RGPD pour boutique Shopify
Comment rendre sa boutique Shopify conforme au RGPD ?
Pour rendre une boutique Shopify conforme au RGPD, il faut publier une politique de confidentialité mentionnant les transferts vers les États-Unis (Shopify Inc. et son CDN), activer le Customer Privacy API de Shopify pour gérer le consentement cookies, configurer les apps tierces (Klaviyo, Judge.me…) en opt-in marketing, et signer un DPA avec chaque sous-traitant collectant des données.
Les 6 étapes pour mettre une boutique Shopify en conformité RGPD :
- Publier une politique de confidentialité listant Shopify et toutes les apps installées comme sous-traitants
- Activer le Customer Privacy API (bannière cookies native ou app CMP tierce) pour collecter le consentement
- Configurer les inscriptions newsletter et SMS en double opt-in explicite
- Mentionner les transferts vers les États-Unis (Shopify Inc., serveurs Cloudflare) et le cadre Data Privacy Framework
- Signer un accord de sous-traitance RGPD (DPA) avec Shopify et chaque app tierce critique
- Mettre en place un processus pour les demandes d'accès, d'effacement et de portabilité des données clients
Shopify est une plateforme américaine qui héberge les données de ses marchands aux États-Unis et au Canada par défaut. Cette caractéristique structure entièrement la mise en conformité RGPD : vos clients européens doivent être informés du transfert hors UE et des garanties associées.
Notre générateur produit une politique de confidentialité explicitant le rôle de Shopify comme sous-traitant, listant les apps tierces fréquentes (Klaviyo, Judge.me, Loox, Recharge...) et les obligations spécifiques au commerce en ligne français.
Transferts de données vers les USA et le Canada
Shopify Inc. (siège au Canada) et Shopify International Limited (Irlande) opèrent l'infrastructure. Les serveurs principaux sont situés aux USA et au Canada. Pour les clients européens, le transfert s'appuie sur le Data Privacy Framework (DPF) USA et la décision d'adéquation pour le Canada.
Ces transferts doivent être mentionnés explicitement dans votre politique de confidentialité, avec les mécanismes invoqués. En cas d'invalidation future du DPF (comme l'avait été le Privacy Shield en 2020), vous devrez réagir rapidement — d'où l'importance d'avoir un texte transparent sur les bases légales utilisées.
Apps Shopify et sous-traitants en cascade
Chaque app installée depuis le Shopify App Store est un sous-traitant supplémentaire : Klaviyo (email marketing), Judge.me ou Loox (avis clients), Recharge (abonnements), ReConvert (upsell), TikTok Pixel, Meta Pixel...
Le RGPD (art. 28) impose que ces sous-traitants offrent des garanties suffisantes. Vérifiez leur DPA (Data Processing Agreement) avant installation, et listez-les dans votre politique avec leur finalité et leur pays d'hébergement. Les apps gratuites peu connues sont les plus risquées.
Bandeau cookies sur Shopify
Shopify propose depuis 2023 un "Customer Privacy API" qui permet de configurer un bandeau cookies natif. Il est insuffisant tel quel : il ne respecte pas le principe "refuser aussi facilement qu'accepter" exigé par la CNIL.
Solution : installer une app de CMP dédiée (Pandectes, Consentmo, iubenda) ou intégrer Axeptio/Didomi via thème personnalisé. Bloquer Meta Pixel, TikTok Pixel et Google Analytics avant consentement.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD ShopifyQuestions fréquentes
Une boutique Shopify peut-elle être conforme RGPD ?
Oui, en respectant trois conditions : politique de confidentialité explicitant les transferts USA/Canada via DPF, CMP de consentement conforme (refus aussi accessible que l'accord), audit régulier des apps installées et de leurs DPA.
Faut-il déclarer Shopify à la CNIL ?
Non. Depuis le RGPD (2018), la déclaration préalable n'existe plus. Vous devez tenir un registre interne des traitements (article 30 RGPD) et faire une analyse d'impact (AIPD) seulement pour les traitements à risque élevé.
Quel hébergeur déclarer dans les mentions légales pour Shopify ?
Shopify International Limited, 2 Victoria Buildings, Haddington Road, Dublin 4, D04 XN32, Irlande. Bien que les serveurs soient aux USA/Canada, l'entité contractante européenne est l'irlandaise.
Faut-il un DPO pour une boutique Shopify ?
Pas obligatoire dans la plupart des cas. Le DPO est requis si vous traitez à grande échelle des données sensibles ou si vous faites du suivi systématique massif (publicité comportementale lourde par exemple). Pour une boutique standard, non.