Quels cookies Shopify dépose-t-il sur ma boutique ?

Shopify dépose des cookies strictement nécessaires (_shopify_s, _shopify_y, cart_sig, checkout_token) pour le fonctionnement du site et du panier, ainsi que des cookies analytics internes (_shopify_sa_t, _shopify_sa_p). Les cookies tiers (Google Analytics, Meta Pixel, etc.) dépendent des applications et pixels que vous avez installés.

Comment bloquer les cookies tiers avant consentement sur Shopify ?

Deux méthodes sont possibles : utiliser l'API Shopify Customer Privacy pour conditionner le chargement des scripts, ou modifier les balises script dans theme.liquid en remplaçant type="text/javascript" par type="text/plain" avec un attribut data-category. La CMP réactive les scripts après consentement.

Les Shopify Pixels nécessitent-ils un consentement ?

Oui. Les Shopify Pixels (Meta Pixel, Google Ads, TikTok) fonctionnent dans un sandbox isolé mais déposent des cookies. Leur comportement de consentement doit être configuré via les paramètres de confidentialité Shopify ou via l'API Customer Privacy.

Faut-il une CMP différente pour chaque marché Shopify Markets ?

Non. Une seule CMP capable de géolocaliser le visiteur suffit. Elle adapte le bandeau selon la juridiction : opt-in pour l'EEE (RGPD), opt-out pour la Californie (CCPA), etc. FlowConsent et les CMP SaaS avancées proposent cette fonctionnalité nativement.

Comment intégrer FlowConsent sur Shopify ?

FlowConsent s'intègre en ajoutant un snippet JavaScript dans le fichier theme.liquid de votre thème Shopify, juste avant la balise de fermeture . Cette méthode fonctionne indépendamment des applications Shopify et offre le scan automatique, le blocage des scripts et le Consent Mode v2.

Cookies et consentement sur Shopify : guide RGPD

Q: Shopify gère-t-il le consentement cookies nativement ?

Shopify propose un bandeau de consentement basique via sa fonctionnalité Customer Privacy, mais il ne bloque pas les scripts tiers avant consentement et ne propose pas de choix granulaire par catégorie. Pour une conformité RGPD complète, il faut ajouter une CMP dédiée.

TL;DR

Shopify ne fournit pas de solution de consentement cookies conforme au RGPD par défaut. La plateforme dépose ses propres cookies techniques et analytics, et les applications tierces installées sur votre boutique en ajoutent d'autres. Pour rendre une boutique Shopify conforme, il faut intégrer une CMP qui affiche un bandeau, bloque les scripts non consentis et conserve la preuve de consentement, soit via une application Shopify dédiée, soit via un snippet JavaScript dans le fichier theme.liquid.

Pourquoi Shopify ne suffit pas pour la conformité cookies ?

Shopify est une plateforme e-commerce hébergée. Elle gère l'infrastructure technique, l'hébergement et le checkout, mais ne fournit pas de mécanisme de consentement cookies conforme au RGPD européen.

Shopify propose un bandeau de consentement natif via sa fonctionnalité "Customer Privacy", mais ce bandeau est basique. Il ne bloque pas les scripts tiers avant consentement et ne propose pas de panneau de personnalisation par catégorie de cookies. Pour les boutiques qui ciblent des visiteurs dans l'EEE, ce mécanisme natif ne suffit pas à démontrer la conformité.

Les sources de cookies sur une boutique Shopify sont multiples : les cookies Shopify natifs (session, panier, checkout, analytics Shopify), les applications tierces installées (avis clients, upsell, email marketing, chat), les pixels de conversion (Facebook, Google Ads, TikTok) et les scripts analytics (Google Analytics, Klaviyo, Hotjar).

Quels cookies Shopify dépose-t-il nativement ?

Shopify dépose plusieurs catégories de cookies qu'il faut connaître pour configurer correctement votre CMP.

Les cookies strictement nécessaires incluent _shopify_s et _shopify_y (session et identification du visiteur), cart_sig et cart_ts (gestion du panier), secure_customer_sig (authentification client), checkout_token (processus de paiement). Ces cookies sont indispensables et exemptés de consentement.

Les cookies analytics Shopify incluent _shopify_sa_t et _shopify_sa_p. Selon votre interprétation du RGPD, ces cookies peuvent nécessiter un consentement si les données sont utilisées à des fins de profilage.

Les cookies tiers posent le plus de problèmes : _ga, _gid (Google Analytics), _fbp, _fbc (Meta Pixel), les cookies de Klaviyo, Judge.me, ReCharge. Ces cookies nécessitent systématiquement un consentement préalable.

Comment intégrer une CMP sur Shopify ?

Deux approches principales permettent d'ajouter une solution de consentement cookies sur Shopify.

Option 1 : une application Shopify de consentement

Le Shopify App Store propose des applications comme Pandectes, Consentmo ou CookieYes. L'avantage est la simplicité. La limite est que certaines applications gratuites n'offrent qu'un bandeau basique sans blocage réel des scripts.

Option 2 : une CMP SaaS externe via theme.liquid

Une CMP externe comme FlowConsent s'intègre en ajoutant un snippet JavaScript dans theme.liquid. Cette méthode offre un contrôle plus fin et des fonctionnalités avancées : scan automatique, Google Consent Mode v2, TCF 2.2, rapports de conformité.

Comment bloquer les scripts avant consentement sur Shopify ?

Le blocage peut être géré via l'API Shopify Customer Privacy ou en modifiant les balises script dans theme.liquid (type="text/plain" avec data-category). Pour les Shopify Pixels, le consentement est contrôlé via les paramètres de confidentialité Shopify.

Après configuration, un audit de cookies est indispensable pour vérifier que les scripts sont bloqués avant consentement.

Shopify Markets et la conformité multi-pays

Le RGPD (opt-in, EEE), le CCPA/CPRA (opt-out, Californie) et la LGPD (Brésil) ont des exigences différentes. Une CMP capable de géolocaliser le visiteur et d'adapter le bandeau est nécessaire pour les boutiques multi-marchés. FlowConsent propose cette fonctionnalité.

Erreurs fréquentes sur les boutiques Shopify

Se fier au bandeau natif Shopify comme seule solution. Il ne bloque pas les scripts tiers et ne propose pas de choix granulaire.

Ne pas auditer les cookies déposés par les applications Shopify. Chaque application installée peut déposer ses propres cookies non documentés.

Oublier les Shopify Pixels. Les pixels (Meta, Google Ads, TikTok) fonctionnent dans un sandbox mais déposent des cookies. Leur consentement doit être configuré séparément.

Ne pas mettre à jour la politique de cookies après chaque ajout d'application.

Ignorer le checkout Shopify. Il dépose ses propres cookies strictement nécessaires qui doivent être documentés.

Shopify et le Google Consent Mode v2

Si votre boutique utilise GA4 ou Google Ads, le Consent Mode v2 est indispensable. Il peut être implémenté via GTM dans theme.liquid ou directement via la CMP. FlowConsent transmet automatiquement les signaux de consentement aux tags Google.

Checklist : conformité cookies sur Shopify

Lancer un scan de votre boutique pour inventorier tous les cookies.
Installer une CMP (application Shopify ou CMP SaaS via theme.liquid).
Configurer le blocage des scripts non essentiels avant consentement.
Vérifier que le bandeau propose Accepter et Refuser avec la même visibilité.
Configurer la gestion des Shopify Pixels.
Activer le Google Consent Mode v2 si GA4 ou Google Ads est utilisé.
Rédiger une politique de cookies incluant les cookies Shopify natifs.
Configurer la géolocalisation du bandeau si Shopify Markets est actif.
Tester en navigation privée : aucun cookie tiers avant clic sur Accepter.
Planifier un audit après chaque installation d'application Shopify.

Conclusion

Shopify simplifie le e-commerce, mais pas la conformité cookies. Le bandeau natif ne suffit pas, et l'écosystème d'applications ajoute des cookies non documentés en permanence. Une CMP externe comme FlowConsent, intégrée via theme.liquid, offre le blocage fiable, le scan automatique et la gestion multi-marchés nécessaires pour une boutique Shopify conforme au RGPD.

Lancez un scan gratuit de votre boutique Shopify pour identifier tous les cookies présents et évaluer votre niveau de conformité.

Cookies et consentement sur Shopify : le guide RGPD