WooCommerce et RGPD : guide complet de mise en conformite

WooCommerce, extension e-commerce de WordPress, alimente un nombre considerable de boutiques en ligne en France. Solution open source et auto-hebergee, WooCommerce offre au vendeur un controle total sur ses donnees, ce qui constitue un avantage significatif en matiere de conformite RGPD par rapport aux solutions SaaS. Toutefois, ce controle s’accompagne d’une responsabilite pleine et entiere : le vendeur est seul maitre de la conformite de sa boutique et ne peut se reposer sur les garanties d’un hebergeur SaaS.

La mise en conformite RGPD d’une boutique WooCommerce requiert une approche methodique couvrant la gestion des donnees personnelles, la securite, le consentement, les sous-traitants et les droits des personnes. Ce guide fournit un cadre operationnel pour atteindre et maintenir la conformite.

Les donnees personnelles collectees par WooCommerce

L’inventaire des donnees

WooCommerce collecte et traite de nombreuses categories de donnees personnelles. Les donnees de commande incluent le nom, le prenom, l’adresse de livraison et de facturation, l’email, le telephone, les produits commandes et les montants. Les donnees de compte client incluent l’identifiant, le mot de passe (hashe), l’email, l’adresse et l’historique de commandes. Les donnees de paiement incluent le mode de paiement, les informations de transaction (les coordonnees bancaires sont generalement traitees par un prestataire tiers). Les donnees techniques incluent l’adresse IP, les cookies, les donnees de session, les User-Agents et les logs du serveur.

A ces donnees s’ajoutent celles collectees par les extensions WordPress (plugins) installees : analytics, emailing, reviews, chatbot, retargeting, formulaires de contact, etc. L’inventaire complet des donnees collectees est la premiere etape de la mise en conformite. L’audit RGPD de la boutique doit couvrir l’ensemble des traitements, y compris ceux des extensions.

Le registre des traitements

L’article 30 du RGPD impose la tenue d’un registre des activites de traitement. Pour une boutique WooCommerce, les traitements types a documenter sont la gestion des commandes et des livraisons (base legale : execution du contrat), la gestion des comptes clients (base legale : execution du contrat ou consentement), la prospection commerciale par email (base legale : consentement), l’analyse de la navigation et le tracking (base legale : consentement), la gestion des avis clients (base legale : interet legitime ou consentement), la lutte contre la fraude (base legale : interet legitime), les obligations comptables et fiscales (base legale : obligation legale) et la gestion des cookies (base legale : consentement pour les cookies non essentiels).

Le formulaire RGPD peut etre adapte pour documenter chaque traitement dans le registre.

Les fonctionnalites RGPD natives de WordPress et WooCommerce

Les outils WordPress

Depuis la version 4.9.6, WordPress integre des fonctionnalites facilitant la conformite RGPD. L’outil d’exportation de donnees personnelles permet de generer un fichier contenant l’ensemble des donnees personnelles d’un utilisateur. L’outil de suppression de donnees personnelles permet d’anonymiser ou de supprimer les donnees d’un utilisateur. Le generateur de politique de confidentialite propose un modele de page, que chaque extension peut enrichir avec ses propres informations. La case de consentement dans les formulaires de commentaires permet de recueillir le consentement au stockage du nom et de l’email.

Les outils WooCommerce

WooCommerce ajoute des fonctionnalites specifiques au commerce en ligne. L’export et l’effacement des donnees de commande permettent de repondre aux demandes d’acces et d’effacement. La gestion des consentements au checkout permet d’ajouter des cases de consentement dans le formulaire de commande. La retention des donnees permet de configurer des regles de suppression automatique des donnees a l’expiration d’un delai (commandes inactives, comptes inactifs).

Ces fonctionnalites constituent un socle utile mais insuffisant. Elles doivent etre completees par des configurations specifiques et, souvent, par des extensions complementaires.

La securite des donnees

Les mesures techniques essentielles

WooCommerce etant une solution auto-hebergee, la securite des donnees releve entierement de la responsabilite du vendeur. L’article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriees.

Les mesures essentielles incluent le chiffrement HTTPS sur l’integralite du site (certificat SSL/TLS), la mise a jour reguliere de WordPress, WooCommerce et de toutes les extensions (les vulnerabilites dans les plugins WordPress sont une source majeure de compromission), l’utilisation de mots de passe forts et uniques pour les comptes administrateurs, l’authentification a deux facteurs pour les acces administrateur, la limitation des tentatives de connexion (protection contre le brute force), la sauvegarde reguliere et securisee des donnees (stockage chiffre, site distant), la restriction des droits d’acces (principe du moindre privilege) et la protection contre les injections SQL, les failles XSS et les attaques CSRF.

L’hebergement

Le choix de l’hebergeur est un element cle de la securite et de la conformite RGPD. L’hebergeur est sous-traitant au sens de l’article 28 du RGPD. Le contrat d’hebergement doit etre conforme aux exigences de l’article 28, incluant les obligations de securite, de confidentialite, de localisation des donnees et de cooperation en cas de violation.

Il est recommande de choisir un hebergeur offrant un hebergement au sein de l’Union europeenne (pour eviter les problematiques de transferts hors UE), des garanties de securite documentees (certifications ISO 27001, SOC 2), un contrat de sous-traitance conforme a l’article 28 et une assistance en cas de violation de donnees.

La gestion du consentement

Le consentement aux cookies

WooCommerce ne dispose pas de fonctionnalite native de gestion du consentement aux cookies conforme au droit francais. L’installation d’une extension de Consent Management Platform (CMP) est indispensable.

Les extensions recommandees (Complianz, CookieYes, GDPR Cookie Compliance) doivent etre configurees pour bloquer les cookies non essentiels avant le consentement, proposer un choix granulaire par categorie (cookies essentiels, analytics, marketing, fonctionnels), afficher des boutons “Accepter” et “Refuser” de maniere equivalente, conserver la preuve du consentement et permettre la modification du choix a tout moment.

La configuration de la CMP doit etre coherente avec la politique de cookies decrite dans la politique de confidentialite. Les cookies deposes par les extensions WordPress (Google Analytics, Facebook Pixel, etc.) doivent etre repertories et soumis au consentement.

Le consentement a la prospection commerciale

L’envoi de newsletters et d’emails de prospection commerciale est soumis au consentement prealable (article L34-5 du Code des postes et des communications electroniques). WooCommerce permet d’ajouter une case de consentement dans le formulaire de commande, mais cette case ne doit pas etre precochee et doit etre clairement separee de l’acceptation des CGV.

L’exception dite de “soft opt-in” permet d’adresser des communications commerciales sans consentement prealable aux clients existants, pour des produits ou services analogues a ceux precedemment achetes, a condition d’offrir un mecanisme de desinscription simple et gratuit.

Les extensions et les sous-traitants

L’inventaire des extensions

Chaque extension WordPress ou WooCommerce qui traite des donnees personnelles constitue un sous-traitant potentiel au sens du RGPD. Un inventaire systematique doit etre realise, identifiant pour chaque extension le nom et l’editeur, les categories de donnees traitees, les finalites du traitement, la localisation des donnees, l’existence d’un DPA conforme a l’article 28 et les transferts de donnees hors UE.

Les extensions a risque

Certaines categories d’extensions presentent des risques particuliers en matiere de protection des donnees : les extensions d’analytics (Google Analytics, Matomo) qui collectent des donnees de navigation detaillees, les extensions d’emailing (Mailchimp, Sendinblue) qui traitent les adresses email et les donnees de comportement, les extensions de chat et de chatbot qui traitent les echanges avec les clients, les extensions de retargeting (Facebook Pixel, Google Ads) qui deposent des cookies de tracking et les extensions de reviews qui collectent les avis et les donnees d’identification des clients.

Pour chaque extension, le vendeur doit verifier l’existence d’un contrat de sous-traitance conforme, evaluer les transferts hors UE et mettre en place les garanties appropriees. La sous-traitance IA doit etre specifiquement encadree si des extensions d’IA sont utilisees.

La conformite des extensions doit etre tracee dans le registre des traitements. Les obligations de conformite RGPD en e-commerce s’appliquent integralement a chaque extension.

Les droits des personnes

La mise en oeuvre des droits

WooCommerce et WordPress fournissent des outils natifs pour repondre aux demandes d’exercice des droits. Le processus de traitement des demandes doit etre documente et inclure la reception de la demande (formulaire de contact, email dedie), la verification de l’identite du demandeur, le traitement de la demande dans le delai de 30 jours, la notification de la reponse au demandeur et la documentation de la demande et de la reponse.

Le droit a l’effacement (article 17 du RGPD) doit etre concilie avec les obligations legales de conservation. Les donnees de facturation doivent etre conservees pendant 10 ans (obligation fiscale). WooCommerce permet d’anonymiser les commandes plutot que de les supprimer, ce qui preserve les donnees comptables tout en supprimant les donnees personnelles.

La portabilite des donnees

Le droit a la portabilite (article 20 du RGPD) impose de fournir les donnees dans un format structure, couramment utilise et lisible par machine. L’outil d’exportation natif de WordPress genere un fichier au format ZIP contenant les donnees en format lisible. WooCommerce permet d’exporter les donnees de commande en CSV. Ces formats sont generalement consideres comme conformes aux exigences de l’article 20.

Les mentions legales du site WooCommerce doivent etre conformes a la LCEN. Les sanctions RGPD s’appliquent en cas de non-conformite. La CNIL effectue regulierement des controles de conformite des sites e-commerce, y compris des sites WooCommerce.

Le texte du RGPD est consultable sur EUR-Lex. Les recommandations de la CNIL relatives aux cookies et a la prospection commerciale completent le cadre legal.

FAQ

WooCommerce est-il plus conforme au RGPD que Shopify ?

La question de la conformite RGPD ne se pose pas en termes de superiorite d’une plateforme sur l’autre, mais en termes de controle et de responsabilite. WooCommerce, solution auto-hebergee, offre un controle total sur les donnees : le vendeur choisit son hebergeur (et peut garantir un hebergement UE), maitrise l’ensemble des extensions installees et a un acces direct aux bases de donnees. Shopify, solution SaaS, offre moins de controle mais prend en charge certains aspects de la securite et de l’infrastructure. En contrepartie, le vendeur WooCommerce assume seul la responsabilite de la securite (mises a jour, sauvegardes, protection contre les attaques), tandis que le vendeur Shopify beneficie de l’infrastructure securisee de Shopify mais doit accepter les conditions de traitement imposees par la plateforme. Aucune des deux solutions n’est “conforme RGPD” par defaut : la conformite depend de la configuration et des mesures mises en oeuvre par le vendeur.

Comment gerer la suppression des donnees clients sur WooCommerce sans perdre les donnees comptables ?

WooCommerce propose une fonctionnalite d’anonymisation des commandes qui repond a cette problematique. Plutot que de supprimer integralement une commande, l’anonymisation remplace les donnees personnelles (nom, email, adresse, telephone) par des donnees generiques tout en conservant les donnees comptables (montant, TVA, date, numero de commande). Cette approche permet de respecter le droit a l’effacement du client tout en preservant les obligations comptables et fiscales de conservation (10 ans pour les pieces comptables, 6 ans pour les documents fiscaux). La fonctionnalite est accessible depuis le panneau d’administration WooCommerce (commande individuelle) ou peut etre automatisee via les reglages de retention de donnees de WooCommerce. Il est recommande de configurer des regles de retention automatique pour anonymiser les commandes au-dela d’une certaine periode d’inactivite.

Quelles extensions WooCommerce sont indispensables pour la conformite RGPD ?

Les extensions indispensables couvrent trois domaines. Premierement, la gestion du consentement aux cookies : une CMP (Complianz, CookieYes ou equivalent) est necessaire pour bloquer les cookies non essentiels avant le consentement et recueillir un consentement conforme. Deuxiemement, la gestion du consentement marketing : une extension ajoutant des cases de consentement explicites dans les formulaires de commande et de creation de compte, distinctes de l’acceptation des CGV. Troisiemement, la securite : une extension de securite (Wordfence, Sucuri, iThemes Security) est fortement recommandee pour la protection contre les attaques, l’authentification a deux facteurs et la journalisation des acces. En complement, des extensions de sauvegarde automatisee et de gestion des mises a jour renforcent la posture de securite. L’ensemble des extensions doit etre inventorie et leur conformite RGPD verifiee (existence d’un DPA, localisation des donnees, finalites du traitement).