Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Wix et RGPD : guide de conformité 2026

Wix est-il conforme au RGPD ? Analyse du DPA, des transferts hors UE, du CRM et des cookies pour DPO en 2026.

Wix compte parmi les créateurs de sites web les plus répandus au monde, avec une adoption massive chez les TPE, artisans, commerçants et professions libérales françaises. Sa force est de tout regrouper : hébergement, création de site, boutique en ligne, réservation de rendez-vous, e-mail marketing et, surtout, un CRM intégré (Wix Ascend). Cette intégration fait de Wix bien plus qu’un simple hébergeur : c’est une plateforme qui traite l’intégralité du cycle de vie des données clients d’une petite structure.

Dans ma pratique de conseil, je constate que les utilisateurs de Wix ignorent souvent l’ampleur des données que la plateforme centralise. Un artisan qui utilise Wix pour son site, sa prise de rendez-vous et ses campagnes e-mail confie à un seul sous-traitant l’ensemble de sa relation client. Wix étant une entreprise dont l’infrastructure implique des transferts internationaux, l’analyse RGPD mérite une attention particulière. Ce guide en propose une lecture méthodique, selon la documentation consultée en juillet 2026.

Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Webflow et de Google Workspace, souvent comparés à Wix.

Qualification juridique : Wix comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Wix.com Ltd agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données que vous collectez et traitez via ses services. Vous, propriétaire du site et de la relation client, déterminez les finalités (vendre, prendre des rendez-vous, prospecter) et les moyens essentiels. Wix fournit l’infrastructure et exécute vos instructions.

Cette qualification vaut pour l’hébergement, le stockage des contacts, la gestion des commandes et l’envoi des campagnes. Wix ne décide pas quels clients vous contactez ni pourquoi – c’est votre rôle de responsable de traitement.

Le double statut de Wix

Un point de vigilance : Wix agit comme sous-traitant pour les données de vos clients finaux, mais comme responsable de traitement autonome pour les données qu’il collecte sur vous, son client (facturation, usage de la plateforme, analytics produit). Cette distinction est classique chez les plateformes SaaS et figure en principe dans la documentation contractuelle. Elle n’affecte pas vos obligations sur les données de vos propres clients.

Le CRM Wix Ascend : concentration du risque

Le CRM intégré (contacts, segmentation, automatisations marketing, e-mails, formulaires) concentre des données à forte valeur : historiques d’interaction, préférences, comportements. Plus la plateforme centralise, plus la cartographie des traitements et la définition des bases légales doivent être rigoureuses – notamment pour distinguer la prospection (souvent consentement) de la gestion de commande (exécution du contrat).

Périmètre des données traitées

Une installation Wix complète peut traiter :

  • Contacts et CRM : nom, e-mail, téléphone, notes, segments, historique d’échanges.
  • Formulaires : toute donnée saisie par les visiteurs, y compris des champs à risque mal configurés.
  • E-commerce (Wix Stores) : coordonnées, adresses de livraison et facturation, historique de commande, données de paiement (via prestataires tiers).
  • Réservations (Wix Bookings) : identité, créneaux, parfois motif du rendez-vous pouvant révéler des données sensibles (santé, pour un professionnel de santé).
  • E-mail marketing : adresses, statut de consentement, statistiques d’ouverture et de clic.
  • Comptes membres : identifiants, mots de passe hachés, profils.
  • Métadonnées et cookies : adresses IP, logs, identifiants de traçage propres à Wix et à des tiers.

Le principe de minimisation s’applique à chacun : n’activez que les modules utiles et ne collectez que les champs nécessaires.

Analyse du DPA Wix

Wix met à disposition un Data Processing Addendum accessible en ligne, applicable aux utilisateurs traitant des données de résidents de l’UE. Voici notre analyse au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026.

Exigence Art. 28 RGPD Couverture dans le DPA Wix Évaluation
Objet, durée, nature et finalité Définis dans le DPA et les conditions Couvert
Types de données et catégories de personnes Décrits dans les annexes au DPA Couvert
Instructions documentées du responsable Traitement sur instructions prévu Couvert
Confidentialité du personnel Engagement de confidentialité Couvert
Mesures de sécurité (Art. 32) Annexe sécurité (chiffrement, contrôles) Couvert
Sous-traitants ultérieurs Liste publiée ; mécanisme de notification Couvert
Assistance aux droits des personnes Engagement d’assistance dans le DPA Couvert
Suppression ou restitution en fin de contrat Prévu, délai à vérifier au déploiement Couvert
Droit d’audit Via rapports de certification (SOC 2, ISO) Couvert (modalités à vérifier)
Information sur instruction contraire au RGPD Prévu dans le DPA Couvert

Le DPA de Wix couvre les exigences formelles de l’article 28. Comme pour la plupart des fournisseurs SaaS, le droit d’audit s’exerce via des rapports de certification plutôt que par un audit sur site. La liste des sous-traitants ultérieurs et leurs localisations sont à consulter attentivement : elle conditionne votre analyse des transferts. Les modalités précises sont à vérifier au moment du déploiement, l’offre évoluant.

Localisation & transferts hors UE

Localisation des données et sous-traitants

Wix.com Ltd s’appuie sur une infrastructure cloud (notamment Google Cloud et AWS) avec des centres de données répartis, dont certains hors de l’Union européenne. La chaîne de sous-traitants ultérieurs est donc déterminante : elle inclut des fournisseurs d’infrastructure, de messagerie et d’analytics, dont plusieurs entités américaines. Cette liste, publiée par Wix, doit être analysée pour identifier les transferts hors UE et documentée dans votre registre des traitements.

Mécanismes de transfert

Pour les transferts hors UE, Wix s’appuie en principe sur :

  1. EU-US Data Privacy Framework (DPF), pour les sous-traitants américains certifiés, sur la base de la décision d’adéquation du 10 juillet 2023. Le statut de certification de chaque entité est à vérifier au moment du déploiement, l’offre évoluant.
  2. Clauses contractuelles types (CCT), version 2021/914, intégrées au DPA comme mécanisme complémentaire.

Analyse d’impact sur les transferts

Documentez une analyse d’impact sur les transferts couvrant :

  • Cadre juridique des pays destinataires, en particulier la section 702 du FISA pour les entités américaines et les garanties de l’Executive Order 14086.
  • Nature des données : un CRM riche en historiques clients justifie des mesures plus strictes qu’un site vitrine.
  • Mesures supplémentaires : chiffrement, minimisation, purge régulière, restriction des modules activés.

Cookies et responsabilité de l’éditeur

Comme pour tout site, l’éditeur reste responsable de la conformité de ses cookies au regard des lignes directrices de la CNIL. Wix propose un outil de bandeau cookies intégré, mais son paramétrage par défaut ne garantit pas la conformité : il faut vérifier que les traceurs marketing et analytics ne se déclenchent qu’après un consentement libre et éclairé, avec un refus aussi simple que l’acceptation. Testez le comportement réel des cookies avant et après consentement – un bandeau purement cosmétique qui n’empêche pas le dépôt n’a aucune valeur juridique.

Configuration recommandée pour la conformité RGPD

  1. Signer et archiver le DPA Wix. Vérifiez son application à votre compte et conservez-en une copie.
  2. Activer et paramétrer sérieusement le bandeau cookies. Assurez-vous du blocage effectif des traceurs avant consentement.
  3. Minimiser les champs de formulaire et les modules activés. N’activez Bookings, Stores ou Ascend que si vous les utilisez réellement.
  4. Définir les bases légales par traitement. Distinguez clairement prospection (consentement) et exécution de contrat. Voir notre guide base légale.
  5. Configurer la rétention et purger le CRM. Supprimez les contacts inactifs selon votre tableau des durées de conservation, en cohérence avec le principe de temporalité.
  6. Activer l’authentification forte (SSO/MFA) sur les comptes administrateurs.
  7. Publier une politique de confidentialité complète. Mentionnez Wix et ses sous-traitants, les transferts, finalités et durées.
  8. Documenter au registre. Inscrivez chaque traitement Wix (site, CRM, e-commerce, réservations) au registre des activités de traitement.

Pour industrialiser la documentation des outils SaaS au registre et suivre la chaîne de sous-traitants, un logiciel RGPD peut structurer ce travail de façon répétable.

Cas particuliers

E-mail marketing et prospection

Le module d’e-mailing de Wix facilite l’envoi de campagnes, mais la conformité de la prospection dépend de la base légale : le consentement est généralement requis pour la prospection B2C. Documentez le recueil du consentement et prévoyez un désabonnement simple dans chaque envoi.

Professionnels de santé et Wix Bookings

Un praticien qui utilise Wix Bookings peut, via le motif de rendez-vous, traiter des données sensibles au sens de l’article 9 du RGPD. L’hébergement de Wix n’étant pas certifié HDS, cette configuration est déconseillée pour des données de santé identifiables. Limitez les champs et évitez de renseigner des motifs médicaux.

Agences web et gestion multi-clients

Une agence qui gère plusieurs sites Wix pour ses propres clients se trouve elle-même en position de sous-traitant vis-à-vis de ces clients, tout en s’appuyant sur Wix comme sous-traitant ultérieur. Cette chaîne à trois niveaux (client final responsable de traitement, agence sous-traitante, Wix sous-traitant ultérieur) doit être formalisée par un contrat de sous-traitance entre l’agence et son client, autorisant expressément le recours à Wix. Pour cadrer cette relation, appuyez-vous sur un questionnaire sous-traitants.

Violation de données

En cas d’incident, l’obligation de notification de violation à la CNIL sous 72 heures vous incombe en tant que responsable de traitement, Wix devant vous assister sans délai. Documentez au préalable une procédure de réaction : identification, qualification du risque, et notification des personnes concernées si le risque est élevé.

FAQ

Wix est-il conforme au RGPD ?

Wix fournit les engagements contractuels (DPA, mécanismes de transfert, chiffrement, bandeau cookies) permettant un usage encadré, mais la conformité dépend de votre configuration : bases légales, gestion du consentement e-mail, purge du CRM, bandeau cookies effectif. Un compte Wix avec un CRM jamais purgé et une prospection sans consentement n’est pas conforme, indépendamment du DPA. La responsabilité incombe à l’éditeur.

Faut-il réaliser une AIPD pour un site Wix ?

Une analyse d’impact n’est pas systématique pour un site vitrine simple. Elle devient recommandée en cas de profilage marketing à grande échelle, d’espace membre riche, ou de traitement de données sensibles (ex. réservations médicales). En cas de doute, la CNIL invite à la réaliser.

Les données de mon site Wix sont-elles hébergées en Europe ?

Wix utilise une infrastructure cloud répartie, avec des sous-traitants dont certains hors UE. Consultez la liste des sous-traitants ultérieurs de Wix pour identifier les localisations exactes. Les transferts reposent sur le DPF et les CCT. Ce point est à vérifier au moment du déploiement, l’offre évoluant.

Comment gérer la prospection e-mail avec Wix Ascend ?

Définissez d’abord la base légale : la prospection B2C requiert en général le consentement. Recueillez-le de manière traçable, segmentez sur cette base, et proposez un désabonnement simple. Ne réutilisez pas des contacts collectés pour une autre finalité sans base valable.

Qui répond en cas de contrôle CNIL sur un site Wix ?

L’éditeur du site est le responsable de traitement et répond des manquements. Wix, comme sous-traitant, a ses propres obligations, mais la conformité des cookies, des bases légales et de l’information vous incombe. Un audit RGPD périodique du site et du CRM est recommandé.

Peut-on gérer un e-commerce conforme avec Wix ?

Oui, à condition de définir les bonnes bases légales (exécution du contrat pour la commande, consentement pour la prospection), de sécuriser les paiements via un prestataire dédié, de purger les données selon les durées légales et de publier une information claire. La conformité relève de votre paramétrage, pas du seul choix de la plateforme.