Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Merchello est une extension e commerce libre pour le CMS Umbraco, publiée sous licence MIT. Elle ajoute catalogues produits, paniers, tunnel de commande, gestion des commandes et passerelles de paiement à un site Umbraco existant. Merchello fonctionne entièrement à l'intérieur de l'installation Umbraco du marchand : aucun appel sortant, aucune télémétrie vers un cloud éditeur, aucun cookie tiers. L'empreinte vie privée se limite aux cookies strictement nécessaires de panier et de session déposés par le site Umbraco du commerçant.
Merchello est un paquet e commerce libre pour le CMS Umbraco, publié sous licence MIT et maintenu par la communauté sur GitHub. Il transforme un site Umbraco classique en boutique en ligne en ajoutant des types de produits, des catalogues, des comptes clients, des paniers, un tunnel de commande multi étapes, la gestion des commandes, les taxes, les remises et des passerelles de paiement enfichables. Le paquet est installé via NuGet dans la solution Umbraco du marchand et tourne intégralement sur le serveur ASP.NET du marchand. Aucun cloud Merchello, aucun appel central de licence, aucun pixel analytics.
Merchello traite les données nécessaires à l''exécution d''une commande : nom complet, adresses de facturation et de livraison, e mail, téléphone, historique de commande et, le cas échéant, une référence de paiement tokenisée renvoyée par la passerelle. Les numéros de carte complets ne sont pas stockés lorsqu''une passerelle conforme PCI est utilisée. Côté navigateur, Merchello s''appuie sur un petit ensemble de cookies strictement nécessaires émis par l''application Umbraco : identifiant de session ASP.NET, clé de panier, jeton anti contrefaçon et cookie d''authentification en cas de connexion. Aucun cookie tiers de mesure n''est posé par Merchello.
Le marchand est responsable de traitement au sens du RGPD : Merchello est un logiciel exécuté sur son infrastructure et non un sous traitant au sens de l''article 28. Les cookies de panier et de tunnel de commande relèvent de l''exemption strictement nécessaire de l''article 82 de la loi Informatique et Libertés et de l''article 5(3) ePrivacy car ils sont indispensables à la fourniture du service expressément demandé par le client. La recommandation cookies de la CNIL de 2020 confirme qu''aucune bannière de consentement n''est nécessaire pour ces cookies techniques.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base légale du traitement des données clients via Merchello est l''exécution du contrat au titre de l''article 6(1)(b) du RGPD, complétée par le respect d''une obligation légale au titre de l''article 6(1)(c) pour la facturation, la fiscalité et la protection des consommateurs. Les e mails marketing, la relance de panier abandonné, le suivi inter appareils ou les analyses additionnelles que le marchand pourrait greffer via d''autres paquets Umbraco exigent un consentement séparé au titre de l''article 6(1)(a). La politique de confidentialité doit distinguer clairement le traitement de la commande et le marketing.
Merchello étant auto hébergé, les transferts dépendent du lieu où le marchand exécute son application et sa base Umbraco. Un hébergement sur Azure Europe de l''Ouest, AWS Francfort ou un Umbraco Cloud (régions Azure UE) maintient les données dans l''EEE. En cas de choix d''une région américaine, les garanties Schrems II s''appliquent : Clauses Contractuelles Types avec l''hébergeur et recours au EU US Data Privacy Framework lorsque le prestataire est certifié. Les intégrations paiement, e mail et expédition doivent être analysées indépendamment.
Documentez Merchello dans le registre des traitements de l''article 30 au titre de l''activité e commerce. Listez les cookies strictement nécessaires dans la politique de confidentialité sans recueillir de consentement. Paramétrez la conservation des commandes selon les obligations comptables (souvent dix ans en France) et anonymisez les comptes inactifs depuis deux ans. Signez des contrats de sous traitance avec l''hébergeur, la passerelle de paiement, le prestataire e mail transactionnel et le transporteur. Appliquez un durcissement ASP.NET standard, journalisez les accès au back office et mettez en place un workflow clair pour les droits des personnes.
Les sites web utilisant Merchello doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD n'est généralement pas requise pour Merchello en tant que tel, car le traitement se limite à exploiter une boutique en ligne sur une infrastructure contrôlée par le marchand. Le registre de l'article 30 doit décrire les catégories de données clients (identité, adresse, historique de commande, jetons de paiement), les durées de conservation alignées sur la législation comptable, les mesures techniques et organisationnelles appliquées à la base Umbraco et les contrats de sous traitance signés avec l'hébergeur et les passerelles de paiement utilisées aux côtés de Merchello.
Exemple de texte de consentement
Notre boutique en ligne fonctionne sur Merchello, une extension e commerce libre pour Umbraco hébergée sur nos propres serveurs. Pour traiter votre commande, nous utilisons des cookies strictement nécessaires qui mémorisent votre panier, votre session d'authentification et votre progression dans le tunnel de commande. Ces cookies ne requièrent pas de consentement au titre de la directive ePrivacy. Nous ne transmettons jamais vos données d'achat à Merchello ou à un annonceur tiers sans un consentement distinct.
Domaines tiers contactes
merchello.comour.umbraco.comgithub.comwww.nuget.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ASP.NET_SessionId | Session | Session | Standard ASP.NET session identifier used by the Umbraco application to associate the visitor with their server side basket and checkout state. |
| merchello.basket | Persistent | 30 days | First party cookie that stores the visitor basket key so an unauthenticated customer can return to the site and find the items they had selected. |
| __RequestVerificationToken | Session | Session | Antiforgery token issued by ASP.NET to protect Merchello forms (add to basket, checkout, account) against cross site request forgery attacks. |
| UMB_UCONTEXT | Session | Session | Authentication cookie set when a registered customer or back office user signs in, used by Umbraco identity to keep the session. |
| merchello.customer | Persistent | 1 year | First party cookie that stores the anonymous customer key used by Merchello to attach an order, address book entry or wishlist to a returning visitor. |
Merchello utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Merchello traite les données nécessaires à l'exécution d'une commande : nom, adresses de facturation et de livraison, e mail, téléphone, historique de commande et référence de paiement tokenisée lorsqu'une passerelle conforme PCI est utilisée. Côté navigateur, il s'appuie sur l'identifiant de session ASP.NET, la clé de panier, le jeton anti contrefaçon et le cookie d'authentification en cas de connexion. Ces cookies sont déposés en première main par l'application Umbraco du marchand. Merchello n'effectue aucun appel sortant, n'envoie pas de télémétrie vers un cloud éditeur et ne dépose aucun cookie tiers.
Non. Les cookies de panier, de session, anti contrefaçon et d'authentification déposés par un site Umbraco propulsé par Merchello relèvent de l'exemption strictement nécessaire de l'article 82 de la loi Informatique et Libertés et de l'article 5(3) ePrivacy car ils sont nécessaires à la fourniture du service boutique expressément demandé par le visiteur. La recommandation cookies de la CNIL de 2020 et la Guía de Cookies de l'AEPD confirment cette position. Le consentement n'est requis que pour des cookies marketing, mesure d'audience ou personnalisation ajoutés en complément.
L'exécution du contrat de vente au titre de l'article 6(1)(b) du RGPD est la base principale pour le traitement des commandes. L'article 6(1)(c) (obligation légale) couvre la conservation des factures et pièces comptables. L'article 6(1)(f) (intérêt légitime) soutient la prévention de la fraude et la journalisation de sécurité. L'article 6(1)(a) (consentement) s'applique aux e mails marketing, à la fidélité avec profilage et à la publicité personnalisée. Chaque finalité, base et durée doit figurer au registre de l'article 30 et dans la politique de confidentialité.
Merchello n'effectue aucun transfert puisqu'il s'exécute sur les serveurs du marchand. Les transferts dépendent des choix du marchand : hébergeur, passerelle de paiement (Stripe, Braintree, PayPal impliquent souvent des transferts vers les États Unis), prestataire e mail (Mailgun, SendGrid), API des transporteurs, et toute mesure d'audience ou outil marketing ajouté séparément. Chacun doit être analysé au regard du chapitre V du RGPD avec Clauses Contractuelles Types ou recours au EU US Data Privacy Framework et une évaluation d'impact du transfert si nécessaire.
Une AIPD formelle au titre de l'article 35 du RGPD n'est généralement pas requise pour une boutique Merchello traitant des données clients standards à volume modéré. Elle devient recommandée si le marchand traite de grands volumes, des données sensibles (pharmacie, santé), des décisions automatisées (scoring de fraude bloquant) ou des transferts internationaux à grande échelle. Le registre de l'article 30 reste obligatoire et doit recenser chaque dépendance Merchello, sous traitant et durée de conservation.
Hébergez l'application et la base Umbraco dans une région UE que vous maîtrisez. Appliquez un durcissement ASP.NET, imposez HTTPS, hachez les mots de passe avec Identity, restreignez le back office à un VPN ou une liste d'adresses autorisées et corrigez régulièrement les dépendances Umbraco et Merchello. Configurez la conservation des paniers et des comptes et exécutez une tâche de purge nocturne. Signez des contrats de sous traitance avec hébergeur, passerelle de paiement, prestataire e mail transactionnel et transporteur. Publiez une politique de confidentialité et un workflow clair pour les droits des personnes.
Les alternatives e commerce open source compatibles avec .NET et les CMS headless incluent nopCommerce, Sitecore OrderCloud, SmartStore, Optimizely Commerce et Sana Commerce pour la pile Microsoft, ainsi que PrestaShop, WooCommerce, Sylius ou Saleor pour PHP, Python ou JavaScript. Les options SaaS incluent Shopify, BigCommerce et Centra. Chaque option présente un profil différent en matière d'hébergement, de localisation des données et de transferts. Le choix doit pondérer le contrôle des données, la disponibilité d'un hébergement UE, les dépendances tierces et la capacité opérationnelle de l'équipe.
La politique cookies doit lister les cookies strictement nécessaires qu'Umbraco émet pour la boutique Merchello : session ASP.NET, clé de panier, anti contrefaçon, authentification. Indiquez le nom, la finalité, le type (session ou persistant), la durée et précisez que le consentement n'est pas requis car ces cookies sont nécessaires au service de la boutique. Ajoutez une section distincte pour tout cookie de mesure, marketing ou personnalisation greffé sur la boutique et conditionnez le à une bannière de consentement granulaire. Mettez à jour la politique à chaque changement de passerelle de paiement, transporteur ou outil marketing.