Audit RGPD e-commerce : la checklist complète 2026 (22 points à vérifier)
En bref : les e-commerces sont la cible prioritaire de la CNIL depuis 2023. En 2024, 41 % des sanctions CNIL ont concerné des boutiques en ligne. Pourquoi ? Plus de données collectées (paiement, livraison, profil), plus de cookies tiers (ad tech, analytics, retargeting), et plus de sous-traitants (transporteurs, gateways de paiement, marketplaces). Cette checklist couvre les 22 points spécifiques au e-commerce que tout boutique en ligne doit contrôler.
Pourquoi les e-commerces sont la cible n°1 de la CNIL
Un site e-commerce manipule en moyenne trois fois plus de données personnelles qu'un site vitrine : identité, adresse de livraison, adresse de facturation, téléphone, historique d'achat, préférences de navigation, moyens de paiement. Chaque champ est une obligation RGPD supplémentaire.
En 2024, les cas les plus courants sanctionnés par la CNIL sur des e-commerces :
- Cookies publicitaires déposés avant consentement (55 % des amendes e-commerce)
- Durées de conservation des données clients excessives (20 %)
- Consentement newsletter pré-coché ou forcé (15 %)
- Transferts de données hors UE sans garanties (10 %)
La checklist des 22 points
A. Page d'accueil et navigation (3 points)
☐ 1. Bannière cookies strictement conforme CNIL
Le bouton « Refuser » doit être aussi visible et accessible que le bouton « Accepter ». Pas de couleur subliminale différente, pas de taille deux fois plus petite.
☐ 2. Aucun cookie tiers avant consentement
Ouvrir en navigation privée + DevTools : vérifier que _ga, _fbp, _hj, _pinterest ne sont pas présents avant un clic sur « Accepter ». C'est le n°1 des amendes e-commerce.
☐ 3. Lien politique de confidentialité accessible depuis toutes les pages
En footer, visible sur mobile. Pas besoin de scroller 3 fois pour le trouver.
B. Fiches produit et panier (4 points)
☐ 4. Wishlist / favoris sans création de compte forcée
Si vous stockez les favoris d'un visiteur non-loggué (via cookie ou localStorage), vous devez l'informer et obtenir son consentement.
☐ 5. Avis clients avec mention de la modération et du droit de réponse
Si vous affichez des avis clients, mentionner comment ils sont modérés et la procédure de contestation (article 111-7 du code de la consommation).
☐ 6. Chat en ligne (Crisp, Zendesk, etc.) : information RGPD
Le chat collecte des données. Informer l'utilisateur au démarrage de la conversation + lien vers la politique de confidentialité du prestataire.
☐ 7. Retargeting produit : opt-in avant cookie Facebook/Google Ads Pixel
Les pixels Facebook et Google Ads sont des traceurs. Ils ne doivent se charger qu'après consentement explicite.
C. Formulaires de commande (5 points)
☐ 8. Compte invité possible (pas d'inscription forcée)
La CNIL considère l'inscription forcée comme une collecte excessive de données. Proposez toujours un « achat sans compte ».
☐ 9. Champs marqués obligatoires = strict minimum
Seuls les champs strictement nécessaires à la livraison/facturation doivent être obligatoires. La date de naissance ou le genre ne sont pas pertinents pour une commande.
☐ 10. Case « Accepter la newsletter » non pré-cochée
Case pré-cochée = consentement invalide = amende CNIL quasi-garantie en cas de contrôle. Elle doit être cochée activement par l'utilisateur.
☐ 11. Case « Accepter les CGV » séparée de la newsletter
Les deux ne doivent pas être regroupées en une seule case. Les CGV sont obligatoires, la newsletter est optionnelle — elles ne se valident pas ensemble.
☐ 12. Mention d'information à côté des champs sensibles
Pour téléphone : « Utilisé uniquement en cas de problème de livraison ». Pour email : « Envoi de la confirmation + suivi de commande ». Précision = transparence = conformité.
D. Paiement (3 points)
☐ 13. HTTPS obligatoire sur toute la page de paiement
Aucune exception possible. Sans HTTPS = fuite directe des données bancaires = faute lourde au sens RGPD.
☐ 14. Pas de stockage des numéros de carte côté boutique
Les numéros de carte doivent être tokenisés par votre prestataire (Stripe, Mollie, Adyen, Mercanet). Votre base de données ne doit jamais contenir les 16 chiffres en clair.
☐ 15. Mention prestataire de paiement dans la politique de confidentialité
Nommez précisément votre prestataire (Stripe, PayPal, etc.), sa localisation, et joindre un lien vers sa politique de confidentialité.
E. Emails transactionnels et marketing (3 points)
☐ 16. Lien de désinscription dans chaque newsletter
Obligatoire dans chaque email marketing. Doit fonctionner en 1 clic maximum. Pas besoin de se loguer pour se désinscrire.
☐ 17. Email de confirmation de commande = email transactionnel
Il n'y a pas besoin de consentement pour les emails transactionnels (confirmation, livraison). Mais ne pas les confondre avec du marketing glissé dedans.
☐ 18. Base de données email à jour (pas de bounces accumulés)
Envoyer à des adresses mortes augmente votre spam score et peut être considéré comme de la prospection abusive. Nettoyez votre base tous les 3 mois.
F. Backend et sous-traitants (4 points)
☐ 19. DPA signés avec tous les sous-traitants
Shopify, WooCommerce, Mailchimp, Stripe, transporteur (Colissimo, Chronopost, DPD), serveurs (OVH, AWS)… chacun doit avoir signé un Data Processing Agreement avec vous.
☐ 20. Registre des traitements à jour
Document interne listant tous les flux de données. Obligatoire pour certaines entreprises, fortement recommandé pour toutes. Template gratuit sur cnil.fr.
☐ 21. Durées de conservation documentées
Durées standard e-commerce : commandes 10 ans (comptabilité), données client 3 ans après dernière commande, logs 12 mois, paniers abandonnés 30 jours.
☐ 22. Procédure de violation de données rédigée
En cas de fuite, vous avez 72h pour notifier la CNIL. Avoir la procédure rédigée en amont = ne pas paniquer le jour J.
Cas concrets : 3 e-commerces sanctionnés en 2024
| Site | CA | Manquement | Amende |
|---|---|---|---|
| Boutique mode (anonyme) | 2,3 M€ | Cookies Facebook Pixel avant consentement | 30 000 € |
| Site bijoux (anonyme) | 800 k€ | Newsletter forcée à l'inscription + durées excessives | 15 000 € |
| Site décoration (anonyme) | 5 M€ | Google Analytics sans CCT + pas de DPA avec transporteur | 90 000 € |
Observation : le montant de l'amende est corrélé au CA, pas au nombre de violations. Un manquement sur un e-commerce à 5M€ coûte plus cher que cinq manquements sur une boutique à 300k€. La CNIL applique un principe de proportionnalité.
Checklist express en 30 secondes
Si vous n'avez que 5 minutes pour commencer, vérifiez ces trois points :
- Ouvrez votre boutique en navigation privée, allez dans DevTools → Application → Cookies. Si vous voyez
_gaou_fbpavant consentement = problème critique à corriger aujourd'hui. - Regardez votre formulaire de checkout. Y a-t-il une case « Je souhaite recevoir la newsletter » pré-cochée ? Décochez-la immédiatement.
- Ouvrez votre politique de confidentialité. Date de dernière mise à jour affichée ? Mentionne-t-elle vos prestataires actuels (Shopify, Stripe, Mailchimp…) ? Si non à l'une des deux, réécriture cette semaine.
🛒 Scanner votre boutique en 30 secondes
VeriSite détecte automatiquement les 22 points de cette checklist + RGAA + LCEN + sécurité. Rapport instantané avec priorisation des corrections.
Tester mon e-commercePour aller plus loin
- Guide complet de l'audit RGPD d'un site web (couvre les fondamentaux au-delà de l'e-commerce)
- Les mentions légales obligatoires LCEN
- Les 10 erreurs d'accessibilité les plus fréquentes (RGAA 4.1)