Intégration Marketplace Union européennePacks E-Commerce Union européenneSite Web d'Entreprise Union européenneLogiciel Sur Mesure Union européenneCréation d'Entreprise Union européenneCentre de Fulfillment Union européenneStockage de Produits Union européenneDéveloppement d'Applications Mobiles Union européenne
Connexion
Europe · E-Commerce

Guide RGPD 2026 e-commerce : règlement 2016/679, consentement cookies TCF v2.2, critères DPO, droits des personnes, notification 72h, amendes 20M€/4%.

🇪🇺 Guide complet de conformité RGPD pour l'UE — Édition 2026

Conformité RGPD pour l'E-Commerce 2026 : Le guide complet pour les vendeurs en ligne de l'UE

Huit ans après l'entrée en vigueur du RGPD le 25 mai 2018, le règlement (UE) 2016/679 demeure la loi sur la protection des données la plus stricte et la plus appliquée au monde — et le principal poste de conformité pour tout vendeur e-commerce de l'UE. Les autorités de contrôle nationales ont infligé plus de 5,5 milliards d'euros d'amendes cumulées d'ici 2026, avec des sanctions individuelles atteignant 1,2 milliard d'euros. Ce guide vous présente les dix éléments que tout vendeur en ligne de l'UE doit maîtriser en 2026 : le cadre de consentement aux cookies TCF v2.2, une mention d'information conforme à l'article 13, le moment où un DPO devient obligatoire, les huit droits des personnes concernées, le délai de notification de violation en 72 heures, les clauses contractuelles types post-Schrems II, l'impact du futur règlement ePrivacy, des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, ainsi qu'une check-list RGPD en 12 points adaptée au travail quotidien de gestion d'un catalogue multi-marketplace.

✓ Règlement 2016/679 cartographié ✓ Consentement aux cookies TCF v2.2 ✓ Schrems II + CCT 2021 ✓ Autorités nationales (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
RGPD Hub Conforme
Couverture autorités 30/30 EEE
Demandes ouvertes
14
↓ 22 % sur un mois
Délai moyen
6,4 j
sous 30 j
Cookies
TCF 2.2
✓ actif
7 derniers jours · Demandes des personnes concernées 42 clôturées↑ 31 %
LunMarMerJeuVenSamAuj.
Demandes récentes En direct
#DSR-58271 Art. 15 — Demande d'accès (FR) En cours
#DSR-58270 Art. 17 — Effacement (DE) En attente
#DSR-58269 Art. 20 — Portabilité (ES) Clôturée
Synchronisation active · dernier audit il y a 2 s · CCT + AIT prêtes
5,5 Md€+
Amendes RGPD cumulées (d'ici 2026)
1,2 Md€
Amende individuelle la plus élevée (Meta IE 2023)
72 h
Délai de notification de violation (art. 33)
20 M€ / 4 %
Amende maximale — 20 M€ ou 4 % du chiffre d'affaires mondial

RGPD UE pour l'e-commerce 2026 — Lecture rapide

Le règlement général sur la protection des données, règlement (UE) 2016/679, s'applique directement dans toute l'UE depuis le 25 mai 2018 et demeure la loi sur la protection des données la plus déterminante au monde. Tout vendeur e-commerce de l'UE/l'EEE est responsable de traitement pour les données personnelles de ses clients : nom, adresse, données de paiement, historique de navigation, cookies, adresses IP. Les priorités 2026 sont une bannière cookies conforme TCF v2.2, une mention d'information claire au titre de l'article 13, un registre des traitements au titre de l'article 30 documenté, des workflows rapides pour les demandes des personnes concernées (DSR), un plan de réponse en 72 heures aux violations, et des clauses contractuelles types post-Schrems II pour tout transfert non couvert par une décision d'adéquation (notamment vers les États-Unis dans le cadre du Data Privacy Framework UE-États-Unis adopté en juillet 2023). Les autorités de contrôle — CNIL (France), AEPD (Espagne), Garante (Italie), BfDI et les autorités des Länder allemands, AP (Pays-Bas), NAIH (Hongrie), ICO (Royaume-Uni, au titre du UK GDPR) — infligent des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Le paysage de la protection des données dans l'UE en 2026, en un coup d'œil

Le RGPD est appliqué par un réseau d'autorités nationales de protection des données (APD), coordonné au niveau de l'UE par le Comité européen de la protection des données (CEPD). Le récapitulatif ci-dessous présente les huit autorités les plus susceptibles de vous contacter en tant que vendeur e-commerce de l'UE — gardez-le à portée de main en lisant chaque section détaillée.

CEPD — Comité européen de la protection des données

Créé le 25 mai 2018 · Bruxelles · Émet des lignes directrices contraignantes, des avis et coordonne le mécanisme de guichet unique entre les autorités

30 autoritésCoordination à l'échelle de l'UE/l'EEE

CNIL — Commission Nationale de l'Informatique et des Libertés (France)

Fondée en 1978 · Paris · Application la plus stricte de l'UE en matière de cookies ; autorité de référence sur l'adtech et le TCF

340 M€+ d'amendescumulées d'ici 2026

AEPD — Agencia Española de Protección de Datos (Espagne)

Fondée en 1993 · Madrid · Autorité nationale la plus active en nombre d'amendes ; forte application auprès des PME

2 000+ amendes/an1re place en Espagne

Garante — Garante per la Protezione dei Dati Personali (Italie)

Fondée en 1997 · Rome · Application agressive sur l'IA/ChatGPT, le télémarketing et les cookies

200 M€+ d'amendescumulées d'ici 2026

BfDI + 16 Landesdatenschutzbeauftragte (Allemagne)

BfDI fédéral à Bonn + une autorité par Land · Décentralisé ; LfDI BW, BlnBDI et HmbBfDI parmi les plus actives

17 autoritésNiveaux fédéral et régional

ICO — Information Commissioner's Office (Royaume-Uni)

Wilmslow · Applique le UK GDPR (post-Brexit) et le Data Protection Act 2018 · Décision d'adéquation en vigueur

Adéquation UKrenouvelée 2025–2031

AP — Autoriteit Persoonsgegevens (Pays-Bas)

La Haye · Autorité néerlandaise · Active sur les cookie walls, le registre IA et les fuites de données publiques

Décision « cookie wall »2019 — référence

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Hongrie)

Budapest · Autorité hongroise · Active sur la reconnaissance faciale, la vidéosurveillance et les données RH

4 Mds+ HUF d'amendescumulées d'ici 2026

Prêt à vendre dans toute l'UE — conforme RGPD dès le premier jour ?

Connectez chaque marketplace et chaque boutique de l'UE à un panneau Zunapro unique, doté d'une CMP TCF v2.2 intégrée, d'un registre au titre de l'article 30, d'un workflow DSR et de CCT pré-signées pour chaque sous-traitant.

🚀 Démarrer l'intégration UE

1. Vue d'ensemble du RGPD — Règlement (UE) 2016/679, en vigueur depuis mai 2018

Ce qu'est réellement le RGPD

Le règlement général sur la protection des données — règlement (UE) 2016/679 — a été adopté le 27 avril 2016 et est devenu directement applicable dans les 27 États membres de l'UE ainsi que dans les trois pays de l'EEE (Norvège, Islande, Liechtenstein) le 25 mai 2018. En tant que règlement, et non directive, le RGPD ne nécessitait aucune transposition nationale — il est entré en vigueur le même jour à Madrid, Paris, Berlin, Rome, Varsovie et dans toutes les autres capitales de l'UE. Il a remplacé la directive de 1995 sur la protection des données (95/46/CE), qui avait donné lieu à 28 transpositions nationales fragmentées.

Pour les vendeurs e-commerce, trois choix structurels du texte comptent plus que tout le reste :

  • Champ d'application matériel (art. 2) — s'applique à tout « traitement de données à caractère personnel » par des moyens automatisés, ce qui recouvre pratiquement toute opération de base de données dans une infrastructure web moderne.
  • Champ d'application territorial (art. 3) — s'applique aux responsables de traitement établis dans l'UE, quel que soit le lieu du traitement, et aux responsables établis hors de l'UE qui proposent des biens ou services à des personnes concernées dans l'UE ou qui surveillent leur comportement. C'est cette « portée extraterritoriale » qui a fait entrer dans le champ d'application les vendeurs américains, britanniques, turcs, suisses et asiatiques.
  • Définition des données à caractère personnel (art. 4) — extrêmement large : tout ce qui « se rapporte à une personne physique identifiée ou identifiable ». Les adresses IP, identifiants de cookies, empreintes d'appareils, voire certains paramètres d'URL uniques peuvent en relever.

Les six bases juridiques (article 6)

Chaque activité de traitement nécessite au moins l'une des six bases juridiques suivantes :

  1. Le consentement — libre, spécifique, éclairé et univoque (art. 4, paragraphe 11 + art. 7).
  2. Le contrat — traitement nécessaire à l'exécution d'un contrat avec la personne concernée (base standard pour l'exécution d'une commande).
  3. L'obligation légale — par exemple facturation TVA, KYC, archives fiscales.
  4. Les intérêts vitaux — rares en e-commerce commercial.
  5. La mission d'intérêt public — généralement non pertinente pour le commerce de détail privé.
  6. L'intérêt légitime — nécessite un test de mise en balance ; utilisé pour la prévention de la fraude, la sécurité, les analyses de base.

L'erreur de conformité la plus fréquente en 2026 consiste à confondre les bases juridiques — par exemple invoquer le « contrat » pour des e-mails marketing (qui nécessitent un consentement au titre de la directive ePrivacy) ou l'« intérêt légitime » pour des cookies de suivi (qui nécessitent également un consentement au titre de l'article 5, paragraphe 3, de la directive ePrivacy).

Catégories particulières de données (article 9)

Les données de santé, les données biométriques, l'origine ethnique, les convictions religieuses, l'appartenance syndicale, l'orientation sexuelle et les opinions politiques constituent des catégories particulières de données. Leur traitement est interdit, sauf si l'une des dix conditions de l'article 9, paragraphe 2, s'applique — le consentement explicite étant le plus courant en e-commerce (par exemple, les abonnements à des compléments alimentaires révélant des informations de santé, ou les sites de mode déduisant l'origine ethnique à partir des tailles préférées).

📋
Texte de référence : le texte consolidé officiel du règlement (UE) 2016/679 est publié en 24 langues de l'UE sur EUR-Lex. Zunapro relie les articles pertinents à chaque fonctionnalité de conformité dans le panneau. Consultez le texte consolidé du RGPD sur EUR-Lex comme source faisant foi.

Pourquoi les cookies relèvent-ils du RGPD

Les cookies et technologies de suivi similaires ne sont pas régis par le seul RGPD, mais par l'article 5, paragraphe 3, de la directive ePrivacy 2002/58/CE (la « directive cookies », modifiée en 2009). La directive exige un consentement préalable et éclairé pour stocker des informations ou accéder à des informations déjà stockées sur l'appareil d'un utilisateur, sauf lorsque cela est strictement nécessaire pour fournir un service expressément demandé par l'utilisateur. Le RGPD définit ensuite la norme à respecter pour qu'un consentement soit valide (art. 4, paragraphe 11, et art. 7).

La règle pratique combinée pour les vendeurs e-commerce en 2026 est la suivante :

  • Cookies strictement nécessaires (panier, connexion, jeton CSRF, sélecteur de langue, répartition de charge de base) — aucun consentement requis, mais doivent être documentés dans la politique de confidentialité.
  • Tous les autres cookies — analyse (GA4, Plausible, Matomo en configuration par défaut), publicité (Meta Pixel, Google Ads, TikTok), personnalisation, tests A/B, fingerprinting — nécessitent un consentement explicite (opt-in) avant le dépôt du cookie.

Le IAB Europe Transparency & Consent Framework (TCF) v2.2 — publié le 16 mai 2023 et obligatoire depuis le 20 novembre 2023 — est la norme de facto de l'industrie pour recueillir, signaler et conserver le consentement aux cookies dans toute l'UE. Principales caractéristiques :

  • 11 finalités + 3 « finalités spéciales » + 2 « fonctionnalités » + 2 « fonctionnalités spéciales » — un contrôle granulaire plutôt qu'un simple « Tout accepter »
  • Environ 700 fournisseurs enregistrés — chaque partenaire adtech, analytique et CDP déclare ses finalités et bases juridiques dans la liste mondiale des fournisseurs TCF (GVL)
  • Chaîne TC (TC String) — un signal encodé en base64, intégré dans __tcfapi / __tcfapi v2, qui accompagne chaque requête adtech
  • Améliorations de la v2.2 — clarification des finalités 1, 3, 4, suppression de l'« intérêt légitime » comme base de repli pour la publicité/mesure, workflow de retrait obligatoire

Ce que l'interface de consentement doit et ne doit pas faire

Tant les lignes directrices 05/2020 du CEPD sur le consentement que les lignes directrices 2020-091 de la CNIL sont sans ambiguïté :

  • Les cases pré-cochées sont invalides (Planet49, CJUE C-673/17, 1er octobre 2019)
  • Le « fait de continuer à naviguer » ne constitue pas un consentement — cliquer, faire défiler la page ou rester sur la page ne vaut pas opt-in
  • Refuser doit être aussi simple qu'accepter — les boutons « Tout accepter » et « Tout refuser » doivent être visuellement et procéduralement équivalents (la CNIL a infligé 60 M€ à Google et 60 M€ à Facebook en janvier 2022 explicitement pour ce motif)
  • Les cookie walls — conditionner l'accès au consentement — sont largement interdits (recommandation de l'AP néerlandaise en 2019, lignes directrices 05/2020 du CEPD)
  • La granularité — des bascules finalité par finalité, et non un simple bouton global
  • Le retrait doit être aussi simple que le don du consentement (art. 7, paragraphe 3, du RGPD)
🍪

Bonne pratique 2026 : une plateforme de gestion du consentement (CMP) compatible TCF v2.2, avec des boutons « Tout accepter » / « Tout refuser » de même importance sur le premier niveau, des bascules granulaires sur le deuxième niveau, et un lien permanent « Paramètres des cookies » en pied de page. Les boutiques Zunapro intègrent cette configuration par défaut. Découvrir les boutiques Zunapro dans l'UE →

3. Politique de confidentialité — Les articles 13 et 14 en pratique

Pourquoi une politique de confidentialité est incontournable

Les articles 13 et 14 du RGPD exigent que tout responsable de traitement fournisse une mention d'information au moment de la collecte des données à caractère personnel (art. 13) ou, lorsque les données sont collectées auprès d'un tiers, dans un délai d'un mois (art. 14). En e-commerce, il s'agit généralement de la page reliée en pied de page sous l'intitulé « Politique de confidentialité », « Mentions de confidentialité » ou « Informations sur le traitement des données à caractère personnel ».

Le contenu obligatoire

L'article 13 exige au minimum les éléments suivants — généralement structurés en une notice à plusieurs niveaux, avec un résumé court et une version complète :

  • Identité et coordonnées du responsable de traitement (et du représentant dans l'UE si l'article 27 s'applique)
  • Coordonnées du DPO, le cas échéant
  • Finalités du traitement et base juridique pour chacune (art. 6, et art. 9 pour les catégories particulières de données)
  • Destinataires ou catégories de destinataires — prestataires de paiement, partenaires logistiques, outils marketing, hébergeurs
  • Transferts internationaux — pays tiers concernés, décisions d'adéquation ou garanties appropriées (CCT)
  • Durées de conservation — ou les critères permettant de les déterminer
  • Droits des personnes concernées — accès, rectification, effacement, limitation, portabilité, opposition, décisions automatisées
  • Droit de retirer son consentement à tout moment (lorsque le consentement est la base juridique)
  • Droit d'introduire une réclamation auprès d'une autorité de contrôle
  • Caractère obligatoire ou non de la fourniture des données, et conséquences d'un refus de les fournir
  • Existence d'une prise de décision automatisée, y compris le profilage, avec des informations utiles sur la logique sous-jacente

Erreurs courantes sanctionnées par la CNIL et l'AEPD

  • Mention type ne correspondant pas aux activités de traitement réelles — les autorités de contrôle la recoupent avec le registre au titre de l'article 30
  • Mention de l'« intérêt légitime » sans explication du test de mise en balance
  • Durées de conservation vagues telles que « aussi longtemps que nécessaire », sans délais précis
  • Informations manquantes ou obsolètes sur les transferts internationaux (en particulier vers les États-Unis après Schrems II)
  • Absence de mention du droit d'introduire une réclamation auprès d'une APD — un constat fréquent des audits de l'AEPD

4. Délégué à la protection des données — Quand l'article 37 s'applique

Les trois cas obligatoires

L'article 37, paragraphe 1, impose la désignation obligatoire d'un DPO dans trois cas :

  1. Autorité publique ou organisme public (autre que les juridictions)
  2. Les activités de base exigent un suivi régulier et systématique des personnes concernées à grande échelle
  3. Les activités de base consistent en un traitement à grande échelle de catégories particulières de données (art. 9) ou de données relatives aux condamnations pénales (art. 10)

La notion de « grande échelle » est définie par les lignes directrices WP243 du CEPD selon quatre critères : nombre de personnes concernées, volume de données, durée du traitement et étendue géographique. Dans l'e-commerce, les activités fortement axées sur la publicité comportementale, les marketplaces et les grandes plateformes de vente au détail atteignent presque toujours le seuil de « suivi régulier et systématique à grande échelle ».

Le mythe des 250 employés

Le seuil des « 250 employés », souvent cité, concerne l'article 30 (registre des activités de traitement), et non la désignation d'un DPO. L'article 30, paragraphe 5, exempte les organismes de moins de 250 employés de la tenue d'un registre — mais uniquement si le traitement est occasionnel, ne porte pas sur des catégories particulières de données et est peu susceptible de comporter un risque pour les personnes concernées. Pour tout vendeur e-commerce actif, cette exemption ne s'applique pratiquement jamais dans les faits : expédier des commandes à des milliers de clients n'est par définition pas occasionnel.

Renforcements nationaux

Les États membres peuvent imposer des exigences supplémentaires en matière de DPO. La loi allemande BDSG, par exemple, exige un DPO dès que 20 personnes ou plus sont impliquées de manière continue dans un traitement automatisé — un seuil bien plus bas que la référence du RGPD. Il s'agit de l'un des plus grands écarts de conformité pratiques entre les activités e-commerce allemandes, françaises et espagnoles de taille comparable.

Indépendance et missions du DPO

  • Article 38 — doit être associé à toutes les questions relatives à la protection des données, disposer de ressources suffisantes, rendre compte au niveau le plus élevé de la direction, et ne peut être relevé de ses fonctions pour l'exécution de ses missions
  • Article 39 — informe et conseille, contrôle le respect des règles, conseille sur les AIPD, coopère avec l'autorité de contrôle, agit comme point de contact pour les personnes concernées
  • Conflits d'intérêts — le directeur marketing ou le directeur informatique ne peut généralement pas être DPO (lignes directrices WP243 du CEPD ; amende de 50 000 € infligée en 2020 par l'autorité belge à un responsable de traitement ayant désigné le responsable de la conformité, de l'audit interne et des risques comme DPO)

💡 DPO externalisé ou interne ?

De nombreuses activités e-commerce de l'UE de moins de 50 salariés font appel à des DPO externes pour garantir clairement leur indépendance. Le panneau Zunapro propose un champ de contact DPO et achemine directement les demandes des personnes concernées vers votre boîte de réception DPO.

Configurer le routage DPO →

5. Droits des personnes concernées — Articles 15 à 22

Les huit droits, dans l'ordre

Les droits du chapitre III constituent l'épine dorsale opérationnelle du RGPD pour toute entreprise en contact avec les clients :

  • Droit à l'information (art. 13-14) — satisfait via la mention d'information mentionnée ci-dessus
  • Droit d'accès (art. 15) — confirmation du traitement + une copie des données à caractère personnel + les métadonnées de l'article 13
  • Droit de rectification (art. 16) — corriger des données inexactes, compléter des données incomplètes
  • Droit à l'effacement / « droit à l'oubli » (art. 17) — six motifs spécifiques (traitement non nécessaire, retrait du consentement, traitement illicite, etc.) ; ce n'est pas un droit absolu
  • Droit à la limitation du traitement (art. 18) — « geler » les données pendant la résolution d'un litige
  • Droit à la portabilité des données (art. 20) — recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement
  • Droit d'opposition (art. 21) — au traitement fondé sur l'intérêt légitime ou une mission d'intérêt public ; absolu en matière de prospection directe
  • Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22) — exceptions restreintes pour le contrat, la loi, le consentement explicite

Délais de réponse et format

L'article 12 fixe les règles opérationnelles :

  • Un mois par défaut — prolongeable de deux mois supplémentaires pour les demandes complexes ou nombreuses, avec notification motivée à la personne concernée
  • Gratuit — sauf demandes « manifestement infondées ou excessives », pour lesquelles des frais raisonnables ou un refus sont autorisés (la charge de la preuve incombant au responsable de traitement)
  • Même format que la demande — demande par e-mail, réponse par e-mail ; format structuré et lisible par machine pour la portabilité
  • Vérification d'identité requise, mais proportionnée — des contrôles d'identité excessivement contraignants constituent eux-mêmes une violation (position de la CNIL)

Comment les vendeurs e-commerce opérationnalisent cela

  1. Une boîte mail DSR dédiée (par exemple, [email protected]) acheminée vers le DPO ou l'équipe chargée de la protection des données
  2. Un workflow de tickets avec un délai SLA d'un mois et une escalade automatique à 25 jours
  3. Une cartographie de référence des données (le registre au titre de l'article 30) indiquant quels systèmes détiennent quelles données — Zunapro centralise cela pour les marketplaces, les boutiques, le CRM et les données de paiement
  4. Des réponses types avec les métadonnées légalement requises préremplies
  5. Une piste d'audit de chaque demande et de chaque réponse — les autorités de contrôle demandent régulièrement les journaux DSR des 12 derniers mois lors de leurs enquêtes

6. Notification de violation — Le délai de 72 heures (articles 33 à 34)

Ce qui constitue une « violation de données à caractère personnel »

L'article 4, paragraphe 12, définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Trois catégories découlent des lignes directrices 9/2022 du CEPD :

  • Violation de confidentialité — divulgation ou accès non autorisés (piratage classique / base de données divulguée)
  • Violation d'intégrité — altération non autorisée des données
  • Violation de disponibilité — perte d'accès ou destruction accidentelle ou illicite (typiquement un rançongiciel)

La notification à l'autorité de contrôle sous 72 heures

L'article 33 exige la notification à l'autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Les notifications tardives doivent être accompagnées des motifs du retard. Le délai commence à courir dès lors que le responsable de traitement a un degré de certitude raisonnable qu'une violation s'est produite — et non dès le premier signal vague.

La notification aux clients en cas de « risque élevé »

L'article 34 impose une obligation parallèle de notifier les personnes concernées « dans les meilleurs délais » lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Exemptions : données chiffrées, mesures d'atténuation appliquées après coup, ou effort disproportionné (une communication publique suffit alors).

Contenu d'une notification de violation

  • La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés
  • Les coordonnées du DPO ou d'un autre point de contact
  • Les conséquences probables
  • Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets négatifs éventuels

Schémas d'application courants

Les notifications tardives ou manquantes entraînent régulièrement des amendes, indépendamment de la violation sous-jacente. Exemples : Twitter International (aujourd'hui X) a été condamné à 450 000 € par la DPC irlandaise en 2020 pour notification tardive d'une violation ; Uber a été condamné à 600 000 € par l'AP néerlandaise pour ne pas avoir notifié une violation de 2016 dans les 72 heures suivant l'entrée en vigueur du RGPD. Dans les deux cas, la violation technique elle-même était relativement mineure ; c'est le manquement procédural qui a déterminé le montant de l'amende.

⏱️

Conseil pratique : un plan de réponse aux incidents documenté avec un délai de 72 heures, un DPO d'astreinte nommément désigné, un modèle de notification préétabli pour l'autorité de contrôle, et une cartographie préalable des autorités par État membre constituent le strict minimum. Zunapro journalise chaque événement d'authentification, chaque export de données et chaque action d'administration, de sorte que les faits nécessaires aux 72 heures puissent être reconstitués en quelques heures, pas en plusieurs jours. Découvrir les outils de réponse aux violations →

7. Transferts transfrontaliers — CCT, adéquation et Schrems II

La règle par défaut — Chapitre V

Le chapitre V du RGPD (art. 44 à 50) interdit les transferts de données à caractère personnel vers un « pays tiers » (hors UE/EEE) ou une organisation internationale, sauf si l'une des trois garanties suivantes s'applique :

  1. Décision d'adéquation (art. 45) — la Commission a formellement décidé que le pays tiers offre un niveau de protection « substantiellement équivalent ».
  2. Garanties appropriées (art. 46) — clauses contractuelles types (CCT), règles d'entreprise contraignantes (BCR), codes de conduite approuvés ou certifications.
  3. Dérogations spécifiques (art. 49) — exceptions restreintes : consentement explicite, exécution d'un contrat, intérêt public important, intérêts vitaux.

Décisions d'adéquation en vigueur (2026)

En 2026, des décisions d'adéquation totales ou partielles couvrent : Andorre, l'Argentine, le Canada (organismes commerciaux), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée (Corée du Sud), la Suisse, le Royaume-Uni (renouvelée en 2025, en vigueur jusqu'en 2031), l'Uruguay, et — dans le cadre du Data Privacy Framework UE-États-Unis (DPF) adopté le 10 juillet 2023 — les organismes américains certifiés.

Schrems II et les CCT

Le 16 juillet 2020, la CJUE, dans l'arrêt Schrems II (C-311/18), a invalidé le Privacy Shield UE-États-Unis et précisé que les CCT seules ne suffisent pas lorsque le droit du pays tiers concerné (par exemple, la section 702 du FISA aux États-Unis) crée des obligations contradictoires. Les responsables de traitement doivent :

  • Utiliser les nouvelles CCT adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, organisées en quatre modules (RT-RT, RT-ST, ST-ST, ST-RT)
  • Réaliser une analyse d'impact du transfert (AIT) du cadre juridique du pays importateur
  • Appliquer des mesures supplémentaires lorsque l'AIT révèle un risque — généralement chiffrement de bout en bout, pseudonymisation, ou mesures contractuelles/organisationnelles (recommandations 01/2020 du CEPD)

Le Data Privacy Framework UE-États-Unis

Le DPF de 2023 a rétabli un mécanisme d'adéquation de type Privacy Shield pour les destinataires américains certifiés. Les vendeurs qui transfèrent des données à un sous-traitant américain certifié DPF (la plupart des grands hyperscalers — AWS, Google Cloud, Microsoft Azure — sont certifiés) n'ont pas besoin de CCT pour ce destinataire spécifique, mais devraient tout de même documenter la base juridique retenue et surveiller les évolutions : une contestation de type « Schrems III » est déjà en cours et pourrait rouvrir la question.

Ce que cela implique en pratique

  • Cartographiez chaque sous-traitant et le pays où les données sont réellement traitées (pas seulement l'adresse de facturation)
  • Signez les CCT 2021 avec les destinataires non couverts par une décision d'adéquation, avec le module adapté à la relation concernée
  • Conservez une AIT pour chacun — la plupart des CMP et des outils de gestion des autorités fournissent des modèles
  • Mettez à jour annuellement ou en cas de changement de la loi ou des sous-traitants

8. Le futur règlement ePrivacy — Ce qui change pour les cookies et le marketing

Le contexte législatif

Le règlement ePrivacy (RPVE) a été proposé par la Commission en janvier 2017 pour remplacer la directive ePrivacy 2002/58/CE (la « directive cookies »). Contrairement à une directive, il s'appliquerait directement, sans transposition nationale — mettant fin à la fragmentation actuelle dans laquelle la France (délibération CNIL 2020-091), l'Allemagne (TTDSG/TDDDG), l'Espagne (LSSI-CE), l'Italie (lignes directrices Garante 2021 sur les cookies) et d'autres interprètent chacune différemment le même socle de l'UE.

Ce qui devrait être couvert (état en 2026)

  • Les cookies et technologies similaires — y compris le fingerprinting et les identifiants au niveau des SDK
  • Les métadonnées des communications électroniques — étendant la confidentialité des communications au-delà des opérateurs télécoms traditionnels aux messageries OTT
  • La prospection directe — opt-in pour le marketing électronique (e-mail, SMS), avec le « soft opt-in » existant pour des produits similaires dans le cadre de la relation client
  • Les signaux de consentement au niveau du navigateur — reconnaissance explicite des signaux de type « Do Not Track » / Global Privacy Control
  • Les communications non sollicitées — opt-in strict pour le B2C, moins strict pour le B2B

Ce qui ne change pas

Le RGPD reste la lex generalis en matière de qualité du consentement (art. 4, paragraphe 11, art. 7). Le RPVE est la lex specialis quant au moment où un consentement est requis pour les communications électroniques et le suivi. Une CMP TCF v2.2 conçue aujourd'hui devrait être compatible avec la transition vers le RPVE.

Impact attendu sur l'e-commerce

  • Les différences nationales (par exemple, les subtilités du droit allemand des télécommunications) se réduisent au profit d'une règle unique à l'échelle de l'UE
  • Les signaux « Tout refuser » au niveau du navigateur deviennent plus difficiles à ignorer — les infrastructures d'analyse et d'adtech doivent les respecter automatiquement
  • Les règles de marketing B2B pourraient diverger davantage du B2C, certains États membres conservant des régimes B2C plus stricts
  • Les campagnes marketing transfrontalières deviennent plus faciles à vérifier au regard de la conformité, à partir d'une source unique de référence

9. Amendes — 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83)

Les deux niveaux

L'article 83 fixe deux niveaux maximaux d'amende :

  • Niveau 1 — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu : violations des obligations du responsable de traitement/du sous-traitant (art. 8, 11, 25 à 39, 42, 43)
  • Niveau 2 — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu : violations des principes de base (art. 5), de la base juridique (art. 6), des conditions applicables au consentement (art. 7), des catégories particulières de données (art. 9), des droits des personnes concernées (art. 12 à 22) et des transferts internationaux (art. 44 à 49)

Comment les autorités de contrôle calculent le montant

Le CEPD a publié les lignes directrices 04/2022 sur le calcul des amendes administratives (adoptées le 24 mai 2023), qui fixent une méthodologie en cinq étapes :

  1. Identifier les opérations de traitement et appliquer l'article 83, paragraphe 3, pour déterminer si une ou plusieurs amendes s'appliquent
  2. Déterminer le montant de départ en fonction de la gravité de l'infraction (art. 83, paragraphe 2, points a, b, g)
  3. Appliquer les circonstances aggravantes ou atténuantes (art. 83, paragraphe 2, points c à k)
  4. S'assurer que le plafond dynamique (art. 83, paragraphes 4 à 6) n'est pas dépassé
  5. Évaluer l'efficacité, la proportionnalité et le caractère dissuasif

Le paysage des amendes en 2026

Les amendes RGPD cumulées dépassent 5,5 milliards d'euros d'ici 2026. Parmi les sanctions marquantes :

  • 1,2 milliard d'euros — Meta Platforms Ireland (DPC irlandaise, 22 mai 2023) — transferts illicites vers les États-Unis
  • 746 millions d'euros — Amazon Europe Core (CNPD luxembourgeoise, 16 juillet 2021) — consentement adtech
  • 405 millions d'euros — Meta / Instagram (DPC irlandaise, 5 septembre 2022) — données d'enfants
  • 390 millions d'euros — Meta / Facebook + Instagram (DPC irlandaise, janvier 2023) — base juridique de la publicité
  • 345 millions d'euros — TikTok (DPC irlandaise, septembre 2023) — confidentialité des mineurs
  • 290 millions d'euros — Uber B.V. (AP néerlandaise, août 2024) — données des chauffeurs vers les États-Unis
  • 225 millions d'euros — WhatsApp (DPC irlandaise, septembre 2021) — manquements en matière de transparence

La réalité pour les PME

Les amendes emblématiques visent les plus grands responsables de traitement, mais des autorités comme l'AEPD infligent chaque année, de façon routinière, des centaines d'amendes de 1 000 à 50 000 € aux PME — les infractions typiques étant l'absence de mention d'information, la vidéosurveillance non déclarée, les cookies illégaux et les réponses tardives aux demandes des personnes concernées. Pour un vendeur en ligne de l'UE réalisant entre 1 et 10 M€ de chiffre d'affaires, l'exposition réaliste se situe dans une fourchette de 5 000 à 100 000 € par constat — un montant significatif mais supportable, à condition qu'une conformité de base soit en place.

📊 Prévision du risque d'amende dans le panneau

Le tableau de bord de conformité de Zunapro compare vos activités de traitement à la méthodologie de calcul des amendes du CEPD et signale en priorité les écarts les plus à risque.

Lancer l'évaluation des risques →

10. Check-list RGPD pour l'e-commerce + autorités nationales

La check-list opérationnelle en 12 points

  1. Désigner un responsable de traitement et (si nécessaire) un DPO — documenter publiquement la désignation et les coordonnées
  2. Tenir un registre au titre de l'article 30 des activités de traitement, indexé par finalité, base juridique, destinataires, conservation, transferts
  3. Publier une politique de confidentialité conforme au RGPD au titre des articles 13-14 — à plusieurs niveaux, clairement rédigée, dans la langue du marché concerné
  4. Déployer une CMP compatible TCF v2.2 avec des boutons « Tout accepter » / « Tout refuser » équivalents et des bascules granulaires
  5. Documenter la base juridique de chaque activité de traitement — en distinguant notamment le contrat, l'intérêt légitime et le consentement
  6. Signer des DPA (art. 28) avec chaque sous-traitant — prestataires de paiement, hébergeurs, partenaires logistiques, outils marketing
  7. Mettre en place des workflows DSR — art. 15 à 22, SLA d'un mois, vérification d'identité, piste d'audit
  8. Fixer des durées de conservation et de suppression — données de commande, données marketing, données de journaux, données de paiement, chacune avec son propre délai
  9. Mettre en œuvre un plan de réponse en 72 heures aux violations — plan d'action, DPO nommément désigné, modèles pour l'autorité de contrôle, surveillance
  10. Signer les CCT 2021 + réaliser des AIT pour chaque transfert non couvert par une décision d'adéquation ; s'appuyer sur le DPF UE-États-Unis lorsque le sous-traitant est certifié
  11. Réaliser des AIPD (art. 35) pour les traitements à haut risque — profilage, catégories particulières de données à grande échelle, suivi systématique
  12. Former le personnel, journaliser les décisions, tout documenter — la responsabilité (art. 5, paragraphe 2) est en soi une obligation substantielle

Autorités de contrôle nationales — Qui contacter et quand

État membre Autorité Ville Priorité d'application 2026
France CNIL Paris Cookies, adtech, TCF, amendes élevées
Espagne AEPD Madrid Application auprès des PME, vidéosurveillance, retards DSR
Italie Garante Rome IA/ChatGPT, télémarketing, cookies
Allemagne — fédéral BfDI Bonn Organismes fédéraux, télécoms, poste
Allemagne — Länder 16 autorités régionales Par Land Application dans le secteur privé (LfDI BW, BlnBDI, HmbBfDI les plus actives)
Pays-Bas Autoriteit Persoonsgegevens (AP) La Haye Cookie walls, registre IA, fuites de données publiques
Irlande Data Protection Commission (DPC) Dublin Autorité chef de file pour la Big Tech, amendes les plus élevées
Hongrie NAIH Budapest Vidéosurveillance, reconnaissance faciale, données RH
Belgique Gegevensbeschermingsautoriteit (APD/GBA) Bruxelles Adtech, décisions IAB Europe TCF
Royaume-Uni ICO (UK GDPR) Wilmslow Adtech, code de protection des enfants, lignes directrices sur l'IA

Comment lire ce tableau : pour les affaires transfrontalières, le mécanisme du « guichet unique » s'applique, et l'autorité chef de file est celle de l'établissement principal du responsable de traitement. Pour les plaintes purement nationales, c'est l'autorité locale qui traite le dossier. Zunapro enregistre pour chaque client une configuration d'autorité chef de file, afin que les réclamations des clients soient acheminées automatiquement.

Comment rendre une boutique Zunapro conforme au RGPD — étape par étape

1. Configurer le responsable de traitement et le DPO

Dans le panneau Zunapro → Paramètres → Confidentialité, déclarez l'entité juridique responsable de traitement, l'adresse enregistrée, le représentant dans l'UE (si vous êtes établi hors de l'UE) et les coordonnées du DPO. Ces valeurs alimentent automatiquement la mention d'information au titre de l'article 13, le premier niveau de la bannière cookies et la configuration de la boîte mail DSR.

2. Activer la CMP TCF v2.2

  • Activer la plateforme de gestion du consentement dans Paramètres → Cookies
  • Choisir la mise en forme (bannière, fenêtre modale, barre) et confirmer le traitement équivalent de « Tout accepter » / « Tout refuser »
  • Sélectionner les finalités 1 à 11 de la GVL TCF — Zunapro présélectionne les valeurs par défaut adaptées à l'e-commerce
  • Confirmer le lien permanent « Paramètres des cookies » en pied de page

3. Générer la mention d'information au titre de l'article 13

Zunapro génère une notice multilingue à partir des données saisies à l'étape 1 et des intégrations que vous avez connectées (prestataires de paiement, outils marketing, région d'hébergement). Vérifiez, modifiez la version localisée pour chaque marché, puis publiez.

4. Mettre en place le workflow DSR

  • Configurer la boîte mail dédiée à la confidentialité (ou un point d'entrée de formulaire web)
  • Associer chaque droit (accès, effacement, etc.) à son SLA et aux systèmes qui doivent agir
  • Activer le journal d'audit

5. Activer la surveillance des violations + la bibliothèque de CCT

Activez le plan de réponse aux incidents en 72 heures et importez les CCT 2021 pré-signées pour chaque sous-traitant opérant en dehors de l'UE/l'EEE. Zunapro envoie des rappels annuels pour l'actualisation des AIT.

6. Mise en production

  1. Connectez-vous à Zunapro et ouvrez le module UE
  2. Activez le Privacy Hub dans les paramètres
  3. Parcourez l'assistant — responsable de traitement, DPO, CMP, mention d'information, DSR, plan de réponse aux violations, CCT
  4. Traduisez pour chaque marché où vous vendez (Zunapro fournit des modèles en EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
  5. Mise en production — le premier passage complet prend généralement 10 à 15 minutes pour une seule boutique

Rendez chaque boutique de l'UE conforme au RGPD depuis un seul panneau

CMP TCF v2.2 · Mention d'information au titre de l'article 13 · Workflow DSR · Réponse aux violations en 72 heures · CCT 2021 + AIT · bibliothèque des autorités pré-cartographiée pour la CNIL, l'AEPD, la Garante, la BfDI, l'AP, la NAIH, l'ICO. Intégration en 10 minutes, aucune démo requise.

Connecter les marketplaces de l'UE →

FAQ RGPD UE 2026

Qu'est-ce que le RGPD et depuis quand s'applique-t-il ?

Le RGPD est le règlement général sur la protection des données — formellement le règlement (UE) 2016/679. Il a été adopté le 27 avril 2016 et est devenu directement applicable dans les 27 États membres de l'UE et les trois pays de l'EEE (Norvège, Islande, Liechtenstein) le 25 mai 2018.

S'agissant d'un règlement et non d'une directive, il est entré en vigueur à la même date dans chaque État membre, sans transposition nationale. Il a remplacé la directive de 1995 sur la protection des données (95/46/CE).

Ai-je besoin du consentement RGPD pour les cookies sur mon site e-commerce ?

Oui, pour tout cookie non essentiel : analyse, publicité, personnalisation, tests A/B, contenus intégrés de tiers. Les cookies strictement nécessaires (panier, session de connexion, jeton CSRF) en sont exemptés mais doivent tout de même être documentés.

Le cadre IAB Europe TCF v2.2, obligatoire depuis novembre 2023, est la norme pour recueillir et signaler le consentement. Les cases pré-cochées, les cookie walls sans option de refus équivalente et « la navigation continue valant consentement » sont explicitement interdits par les lignes directrices du CEPD et les décisions d'application de la CNIL et de l'AEPD.

Une politique de confidentialité est-elle obligatoire au titre du RGPD ?

Oui. Les articles 13 et 14 du RGPD exigent que tout responsable de traitement — y compris tout vendeur e-commerce — fournisse une mention d'information claire et transparente. Le contenu obligatoire comprend l'identité du responsable de traitement, les finalités et bases juridiques du traitement, les durées de conservation, les destinataires, les transferts internationaux, les droits des personnes concernées et le droit d'introduire une réclamation auprès d'une autorité de contrôle.

La mention doit être rédigée en langage clair, facilement accessible (généralement reliée en pied de page sur chaque page) et correspondre à vos activités de traitement réelles. Les mentions types ne correspondant pas au registre au titre de l'article 30 constituent un motif d'amende fréquent.

Quand une entreprise e-commerce doit-elle désigner un DPO ?

L'article 37 du RGPD impose un délégué à la protection des données lorsque (a) le traitement est effectué par une autorité publique, (b) les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou (c) les activités de base portent sur le traitement à grande échelle de catégories particulières de données ou de données relatives aux condamnations pénales.

Le seuil de 250 employés, souvent cité, concerne la tenue du registre au titre de l'article 30, et non la désignation d'un DPO. En pratique, la plupart des marketplaces, des grands détaillants et des activités e-commerce fortement axées sur la publicité comportementale ont besoin d'un DPO, quel que soit leur effectif. Les règles nationales peuvent être plus strictes — la loi allemande BDSG exige un DPO dès 20 personnes impliquées dans un traitement automatisé.

Quels sont les droits des personnes concernées au titre du RGPD ?

Le chapitre III (articles 15 à 22) accorde huit droits : accès (art. 15), rectification (art. 16), effacement / droit à l'oubli (art. 17), limitation du traitement (art. 18), portabilité des données (art. 20), opposition (art. 21), et le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22), ainsi que le droit à l'information (art. 13-14).

L'article 12 fixe les règles opérationnelles : réponse dans un délai d'un mois, prolongeable de deux mois supplémentaires pour les demandes complexes ou nombreuses, gratuitement sauf si la demande est « manifestement infondée ou excessive ».

Qu'est-ce que la règle des 72 heures pour la notification de violation de données ?

L'article 33 du RGPD impose aux responsables de traitement de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans les 72 heures suivant sa découverte, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. En cas de risque élevé, l'article 34 impose également d'informer les personnes concernées dans les meilleurs délais.

Les notifications tardives ou manquantes entraînent régulièrement des amendes, indépendamment de la violation sous-jacente — Twitter International (450 000 €, DPC irlandaise 2020) et Uber (600 000 €, AP néerlandaise) en sont des exemples bien connus.

Comment transférer les données clients e-commerce hors de l'UE après l'arrêt Schrems II ?

Après Schrems II (CJUE C-311/18, 16 juillet 2020), le Privacy Shield a été invalidé. Les transferts vers un pays tiers nécessitent désormais soit (i) une décision d'adéquation de la Commission — couvrant actuellement le Royaume-Uni, la Suisse, le Japon, la Corée du Sud, le Canada (organismes commerciaux), Israël et d'autres, ainsi que le Data Privacy Framework UE-États-Unis adopté en juillet 2023 — soit (ii) les clauses contractuelles types de 2021 accompagnées d'une analyse d'impact du transfert et de mesures techniques supplémentaires.

Le chiffrement de bout en bout, la pseudonymisation et les mesures contractuelles/organisationnelles sont les garanties supplémentaires les plus courantes (recommandations 01/2020 du CEPD).

Comment le règlement ePrivacy va-t-il modifier les règles relatives aux cookies ?

Le règlement ePrivacy, destiné à remplacer la directive ePrivacy de 2002/2009 (directive 2002/58/CE, dite « directive cookies »), est en cours de négociation depuis 2017. Une fois adopté, il harmonisera les règles relatives aux cookies, au marketing électronique et aux métadonnées dans toute l'UE au niveau réglementaire, remplaçant l'actuelle fragmentation des lois nationales.

En 2026, sa finalisation est attendue sous la nouvelle mandature de la Commission. En attendant, les lois nationales ePrivacy (LCEN en France / délibération CNIL 2020-091, TTDSG/TDDDG en Allemagne, LSSI-CE en Espagne, lignes directrices Garante 2021 sur les cookies en Italie) restent en vigueur parallèlement au RGPD. Une CMP TCF v2.2 est compatible avec le projet de RPVE.

Quel est le montant des amendes RGPD et qui les inflige ?

L'article 83 du RGPD prévoit deux niveaux : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les violations administratives, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux, de la base juridique, des droits des personnes concernées et des transferts internationaux.

Les amendes sont infligées par les autorités de contrôle nationales — CNIL (France), AEPD (Espagne), Garante (Italie), BfDI et les 16 autorités régionales (Allemagne), AP (Pays-Bas), NAIH (Hongrie), ICO (Royaume-Uni au titre du UK GDPR), la DPC irlandaise (autorité chef de file pour la plupart des dossiers Big Tech). La plus lourde amende individuelle à ce jour s'élève à 1,2 milliard d'euros contre Meta Platforms Ireland (DPC irlandaise, mai 2023).

À quoi ressemble une check-list RGPD minimale pour un vendeur e-commerce de l'UE ?

Douze points essentiels : (1) désigner un responsable de traitement et, si nécessaire, un DPO ; (2) tenir un registre des traitements au titre de l'article 30 ; (3) publier une politique de confidentialité conforme au RGPD ; (4) mettre en place un consentement aux cookies TCF v2.2 ; (5) documenter la base juridique de chaque activité de traitement ; (6) signer des contrats de sous-traitance avec chaque sous-traitant ; (7) mettre en place des workflows de traitement des demandes des personnes concernées avec des délais définis ; (8) fixer des durées de conservation et de suppression ; (9) mettre en œuvre un plan de réponse aux violations en 72 heures ; (10) mettre en place des CCT 2021 et des AIT pour les transferts non couverts par une décision d'adéquation ; (11) réaliser des AIPD pour les traitements à haut risque ; (12) former le personnel et tout documenter.

Le RGPD s'applique-t-il aux vendeurs hors UE qui livrent dans l'UE ?

Oui. L'article 3, paragraphe 2, du RGPD a une portée extraterritoriale : tout responsable de traitement ou sous-traitant situé hors de l'UE qui propose des biens ou des services à des personnes concernées dans l'UE/l'EEE, ou qui surveille leur comportement, est soumis au RGPD.

Les vendeurs hors UE doivent, dans la plupart des cas, désigner un représentant dans l'UE au titre de l'article 27 — une personne physique ou morale établie dans l'UE agissant comme point de contact pour les autorités de contrôle et les personnes concernées. Les activités e-commerce turques, britanniques, américaines et asiatiques vendant de manière transfrontalière dans l'UE doivent donc toutes se conformer au RGPD et, généralement, désigner un représentant au titre de l'article 27.

Quelle est la différence entre un responsable de traitement et un sous-traitant ?

Le responsable de traitement détermine les finalités et les moyens du traitement — généralement le vendeur e-commerce lui-même. Le sous-traitant traite les données à caractère personnel pour le compte du responsable de traitement, selon des instructions documentées — typiquement les prestataires de paiement, partenaires logistiques, outils marketing, hébergeurs.

L'article 28 exige un contrat de sous-traitance (DPA) écrit entre les deux, couvrant l'objet, la durée, la nature, la finalité, les catégories de données ainsi que les obligations du responsable de traitement et du sous-traitant (y compris l'autorisation des sous-traitants ultérieurs, la notification des violations au responsable de traitement, et la suppression/restitution des données à la fin du service).

Combien de temps faut-il pour rendre une boutique Zunapro conforme au RGPD ?

Environ 10 minutes pour la couche technique. Zunapro fournit des boutiques prêtes pour le RGPD avec une plateforme de gestion du consentement compatible TCF v2.2, des modèles de mention d'information au titre de l'article 13 en 12 langues de l'UE, des workflows de traitement des demandes des personnes concernées, des règles de conservation configurables, des outils automatisés de notification des violations et des CCT 2021 pré-signées pour les sous-traitants.

Le travail restant relève davantage de la politique interne que du code : documenter vos bases juridiques par activité de traitement, remplir votre registre au titre de l'article 30, et aligner les coordonnées de votre autorité de contrôle. La plupart des vendeurs achèvent le premier passage complet en un après-midi, puis itèrent.

Lancez votre infrastructure e-commerce en UE — conforme RGPD dès la sortie de boîte

Règlement (UE) 2016/679 · Consentement aux cookies TCF v2.2 · Mention d'information au titre de l'article 13 · 8 droits des personnes concernées · Réponse aux violations en 72 heures · CCT 2021 + AIT · bibliothèque des autorités pré-cartographiée pour la CNIL, l'AEPD, la Garante, la BfDI, l'AP, la NAIH, l'ICO. Un seul panneau, toutes les boutiques de l'UE, tous les marketplaces.

🇪🇺 Lancez-vous dans toute l'UE →
Partager:

Besoin d'aide ?

Service associé: E-Commerce

Contactez-nous

Obtenez une consultation gratuite pour votre projet e-commerce.

Discuter sur WhatsApp