Aller au contenu principal
Retour au blog
RGPDcommerçantssite internetconformitéguide

RGPD pour les commerçants : ce qui est vraiment obligatoire (et ce qui ne l'est pas)

Steven N.
9 mai 20268 min de lecture

Depuis 2018, le RGPD est dans toutes les bouches. Et avec lui, des consultants qui vous vendent des "audits de conformité" à 3 000 €, des plateformes qui vous facturent 30 €/mois pour des "bandeaux cookies" ultra-compliqués, et des banques qui menacent de couper votre TPE si vous n'avez pas de DPO.

Le vrai. Le faux. Le strictement obligatoire pour un commerçant ou artisan avec un site web. Sans peur ni jargon.

Le RGPD en 30 secondes (vraiment)

Le RGPD (Règlement Général sur la Protection des Données) est un texte européen entré en vigueur en mai 2018. Il dit en substance :

> Si vous collectez ou utilisez des données personnelles (nom, email, téléphone, adresse, IP, comportement de navigation…), vous devez le faire proprement : avec consentement, transparence, sécurité, et possibilité pour la personne d'accéder/modifier/supprimer ses données.

C'est tout. Le reste est de l'application pratique.

Ce qui est VRAIMENT obligatoire pour un commerçant

1. Page Mentions légales

Obligatoire pour TOUS les sites professionnels (loi LCEN, antérieure au RGPD). Doit contenir :

  • Identité de l'éditeur (votre raison sociale, votre forme juridique)
  • Adresse complète
  • Numéro de téléphone et email
  • Pour les SARL/SAS : capital social, RCS, SIRET
  • TVA intracommunautaire si applicable
  • Directeur de la publication (souvent vous-même)
  • Hébergeur (nom + adresse complète)

Sanction en cas d'oubli : jusqu'à 75 000 € d'amende et 1 an de prison (rarement appliquée mais existante).

2. Page Politique de confidentialité

Obligatoire dès que vous collectez la moindre donnée (formulaire de contact, newsletter, commande…). Doit dire :

  • Quelles données vous collectez
  • Pourquoi (finalité)
  • Combien de temps vous les gardez
  • À qui vous les transmettez (Stripe, Google, mailer…)
  • Comment exercer ses droits (accès, rectification, suppression)

Bonne nouvelle : un bon développeur vous fournit un modèle adapté à votre situation. Pas besoin d'un avocat à 500 €/h.

3. Bandeau cookies (uniquement si vous avez des cookies non-essentiels)

C'est ici que ça se complique, mais surtout que beaucoup paniquent inutilement.

Vous N'AVEZ PAS BESOIN de bandeau cookies si :

  • Vous n'utilisez aucun cookie tiers (pas Google Analytics, pas Facebook Pixel, pas pub)
  • Vous n'utilisez que des cookies techniques (panier, session de connexion)

Vous AVEZ BESOIN d'un bandeau cookies si :

  • Vous utilisez Google Analytics, Facebook Pixel, Hotjar, ou n'importe quel outil de tracking publicitaire
  • Vous chargez des polices Google (Google Fonts en CDN — il faut soit obtenir consentement, soit héberger les fonts en local)
  • Vous embed des vidéos YouTube/Vimeo (cookies tiers)

Le bandeau doit :

  • Apparaître avant le dépôt de cookies
  • Permettre de refuser aussi facilement que d'accepter (un seul clic)
  • Lister les finalités

Solution simple : héberger ses fonts en local + utiliser Plausible/Umami à la place de Google Analytics = plus besoin de bandeau cookies. C'est ce que je recommande à tous mes clients commerçants.

4. Sécuriser les données collectées

  • HTTPS obligatoire (cadenas dans la barre d'adresse — Let's Encrypt est gratuit, aucune excuse)
  • Mots de passe stockés en hash bcrypt/argon2 (jamais en clair)
  • Backups réguliers et chiffrés
  • Mises à jour de sécurité appliquées rapidement

Là encore, un bon dev fait tout ça par défaut. Si votre site WordPress n'a pas eu de mise à jour depuis 6 mois, vous êtes en infraction.

5. Hébergement européen (recommandé, pas strictement obligatoire)

Le RGPD permet l'hébergement hors-UE avec garanties supplémentaires (Clauses Contractuelles Types). Mais c'est plus simple d'héberger en Europe.

  • ✅ Recommandé : Hetzner (Allemagne), OVH (France), Scaleway (France)
  • ⚠️ Acceptable mais avec mentions CCT : AWS / Google Cloud / Azure (datacenter EU)
  • ❌ À éviter pour un commerçant : hébergeurs US sans engagement RGPD

Ce qui N'EST PAS obligatoire (malgré ce qu'on vous dit)

Avoir un DPO (Délégué à la Protection des Données)

Faux pour 99 % des commerçants et artisans. Le DPO n'est obligatoire que :

  • Pour les administrations publiques
  • Pour les entreprises traitant des données sensibles à grande échelle (santé, biométrie…)
  • Pour les entreprises faisant du suivi systématique à grande échelle

Si vous tenez une boulangerie ou une boutique de souvenirs, vous n'avez pas besoin de DPO. Point.

Tenir un "registre des traitements" en bonne et due forme

Vrai pour les structures de plus de 250 employés. Pour les TPE/PME, c'est seulement obligatoire si vos traitements ne sont pas occasionnels ou présentent un risque — autrement dit, presque jamais pour un commerçant classique.

La CNIL fournit un modèle simplifié à 1 page si vous voulez vous mettre en règle proprement, mais ce n'est pas un drame de ne pas l'avoir.

Une "audit RGPD" à 3 000 €

Inutile pour la majorité des commerçants. Si vous avez un site avec mentions légales, politique de confidentialité, HTTPS, et hébergement EU, vous êtes déjà à 95 % de la conformité. Le reste est du peaufinage.

Un "certificat RGPD"

Ça n'existe pas. Personne ne peut vous "certifier RGPD". C'est de la vente de peur.

Cas particulier : la newsletter

Si vous envoyez des emails à vos clients (promotions, nouveautés, newsletter) :

  • Consentement explicite obligatoire : case à cocher décochée par défaut, formulation claire ("J'accepte de recevoir la newsletter")
  • Lien de désabonnement dans CHAQUE email (un clic, sans login)
  • Conserver la preuve du consentement (date, IP, formulaire)

Solutions conformes : Brevo (ex-Sendinblue, FR), Mailjet (FR), Mailerlite, ConvertKit.

Cas particulier : le formulaire de contact

  • ✅ Mentionner sous le formulaire : "Les données collectées via ce formulaire ne sont utilisées que pour répondre à votre demande et ne sont pas transmises à des tiers."
  • ✅ Conserver les messages 3 ans maximum (ou jusqu'à clôture du dossier client)
  • ❌ Pas besoin de case à cocher si l'usage est évident (répondre à la demande)

Cas particulier : les commandes e-commerce

  • ✅ Mentions légales + politique de confidentialité complètes
  • ✅ Conditions générales de vente (CGV) — obligatoires distinctement du RGPD
  • ✅ Récapitulatif clair avant paiement (loi Hamon)
  • ✅ Confirmation de commande envoyée par email
  • ✅ Droit de rétractation 14 jours (Code de la consommation art. L221-18)
  • ✅ Données conservées 5 ans (obligation comptable) puis supprimées sur demande

Sanctions réelles vs sanctions théoriques

Les 20 millions d'euros ou 4 % du CA mondial dont on parle partout, c'est le plafond théorique maximum réservé aux GAFAM et aux infractions massives.

Pour un commerçant, les sanctions effectives observées en 2024-2025 :

  • Mise en demeure CNIL avec délai de mise en conformité (gratuit, juste corriger)
  • Amendes de 1 500 à 10 000 € pour les vrais cas de mauvaise foi
  • Très peu de procédures pénales

Le vrai risque pour un commerçant : un client mécontent qui signale à la CNIL = enquête + obligation de corriger + éventuellement amende symbolique.

La checklist minimale pour être en règle

Pour un commerçant ou artisan avec un site vitrine ou e-commerce, voici la liste minimale :

  • [ ] HTTPS activé (cadenas dans la barre d'adresse)
  • [ ] Page Mentions légales complète
  • [ ] Page Politique de confidentialité complète
  • [ ] Bandeau cookies (uniquement si vous avez Google Analytics ou Facebook Pixel)
  • [ ] Lien de désabonnement dans la newsletter (si vous en avez une)
  • [ ] Mots de passe stockés en hash bcrypt/argon2
  • [ ] Mises à jour de sécurité appliquées (idéalement automatiques)
  • [ ] Hébergement européen (recommandé)
  • [ ] Backups réguliers et chiffrés
  • [ ] CGV (uniquement pour les e-commerces)

Si vous cochez ces 10 cases, vous êtes en règle pour 99 % des cas.

Ce que je fais pour mes clients

Tous les sites que je livre incluent par défaut :

  • Mentions légales et politique de confidentialité personnalisées (vraies, pas génériques)
  • HTTPS Let's Encrypt + headers de sécurité (HSTS, CSP)
  • Hébergement européen (Hetzner Allemagne ou OVH France)
  • Stripe (PCI-DSS, conforme)
  • Plausible Analytics (sans cookies, pas de bandeau nécessaire) ou Google Analytics avec bandeau conforme selon votre choix
  • Backups quotidiens chiffrés
  • Mises à jour de sécurité appliquées

Inclus dans les 2 500 € (vitrine) ou 4 500 € (e-commerce) de départ. Pas de "RGPD en option" surfacturé.

Demandez votre devis — j'audite gratuitement votre conformité actuelle si vous avez déjà un site.

Un projet en tête ?

Discutons de votre projet. Devis gratuit et sans engagement, réponse sous 24 h.

Demander un devis