WooCommerce et RGPD : guide de conformité complet

TL;DR : WooCommerce est l'extension e-commerce la plus utilisée sur WordPress. Il pose des cookies fonctionnels de panier et de session qui sont exemptés du consentement. En revanche, dès que vous ajoutez Google Analytics, Meta Pixel, Google Ads ou d'autres scripts tiers, le consentement explicite est obligatoire selon le RGPD et les recommandations de la CNIL.

Quels cookies WooCommerce pose-t-il ?

WooCommerce pose principalement des cookies fonctionnels liés au panier d'achat et à la session utilisateur. Ces cookies sont indispensables au bon fonctionnement de la boutique et n'enregistrent aucune donnée de tracking à des fins publicitaires.

Les cookies natifs WooCommerce

• woocommerce_cart_hash : stocke un hash du panier pour détecter les modifications (durée : session).
• woocommerce_items_in_cart : indique si le panier contient des articles (durée : session).
• wp_woocommerce_session_{hash} : cookie de session client non connecté, contient les données de panier (durée : 48 heures).
• woocommerce_recently_viewed : liste des produits récemment consultés (durée : session).
• wordpress_logged_in_{hash} : identifie les clients connectés ayant un compte (durée : selon la configuration).

Ces cookies sont-ils soumis au RGPD ?

Les cookies natifs WooCommerce (panier, session, produits consultés) sont considérés comme strictement nécessaires par la CNIL et l'ICO : ils sont indispensables au service demandé par l'utilisateur. Ils sont donc exemptés du consentement. En revanche, tous les scripts de tracking tiers activés en parallèle de WooCommerce (analytics, publicité, remarketing) nécessitent un consentement préalable et explicite.

Quand le consentement est-il obligatoire pour une boutique WooCommerce ?

Le consentement est obligatoire dès que votre boutique WooCommerce utilise des cookies ou scripts tiers à des fins de mesure d'audience ou de ciblage publicitaire.

Les cas qui déclenchent l'obligation de consentement

1. Google Analytics 4 ou Universal Analytics intégré à la boutique.
2. Meta Pixel (Facebook Pixel) activé pour le suivi des conversions.
3. Google Ads Remarketing ou conversion tracking.
4. TikTok Pixel, LinkedIn Insight Tag, ou tout autre pixel publicitaire.
5. Plugins de chat live (Tidio, Intercom, Zendesk) qui posent des cookies de session.
6. HotJar ou tout outil de session recording.
7. Plugins A/B testing (Optimizely, etc.) qui tracent les variantes vues par l'utilisateur.

Dès qu'un de ces outils est actif, une bannière de cookies conforme au RGPD est obligatoire, et ces scripts doivent être bloqués par défaut jusqu'au consentement.

Le cas particulier des passerelles de paiement

Les passerelles de paiement (Stripe, PayPal, Mollie) peuvent déposer leurs propres cookies. Certains sont strictement nécessaires à la transaction (exemptés), d'autres ont une finalité analytique ou marketing. Vérifiez systématiquement les cookies de chaque passerelle lors de votre audit.

Comment rendre votre boutique WooCommerce conforme au RGPD ?

La conformité WooCommerce repose sur quatre piliers : l'audit des cookies actifs, l'installation d'une CMP, le blocage conditionnel des scripts tiers, et la documentation de votre registre des traitements.

Étape 1 : auditer les cookies de votre boutique

Avant toute chose, identifiez tous les cookies posés par votre boutique. Un scanner de cookies liste les traceurs actifs, leur durée et leur finalité. Distinguez les cookies natifs WooCommerce (exemptés) des cookies tiers (à bloquer). Relancez le scan après chaque ajout ou mise à jour de plugin.

Étape 2 : installer une CMP

Une consent management platform (CMP) comme FlowConsent gère l'affichage de la bannière, le recueil du consentement, le blocage conditionnel des scripts et la preuve de consentement avec horodatage. Elle s'installe via un plugin WordPress ou via Google Tag Manager.

Étape 3 : bloquer les scripts tiers avant consentement

Afficher une bannière ne suffit pas : les scripts de tracking ne doivent pas se charger avant que l'utilisateur ait donné son accord. Une CMP correctement configurée bloque automatiquement ces scripts au chargement de la page et les active uniquement après consentement.

Étape 4 : mettre à jour la politique de cookies

Votre politique de cookies doit lister tous les traceurs : natifs WooCommerce, analytics, marketing, paiement. Pour chaque cookie : nom, finalité, durée de conservation, tiers responsable.

Étape 5 : implémenter Google Consent Mode v2

Si vous utilisez Google Ads ou GA4 pour mesurer les conversions de votre boutique, Google Consent Mode v2 est indispensable depuis mars 2024. Il permet à Google de modéliser les conversions des utilisateurs qui ont refusé les cookies, améliorant la précision du Smart Bidding.

Les plugins WooCommerce pour la conformité RGPD

Plusieurs plugins peuvent aider à la conformité cookies de votre boutique WooCommerce. Ils ne se valent pas tous.

Ce qu'un bon plugin doit faire

Un plugin de conformité efficace pour WooCommerce doit : détecter automatiquement les cookies actifs, bloquer les scripts tiers par défaut, afficher une bannière avec refus accessible au même niveau que l'acceptation, enregistrer les preuves de consentement avec horodatage, et permettre le retrait du consentement depuis le footer du site.

Erreurs fréquentes avec WooCommerce et le RGPD

Erreur 1 : penser que tous les cookies WooCommerce sont exemptés. Les cookies natifs du panier sont exemptés, mais pas les cookies analytics ou marketing souvent activés via des plugins. Correction : auditer l'ensemble des cookies et distinguer exemptés et non exemptés.

Erreur 2 : afficher une bannière sans bloquer les scripts. La bannière s'affiche mais les scripts s'exécutent déjà au chargement. Correction : utiliser une CMP qui bloque réellement les scripts avant le consentement.

Erreur 3 : ne pas implémenter Google Consent Mode v2. Sans Consent Mode v2, les conversions post-refus ne sont pas modélisées dans Google Ads, ce qui sous-estime les performances des campagnes. Correction : configurer Consent Mode v2 via votre CMP.

Erreur 4 : oublier les cookies des passerelles de paiement. Stripe, PayPal ou Mollie peuvent déposer des cookies marketing. Correction : vérifier les cookies de chaque passerelle dans votre audit.

Erreur 5 : ne pas rescanner les cookies après ajout d'un plugin. Chaque nouveau plugin peut ajouter des traceurs. Correction : relancer le scan après chaque modification importante de la boutique.

Checklist de conformité WooCommerce RGPD

1. Audit des cookies réalisé (liste exhaustive des traceurs actifs établie).
2. Cookies natifs WooCommerce identifiés comme strictement nécessaires (exemptés).
3. Cookies tiers listés et catégorisés (analytics, marketing, paiement).
4. CMP installée et configurée (bannière + blocage conditionnel des scripts).
5. Bannière conforme : refus accessible au même niveau visuel que l'acceptation.
6. Aucun script tiers exécuté avant le consentement (vérifié avec scanner).
7. Politique de cookies à jour avec l'ensemble des traceurs.
8. Google Consent Mode v2 configuré si utilisation de Google Ads ou GA4.
9. DPA signé avec chaque sous-traitant traitant des données clients (Google, Meta, etc.).
10. Durée de conservation des cookies vérifiée : maximum 13 mois selon la CNIL.

Conclusion

WooCommerce est conforme au RGPD pour ses cookies natifs de panier et de session. La complexité vient des outils tiers souvent intégrés : analytics, publicité, chat. La clé est de bloquer ces scripts avant le consentement via une CMP et de maintenir une politique de cookies à jour. Un audit régulier après chaque mise à jour de plugin est indispensable pour rester conforme dans le temps.

Scannez gratuitement votre boutique WooCommerce pour détecter tous les cookies actifs. Lancer le scan FlowConsent