RGPD et Shopify : ce que votre boutique doit vraiment mettre en place
Shopify est une plateforme canadienne-américaine. Par défaut, votre boutique n'est pas conforme au RGPD. Voici ce que vous devez concrètement mettre en place pour vendre légalement en Europe.
Beaucoup de propriétaires de boutiques Shopify pensent que la plateforme gère la conformité RGPD à leur place. C'est faux. Shopify est une société canadienne dont les réglages par défaut sont conçus pour le marché nord-américain, pas pour la législation européenne. Si vous vendez à des clients en France ou dans l'UE, la responsabilité légale repose entièrement sur vous.
Cette confusion fait des dégâts concrets. Des boutiques collectent des données sans consentement valable, installent des apps d'analytics sans bandeau cookie conforme, et se croient protégées parce que Shopify a coché une case quelque part dans son interface.
Voici ce que vous devez vraiment mettre en place, dans l'ordre.
Vous êtes responsable de traitement. Shopify est votre sous-traitant.
C'est le point de départ de tout. Au sens du RGPD, deux rôles existent : le responsable de traitement (qui décide pourquoi et comment les données sont collectées) et le sous-traitant (qui les traite pour le compte du responsable).
Vous, propriétaire de la boutique, êtes le responsable de traitement. Shopify est votre sous-traitant. Ce qui signifie que :
- Si la CNIL enquête et sanctionne, c'est vous qui êtes visé, pas Shopify
- Vous devez formaliser la relation avec Shopify via un DPA (Data Processing Addendum, ou Accord de traitement des données)
- Chaque application que vous installez depuis le Shopify App Store devient elle aussi un sous-traitant, avec les mêmes obligations à documenter
Le DPA de Shopify est accessible dans leurs conditions d'utilisation. Ce n'est pas un document que vous signez activement : il s'applique automatiquement à votre utilisation de la plateforme. Mais vous devez savoir qu'il existe et le mentionner dans votre politique de confidentialité.
"L'utilisation de Shopify ne vous exonère d'aucune obligation RGPD. Shopify traite les données pour vous, mais c'est vous qui avez décidé de les collecter." Une réalité que beaucoup de vendeurs découvrent après une mise en demeure.
Les 5 documents légaux obligatoires pour votre boutique
Pour une boutique Shopify vendant à des clients en France, cinq documents doivent être accessibles depuis votre site. Shopify en génère certains automatiquement dans des versions génériques, insuffisantes pour le droit français.
| Document | Obligatoire | Génération Shopify | Conforme droit français ? |
|---|---|---|---|
| Mentions légales | Oui | Non | À créer manuellement |
| CGV | Oui | Partielle (générique) | À adapter |
| Politique de confidentialité | Oui | Oui (générique, en anglais) | À compléter entièrement |
| Politique de cookies | Oui | Non | À créer |
| Droit de rétractation (14 jours) | Oui | Mentionné partiellement | À vérifier |
Les mentions légales
Les mentions légales doivent indiquer votre identité complète (nom, SIREN/SIRET, adresse professionnelle), les coordonnées de votre hébergeur, et celles du responsable de la publication. Pour une boutique Shopify, l'adresse de l'hébergeur à mentionner est Shopify Inc., 151 O'Connor Street, Ottawa, Ontario, K2P 2L8, Canada. Ce n'est pas optionnel : c'est une obligation de la loi pour la confiance dans l'économie numérique (LCEN).
Les CGV (conditions générales de vente)
Les CGV générées par Shopify sont dans un format générique souvent en anglais. Elles doivent couvrir les modalités de paiement, les délais de livraison, le droit de rétractation de 14 jours pour les clients particuliers en Europe, les garanties légales de conformité et les modalités de retour. Une traduction approximative ou un copier-coller d'un autre site ne suffit pas pour être valable devant un tribunal.
La politique de confidentialité
C'est le document le plus complexe à rédiger correctement. Elle doit expliquer, pour chaque traitement de données :
- Quelle donnée est collectée (email, adresse postale, comportement de navigation, historique d'achat...)
- Pour quelle finalité (traitement de commande, envoi de newsletter, analytics, reciblage publicitaire...)
- Sur quelle base légale (exécution du contrat pour les commandes, consentement pour le marketing, intérêt légitime pour la sécurité...)
- Qui y a accès (Shopify, apps tierces, fournisseurs si vous faites du dropshipping, prestataires email...)
- Combien de temps les données sont conservées
- Où elles sont stockées, et si hors UE, quelles garanties encadrent ce transfert
La politique générée automatiquement par Shopify ne couvre pas vos apps tierces, ne mentionne pas vos fournisseurs si vous faites du dropshipping, et n'est pas calibrée pour le droit français. Elle est un point de départ, pas un document final.
Les cookies et le consentement : pas de case à cocher, pas de dépôt
La règle est simple à comprendre mais souvent mal appliquée : vous ne pouvez pas déposer de cookies non essentiels avant que l'utilisateur ait activement accepté.
Par défaut, Shopify dépose plusieurs cookies dès qu'un visiteur arrive sur votre site. Certains sont essentiels au fonctionnement du panier et de la session (ils ne nécessitent pas de consentement). Les cookies d'analytics (Shopify Analytics, Google Analytics) et de marketing (Meta Pixel, TikTok Pixel) ne sont pas essentiels et nécessitent un consentement préalable et explicite.
Ce que ça implique concrètement :
- Votre bandeau cookie doit apparaître avant que les Pixels et Analytics se chargent
- Le visiteur doit pouvoir refuser facilement, sans avoir à chercher un bouton caché
- "Continuer à naviguer = accepter" n'est plus un consentement valable depuis les lignes directrices de la CNIL de 2022
Les apps les plus utilisées pour gérer le consentement sur Shopify sont Consentmo, CookieYes et Pandectes GDPR Compliance. Elles intègrent aussi la gestion du consent mode de Google, ce qui évite que GA4 plante entièrement si l'utilisateur refuse les cookies analytics.
Pour aller plus loin sur la configuration concrète du bandeau, consultez le guide Bandeau cookies Shopify.
Les applications tierces : une zone de risque que beaucoup ignorent
Chaque app installée sur Shopify peut accéder à vos données clients. C'est clairement indiqué dans les permissions que vous accordez lors de l'installation. Le problème : beaucoup de propriétaires de boutiques installent des dizaines d'apps sans réfléchir à ce que chacune fait avec les données.
Règle pratique : chaque app qui accède à des données clients doit figurer dans votre politique de confidentialité comme destinataire. Si l'app est hébergée hors UE (États-Unis, Inde...), vous devez mentionner les garanties encadrant le transfert.
Exemples d'apps courantes qui accèdent à des données sensibles :
- Les apps de récupération de panier abandonné (elles lisent les emails et les comportements d'achat avant même que la commande soit passée)
- Les apps d'avis clients comme Loox ou Trustpilot (collectent des données et les envoient sur leurs propres serveurs américains)
- Les apps de chat en direct (Tidio, Gorgias) qui enregistrent les conversations
- Les apps de programmes de fidélité qui créent des profils clients détaillés
Avant d'installer une app, vérifiez dans sa documentation si elle propose un DPA. Les apps sérieuses (Klaviyo, Judge.me, Recharge) fournissent un DPA téléchargeable dans leur espace client.
Les droits des clients que vous devez honorer
Le RGPD donne à chaque personne dont vous collectez des données un ensemble de droits auxquels vous devez répondre dans un délai de 30 jours :
- Droit d'accès : un client peut demander quelles données vous avez sur lui
- Droit de rectification : il peut demander à corriger une donnée incorrecte
- Droit à l'effacement ("droit à l'oubli") : il peut demander la suppression de ses données
- Droit à la portabilité : il peut demander ses données dans un format lisible et réutilisable
- Droit d'opposition : il peut s'opposer au traitement de ses données à des fins de prospection commerciale
Sur Shopify, vous pouvez supprimer ou anonymiser un client depuis le back-office (Clients > sélectionner le client > Effacer les données personnelles). Mais si vous utilisez des apps tierces comme Klaviyo ou Mailchimp, vous devez aussi supprimer les données dans ces outils. Un clic dans Shopify ne suffit pas si les données existent ailleurs.
Prévoyez une adresse email dédiée aux demandes RGPD dans votre politique de confidentialité (par exemple privacy@votreboutique.fr) et une procédure interne pour traiter ces demandes.
Les transferts de données hors UE
Shopify stocke ses données sur des serveurs en Amérique du Nord. Depuis l'invalidation du Privacy Shield en 2020, les transferts de données vers les États-Unis devaient être encadrés par des mécanismes spécifiques comme les Clauses Contractuelles Types (CCT).
Depuis 2023, l'accord UE-États-Unis sur la protection des données (EU-US Data Privacy Framework) a rétabli un cadre légal pour les transferts vers les entreprises américaines certifiées. Shopify est certifié sous ce framework, ce qui couvre les données que vous lui transmettez. En revanche, les apps tierces hébergées aux États-Unis qui ne sont pas certifiées restent dans une zone de risque légale.
Mention à inclure dans votre politique de confidentialité : indiquer que Shopify Inc. traite des données aux États-Unis dans le cadre du Data Privacy Framework (DPF) et fournir un lien vers la page de certification de Shopify.
Les erreurs les plus courantes
Quelques situations récurrentes dans les boutiques Shopify françaises :
Utiliser la politique de confidentialité générée automatiquement par Shopify sans l'adapter. Elle est souvent en anglais, ne mentionne pas vos apps tierces, et ne couvre pas vos fournisseurs si vous faites du dropshipping.
Installer Google Analytics ou le Pixel Meta sans consent mode. Si l'utilisateur refuse les cookies et que ces outils se chargent quand même, vous êtes en infraction. La CNIL a sanctionné plusieurs sites pour ce motif.
Confondre l'acceptation des CGV avec le consentement marketing. Avoir des CGV acceptées ne vous autorise pas à envoyer des emailings promotionnels. Le marketing par email requiert un consentement distinct et explicite.
Oublier que les fournisseurs de dropshipping reçoivent des données clients. Chaque commande transmise à un fournisseur chinois ou américain inclut le nom, l'adresse et le téléphone du client. C'est un transfert de données à mentionner obligatoirement.
Par où commencer concrètement
Si vous partez de zéro ou que vous savez que votre boutique n'est pas à jour, voici l'ordre logique :
- Lire le DPA de Shopify pour comprendre ce qu'ils font avec vos données
- Rédiger les mentions légales avec vos coordonnées et l'adresse de Shopify comme hébergeur
- Installer une app de gestion du consentement (Consentmo ou CookieYes) et la configurer avant d'activer Analytics et les Pixels
- Adapter la politique de confidentialité en incluant Shopify, vos apps tierces et vos fournisseurs
- Vérifier vos CGV pour y inclure le droit de rétractation de 14 jours et les garanties légales conformes au droit français
- Créer un point de contact dédié pour les demandes RGPD
Pour des boutiques avec un volume de commandes significatif, un audit par un avocat spécialisé en droit numérique ou un DPO freelance peut valoir l'investissement (comptez entre 500 et 2 000 euros selon la complexité de votre stack).
FAQ RGPD Shopify
Shopify est-il conforme au RGPD ? Shopify en tant que plateforme a adapté ses propres pratiques au RGPD. Mais la conformité de votre boutique dépend de ce que vous faites avec Shopify : les documents légaux que vous publiez, le consentement cookies que vous mettez en place, la gestion des droits clients. La plateforme ne fait pas ça à votre place.
Ai-je besoin d'un DPO (Délégué à la Protection des Données) ? Un DPO est obligatoire uniquement si vous traitez des données sensibles à grande échelle ou si vous êtes un organisme public. Pour la grande majorité des boutiques Shopify, ce n'est pas obligatoire. Mais vous devez quand même désigner un contact RGPD accessible dans votre politique de confidentialité.
Que risque-t-on en cas de non-conformité ? La CNIL peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, les premières sanctions sont souvent des mises en demeure. Mais des boutiques ayant reçu une plainte d'un client ont déjà été sanctionnées, même pour de petits volumes de commandes.
Mon fournisseur de dropshipping est en Chine. Est-ce un problème RGPD ? Oui. Vous lui transmettez des données personnelles (nom, adresse, téléphone de votre client) sans cadre légal équivalent au RGPD. Vous devez le mentionner dans votre politique de confidentialité. En pratique, beaucoup de fournisseurs chinois ne proposent pas de DPA. Mentionnez explicitement le transfert et précisez que vous ne pouvez pas garantir un niveau de protection équivalent au RGPD européen côté fournisseur.
Les clients peuvent-ils demander à supprimer leurs données ? Oui, et vous avez 30 jours pour répondre. Sur Shopify, vous pouvez supprimer ou anonymiser un compte client depuis le back-office (Clients > sélectionner le client > Effacer les données personnelles). Pensez aussi à supprimer les données dans vos apps tierces (Klaviyo, Mailchimp, Loox, etc.) car ce sont des traitements distincts.
Frank Houbre
Frank Houbre est entrepreneur digital depuis plus de dix ans, fondateur de BusinessDynamite. Il partage des méthodes concrètes et des avis honnêtes sur le business en ligne, l'e-commerce, le dropshipping, le marketing et les vraies façons de gagner de l'argent, sans fausses promesses. Il s'intéresse aussi à l'IA comme outil au service du business, et a été récompensé aux Seoul International AI Film Festival et Mondial Chroma Awards pour ses créations IA.
À lire aussi
Bandeau cookies Shopify : comment être conforme RGPD sans se compliquer la vie
Le bandeau cookies sur Shopify n'est pas optionnel si tu vends en Europe. Voici comment le configurer correctement, quelles apps utiliser, et ce que la CNIL exige vraiment.
Politique de confidentialité pour une boutique dropshipping : ce qu'elle doit contenir
Une boutique dropshipping collecte des données personnelles et les transmet à des fournisseurs. Voici ce que doit contenir votre politique de confidentialité pour être conforme au RGPD.
CGV et mentions légales d'une boutique en ligne : le guide
Toute boutique en ligne doit avoir des CGV et des mentions légales. Voici ce qu'elles doivent contenir, pourquoi c'est obligatoire, et pourquoi les générateurs ne suffisent pas toujours.
Dropshipping sur Shopify : comment démarrer, configurer et vendre en 2026
Shopify est la plateforme de référence pour le dropshipping. Voici comment la configurer correctement, quels outils connecter, ce que ça coûte vraiment, et les pièges à éviter au démarrage.
