Bandeau cookies Shopify : comment être conforme RGPD sans se compliquer la vie

Le bandeau cookies est l'un des premiers trucs que les propriétaires de boutiques Shopify ignorent. On ouvre sa boutique, on installe le Pixel Facebook et Google Analytics, et on commence à vendre. Pas de bandeau de consentement. Pas de politique de cookies. Rien.

Le problème, c'est que c'est illégal dès qu'on vend à des clients européens. Et les amendes RGPD ne sont pas réservées aux grands groupes : la CNIL a sanctionné des PME et des indépendants. Pas de panique pour autant : la mise en conformité prend quelques heures, pas plusieurs semaines. Mais il faut le faire correctement.

Voici ce que tu dois savoir, concrètement.

Ce que dit vraiment la loi sur les cookies

La confusion vient du fait que beaucoup de gens pensent que le RGPD et la réglementation cookies sont la même chose. Ce ne sont pas exactement les mêmes textes.

Le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis 2018) couvre la protection des données personnelles en général.

La directive ePrivacy (transposée en France dans la loi Informatique et Libertés) est le texte qui impose spécifiquement le consentement pour les cookies. La CNIL en est le gardien en France.

Ce que dit la règle, en clair : tu ne peux pas déposer de cookies non essentiels avant que l'utilisateur ait donné son accord explicite. Et "accord explicite" ne signifie pas "continuer à naviguer = accepter". Ça, c'était avant 2020. Ce n'est plus valable.

Ce qui est interdit depuis les lignes directrices de la CNIL de 2022 :

• Pré-cocher la case "J'accepte"
• Mettre un bouton "Accepter" en vert et "Refuser" en gris minuscule
• Faire disparaître la bannière sans que l'utilisateur ait cliqué sur quoi que ce soit

Le refus doit être aussi simple que l'acceptation. Même taille de bouton, même visibilité, même facilité d'accès.

Les cookies strictement nécessaires (panier, session, authentification) ne nécessitent pas de consentement. Mais Google Analytics, Meta Pixel, TikTok Pixel, et les cookies de remarketing en général : consentement obligatoire.

Ce que ça implique pour une boutique Shopify

Shopify, en tant que plateforme, ne gère pas automatiquement la conformité RGPD à ta place. La plateforme ne sait pas quels outils tiers tu as installés. C'est à toi de configurer le consentement.

Concrètement, voici ce qui se passe par défaut si tu n'as rien configuré :

• Google Analytics tourne dès que quelqu'un arrive sur ta boutique
• Meta Pixel envoie les données de navigation en continu
• Les apps de personnalisation (pop-ups, email capture) peuvent déposer leurs propres cookies

Tout ça avant que le visiteur ait cliqué sur quoi que ce soit. C'est un problème.

La bonne nouvelle : Shopify a développé le Customer Privacy API (anciennement appelé "Consent API"), qui permet aux apps tierces de conditionner leur chargement à l'accord du visiteur. Les apps de consentement sérieuses utilisent cette API.

Ce que Shopify fait nativement

Shopify propose une bannière de confidentialité intégrée dans les thèmes récents (Dawn et les thèmes de la bibliothèque officielle depuis fin 2023). Elle est basique, pas très personnalisable, mais elle existe.

Pour y accéder : Admin Shopify > En ligne > Préférences > Consentement aux cookies.

Cette option est suffisante pour une boutique qui n'utilise que peu d'outils marketing. Si tu as un Pixel Facebook, TikTok, et Google Analytics, elle montrera ses limites : pas de granularité par catégorie de cookies, personnalisation graphique réduite.

Les meilleures apps de consentement pour Shopify

Il existe une dizaine d'apps sérieuses sur l'App Store Shopify. Voici les plus utilisées avec ce que tu peux en attendre.

Consentmo GDPR Compliance

C'est l'app la plus populaire dans la catégorie. Elle est gratuite dans sa version de base, et la version payante commence autour de 12 $/mois.

Points forts :

• Interface propre et personnalisable
• Compatible Google Consent Mode v2 (ce qui impacte Google Analytics et Google Ads)
• Gestion des cookies par catégorie (nécessaires, fonctionnels, analytiques, marketing)
• Barre de cookies, pop-up ou widget flottant au choix

Ce qu'elle ne fait pas parfaitement : la personnalisation graphique avancée reste limitée dans la version gratuite. Si ton thème est très spécifique visuellement, tu devras peut-être éditer du CSS manuellement.

Nova: GDPR Cookie Consent

Alternative solide, gratuite pour les fonctionnalités de base. Plus légère que Consentmo. Bonne option si tu veux juste une bannière simple sans toutes les options.

iubenda

Solution plus professionnelle, utilisée aussi bien sur Shopify que sur d'autres CMS. Payante à partir d'environ 27 €/an pour un site. L'intégration Shopify se fait via un copier-coller de code dans le fichier theme.liquid.

Avantage d'iubenda : elle génère aussi ta politique de confidentialité et tes mentions légales, ce qui simplifie la conformité globale.

CookieYes

Utilisée par beaucoup de boutiques e-commerce en dehors de l'écosystème Shopify, CookieYes a une intégration Shopify via app. Version gratuite disponible, version payante à partir de 10 $/mois.

Ce qui compte vraiment dans le choix d'une app : la compatibilité avec Google Consent Mode v2. Depuis fin 2024, Google Ads et Google Analytics 4 utilisent ce signal de consentement pour les conversions modélisées. Si ton app de cookies ne communique pas avec Google Consent Mode, tu perds de la précision dans tes données.

Configuration pas à pas d'une app de consentement

Je prends l'exemple de Consentmo car c'est la plus simple à suivre.

Étape 1 : Installation Tu l'installes depuis l'App Store Shopify. Elle demande les permissions habituelles (accès au thème).

Étape 2 : Définir les catégories de cookies L'app te propose de catégoriser tes cookies :

• Nécessaires : ajoutés par défaut, pas de consentement requis
• Fonctionnels : préférences du site, langue...
• Analytiques : Google Analytics, Hotjar...
• Marketing : Meta Pixel, TikTok Pixel, Pinterest...

Tu dois cocher correctement chaque outil que tu utilises. Si tu mets Google Analytics dans "fonctionnel" pour éviter de demander le consentement, c'est un contournement qui ne tient pas si tu es audité.

Étape 3 : Configurer l'apparence Tu choisis entre une barre en bas ou en haut, un pop-up centré, ou un widget flottant. Tu adaptes les couleurs à ta charte. Vérifie que le bouton "Refuser" est aussi visible que le bouton "Accepter".

Étape 4 : Relier à Google Consent Mode Dans les paramètres avancés de l'app, active l'intégration Google Consent Mode v2. Cette option envoie un signal à Google sur l'état du consentement avant que Google Analytics charge quoi que ce soit.

Étape 5 : Tester Ouvre ta boutique en navigation privée. La bannière doit apparaître. Clique sur "Refuser" : ton Pixel Meta ne doit pas se déclencher (tu peux vérifier avec l'extension Chrome "Facebook Pixel Helper"). Clique sur "Accepter" : tout doit se charger normalement.

Le cas particulier du Google Consent Mode v2

Depuis mars 2024, Google impose le Consent Mode v2 pour les campagnes utilisant les fonctionnalités de mesure de conversion avancées (conversion modeling, audiences similaires).

En pratique : si ton app de cookies ne communique pas avec Google Consent Mode, les données de tes campagnes Google Ads deviennent moins fiables dès qu'une part de tes visiteurs refuse les cookies.

Ce n'est pas une obligation légale stricto sensu, c'est une exigence technique de Google pour que ses outils fonctionnent correctement. Mais vu que presque toutes les boutiques Shopify utilisent Google Analytics et/ou Google Ads, c'est à prendre en compte.

Les apps Consentmo, CookieYes, et iubenda sont compatibles avec le Consent Mode v2. Vérifie que cette option est bien activée dans tes paramètres.

Ce qu'il ne faut pas faire

Quelques erreurs courantes, observées sur beaucoup de boutiques :

Mettre un bandeau mais ne pas bloquer les scripts C'est le cas classique : la bannière s'affiche, mais Google Analytics tourne quand même en arrière-plan pendant que l'utilisateur lit les options. L'app doit bloquer le chargement des scripts marketing jusqu'au consentement.

Ignorer le cas des apps Shopify Certaines apps (chatbots, pop-ups d'email, programmes de fidélité) déposent leurs propres cookies. Ton app de consentement ne les gère pas forcément automatiquement. Tu dois identifier chaque cookie déposé sur ta boutique et les catégoriser manuellement. La plupart des apps sérieuses ont un scanner de cookies intégré.

Ne pas tenir de registre de consentement La CNIL peut demander une preuve que les consentements ont été collectés. Les apps comme Consentmo génèrent un journal des consentements. Garde cette fonctionnalité active.

Oublier la politique de cookies Ta bannière doit renvoyer vers une page "Politique de cookies" accessible. Cette page liste les cookies utilisés, leur durée, leur finalité. Certaines apps la génèrent automatiquement.

Faut-il un DPO ou un avocat ?

Pour une boutique standard (pas de données sensibles, pas de milliers de clients B2B, pas de santé ou de finance), non. Les apps mentionnées ci-dessus suffisent pour une mise en conformité de base.

Ce qui peut justifier un accompagnement spécialisé :

• Tu collectes des données de santé ou financières
• Tu vends en dehors de l'UE (US, UK) et dois gérer le CCPA, le PECR...
• Tu as plus de 250 salariés (dans ce cas, un DPO peut être obligatoire)

Pour une boutique dropshipping ou e-commerce classique, une bonne app + une politique de confidentialité correcte + une page de cookies : c'est le minimum opérationnel.

FAQ

Est-ce que Shopify s'occupe du RGPD à ma place ? Non. Shopify fournit des outils (Customer Privacy API, bannière native dans les thèmes récents), mais la conformité dépend de ce que tu installes comme apps tierces et de comment tu configures le consentement.

Est-ce que la bannière native de Shopify suffit ? Pour une boutique très simple sans outils marketing externes, oui. Dès que tu as un Pixel Facebook ou Google Analytics, elle manque de granularité. Une app dédiée est plus fiable.

Google Analytics est-il interdit en Europe ? Non. Il est soumis au consentement. Si l'utilisateur refuse les cookies analytiques, Google Analytics ne doit pas se charger. Avec le bon paramétrage, tu peux l'utiliser légalement.

Que risque-t-on sans bandeau cookies ? La CNIL peut prononcer des mises en demeure suivies d'amendes. Les sanctions pour les petites structures sont généralement plus légères (quelques milliers d'euros) que pour les grands groupes, mais elles existent. Le risque est réel.

Mon app de cookies doit-elle gérer les cookies Shopify natifs ? Non. Les cookies déposés par Shopify pour le fonctionnement du panier, de la session et de la caisse sont strictement nécessaires. Ils ne nécessitent pas de consentement.

---

La conformité cookies n'est pas une case à cocher pour avoir la conscience tranquille. C'est une obligation légale, et les outils pour la remplir sans se noyer dans la technique existent. Une heure de configuration, une app solide, et tu passes à autre chose.

Voir aussi : Dropshipping sur Shopify, CGV et mentions légales boutique en ligne, Politique de confidentialité dropshipping.