque extension WordPress ou WooCommerce qui traité des données personnelles constitue un sous-traitant potentiel au sens du RGPD. Un inventaire systématique doit être realise, identifiant pour chaque extension le nom et l’éditeur, les catégories de données traitées, les finalités du traitement, la localisation des données, l’existence d’un DPA conforme à l’article 28 et les transferts de données hors UE.

Les extensions a risque

Certaines catégories d’extensions presentent des risques particuliers en matière de protection des données : les extensions d’analytics (Google Analytics, Matomo) qui collectent des données de navigation détaillées, les extensions d’emailing (Mailchimp, Sendinblue) qui traitent les adressés email et les données de comportement, les extensions de chat et de chatbot qui traitent les échanges avec les clients, les extensions de retargeting (Facebook Pixel, Google Ads) qui deposent des cookies de tracking et les extensions de reviews qui collectent les avis et les données d’identification des clients.

Pour chaque extension, le vendeur doit vérifier l’existence d’un contrat de sous-traitance conforme, évaluer les transferts hors UE et mettre en place les garanties appropriées. La sous-traitance IA doit être spécifiquement encadrée si des extensions d’IA sont utilisées.

La conformité des extensions doit être tracée dans le registre des traitements. Les obligations de conformité RGPD en e-commerce s’appliquent intégralement à chaque extension.

Les droits des personnes

La mise en oeuvre des droits

WooCommerce et WordPress fournissent des outils natifs pour répondre aux demandes d’exercice des droits. Le processus de traitement des demandes doit être documenté et inclure la réception de la demande (formulaire de contact, email dédié), la vérification de l’identité du demandeur, le traitement de la demande dans le délai de 30 jours, la notification de la réponse au demandeur et la documentation de la demande et de la réponse.

Le droit à l’effacement (article 17 du RGPD) doit être concilie avec les obligations légales de conservation. Les données de facturation doivent être conservées pendant 10 ans (obligation fiscale). WooCommerce permet d’anonymiser les commandés plutôt que de les supprimer, ce qui preserve les données comptables tout en supprimant les données personnelles.

La portabilité des données

Le droit à la portabilité (article 20 du RGPD) impose de fournir les données dans un format structuré, couramment utilise et lisible par machine. L’outil d’exportation natif de WordPress genere un fichier au format ZIP contenant les données en format lisible. WooCommerce permet d’exporter les données de commande en CSV. Ces formats sont généralement considérés comme conformes aux exigences de l’article 20.

Les mentions légales du site WooCommerce doivent être conformes à la LCEN. Les sanctions RGPD s’appliquent en cas de non-conformité. La CNIL effectué régulièrement des contrôles de conformité des sites e-commerce, y compris des sites WooCommerce.

Le texte du RGPD est consultable sur EUR-Lex. Les recommandations de la CNIL relatives aux cookies et à la prospection commerciale completent le cadre légal.

FAQ

WooCommerce est-il plus conforme au RGPD que Shopify ?

La question de la conformité RGPD ne se posé pas en termes de superiorite d’une plateforme sur l’autre, mais en termes de contrôle et de responsabilité. WooCommerce, solution auto-hébergée, offre un contrôle total sur les données : le vendeur choisit son hébergeur (et peut garantir un hébergement UE), maîtrise l’ensemble des extensions installées et à un accès direct aux bases de données. Shopify, solution SaaS, offre moins de contrôle mais prend en charge certains aspects de la sécurité et de l’infrastructure. En contrepartie, le vendeur WooCommerce assumé seul la responsabilité de la sécurité (mises à jour, sauvegardes, protection contre les attaques), tandis que le vendeur Shopify bénéficie de l’infrastructure sécurisée de Shopify mais doit accepter les conditions de traitement imposées par la plateforme. Aucune des deux solutions n’est “conforme RGPD” par défaut : la conformité dépend de la configuration et des mesures mises en oeuvre par le vendeur.

Comment gérer la suppression des données clients sur WooCommerce sans perdre les données comptables ?

WooCommerce propose une fonctionnalité d’anonymisation des commandés qui répond à cette problématique. Plutôt que de supprimer intégralement une commande, l’anonymisation remplacé les données personnelles (nom, email, adressé, téléphone) par des données génériques tout en conservant les données comptables (montant, TVA, date, numéro de commande). Cette approche permet de respecter le droit à l’effacement du client tout en préservant les obligations comptables et fiscales de conservation (10 ans pour les pièces comptables, 6 ans pour les documents fiscaux). La fonctionnalité est accessible depuis le panneau d’administration WooCommerce (commande individuelle) ou peut être automatisée via les réglages de rétention de données de WooCommerce. Il est recommandé de configurer des règles de rétention automatique pour anonymiser les commandés au-delà d’une certaine période d’inactivité.

Quelles extensions WooCommerce sont indispensables pour la conformité RGPD ?

Les extensions indispensables couvrent trois domaines. Premièrement, la gestion du consentement aux cookies : une CMP (Complianz, CookieYes ou équivalent) est nécessaire pour bloquer les cookies non essentiels avant le consentement et recueillir un consentement conforme. Deuxièmement, la gestion du consentement marketing : une extension ajoutant des cases de consentement explicites dans les formulaires de commande et de création de compte, distinctes de l’acceptation des CGV. Troisièmement, la sécurité : une extension de sécurité (Wordfence, Sucuri, iThemes Security) est fortement recommandée pour la protection contre les attaques, l’authentification a deux facteurs et la journalisation des accès. En complement, des extensions de sauvegarde automatisée et de gestion des mises à jour renforcent la posture de sécurité. L’ensemble des extensions doit être inventorie et leur conformité RGPD vérifiée (existence d’un DPA, localisation des données, finalités du traitement).