La CNIL inscrit l’e-commerce dans son programme annuel de contrôles thématiques depuis 2022, et le nombre de mises en demeure publiques contre des sites marchands progresse chaque année. Le montant moyen des amendes a presque doublé en deux ans. La raison est structurelle : les boutiques en ligne collectent un volume important de données personnelles (paiement, adresse, historique d’achats) tout en étant souvent moins matures juridiquement que les grandes plateformes. Résultat : la CNIL les place dans le viseur de ses contrôles thématiques annuels.
Si vous gérez un e-commerce, mieux vaut connaître les sept erreurs qui font basculer un site dans la liste des contrôles prioritaires. Cet article détaille chacune d’entre elles, avec les références juridiques exactes et les correctifs concrets. Commencez par analyser gratuitement votre boutique pour identifier vos failles, puis suivez le plan d’action RGPD en 10 étapes pour corriger.
Pourquoi la CNIL cible particulièrement les e-commerces
La CNIL publie chaque année un programme de contrôles thématiques. Depuis 2022, l’e-commerce y figure systématiquement, aux côtés de la santé numérique et du marketing direct. Les raisons sont structurelles.
Premièrement, le volume : un e-commerce moyen collecte plus de 30 catégories de données par client (identité, paiement, comportement de navigation, préférences, géolocalisation). Multipliée par des dizaines de milliers de clients, l’exposition est considérable.
Deuxièmement, la traçabilité du parcours utilisateur : cookies tiers, pixels publicitaires, retargeting, marketing automation. Chaque outil ajouté fragilise le cadre du consentement.
Troisièmement, la sous-traitance : entre l’hébergeur, la plateforme (Shopify, WooCommerce, PrestaShop), le processeur de paiement, l’outil d’emailing et la solution de scoring, un e-commerce moyen a entre 8 et 15 sous-traitants RGPD. La cartographie est rarement à jour.
Enfin, les transferts internationaux : Google Analytics, Mailchimp, Stripe, AWS — autant de services hébergés aux États-Unis qui rendent indispensables des garanties contractuelles spécifiques (clauses contractuelles types, mesures supplémentaires post-Schrems II).
Erreur 1 : Cookies sans consentement explicite valide
C’est l’erreur la plus fréquente, et la plus facilement repérable depuis l’extérieur. La bannière de cookies doit respecter trois exigences cumulatives (CNIL, lignes directrices du 17 septembre 2020, complétées en 2024) :
- Consentement libre : il doit être aussi simple de refuser que d’accepter. Un bouton « Tout accepter » sans bouton « Tout refuser » de visibilité équivalente est une infraction.
- Consentement spécifique : par finalité (publicité, mesure d’audience, personnalisation), pas global.
- Consentement préalable : aucun cookie tiers ne peut être déposé avant le clic.
Sanctions récentes : la CNIL a sanctionné plusieurs grandes plateformes pour des montants allant de 60 à 150 millions d’euros sur ces seuls motifs. Pour les PME, les amendes oscillent typiquement entre 20 000 € et 200 000 € selon la taille de l’entreprise et la durée de la non-conformité.
Le correctif : déployer une bannière conforme avec auto-blocage des trackers avant consentement. La bannière cookies gratuite WebLegal bloque automatiquement plus de 37 traqueurs et respecte les directives CNIL 2020 + Google Consent Mode v2.
Erreur 2 : Politique de confidentialité générique ou absente
Une part importante des sites e-commerce français contrôlés ces dernières années n’avait pas de politique de confidentialité conforme. Les lacunes les plus fréquentes :
- Mentions copiées-collées d’un autre site sans adaptation aux finalités réelles.
- Durées de conservation non spécifiées par catégorie de données.
- Liste des sous-traitants absente ou obsolète.
- Bases légales du traitement non précisées (consentement, contrat, intérêt légitime, obligation légale).
Le RGPD article 13 impose 12 mentions obligatoires lorsque les données sont collectées directement auprès de la personne. L’omission de l’une d’entre elles constitue un manquement, même si le site est par ailleurs sécurisé.
Le correctif : générer une politique adaptée à votre activité réelle. Évitez les modèles génériques. Pour comprendre les obligations exactes, voir notre article Politique de Confidentialité Obligatoire : Risques et Amendes.
Erreur 3 : Mentions légales incomplètes
Les mentions légales sont régies à la fois par le Code de la consommation (article L111-1) et par la LCEN (loi pour la confiance dans l’économie numérique de 2004). Elles doivent inclure :
- Identité du vendeur (nom, dénomination sociale, forme juridique)
- Adresse physique et email professionnel
- Numéro de téléphone
- Numéro RCS et capital social pour les sociétés
- Numéro de TVA intracommunautaire
- Identité du directeur de la publication
- Coordonnées de l’hébergeur
L’absence de l’une de ces mentions peut entraîner une amende administrative de 75 000 € pour une personne physique, et 375 000 € pour une personne morale (article L. 121-3 du Code de la consommation). La DGCCRF contrôle aussi ces obligations, en sus de la CNIL. Pour le détail, consultez notre guide Mentions légales : amende de 75 000 € si absentes.
Erreur 4 : Transferts hors UE non encadrés
Depuis l’arrêt Schrems II (juillet 2020), tout transfert de données vers les États-Unis (et autres pays sans décision d’adéquation) doit être encadré par des garanties spécifiques :
- Clauses contractuelles types (SCC) version juin 2021 — les anciennes versions ne sont plus valables depuis le 27 décembre 2022.
- Évaluation d’impact des transferts (TIA) documentée.
- Mesures supplémentaires si les SCC seules ne suffisent pas (chiffrement, pseudonymisation).
Outils concrets concernés en e-commerce :
| Service | Risque | Mesure |
|---|---|---|
| Google Analytics 4 | Sanctionné par la CNIL en 2022 | Activer l’IP anonymisation + utiliser Consent Mode v2, ou migrer vers Matomo / Plausible |
| Mailchimp | Hébergement US | SCC + audit annuel, ou alternative EU (Brevo, Mailjet) |
| Stripe | Hébergement US partiel | SCC actives par défaut, vérifier la version |
| AWS / GCP | Selon la région choisie | Privilégier eu-west-* / europe-west-* |
Le correctif : faire l’inventaire des sous-traitants, vérifier les SCC, et envisager des alternatives européennes pour les outils non critiques. Pour Google Analytics spécifiquement, voir notre guide Google Analytics et RGPD : alternatives conformes CNIL.
Erreur 5 : Sous-traitants non listés ou sans DPA
L’article 28 du RGPD impose un contrat écrit (Data Processing Agreement, ou DPA) entre le responsable de traitement (vous) et chaque sous-traitant qui accède aux données personnelles de vos clients. Le contrat doit contenir 9 mentions obligatoires : objet, durée, finalités, types de données, obligations du sous-traitant, droits du responsable, transferts hors UE, sous-traitance ultérieure, clauses de fin.
Les plateformes majeures (Shopify, Stripe, AWS, Mailchimp) fournissent un DPA standard signé en ligne. Encore faut-il l’avoir signé et l’archiver. La CNIL demande systématiquement les DPA lors d’un contrôle. L’absence de DPA pour ne serait-ce qu’un sous-traitant peut suffire à déclencher une mise en demeure.
Le correctif : tenir un registre des sous-traitants avec, pour chacun : nature des données traitées, pays d’hébergement, date de signature du DPA, lien vers le contrat archivé. Mettre à jour à chaque ajout d’un nouvel outil.
Erreur 6 : Absence de processus pour les droits des personnes
Le RGPD garantit aux clients sept droits opposables : accès, rectification, effacement, limitation, portabilité, opposition, et droit relatif aux décisions automatisées (articles 15 à 22). L’entreprise doit répondre dans un mois maximum (extensible à trois mois pour des demandes complexes).
En pratique, la CNIL constate régulièrement :
- Aucune adresse email dédiée pour les demandes (l’email générique du contact ne suffit pas).
- Pas de procédure interne documentée — les demandes traînent ou sont oubliées.
- Réponse incomplète : par exemple, à une demande d’accès, l’entreprise envoie une exportation des données du compte client mais oublie les logs de connexion, les données de paiement archivées, ou les emails marketing reçus.
- Absence de vérification d’identité du demandeur, ou inversement, demandes excessives (copie de pièce d’identité systématique).
Le correctif : créer une adresse dpo@votresite.fr ou privacy@votresite.fr, documenter le processus interne (qui reçoit, qui valide, qui répond, dans quel délai), et vérifier la périodicité de la formation de l’équipe.
Erreur 7 : Failles de sécurité non notifiées sous 72h
L’article 33 du RGPD impose la notification d’une violation de données à la CNIL dans les 72 heures suivant la prise de connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, l’article 34 impose en plus une notification individuelle aux clients concernés.
En e-commerce, les violations les plus fréquentes :
- Fuite de la base clients par bug d’export (mauvaise URL publique).
- Accès non autorisé suite à un compromis du compte admin.
- Vol de données par injection SQL ou faille XSS.
- Erreur d’envoi en masse (email contenant en pièce jointe la base clients).
La CNIL constate régulièrement que les e-commerces, par méconnaissance ou par crainte de l’image, ne notifient pas dans les délais. C’est une faute aggravante : les sanctions sont alors doublées par rapport à une violation initialement mineure.
Le correctif : préparer en amont un protocole de notification (modèle de courrier CNIL, équipe responsable, registre des violations). La CNIL fournit un formulaire en ligne dédié pour les notifications.
Comment se mettre en conformité rapidement
Les sept erreurs ci-dessus se corrigent en moins d’une semaine pour la plupart des PME. La séquence recommandée :
- Jour 1 : audit de l’existant via un scanner de conformité automatique pour identifier les erreurs publiques (cookies, mentions légales, politique).
- Jour 2 : générer ou actualiser les documents légaux (politique, mentions, CGV) avec un outil spécialisé.
- Jour 3 : déployer une bannière cookies conforme avec auto-blocage.
- Jour 4 : faire l’inventaire des sous-traitants et vérifier les DPA.
- Jour 5 : créer l’adresse dédiée aux droits + documenter le processus interne.
- Jour 6-7 : préparer le protocole de notification de violation et former l’équipe.
Pour les amendes encourues en cas de contrôle, voir notre dossier Amendes RGPD : Top 15 Sanctions CNIL en France ou notre guide Site non conforme RGPD : jusqu’à 300 000 € d’amende.
FAQ
La CNIL contrôle-t-elle aléatoirement, ou seulement sur plainte ?
Les deux. Environ 70 % des contrôles font suite à une plainte (client, concurrent, association). Les 30 % restants sont des contrôles thématiques annuels (e-commerce, santé, secteur public) ou des contrôles de suite après une mise en demeure antérieure.
Quelle est l’amende moyenne pour un e-commerce français en 2026 ?
Pour les PME (CA < 5 M€), la moyenne se situe entre 5 000 € et 50 000 €. Pour les ETI, entre 50 000 € et 500 000 €. Les sanctions à plusieurs millions concernent surtout les grandes plateformes ou les violations délibérées.
Faut-il un DPO pour un e-commerce ?
Pas systématiquement. Le DPO est obligatoire si vous traitez des données à grande échelle (article 37 RGPD). Un e-commerce généraliste de moins de 50 000 clients/an n’en a généralement pas besoin, mais peut désigner un référent RGPD interne. À partir de 100 000 clients/an ou si vous traitez des données sensibles (santé, données bancaires en clair), le DPO devient nécessaire.
Comment savoir si mon Google Analytics est conforme ?
Trois points : (1) IP anonymisation activée, (2) Consent Mode v2 connecté à votre bannière cookies, (3) DPA signé avec Google. Si vous n’êtes pas sûr de l’un des trois, mieux vaut envisager Plausible ou Matomo, qui sont conformes par défaut.
Que faire si je découvre une violation de données aujourd’hui ?
Dans l’ordre : (1) contenir la fuite (changer les mots de passe compromis, isoler le système), (2) évaluer le risque pour les personnes (qui, combien, quelles données), (3) notifier la CNIL dans les 72h via le formulaire en ligne si le risque est avéré, (4) si le risque est élevé, prévenir individuellement les clients concernés, (5) documenter dans le registre des violations.
Combien de temps prend un contrôle CNIL ?
Un contrôle sur place dure une à deux journées. La phase d’instruction qui suit peut durer six mois à deux ans avant la décision finale. Pendant cette période, vous avez l’obligation de coopérer et de répondre aux demandes de pièces complémentaires.
Auditer aujourd’hui votre boutique en ligne prend moins de cinq minutes avec un scanner automatique, et vous évite des semaines d’incertitude en cas de contrôle. Pour aller plus loin sur les obligations Shopify spécifiquement, voir aussi notre dossier Shopify et RGPD : protéger votre boutique des amendes.
