TL;DR — Shopify génère des cookies fonctionnels (panier, session, préférences de devise) qui sont exemptés de consentement RGPD. Mais dès qu'on active les pixels marketing (Meta, Google, TikTok), les analytics ou les apps tiers, des cookies publicitaires et analytiques sont déposés et nécessitent un consentement explicite. Shopify propose depuis 2023 son propre outil de bannière cookies dans certains marchés, mais il ne couvre pas toutes les exigences européennes. Une CMP externe reste nécessaire pour une conformité complète.
Shopify est la plateforme e-commerce utilisée par plus de 4 millions de marchands mondiaux. Sa flexibilité via les apps et les pixels marketing intégrés crée des risques de non-conformité cookies souvent sous-estimés. La CNIL a clarifié que les boutiques en ligne sont soumises aux mêmes règles que les autres sites : tout cookie non essentiel nécessite un consentement préalable. Ce guide explique quels cookies Shopify dépose, comment les auditer et comment mettre en place une conformité RGPD durable.
Quels cookies Shopify installe-t-il par défaut ?
Shopify installe plusieurs cookies first-party fonctionnels. Les principaux : _session_id (session d'achat, essentiel), cart (contenu du panier, essentiel), secure_customer_sig (authentification client), localization (préférences de langue/devise). Ces cookies sont strictement nécessaires au fonctionnement de la boutique et sont exemptés de consentement.
Les pixels et apps qui posent problème
Le vrai risque vient des pixels et apps : Shopify Pixel (alias Web Pixels) permet d'intégrer nativement Meta Pixel, Google Analytics / GA4, TikTok Pixel et d'autres outils marketing. Chacun dépose ses propres cookies publicitaires ou analytiques. Les apps tiers du Shopify App Store ajoutent souvent des scripts de tracking supplémentaires. Les outils de chat (Tidio, Gorgias), de recommandation produit et de retargeting sont des sources fréquentes de cookies non consentis.
Comment auditer les cookies d'une boutique Shopify ?
Méthode 1 — Scanner toutes les pages
Utilisez le scanner FlowConsent (/fr/scan) ou les DevTools Chrome. Les boutiques Shopify ont plusieurs types de pages à auditer : la page d'accueil, les pages collection, les pages produit, la page panier et la page de checkout. Le checkout Shopify est hébergé sur un sous-domaine de shopify.com, ce qui limite parfois la visibilité des cookies.
Méthode 2 — Inspecter les Web Pixels actifs
Dans l'admin Shopify, allez dans Paramètres > Pixels clients pour voir tous les pixels actifs. Chaque pixel dépose ses propres cookies. Vérifiez également Paramètres > Applications et canaux de vente pour les apps qui pourraient injecter des scripts.
Shopify Customer Privacy API vs CMP externe
Depuis 2023, Shopify propose la Customer Privacy API, qui permet de gérer le consentement cookies nativement pour les marchands sur des marchés spécifiques (dont l'Europe). Cet outil affiche automatiquement une bannière cookies pour les visiteurs européens.
Limitations de la solution native Shopify : elle ne couvre que les pixels Shopify natifs (Web Pixels), pas les apps tiers qui injectent des scripts hors du système de pixels. Elle ne propose pas de granularité avancée par catégorie de cookies dans toutes les configurations. Elle ne génère pas de logs de consentement exportables (nécessaires en cas de contrôle). Pour une conformité complète, une CMP externe connectée à l'API Shopify reste l'approche recommandée.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment intégrer une CMP sur Shopify ?
L'intégration d'une CMP externe sur Shopify se fait en deux étapes : ajouter le script de la CMP dans le thème et configurer les pixels pour qu'ils attendent le consentement.
Étape 1 — Ajouter le script CMP dans le thème
Dans l'éditeur de thème Shopify (Contenu > Thèmes > Modifier le code), ajoutez le snippet JavaScript de la CMP dans le fichier theme.liquid, idéalement dans le <head> avant tout autre script tiers. FlowConsent fournit un snippet Shopify dédié qui se charge de façon asynchrone sans impacter les performances.
Étape 2 — Configurer les Web Pixels pour attendre le consentement
Dans Paramètres > Pixels clients, chaque Web Pixel peut être configuré avec un mode de confidentialité. Activez le mode 'Restreint' pour que les pixels n'envoient des données que si le visiteur a consenti à la catégorie correspondante. Pour les pixels hors Web Pixels (apps tiers), le blocage doit être géré par la CMP via son mécanisme de script blocking.
Erreurs fréquentes sur les boutiques Shopify
Erreur 1 : Meta Pixel et GA4 actifs sans bannière cookies. Ces deux pixels déposent des cookies publicitaires et analytiques dès le chargement de la page. Sans bannière ni blocage, chaque visiteur est tracké sans consentement.
Erreur 2 : Se fier uniquement à la solution native Shopify. La Customer Privacy API couvre les pixels natifs mais pas les apps tiers. Un audit complet révèle souvent des cookies non gérés.
Erreur 3 : Le checkout Shopify échappe au contrôle. Le checkout est sur un domaine Shopify. Vérifiez,que les pixels configurés dans le checkout (Order Status page scripts) respectent également le consentement.
Erreur 4 : Aucun log de consentement conservé. En cas de contrôle CNIL, vous devez prouver que le consentement a été recueilli. Activez le logging dans la CMP.
Checklist conformité cookies Shopify
- Scanner toutes les pages de la boutique (accueil, collection, produit, panier, checkout).
- Lister tous les Web Pixels actifs dans Paramètres > Pixels clients.
- Lister toutes les apps tiers susceptibles d'injecter des scripts de tracking.
- Installer une CMP compatible Shopify (snippet dans theme.liquid).
- Configurer les Web Pixels en mode Restreint dans l'admin Shopify.
- Vérifier le blocage de scripts pour les apps hors Web Pixels.
- Intégrer Google Consent Mode v2 si Google Ads ou GA4 sont utilisés.
- Mettre à jour la politique de cookies avec tous les cookies actifs.
- Activer le logging des consentements (logs horodatés).
- Ajouter un lien 'Gérer les cookies' dans le footer du thème.
Shopify simplifie le e-commerce mais ne simplifie pas la conformité RGPD. Les pixels marketing et les apps tiers créent des risques réels qui nécessitent un audit régulier et une CMP correctement configurée. Scanner votre boutique sur /fr/scan permet d'identifier en quelques secondes quels cookies sont actifs sur votre Shopify.