RGPD pour boutique WooCommerce
WooCommerce transforme WordPress en une boutique e-commerce complète, mais cette combinaison multiplie les points de collecte de données personnelles : commandes, adresses de facturation et de livraison, comptes clients, passerelles de paiement et extensions marketing. Chaque couche supplémentaire crée de nouvelles obligations au regard du RGPD.
Notre générateur produit une politique de confidentialité ciblée sur les traitements propres à l'e-commerce WooCommerce : gestion des commandes, sous-traitance des prestataires de paiement (PSP), durée de conservation des factures et conformité du bandeau cookies sur une boutique WordPress.
Données de commandes et comptes clients
WooCommerce collecte et stocke en base de données WordPress les informations suivantes pour chaque commande : nom, prénom, adresses de facturation et de livraison, email, téléphone, contenu du panier, montant, statut de paiement et adresse IP de commande. Ces données constituent des données personnelles au sens de l'article 4 du RGPD et leur traitement doit être couvert par une politique de confidentialité complète (RGPD art. 13).
Pour les comptes clients enregistrés, s'ajoute l'historique des commandes, les listes de favoris, les données de carte de fidélité éventuelles et les préférences de contact. La CNIL recommande de ne pas conserver ces profils au-delà de trois ans après la dernière interaction commerciale — WooCommerce ne gère pas cette purge automatiquement par défaut, il faut un plugin ou un script dédié.
Les notes de commande (champ libre saisi par le client) peuvent contenir des données sensibles imprévues. Définissez une politique claire sur leur conservation et évitez de les exposer dans des exports ou des emails automatiques non chiffrés.
Prestataires de paiement et transferts hors UE
Stripe (siège aux États-Unis) et PayPal (siège aux États-Unis et Luxembourg selon les flux) sont les PSP les plus courants sous WooCommerce. Les deux sont soumis au Data Privacy Framework UE-USA pour les transferts transatlantiques (RGPD art. 44 et suivants). Vérifiez que la version de votre plugin WooCommerce Stripe ou WooCommerce PayPal est à jour : les anciens plugins ne transmettent pas correctement les clauses contractuelles types.
Des PSP européens — Mollie, Alma, Lyra/PayZen — évitent tout transfert hors UE et simplifient la rédaction de votre politique. Quelle que soit la solution choisie, le PSP est un sous-traitant au sens de l'article 28 du RGPD : son DPA (Data Processing Agreement) doit être consulté et référencé dans votre documentation interne.
Extensions WooCommerce et bandeau de consentement
L'écosystème d'extensions WooCommerce est vaste : Klaviyo, Mailchimp for WooCommerce, WooCommerce Google Analytics, Facebook for WooCommerce (Meta Pixel), Yotpo ou TrustPilot pour les avis, WooCommerce Subscriptions pour les abonnements récurrents. Chaque extension qui envoie des données à un tiers — même à titre d'analytics — doit être déclarée dans la politique de confidentialité avec sa finalité, ses destinataires et les bases légales applicables.
Le bandeau cookies doit bloquer le Meta Pixel et Google Analytics avant tout consentement explicite. Les recommandations CNIL en vigueur depuis 2021 imposent que le refus soit aussi simple que l'acceptation : un bouton « Tout refuser » au même niveau visuel que « Tout accepter ». Aucune extension WooCommerce native ne gère cela — une CMP (Axeptio, Tarteaucitron, Complianz) est indispensable.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD WooCommerceQuestions fréquentes
WooCommerce est-il conforme au RGPD par défaut ?
Partiellement. WooCommerce intègre depuis la version 3.4 des fonctionnalités RGPD : cases de consentement sur les formulaires, export et suppression des données client depuis l'espace personnel, intégration avec l'outil WordPress d'export de données personnelles. Mais la politique de confidentialité, le bandeau cookies et la gestion des extensions tierces restent entièrement à votre charge.
Combien de temps conserver les données de commandes WooCommerce ?
Les données comptables (factures) doivent être conservées dix ans en vertu de l'article L123-22 du Code de commerce. Les données de profil client (compte, préférences) doivent être anonymisées après trois ans d'inactivité selon la recommandation CNIL. La solution pratique consiste à dissocier les données de commande anonymisées des données de profil client.
Stripe et PayPal sont-ils conformes au RGPD ?
Les deux sociétés publient un DPA conforme au RGPD et sont certifiées au Data Privacy Framework UE-USA pour les transferts transatlantiques. Côté WooCommerce, vérifiez que votre plugin utilise bien l'API Stripe v3+ ou le SDK PayPal actuel, car les anciennes intégrations ne respectent plus les clauses de transfert mises à jour.
Faut-il informer les clients du transfert de leurs données vers le PSP ?
Oui. Le PSP est un destinataire des données personnelles (nom, adresse, montant) et doit être mentionné dans la politique de confidentialité. Indiquez la finalité (traitement du paiement), la base légale (exécution du contrat, RGPD art. 6.1.b) et, si le PSP est américain, le mécanisme de transfert invoqué (Data Privacy Framework).