Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Saleor

Que fait Saleor ?

Saleor est une plateforme de e commerce headless open source développée en Pologne par Saleor Commerce. Elle expose une API GraphQL utilisée par des storefronts et applications sur mesure. Saleor en soi est respectueux de la vie privée : il stocke les données de commande et clients sur l'infrastructure de l'opérateur et n'inclut pas de trackers tiers par défaut. L'empreinte de conformité dépend de la région d'hébergement choisie (Saleor Cloud EU ou US) et des pixels de tracking ajoutés au storefront.

Qu''est ce que Saleor

Saleor est une plateforme e commerce headless open source développée par Saleor Commerce sp. z o.o., basée à Wroclaw, Pologne. Écrite en Python (Django, GraphQL), elle est adoptée par des distributeurs et des marques DTC en Europe et en Amérique. Saleor expose une API GraphQL consommée par tout framework de storefront : Next.js, Astro, applications mobiles, terminaux de point de vente ou places de marché. Elle est disponible en open source via Saleor Core (licence MIT) ou sous forme managée via Saleor Cloud, avec des régions UE et US.

Quelles données Saleor traite

Saleor traite les données d''un backend e commerce classique : comptes clients (e mail, nom, adresse, téléphone), historique des commandes, paniers, statuts de paiement, remboursements, coupons et programmes de fidélité. Il enregistre les adresses IP et user agents pour la prévention de la fraude et conserve les comptes utilisateurs internes. La plateforme ne contient pas d''analyse marketing, de pixels publicitaires ni de traceurs tiers par défaut : tout suivi est ajouté par le développeur du storefront.

Implications RGPD et ePrivacy

Saleor relève des règles RGPD habituelles du e commerce : licéité, minimisation, sécurité, conservation et droits des personnes. Les cookies strictement nécessaires au panier, à la connexion et au paiement sont exemptés de consentement par l''article 5(3) ePrivacy. Tous les cookies optionnels ajoutés par le storefront (analytics, retargeting, A/B testing) requièrent un consentement préalable et doivent être bloqués jusqu''à l''acceptation du visiteur.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement

Le cœur Saleor ne requiert pas de consentement des visiteurs pour son propre fonctionnement. Les obligations de consentement proviennent du front : balises analytiques, pixels marketing, widgets de recherche ou de personnalisation tiers. Mettre en place une CMP qui bloque ces scripts par défaut est la meilleure façon de garantir la conformité du storefront au RGPD et à la directive ePrivacy dans tous les États membres de l''UE.

Transferts hors UE

Lorsque Saleor est auto hébergé dans l''UE ou déployé dans une région Saleor Cloud UE, aucun transfert hors de l''Union n''est nécessaire. Les régions Saleor Cloud US entraînent un transfert vers les États Unis, encadré actuellement par l''accord EU US Data Privacy Framework ou les Clauses Contractuelles Types. La région de déploiement doit figurer dans le registre de l''article 30 et dans la politique de confidentialité.

Étapes pratiques de conformité

Choisissez une région UE pour Saleor Cloud ou auto hébergez Saleor dans l''UE, signez le DPA Saleor, durcissez l''accès admin avec MFA et restrictions IP, activez les journaux d''audit détaillés, et configurez des règles de purge pour les comptes inactifs. Côté storefront, intégrez une CMP qui bloque toutes les balises non essentielles, documentez chaque App Saleor qui ajoute des sous traitants externes, et listez vos prestataires de paiement et de livraison dans la politique de confidentialité.

Categorie de consentement RGPD

Preferences

Les sites web utilisant Saleor doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legalePerformance of a contract (Art. 6(1)(b) GDPR) for order processing, account management and shipping. Legitimate interest (Art. 6(1)(f)) for fraud prevention and security. Consent (Art. 6(1)(a)) applies only to optional tracking, analytics or marketing layered on top of the storefront.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, TDDDG, LSSI CE, Polish Personal Data Protection Act, ENISA security guidelines for e commerce

Considerations AIPD

Une AIPD n'est généralement pas requise pour Saleor lui même dans le cadre d'un traitement standard des commandes. Elle devient pertinente lorsque le storefront construit sur Saleor implémente un suivi comportemental massif, du scoring ou du profilage, ou lorsque sont vendues des catégories de produits sensibles.

Exemple de texte de consentement

Cette boutique en ligne est propulsée par Saleor, un moteur e commerce open source. Des cookies strictement nécessaires sont utilisés pour gérer votre panier, votre compte et votre paiement. Les cookies optionnels d'analyse, de publicité ou de personnalisation ne sont déposés qu'après votre consentement.

Details techniques

Methode de suiviHeadless e commerce backend exposing a GraphQL API. The platform itself does not set tracking cookies on shopper browsers by default; tracking is implemented in the front end storefront that integrates with the API. Session cookies are used for the admin dashboard and for cart persistence when a server side checkout is built.

Localisation des serveursSelf hosted on the operator infrastructure when using Saleor Core (open source). Saleor Cloud is operated by Saleor Commerce sp. z o.o. in Wroclaw, Poland, with regional deployments in the EU and in the US on cloud providers including AWS and Google Cloud.

Suivi sans cookie disponibleOui

Domaines tiers contactes

saleor.iocloud.saleor.ioapi.saleor.ioeu.saleor.cloudus.saleor.cloud

Cookies deposes

Nom	Type	Duree	Finalite
refreshToken	http_only_cookie	30 days (configurable, JWT refresh token lifetime)	Strictly necessary. Stores the JWT refresh token issued by Saleor so the user stays authenticated and can request new access tokens without re entering credentials.
csrfToken	first_party_cookie	Session (paired with refreshToken)	Strictly necessary. CSRF protection token required by Saleor when refreshing tokens via cookie based flows. Prevents cross site request forgery on the tokenRefresh mutation.
accessToken	memory_or_first_party_cookie	5 to 15 minutes (JWT access token lifetime)	Strictly necessary. Short lived JWT access token sent in the Authorization header to call the Saleor GraphQL API. Often kept in memory, optionally in a first party cookie.
checkoutToken	first_party_cookie_or_localStorage	Up to 30 days or until checkout completes	Strictly necessary. Stores the identifier of the current checkout / cart so the basket persists across page reloads and devices for logged in users.
locale	first_party_cookie	1 year	Functional. Remembers the language and currency selected by the visitor on the Saleor storefront. Considered strictly necessary when explicitly chosen by the user.
saleor_app_session	first_party_cookie	Session	Strictly necessary. Used by the Saleor Dashboard and installed Saleor Apps for authenticated admin sessions.

Saleor utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Saleor dépose t il par défaut ?

Saleor Core ne dépose que des cookies strictement nécessaires pour le tableau de bord admin (session d'authentification, jeton CSRF) et, en cas de panier côté serveur, un identifiant de panier. La plateforme ne contient pas de cookies d'analytique ni de publicité ; ces cookies sont ajoutés par la couche storefront qui consomme l'API GraphQL.

Le consentement est il requis pour exploiter Saleor sur un storefront européen ?

Aucun consentement n'est requis pour les cookies strictement nécessaires utilisés par Saleor : persistance du panier, authentification et jetons de sécurité sont exemptés au titre de l'article 5(3) de la directive ePrivacy. Le consentement est en revanche requis pour tout script supplémentaire d'analyse, de marketing ou de personnalisation.

Quelle est la base légale pour stocker des données clients dans Saleor ?

Exécution du contrat (art. 6(1)(b) RGPD) pour la gestion des commandes et des comptes, intérêt légitime (art. 6(1)(f)) pour la sécurité, la prévention de la fraude et l'audit, et consentement (art. 6(1)(a)) pour toute communication marketing ou profilage comportemental ajouté à la plateforme.

Saleor transfère t il des données hors de l'Union européenne ?

Saleor auto hébergé reste dans la région où vous le déployez. Les régions Saleor Cloud UE conservent les données en Europe. Les régions Saleor Cloud US transfèrent les données aux États Unis au titre du EU US Data Privacy Framework ou des CCT. Choisissez votre région en fonction de vos exigences de résidence des données.

Une AIPD est elle requise pour lancer une boutique Saleor ?

Une AIPD n'est généralement pas requise pour une boutique standard construite sur Saleor. Elle devient nécessaire lorsque le storefront introduit un suivi comportemental massif, du scoring, des catégories de produits sensibles (santé, opinions politiques) ou des décisions automatisées affectant significativement les clients.

Comment déployer Saleor en conformité avec le RGPD ?

Hébergez Saleor dans l'UE, configurez les durées de conservation des comptes inactifs, restreignez l'accès admin avec MFA et listes blanches IP, signez un DPA avec Saleor pour Saleor Cloud, inscrivez Saleor dans votre registre de l'article 30 et utilisez une CMP sur le storefront pour tout tag optionnel.

Existe t il des alternatives open source européennes à Saleor ?

Oui. Sylius (France) et CoreShop (Autriche) sont des plateformes open source matures à forte communauté européenne. Shopware (Allemagne) et PrestaShop (France) sont des options populaires. Spryker (Allemagne) cible les entreprises B2B. Toutes permettent un hébergement européen et réduisent la charge liée aux transferts internationaux.

Comment mettre à jour ma politique cookies lors du lancement d'un storefront Saleor ?

Listez chaque cookie strictement nécessaire utilisé par Saleor (session, CSRF, panier) ainsi que chaque cookie optionnel ajouté par votre front (analytics, publicité, personnalisation). Indiquez la durée, le sous traitant et la finalité. Redéclenchez la bannière de consentement chaque fois qu'une intégration tierce est ajoutée via une App Saleor.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min