Aller au contenu

Conformité RGPD sur Shopify : checklist pour les marchands français

Votre boutique Shopify est-elle conforme au RGPD ? Checklist complète des obligations, paramètres à configurer et erreurs courantes des marchands français.

Mis à jour le 20 November 2023

Vous vendez en ligne depuis la France, vos clients sont européens : le RGPD s’applique à votre boutique Shopify. Point. Pas de seuil de chiffre d’affaires, pas d’exemption pour les “petits” e-commerçants. Même une boutique avec 10 clients par mois collecte des données personnelles (noms, adresses, emails, historiques d’achat).

Voici la checklist que nous appliquons systématiquement chez LCMH pour nos clients marchands.

Les bases : votre rôle juridique

Sur Shopify, vous êtes le responsable de traitement. Shopify est votre sous-traitant. C’est vous qui décidez pourquoi et comment les données sont collectées. Shopify ne fait qu’exécuter vos instructions.

Conséquence : si un client porte plainte auprès de la CNIL, c’est vers vous qu’elle se tourne. Pas vers Shopify.

Checklist de conformité

1. Le Data Processing Agreement (DPA)

Le DPA entre vous et Shopify est accepté automatiquement dans les conditions d’utilisation. Mais vérifiez que vous l’avez bien pour chaque app tierce installée. Les gros (Klaviyo, Mailchimp, Google) ont un DPA disponible. Les petites apps… souvent pas.

2. Le bandeau de consentement cookies

Depuis 2023, Shopify intègre un bandeau natif :

Paramètres > Conformité des données client > Bannière de collecte de données

Configurez-le pour :

  • Bloquer les cookies analytics/marketing AVANT consentement
  • Offrir un bouton “Refuser” aussi visible que “Accepter”
  • Mémoriser le choix sans re-demander à chaque page

Si le bandeau natif est trop limité, les apps CookieBot ou Pandectes offrent plus de granularité.

3. La politique de confidentialité

Shopify génère un template. Ne l’utilisez pas tel quel — il est générique et anglophone. Votre politique doit mentionner :

  • Votre identité complète (nom, SIRET, adresse)
  • Les finalités de chaque traitement
  • La base juridique (contrat pour les commandes, consentement pour le marketing, intérêt légitime pour l’analytics)
  • Les destinataires des données (Shopify, transporteur, solution de paiement, apps)
  • La durée de conservation
  • Les droits des personnes et comment les exercer
  • Les transferts hors UE et leur base légale

4. Le registre des traitements

Obligatoire si vous avez plus de 250 salariés OU si vous traitez des données régulièrement (= toute boutique en ligne). En pratique, documentez :

TraitementBase légaleDonnéesDuréeDestinataires
CommandesContratNom, adresse, email, panier10 ans (compta)Shopify, transporteur, Stripe
NewsletterConsentementEmailJusqu’au désabonnementKlaviyo
AnalyticsIntérêt légitimeIP anonymisée, navigation14 moisGoogle Analytics

5. Les droits des personnes

Votre boutique doit permettre :

  • Accès : le client peut demander toutes ses données
  • Rectification : corriger ses informations
  • Effacement : “droit à l’oubli” (avec limites légales)
  • Portabilité : export des données dans un format standard
  • Opposition : retrait du consentement marketing

Shopify gère nativement les demandes d’effacement et d’export dans l’admin Clients.

6. La durée de conservation

L’erreur la plus courante : garder les données indéfiniment. Définissez des durées :

  • Données de commande : 10 ans (obligation comptable)
  • Comptes clients inactifs : suppression après 3 ans d’inactivité
  • Données de prospection : 3 ans après le dernier contact
  • Cookies analytics : 13 mois maximum (recommandation CNIL)

7. Les apps tierces : le point faible

Chaque app Shopify installée a potentiellement accès aux données clients. Auditez :

  • Quelles données l’app accède (Shopify le montre à l’installation)
  • Où ces données sont stockées
  • Si un DPA est disponible
  • Si l’app est nécessaire (désinstallez celles inutilisées)

Règle simple : si une app n’a pas de politique de confidentialité claire ou ne propose pas de DPA, ne l’installez pas.

Les erreurs fréquentes

Les erreurs les plus fréquentes que nous corrigeons chez nos clients : pré-cocher la case newsletter au checkout (le consentement doit être actif, jamais implicite), lancer Google Analytics sans bandeau de consentement préalable (la CNIL a sanctionné sur ce point précis), ne pas avoir de page politique de confidentialité du tout (sanctionnable même sans plainte), conserver les données de carte bancaire via une passerelle tierce non certifiée PCI-DSS, et envoyer des relances panier abandonnées sans base légale claire (l’intérêt légitime est contestable sur ce cas — préférez le consentement explicite).

Ressources

La conformité RGPD n’est pas un événement ponctuel. C’est un processus à maintenir à chaque nouvelle app installée, chaque nouvelle campagne marketing lancée, et chaque nouveau sous-traitant ajouté.

À lire aussi

Votre boutique Shopify collecte des données personnelles à chaque commande. Un audit RGPD prend 2 heures et vous protège de sanctions jusqu’à 20M€. Chez LCMH, nous auditons et corrigeons votre conformité en une demi-journée. Réservez votre créneau →

Questions fréquentes

Shopify est-il conforme au RGPD ?
Shopify fournit l'infrastructure conforme (DPA signé, chiffrement, certifications). Mais la conformité de VOTRE boutique dépend de vos paramètres, vos apps tierces, et vos pratiques de collecte de données. Shopify est l'outil, vous êtes le responsable de traitement.
Où sont stockées les données de mes clients sur Shopify ?
Les données principales sont dans les data centers nord-américains de Shopify (Canada/USA). Shopify a des sous-traitants en Europe et signe les Clauses Contractuelles Types (CCT) pour les transferts hors UE. Le Data Privacy Framework USA-UE couvre également ces transferts depuis juillet 2023.
Dois-je afficher un bandeau de cookies sur ma boutique Shopify ?
Oui, si vous utilisez Google Analytics, Meta Pixel, ou toute app de tracking. Le bandeau doit permettre un refus aussi simple que l'acceptation. Shopify propose un bandeau natif depuis 2023 (Paramètres > Conformité des données client).
Un client demande la suppression de ses données. Comment faire ?
Dans Shopify Admin > Clients > sélectionnez le client > Demander l'effacement des données. Shopify supprime les données personnelles sous 10 jours ouvrés. Les données nécessaires légalement (factures, comptabilité) sont conservées selon les obligations légales.
Les apps Shopify tierces sont-elles conformes RGPD ?
Pas automatiquement. Chaque app tierce est un sous-traitant additionnel. Vérifiez que chaque app a une politique de confidentialité, un DPA disponible, et ne transfère pas de données hors UE sans base légale. Auditez régulièrement vos apps installées.

Articles similaires

Shopify Editions Summer '25 : les nouveautés pour les marchands français

Shopify Editions Summer 2025 apporte Sidekick amélioré, Shopify Balance en Europe, et le commerce par IA. Voici ce qui change concrètement pour votre boutique.

Shopify Summer '24 Editions : les nouveautés qui comptent pour votre boutique

Shopify Editions Summer 2024 apporte plus de 100 mises à jour. Voici les nouveautés concrètement utiles pour les marchands français et comment en profiter.

Passer de WooCommerce à Shopify : guide de migration complet

Guide pas-à-pas pour migrer votre boutique WooCommerce vers Shopify sans perdre votre SEO, vos clients ni vos commandes. Retour d'expérience concret.

Shopify Checkout : optimiser votre tunnel de conversion

Comment optimiser le checkout Shopify pour réduire les abandons de panier et augmenter votre taux de conversion.

Shopify vs PrestaShop : quel choix pour votre boutique en Alsace ?

Comparatif objectif entre Shopify et PrestaShop pour les commerçants alsaciens : coûts, facilité d'utilisation, maintenance et évolutivité.

Shopify Email : le marketing email intégré à votre boutique

Comment utiliser Shopify Email pour créer des campagnes marketing directement depuis votre back-office, sans outil tiers.

Retour aux articles