Une boutique en ligne collecte des données à chaque étape : visite, création de compte, commande, paiement, avis. Autant de points où le RGPD s'applique — et autant d'occasions de rassurer vos clients plutôt que de les faire fuir.
La conformité RGPD n'est pas qu'une contrainte légale : sur un site marchand, c'est un facteur de confiance qui influence directement le taux de conversion. Un visiteur qui comprend ce que vous faites de ses données achète plus sereinement. Ce guide passe en revue chaque obligation concrète, dans l'ordre du parcours client.
Chapitre 02 — Formulaires et comptes clients
Ne collectez que le nécessaire.
Le principe de minimisation impose de ne demander que les données réellement utiles à la finalité. Pour passer une commande, une date de naissance ou un numéro de téléphone ne sont généralement pas indispensables : chaque champ superflu est un risque et un frein à la conversion.
Les bonnes pratiques sur vos formulaires
- Distinguez clairement la création de compte de l'inscription à la newsletter (deux cases séparées, jamais un seul consentement global).
- Ajoutez une mention d'information concise au plus près du formulaire + un lien vers la politique de confidentialité.
- Ne pré-cochez jamais une case de consentement : elle doit résulter d'un acte positif.
- Indiquez les champs obligatoires et facultatifs.
Pensez aussi au compte invité : proposer une commande sans création de compte respecte la minimisation et améliore l'expérience.
Chapitre 03 — Paiement et sécurité des données
La confiance se joue à l'encaissement.
Le moment du paiement concentre les données les plus sensibles. La règle d'or : ne stockez jamais les numéros de carte. Passez par un prestataire de paiement certifié PCI-DSS, qui prend en charge la collecte et la sécurisation des données bancaires à votre place.
Les mesures de sécurité attendues
- HTTPS sur l'ensemble du site, pas seulement sur la page de paiement.
- Mots de passe robustes et, idéalement, double authentification pour les comptes admin.
- Accès internes aux données clients limités aux personnes qui en ont besoin.
- Mises à jour régulières du CMS et des extensions (une faille non corrigée est la première cause de piratage).
En cas de fuite de données clients, vous disposez de 72 heures pour notifier la CNIL. Voir aussi notre page RGPD e-commerce et, en cas d'incident, notre guide réagir à une violation de données.
Chapitre 04 — Avis, emailing et prospection
Fidéliser sans harceler.
Après l'achat, la relation continue : newsletters, relances de panier abandonné, demandes d'avis, offres personnalisées. Toutes ces actions sont possibles, mais encadrées.
Emailing et newsletters
- Un lien de désinscription visible et fonctionnel en un clic dans chaque email.
- Le consentement se recueille à l'inscription — il ne se déduit pas d'un simple achat.
- Exception : vous pouvez adresser des offres sur des produits similaires à un client existant, sous réserve d'un droit d'opposition simple.
Avis clients
Si vous sollicitez des avis, informez le client de l'usage qui en sera fait et conservez ces données pour une durée limitée. Les avis publiés doivent respecter la vie privée (pas de données identifiantes non nécessaires).
Chapitre 05 — Les droits de vos clients
Savoir répondre à une demande.
Vos clients peuvent exercer plusieurs droits sur leurs données. Vous devez pouvoir y répondre sous un mois, gratuitement. Anticipez en désignant un interlocuteur et en préparant une procédure simple.
- Accès — obtenir une copie des données que vous détenez.
- Rectification — corriger une information inexacte.
- Effacement — supprimer un compte et ses données (sous réserve des obligations légales, comme la conservation des factures).
- Portabilité — récupérer ses données dans un format réutilisable.
- Opposition — refuser la prospection ou le profilage.
Chapitre 06 — Durées de conservation
Rien ne se garde indéfiniment.
Conserver des données « au cas où » est contraire au RGPD. Fixez une durée pour chaque catégorie et documentez-la dans votre registre. À l'échéance, supprimez ou anonymisez.
Quelques repères courants
- Compte client : jusqu'à sa suppression ou après une longue période d'inactivité.
- Données de commande et factures : selon les obligations comptables et fiscales.
- Prospects (non clients) : généralement 3 ans après le dernier contact.
- Données de carte : jamais conservées côté marchand.
Chapitre 07 — Checklist boutique conforme
À vérifier avant la mise en ligne.
Sur le site
En coulisses
À vous de jouer
La conformité n'attend pas le prochain contrôle.
Vous avez la méthode. Pour la mettre en œuvre sans y passer des semaines, faites le point avec une juriste dédiée : 30 minutes pour identifier vos écarts et repartir avec un plan d'action clair.




