Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Microsoft Dynamics 365 Commerce est la plateforme de commerce omnicanal de Microsoft. Elle combine boutique en ligne, point de vente en magasin et centre d'appels, fonctionne sur Microsoft Azure, utilise Microsoft Entra ID pour l'authentification et s'intègre à Power Platform et Customer Insights pour la personnalisation, le marketing et l'analyse des ventes.
Microsoft Dynamics 365 Commerce est la plateforme de commerce omnicanal de Microsoft, qui réunit la boutique en ligne, le point de vente en magasin et le centre d''appels. Elle s''appuie sur Microsoft Azure, utilise Microsoft Entra ID pour l''identité, s''intègre à Power Platform pour l''automatisation et embarque la télémétrie Application Insights. Les marchands l''utilisent pour gérer le catalogue, les prix, les promotions, le panier, l''expédition et les profils clients sur tous les canaux.
La plateforme traite des identifiants, coordonnées, adresses de facturation et de livraison, jetons de paiement, historique d''achats, contenu du panier, comportement de navigation, données techniques (IP, appareil) via Application Insights et événements d''authentification via Microsoft Entra ID. Les extensions Customer Insights permettent le profilage comportemental et la segmentation. L''intégration optionnelle de Microsoft Clarity capture les enregistrements de session et les heatmaps. Les données de paiement transitent par des passerelles certifiées PCI DSS.
Microsoft est un sous traitant établi aux États Unis. Des données personnelles peuvent être transférées aux États Unis et vers d''autres installations Microsoft. Microsoft est auto certifié au titre du Data Privacy Framework UE États Unis, de son extension britannique et du cadre Suisse États Unis. Des clauses contractuelles types sont incluses dans les conditions des produits et l''avenant relatif à la protection des données. Les clients choisissant une région UE bénéficient de l''engagement EU Data Boundary pour les données clients principales, même si certains flux de télémétrie et d''identité peuvent encore traverser les frontières.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les cookies et traitements strictement nécessaires (panier, paiement, sécurité, anti CSRF) reposent sur l''article 6(1)(b) RGPD (exécution du contrat) et l''article 6(1)(f) (intérêt légitime, lutte contre la fraude). Les fonctions d''analyse, de personnalisation, de profilage, les pixels marketing et Clarity nécessitent un consentement préalable au titre de l''article 6(1)(a) RGPD et de l''article 5(3) de la directive ePrivacy. Le consentement doit être spécifique, éclairé, granulaire et révocable, conformément aux recommandations de la CNIL.
Signer l''avenant Microsoft DPA, configurer la région et l''EU Data Boundary, conditionner Application Insights et Clarity à une plateforme de gestion du consentement, cartographier les sous traitants, documenter les durées de conservation des commandes et de la télémétrie, mettre en place les procédures de droits des personnes via le portail de confidentialité Microsoft, et réaliser une AIPD couvrant le profilage, le paiement et les transferts internationaux.
Les risques principaux portent sur le profilage des acheteurs, les transferts hors UE, la dépendance à Microsoft comme sous traitant stratégique et le périmètre PCI DSS. Recommandations: appliquer le principe du moindre privilège dans Microsoft Entra ID, désactiver la télémétrie optionnelle lorsque cela est possible, documenter l''évaluation d''intérêt légitime pour la lutte contre la fraude, informer clairement les clients dans la politique de confidentialité et suivre les avis de la CNIL, du BfDI et de l''AEPD sur les services cloud Microsoft.
Les sites web utilisant Microsoft Dynamics 365 Commerce doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée pour les déploiements Microsoft Dynamics 365 Commerce. Risques principaux: traitement à grande échelle de données clients et de paiement (périmètre PCI DSS), profilage comportemental via Application Insights et Customer Insights, transferts hors UE vers les États Unis, intégration avec des outils marketing (Clarity, pixels publicitaires) et dépendance à Microsoft Entra ID. Documenter la base légale par traitement, cartographier les sous traitants, évaluer les durées de conservation et vérifier la configuration EU Data Boundary.
Exemple de texte de consentement
Ce site utilise Microsoft Dynamics 365 Commerce pour traiter vos commandes et améliorer votre expérience d'achat. Les cookies strictement nécessaires (panier, paiement, sécurité, anti CSRF) sont toujours actifs. Avec votre consentement, nous activons également les cookies d'analyse (Application Insights, Microsoft Clarity) et les fonctionnalités de personnalisation, susceptibles d'entraîner un transfert de données vers Microsoft aux États Unis, encadré par le cadre DPF UE États Unis et les clauses contractuelles types. Vous pouvez retirer votre consentement à tout moment via le centre de préférences.
Domaines tiers contactes
dynamics.comcommerce.dynamics.comlogin.microsoftonline.comdataverse.comapplicationinsights.azure.comclarity.msCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ai_user | first_party | 1 year | Application Insights anonymous user identifier for product telemetry, error tracking, and usage analytics. Requires consent. |
| ai_session | first_party | 30 minutes | Application Insights session identifier used to group telemetry events within a browsing session. Requires consent. |
| msal.session.state | first_party | Session | Microsoft Entra ID (MSAL) session state cookie used during sign in flows and to validate authentication exchanges. Strictly necessary. |
| msdyn365___RequestVerificationToken | first_party | Session | Anti forgery (anti CSRF) token issued by the Dynamics 365 Commerce storefront to protect form submissions. Strictly necessary. |
| msdyn365___cart | first_party | 30 days | Persists shopping cart contents across sessions for the current visitor or signed in customer. Strictly necessary for the e commerce contract. |
| msdyn365___locale | first_party | 1 year | Stores the visitor selected language and market so that the storefront renders the correct catalog, currency, and pricing. Strictly necessary. |
Microsoft Dynamics 365 Commerce utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Dynamics 365 Commerce dépose des cookies internes pour le panier, le paiement, la session, les jetons anti CSRF et la langue. Application Insights ajoute des cookies analytiques (ai_user, ai_session). Microsoft Entra ID émet des cookies d'authentification pour les clients connectés. Les intégrations optionnelles comme Microsoft Clarity, les pixels publicitaires et Customer Insights peuvent ajouter d'autres cookies d'analyse, de personnalisation ou de marketing.
Les cookies strictement nécessaires (panier, paiement, sécurité, anti CSRF) ne requièrent pas de consentement. Les fonctions d'analyse, de profilage, de personnalisation, Application Insights, Microsoft Clarity et les pixels marketing nécessitent un consentement préalable au titre de l'article 6(1)(a) RGPD et de l'article 5(3) ePrivacy. Le consentement doit être spécifique, éclairé, granulaire et aussi facile à retirer qu'à donner, conformément aux lignes directrices de la CNIL.
Le traitement des commandes, du panier, du paiement et de la logistique repose sur l'article 6(1)(b) RGPD (exécution du contrat). La prévention de la fraude et la sécurité reposent sur l'article 6(1)(f) (intérêt légitime). L'analyse, le profilage, la personnalisation, le marketing et le retargeting reposent sur l'article 6(1)(a) (consentement). Chaque traitement doit figurer dans le registre des activités de traitement.
Oui. Microsoft est un sous traitant établi aux États Unis et des données peuvent être transférées vers les États Unis et d'autres régions Microsoft. Les transferts sont encadrés par le cadre DPF UE États Unis (Microsoft est certifié), son extension britannique, le cadre Suisse États Unis et les clauses contractuelles types incluses dans le DPA Microsoft. Le choix d'une région UE active l'EU Data Boundary pour les données clients principales, certains flux de télémétrie et d'identité pouvant toutefois traverser les frontières.
Une AIPD est fortement recommandée. La plateforme implique un traitement à grande échelle de données clients et de paiement, du profilage comportemental via Application Insights et Customer Insights, des enregistrements de session Microsoft Clarity en option, l'intégration de Microsoft Entra ID et des transferts hors UE. Ces éléments déclenchent plusieurs critères d'AIPD dans les lignes directrices du CEPD et les listes nationales de la CNIL, du BfDI et de l'AEPD.
Signer le DPA Microsoft, choisir une région UE avec EU Data Boundary, conditionner Application Insights, Clarity et les balises marketing à une plateforme de gestion du consentement, documenter les sous traitants, définir les durées de conservation des commandes et de la télémétrie, gérer les droits via le portail de confidentialité Microsoft, durcir Microsoft Entra ID (moindre privilège, MFA) et réaliser une AIPD.
Les alternatives incluent Shopify, Adobe Commerce (Magento), SAP Commerce Cloud, Salesforce Commerce Cloud, Commerce Tools et Sylius pour un hébergement européen. Chaque solution présente ses propres flux de données, lieux d'hébergement et exigences de consentement. Les solutions basées dans l'UE ou auto hébergées peuvent réduire les inquiétudes liées aux transferts hors UE mais déplacent la charge de conformité vers vos équipes.
Listez chaque cookie Dynamics 365 Commerce avec son nom, sa finalité, sa durée et sa catégorie (nécessaire, analyse, personnalisation, marketing). Mentionnez Microsoft comme sous traitant, citez les sous traitants ultérieurs pertinents, déclarez les transferts vers les États Unis sous le cadre DPF UE États Unis et les clauses contractuelles types, et renvoyez vers le Microsoft Trust Center et le DPA. Prévoyez un opt in granulaire et un mécanisme de retrait clair.