Shopify et conformite francaise : CGV, RGPD et mentions legales

Shopify est devenu l’une des plateformes e-commerce les plus utilisees par les vendeurs francais. Sa facilite de deploiement et sa richesse fonctionnelle en font un choix populaire, des micro-entrepreneurs aux PME etablies. Toutefois, la plateforme etant concue principalement pour le marche nord-americain, sa configuration par defaut ne repond pas aux exigences specifiques du droit francais en matiere de conditions generales de vente, de protection des donnees personnelles, de mentions legales et de droit de la consommation.

L’utilisation de Shopify ne dispense pas le vendeur de ses obligations legales. Le vendeur reste responsable de la conformite de sa boutique en ligne au regard du droit francais et du droit europeen. Ce guide identifie les points de conformite critiques et les actions a mener pour exploiter une boutique Shopify en toute legalite en France.

Les conditions generales de vente sur Shopify

L’obligation de CGV

Tout site e-commerce francais vendant a des consommateurs doit proposer des CGV conformes au Code de la consommation. Shopify ne genere pas automatiquement de CGV conformes au droit francais. La plateforme propose des modeles de “Terms of Service” et de “Refund Policy” inspires du droit anglo-saxon, qui ne couvrent pas les obligations specifiques du droit francais.

Le vendeur doit donc rediger ou generer ses propres CGV, incluant les mentions obligatoires prevues par le Code de la consommation (articles L111-1 et suivants) : informations precontractuelles, droit de retractation de 14 jours, garanties legales (conformite et vices caches), modalites de livraison, conditions de paiement, mediation de la consommation.

Un generateur de CGV adapte au droit francais permet de produire rapidement des CGV conformes. Les differences entre CGV B2B et B2C doivent etre prises en compte si la boutique vend a la fois a des particuliers et a des professionnels.

L’integration technique des CGV

Shopify permet d’ajouter des pages de contenu (pages statiques) dans lesquelles les CGV peuvent etre integrees. Le processus de commande doit etre configure pour que le client accepte expressement les CGV avant la validation de sa commande. Shopify propose nativement une case a cocher d’acceptation des conditions dans les parametres de commande (Settings > Legal > Terms of service), mais cette fonctionnalite doit etre activee manuellement.

Le lien vers les CGV doit etre accessible depuis le footer du site, depuis la page de paiement et depuis les emails de confirmation de commande.

Le droit de retractation et la politique de remboursement

Shopify propose une page “Refund Policy” generee automatiquement, mais son contenu ne respecte pas les exigences du droit francais. La politique de remboursement doit etre entierement reecrite pour integrer le droit de retractation de 14 jours prevu par l’article L221-18 du Code de la consommation, le formulaire type de retractation (annexe a l’article L221-5), les exceptions au droit de retractation (article L221-28), les modalites de remboursement (delai de 14 jours, meme moyen de paiement) et les conditions de retour des biens.

Les mentions legales

L’obligation de mentions legales

L’article 6 de la LCEN impose a tout editeur de site internet de mettre a disposition du public des mentions legales identifiant l’editeur : denomination sociale, forme juridique, siege social, capital social, numero RCS, numero TVA intracommunautaire, coordonnees, directeur de la publication et coordonnees de l’hebergeur.

Shopify ne genere pas de page de mentions legales. Le vendeur doit creer cette page manuellement dans l’administration Shopify (Online Store > Pages) et s’assurer qu’elle est accessible depuis le footer du site.

L’identification de l’hebergeur

Un point specifique a Shopify concerne l’identification de l’hebergeur. Shopify Inc. etant une societe canadienne, les informations relatives a l’hebergeur doivent mentionner la denomination complete de Shopify, son adresse et ses coordonnees. L’adresse de Shopify Inc. (151 O’Connor Street, Ottawa, Ontario, K2P 2L8, Canada) doit figurer dans les mentions legales, avec une indication des lieux d’hebergement des donnees.

La conformite RGPD

Shopify en tant que sous-traitant

Dans la relation Shopify-vendeur, le vendeur est responsable de traitement au sens du RGPD et Shopify est sous-traitant. Le Data Processing Addendum (DPA) de Shopify constitue le contrat de sous-traitance au sens de l’article 28 du RGPD. Ce document, accessible dans les conditions d’utilisation de Shopify, doit etre examine pour verifier sa conformite aux exigences de l’article 28.

Les points d’attention du DPA de Shopify incluent les transferts de donnees hors UE (Shopify heberge les donnees sur des serveurs repartis dans plusieurs pays, y compris hors de l’UE, et s’appuie sur les clauses contractuelles types et d’autres mecanismes de transfert), la sous-traitance ulterieure (Shopify fait appel a de nombreux sous-traitants ulterieurs dont la liste doit etre accessible), les droits d’audit (le DPA de Shopify limite generalement les droits d’audit du vendeur a la communication de rapports de certification) et les mesures de securite (Shopify met en oeuvre des mesures de securite mais le vendeur doit verifier leur adequation).

La politique de confidentialite

Shopify genere automatiquement une politique de confidentialite (Privacy Policy), mais son contenu est generique et insuffisant au regard des exigences du RGPD et des recommandations de la CNIL. Le vendeur doit rediger ou adapter cette politique pour inclure l’identite du responsable de traitement et ses coordonnees, les coordonnees du DPO le cas echeant, les finalites et les bases legales de chaque traitement, les categories de donnees collectees, les destinataires (y compris Shopify et les applications tierces), les transferts hors UE et leurs garanties, les durees de conservation et les droits des personnes et les modalites d’exercice.

La gestion des cookies

Shopify depose par defaut plusieurs cookies, dont certains sont essentiels au fonctionnement de la boutique (panier, session) et d’autres ne le sont pas (analytics, marketing). Le droit francais impose un consentement prealable au depot de cookies non essentiels.

La configuration par defaut de Shopify ne respecte pas cette exigence. Le vendeur doit installer une application de gestion du consentement aux cookies (Consent Management Platform) compatible avec les recommandations de la CNIL. Plusieurs applications Shopify (Osano, Cookie Consent, GDPR Cookie Bar) proposent cette fonctionnalite, mais leur configuration doit etre verifiee pour garantir le blocage effectif des cookies non essentiels avant le consentement, la presence de boutons “Accepter” et “Refuser” de taille equivalente, la possibilite de parametrage fin par categorie de cookies et l’enregistrement du consentement pour preuve de conformite.

Les applications tierces

L’ecosysteme Shopify repose sur un grand nombre d’applications tierces (apps) qui traitent des donnees personnelles : analytics, emailing, reviews, chatbot, retargeting, etc. Chaque application tierce constitue un sous-traitant (ou un responsable conjoint de traitement, selon les cas) au sens du RGPD.

Le vendeur doit inventorier toutes les applications installees et traitant des donnees personnelles, verifier les conditions de traitement de chaque application (DPA, politique de confidentialite), s’assurer de l’existence d’un contrat de sous-traitance conforme a l’article 28, evaluer les transferts de donnees hors UE induits par chaque application et mentionner ces sous-traitants dans sa politique de confidentialite.

Les obligations de conformite RGPD en e-commerce s’appliquent integralement aux boutiques Shopify, y compris pour les applications tierces.

Le droit de la consommation

Le processus de commande

Le droit francais impose un processus de commande en trois etapes (article 1127-1 du Code civil) : recapitulatif de la commande, possibilite de modifier la commande et confirmation definitive. Le bouton de validation finale doit porter la mention “Commande avec obligation de paiement” ou une formule equivalente (article L221-14 du Code de la consommation).

La configuration par defaut de Shopify ne comporte pas toujours cette mention. Le vendeur doit verifier et modifier le texte du bouton de validation dans les parametres de langue de Shopify (Settings > Languages).

L’email de confirmation

L’article L221-13 du Code de la consommation impose la confirmation de la commande sur un support durable dans un delai raisonnable. L’email de confirmation envoye par Shopify doit inclure les informations precontractuelles, les CGV, la politique de retractation et le formulaire de retractation. Les modeles d’emails de Shopify doivent etre personnalises pour integrer ces elements.

L’affichage des prix

Les prix doivent etre affiches TTC pour les ventes B2C en France (article L112-1 du Code de la consommation). La configuration Shopify doit etre verifiee pour s’assurer que les prix affiches incluent la TVA et que le taux de TVA applique est correct.

La conformite IA

Les boutiques Shopify qui utilisent des fonctionnalites d’IA (recommandations de produits, chatbots, personnalisation) doivent egalement prendre en compte les obligations du AI Act et du RGPD en matiere de decisions automatisees. Si les systemes d’IA utilises produisent des effets significatifs sur les personnes (par exemple, modulation de prix personnalisee), les obligations de transparence et de controle humain s’appliquent.

L’audit RGPD de la boutique Shopify doit inclure une evaluation des systemes d’IA utilises et de leur conformite.

La CNIL et la DGCCRF effectuent regulierement des controles de conformite des sites e-commerce. Le texte du RGPD est consultable sur EUR-Lex. Le texte du Code de la consommation est disponible sur Legifrance.

Checklist de conformite Shopify France

La mise en conformite d’une boutique Shopify pour le marche francais implique de creer une page de mentions legales complete, de rediger des CGV conformes au droit francais (Code de la consommation, Code de commerce), de rediger une politique de retractation et de remboursement conforme, de rediger une politique de confidentialite conforme au RGPD, d’installer et configurer un bandeau cookies conforme, d’activer la case d’acceptation des CGV dans le processus de commande, de modifier le texte du bouton de validation (“Commande avec obligation de paiement”), de personnaliser les emails de confirmation pour inclure les informations obligatoires, de verifier l’affichage des prix TTC, d’inventorier et encadrer les applications tierces et de verifier le DPA de Shopify et les transferts de donnees hors UE.

L’exemple de formulaire RGPD peut etre adapte pour permettre l’exercice des droits des clients de la boutique Shopify.

FAQ

Shopify est-il conforme au RGPD ?

Shopify a pris des mesures pour faciliter la conformite RGPD de ses utilisateurs : mise a disposition d’un Data Processing Addendum (DPA), outils de gestion des donnees clients, fonctionnalites de suppression de donnees. Toutefois, Shopify en tant que plateforme ne garantit pas a lui seul la conformite RGPD de la boutique du vendeur. La conformite RGPD est une responsabilite partagee : Shopify fournit les outils techniques, mais le vendeur reste responsable de la configuration de la boutique, de la redaction de la politique de confidentialite, de la gestion du consentement aux cookies, de l’encadrement des sous-traitants (applications tierces) et de la gestion des droits des personnes. Le vendeur doit verifier le DPA de Shopify, evaluer les transferts de donnees hors UE et mettre en place les mesures complementaires necessaires.

Faut-il modifier les templates Shopify pour le marche francais ?

Oui. Plusieurs elements des templates Shopify doivent etre modifies pour le marche francais. Le texte du bouton de validation de commande doit mentionner l’obligation de paiement. Les pages legales (CGV, mentions legales, politique de confidentialite, politique de retractation) doivent etre creees ou reecrites en conformite avec le droit francais. Les emails transactionnels doivent etre adaptes pour inclure les informations obligatoires. Le bandeau cookies doit etre installe et configure conformement aux recommandations de la CNIL. L’affichage des prix doit etre verifie (TTC). Ces modifications sont indispensables et ne peuvent etre reportees : un site e-commerce non conforme est en infraction des sa mise en ligne.

Comment gerer les transferts de donnees hors UE avec Shopify ?

Shopify heberge les donnees de ses utilisateurs sur des serveurs situes dans plusieurs pays, y compris hors de l’Union europeenne (notamment au Canada et aux Etats-Unis). Ces transferts sont encadres par le DPA de Shopify, qui s’appuie sur les clauses contractuelles types adoptees par la Commission europeenne et, pour les transferts vers le Canada, sur la decision d’adequation de la Commission. Le vendeur doit neanmoins verifier l’adequation de ces mecanismes au cas par cas, evaluer les risques lies aux legislations locales (notamment le Cloud Act americain) et, si necessaire, mettre en oeuvre des mesures supplementaires (chiffrement, pseudonymisation). La politique de confidentialite de la boutique doit informer les clients de l’existence de ces transferts et des garanties mises en place.