Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Six ans plus tard, la CNIL française et ses homologues européens ont prononcé des milliers de sanctions, pour des montants qui dépassent régulièrement plusieurs millions d'euros pour les plus grandes entreprises. Pour les e-commerçants de toute taille, le risque de sanction est réel, et la conformité n'est plus optionnelle. Voici les points de vigilance les plus importants en 2025.
Le consentement aux cookies est la première source de non-conformité pour les sites e-commerce. La CNIL a publié des lignes directrices très précises : le consentement doit être libre, éclairé, spécifique et univoque. Cela signifie que le bouton "Refuser tout" doit être aussi facile d'accès que le bouton "Accepter tout" (même niveau, même taille, même couleur), qu'il doit être possible de modifier ses préférences à tout moment via un lien accessible, et que aucun cookie non essentiel ne doit être déposé avant que le consentement ait été explicitement obtenu. Les bandeaux qui pré-cochent des cases ou qui rendent le refus délibérément difficile sont sanctionnés.
La collecte de données minimale est un principe fondamental du RGPD souvent violé dans le design des formulaires e-commerce. Ne collecter que les données strictement nécessaires à la finalité annoncée : pour une commande en ligne, le nom, l'adresse de livraison, l'email et le numéro de téléphone sont nécessaires. La date de naissance, le secteur d'activité ou les préférences politiques ne le sont pas, sauf finalité spécifique justifiée. Chaque champ supplémentaire dans un formulaire doit être justifiable par une nécessité réelle.
Le droit à l'effacement (droit à l'oubli) est une obligation dont les e-commerçants doivent se doter d'une procédure opérationnelle. Quand un client demande la suppression de ses données, l'entreprise doit être en mesure de traiter cette demande dans le délai légal (un mois, extensible à trois mois pour les demandes complexes) et de documenter les actions prises. Cette obligation nécessite une cartographie claire des données stockées (CRM, ERP, analytics, emailing) et des procédures de suppression dans chacun de ces systèmes.
La sous-traitance des données est une zone de risque importante. Chaque prestataire qui traite des données pour le compte de l'e-commerçant (hébergeur, prestataire de paiement, outil d'emailing, outil d'analytics) doit être lié par un contrat de sous-traitance conforme au RGPD (clauses spécifiques sur la sécurité, la confidentialité, les conditions de restitution et destruction des données). L'utilisation d'outils américains qui transfèrent des données en dehors de l'Union Européenne doit s'appuyer sur des mécanismes de transfert validés (clauses contractuelles types, Binding Corporate Rules).
Le registre des traitements est l'outil central de la conformité RGPD pour une organisation. Il documente tous les traitements de données personnelles réalisés : finalité, types de données traitées, base légale, durée de conservation, sous-traitants impliqués, mesures de sécurité. Ce registre, obligatoire pour toutes les entreprises qui traitent des données personnelles à grande échelle, doit être maintenu à jour et est le premier document demandé par la CNIL lors d'un contrôle. Sa mise en place est moins complexe qu'il n'y paraît avec les outils dédiés disponibles.
