Politique de confidentialité pour une boutique dropshipping : ce qu'elle doit contenir

Quand vous lancez une boutique dropshipping, vous vous concentrez sur le produit, les pubs, les fournisseurs. La politique de confidentialité, c'est souvent le dernier truc qu'on pense à faire, voire qu'on copie-colle d'un autre site sans vraiment lire. Et c'est une erreur, pas seulement parce que la CNIL peut sanctionner, mais parce que le dropshipping a des spécificités qui rendent la gestion des données personnelles plus complexe qu'une boutique classique.

La raison principale : en dropshipping, vous transmettez les données de vos clients (nom, adresse, téléphone) à un tiers — votre fournisseur — qui se trouve souvent à l'étranger, en Chine ou ailleurs. Cette transmission de données a des implications légales que beaucoup de dropshippers ignorent.

Ce guide vous explique ce qu'est une politique de confidentialité, pourquoi elle est obligatoire, ce qu'elle doit contenir spécifiquement pour une boutique dropshipping, et comment la mettre en place correctement.

Politique de confidentialité, CGV, mentions légales : ce sont trois documents différents

Avant d'entrer dans le vif du sujet, il faut clarifier la confusion fréquente entre ces trois documents.

Les mentions légales identifient le responsable du site : qui vous êtes, comment vous contacter, sous quel statut juridique vous opérez. C'est l'identité légale du site.

Les CGV (conditions générales de vente) encadrent la relation commerciale : paiement, livraison, droit de rétractation, garanties, gestion des litiges. Ce sont les règles du jeu entre vous et vos clients.

La politique de confidentialité explique comment vous collectez, utilisez, stockez et protégez les données personnelles de vos visiteurs et clients. C'est un document dédié à la protection des données, encadré par le RGPD.

Ces trois documents sont obligatoires. Ils se complètent mais ne se substituent pas l'un à l'autre. Mettre un paragraphe RGPD dans vos CGV ne remplace pas une vraie politique de confidentialité.

Pourquoi c'est obligatoire pour une boutique dropshipping

Le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis mai 2018) s'applique à toute entreprise qui collecte des données personnelles de résidents européens. Dès qu'un résident de l'UE achète sur votre boutique, le RGPD s'applique, quelle que soit la localisation de votre boutique.

Ce que vous collectez inévitablement :

• Nom et prénom du client
• Adresse postale (pour la livraison)
• Adresse email
• Numéro de téléphone (souvent requis par les fournisseurs pour le suivi)
• Données de paiement (traitées via Stripe, PayPal...)
• Données de navigation (via les cookies, Google Analytics, Facebook Pixel...)
• Adresse IP

Tout ça, c'est des données personnelles au sens du RGPD. Vous êtes "responsable du traitement" de ces données. Et à ce titre, vous devez informer les personnes concernées de la façon dont vous utilisez leurs données, via une politique de confidentialité accessible et compréhensible.

La sanction en cas de non-conformité : la CNIL peut infliger des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé des deux). Pour une petite boutique dropshipping, les montants réels seront beaucoup plus faibles, mais des mises en demeure et des amendes symboliques existent. Et surtout, un client mécontent peut signaler votre boutique à la CNIL, ce qui déclenche une inspection.

La spécificité du dropshipping : le transfert de données à des tiers

C'est le point que les générateurs de politique de confidentialité génériques ne couvrent pas bien. En dropshipping, vous ne faites pas que collecter des données. Vous les transmettez activement à des tiers pour exécuter les commandes.

Quand un client commande sur votre boutique, vous envoyez son nom, prénom, adresse postale et numéro de téléphone à votre fournisseur (AliExpress, CJ Dropshipping, un agent en Chine, Bigbuy en Espagne...). Ce fournisseur utilise ces données pour expédier le colis.

Ce transfert de données à un tiers doit être mentionné dans votre politique de confidentialité. Et si le fournisseur est hors de l'Union Européenne (cas des fournisseurs chinois), c'est un transfert de données vers un pays tiers, ce qui nécessite des garanties supplémentaires.

En pratique, pour les petites boutiques dropshipping, la solution la plus courante est de mentionner dans la politique de confidentialité que les données de livraison sont transmises aux fournisseurs pour exécuter les commandes, avec la liste des pays concernés. C'est une base minimale.

Ce que doit contenir votre politique de confidentialité

Voici les sections que doit couvrir une politique de confidentialité conforme pour une boutique dropshipping.

Identité du responsable du traitement

Qui êtes-vous ? Nom (ou raison sociale), adresse, contact email. La même information que dans vos mentions légales, mais ici dans le contexte des données personnelles.

Quelles données vous collectez et pourquoi

Listez les types de données collectées et pour quelle finalité. Par exemple :

• Données de commande (nom, adresse, téléphone) : pour traiter et expédier les commandes
• Données de paiement : pour encaisser les paiements (précisez que ces données sont traitées par Stripe/PayPal, pas directement par vous)
• Données d'email : pour envoyer la confirmation de commande et, si consentement donné, des emails marketing
• Données de navigation (IP, cookies) : pour le bon fonctionnement du site et l'analyse d'audience

La base légale de chaque traitement

Le RGPD exige que chaque traitement de données soit fondé sur une base légale :

• Exécution du contrat : traiter une commande nécessite les données de livraison
• Obligation légale : conservation des données fiscales
• Consentement : emails marketing, cookies non essentiels
• Intérêt légitime : prévention de la fraude, sécurité du site

Les destinataires des données

C'est ici que vous mentionnez explicitement les tiers qui reçoivent des données :

• Vos fournisseurs dropshipping (et les pays où ils se trouvent)
• Vos prestataires de paiement (Stripe, PayPal)
• Vos outils de marketing (Klaviyo, Mailchimp pour les emails)
• Vos outils d'analyse (Google Analytics)
• Vos outils publicitaires (Meta Pixel, TikTok Pixel)

Pour chaque catégorie, précisez pourquoi vous transmettez les données et sous quelles garanties (contrats de sous-traitance, clauses types de l'UE pour les transferts hors UE...).

Durée de conservation

Combien de temps conservez-vous les données ? Les règles générales :

• Données de commande : 10 ans pour les obligations comptables
• Données clients (pour le SAV) : généralement 3 ans après la dernière interaction
• Données marketing : jusqu'au retrait du consentement
• Données de navigation/cookies : 13 mois maximum selon la CNIL

Les droits des personnes

Chaque personne dont vous traitez les données a des droits qu'elle peut exercer :

• Droit d'accès : obtenir une copie de ses données
• Droit de rectification : corriger des données incorrectes
• Droit à l'effacement ("droit à l'oubli") : demander la suppression de ses données
• Droit d'opposition : refuser certains traitements
• Droit à la portabilité : recevoir ses données dans un format standard

Vous devez indiquer comment exercer ces droits (email de contact), et préciser qu'en cas de litige, le client peut saisir la CNIL.

La gestion des cookies

Les cookies méritent une section dédiée, voire une page séparée ou un bandeau de consentement spécifique. Listez les catégories de cookies utilisés :

• Cookies essentiels : panier d'achat, session, authentification (pas de consentement requis)
• Cookies analytiques : Google Analytics, Hotjar (consentement requis)
• Cookies publicitaires : Facebook Pixel, TikTok Pixel, Google Ads (consentement requis)

La CNIL est particulièrement attentive aux cookies publicitaires. En France, vous devez obtenir un consentement actif (pas juste un bandeau "En continuant à naviguer, vous acceptez") avant de déposer des cookies non essentiels.

Les outils pour générer une politique de confidentialité

Plusieurs outils permettent de générer automatiquement une politique de confidentialité.

Aucun générateur ne couvre parfaitement les spécificités du dropshipping, notamment les transferts vers des fournisseurs hors UE. Ils constituent une bonne base de départ, mais nécessitent d'être personnalisés, notamment sur :

• La liste précise de vos fournisseurs et pays de transfert
• Les apps Shopify que vous utilisez (chacune peut déposer des cookies ou traiter des données)
• Vos pratiques spécifiques de marketing (liste d'emails, retargeting...)

Shopify : un cas particulier

Si vous utilisez Shopify, la plateforme génère automatiquement un modèle de politique de confidentialité. C'est un bon point de départ, mais ce template n'est pas automatiquement personnalisé à votre situation. Il ne mentionne pas vos fournisseurs spécifiques, ni la transmission des données à ceux-ci. Complétez-le.

Par ailleurs, Shopify lui-même collecte des données de vos clients dans le cadre de l'exécution de ses services (hébergement, paiement via Shopify Payments...). Ces traitements sont couverts par la politique de confidentialité de Shopify, que vous pouvez référencer, mais cela ne vous dispense pas d'avoir la vôtre.

Comment mettre en place la conformité cookies concrètement

La conformité RGPD sur les cookies est souvent le point le plus technique. Voici la démarche concrète pour une boutique Shopify :

1. Installez une app de gestion du consentement aux cookies. Plusieurs apps Shopify gèrent le bandeau de consentement et bloquent les scripts non essentiels tant que l'utilisateur n'a pas accepté. Cookieyes, Consentmo et Pandectes sont des options courantes.

2. Auditez vos cookies. La plupart de ces apps vous permettent de scanner votre site pour détecter tous les cookies déposés. Vous serez parfois surpris par le nombre d'apps Shopify qui déposent des cookies sans que vous le sachiez.

3. Categorisez et configurez. Bloquez les cookies non essentiels (Facebook Pixel, Google Analytics, pixels publicitaires) jusqu'au consentement de l'utilisateur. Oui, ça peut affecter marginalement vos conversions de pub. Mais c'est la règle.

4. Mettez à jour votre politique de confidentialité. Elle doit correspondre exactement à la réalité de vos cookies.

"Un bandeau de cookies qui dit 'En continuant à naviguer vous acceptez nos cookies' sans option de refus n'est pas conforme à la réglementation française. La CNIL a été très claire sur ce point depuis 2021."

Ce que la CNIL peut vérifier

La CNIL peut contrôler votre boutique suite à une plainte d'un consommateur ou dans le cadre de contrôles sectoriels. Elle vérifie notamment :

• L'existence et la conformité de la politique de confidentialité
• Le mécanisme de consentement aux cookies
• La sécurité des données (chiffrement, accès limités...)
• La capacité à répondre aux demandes d'exercice de droits

Les sanctions pour une petite boutique en infraction sont généralement des mises en demeure avant des amendes. Mais les mises en demeure sont publiques, ce qui peut nuire à la réputation.

FAQ politique de confidentialité dropshipping

Est-ce qu'une boutique dropshipping est obligée d'avoir une politique de confidentialité ? Oui, dès lors qu'elle collecte des données personnelles de résidents de l'UE, ce qui est le cas de toute boutique qui vend à des clients européens.

Est-ce que la politique de confidentialité de Shopify couvre ma boutique ? Non. La politique de Shopify couvre les données que Shopify collecte pour fournir ses services. Vous avez besoin de votre propre politique pour les données que vous collectez en tant que vendeur.

Faut-il mentionner mes fournisseurs chinois dans ma politique de confidentialité ? Oui. Quand vous transmettez des données clients (adresse de livraison) à des fournisseurs hors UE, c'est un transfert de données vers un pays tiers qui doit être mentionné.

Peut-on utiliser Facebook Pixel sans bandeau de consentement ? Non. Facebook Pixel dépose des cookies publicitaires qui nécessitent le consentement de l'utilisateur avant d'être activés, selon les directives de la CNIL.

Un générateur gratuit suffit-il pour être conforme ? Pour commencer, oui. Mais il faut le personnaliser à votre situation réelle : fournisseurs utilisés, apps installées, pratiques marketing. Un template générique non adapté peut vous laisser en infraction sur des points spécifiques au dropshipping.