Retour à la vue d'ensemble
Boutique en ligneShopifyWooCommerce

Bannière de cookies pour boutiques en ligne en Suisse : bien configurer Shopify, WooCommerce & Cie

Les boutiques en ligne traquent davantage que n'importe quel site vitrine : conversions publicitaires, retargeting, prestataires de paiement, widgets d'avis. Pourquoi presque chaque boutique suisse doit aussi respecter le RGPD, quels cookies sont typiques — et comment configurer concrètement la bannière de cookies dans Shopify, WooCommerce et les autres systèmes de boutique.

Aiara Team··9 min de lecture
Bannière de cookies pour boutiques en ligne en Suisse : bien configurer Shopify, WooCommerce & Cie

Un site d'entreprise avec un formulaire de contact se contente souvent d'une poignée de cookies. Pas une boutique en ligne : les pixels publicitaires mesurent les conversions, les services de retargeting suivent les abandonnistes de panier à travers le web, les prestataires de paiement déposent des cookies de sécurité, les widgets d'avis chargent des scripts depuis des serveurs tiers. Et quiconque vend vers l'UE doit presque toujours respecter, en plus de la loi suisse sur la protection des données, le Règlement général sur la protection des données européen. Cet article montre pourquoi des exigences plus strictes s'appliquent aux boutiques en ligne, quels cookies et services sont typiques — et comment configurer concrètement la bannière de cookies dans Shopify, WooCommerce et les autres systèmes de boutique.

Pourquoi les boutiques en ligne ont plus d'obligations que les sites vitrines

La différence ne réside pas dans la loi — les mêmes règles s'appliquent que pour tout autre site web. La différence réside dans ce qu'une boutique fait techniquement. Trois points expliquent l'écart :

Premièrement : les boutiques traquent nettement plus. Une boutique en ligne suisse moyenne dépose une bonne quarantaine de cookies — un site carte de visite en compte 8 à 10. La raison en est la pile marketing : suivi des conversions pour Google Ads et Meta, pixels de retargeting pour les abandonnistes de panier, outils de marketing par e-mail avec leur propre suivi des visiteurs, widgets d'avis, chat en direct. Chacun de ces services apporte ses propres cookies — et la plupart sont soumis au consentement, c'est-à-dire qu'ils ne peuvent se charger qu'après un clic sur « Accepter ».

Deuxièmement : presque chaque boutique est concernée par le RGPD. C'est ici qu'intervient le principe dit du lieu du marché : le Règlement général sur la protection des données s'applique à toute entreprise qui cible de manière reconnaissable une clientèle dans l'UE — indépendamment de son siège. Quiconque livre vers l'Allemagne ou l'Autriche, affiche des prix en euros ou exploite un domaine .de remplit en règle générale ce critère. Pour les boutiques suisses, cela signifie : ce n'est pas seulement le droit suisse, plus clément, qui s'applique, mais en plus le règlement européen, plus strict — avec une obligation de consentement actif avant même le chargement des scripts marketing. Notre guide RGPD explique ce que cela signifie en détail.

Troisièmement : la déclaration de protection des données doit contenir les mentions e-commerce. Une boutique transmet des données personnelles à bien plus de destinataires qu'un site vitrine : au prestataire de paiement (Stripe, PostFinance, Twint), aux partenaires d'expédition comme la Poste ou DHL, souvent à un prestataire de vérification de solvabilité pour l'achat sur facture, sans oublier le service de newsletter et l'hébergement de la boutique. Tous ces flux de données doivent figurer dans la déclaration de protection des données — y compris l'indication du pays vers lequel les données circulent. Notre guide pas à pas montre comment construire une déclaration complète.

Cookies et services typiques des boutiques en ligne suisses

L'aperçu suivant montre ce qui ressort le plus souvent des scans de boutiques — et comment classer les services :

Service Cookies typiques Finalité Catégorie
Meta Pixel _fbp, _fbc Retargeting, mesure des conversions Marketing
Google Ads _gcl_au, _gcl_aw Suivi des conversions Marketing
TikTok Pixel _ttp, ttwid Retargeting, mesure des conversions Marketing
Google Analytics _ga, ga* Statistiques de la boutique Statistiques
Klaviyo __kla_id Marketing par e-mail, abandons de panier Marketing
Mailchimp mailchimp_landing_page Attribution newsletter Marketing
Stripe __stripe_mid, __stripe_sid Prévention de la fraude au paiement Nécessaire
PostFinance / Twint Cookies de session Traitement du paiement Nécessaire
Trusted Shops Cookies du widget Avis, badge de protection acheteur Fonctionnel
Système de boutique Cookies de panier et de session Panier, connexion, checkout Nécessaire

La distinction la plus importante se trouve dans la colonne de droite. Les cookies de paiement sont techniquement nécessaires : sans les cookies de sécurité et de session de Stripe, PostFinance ou Twint, aucun paiement n'aboutit — ils peuvent donc être déposés sans consentement. Il en va de même pour les cookies de panier et de connexion du système de boutique. Les pixels publicitaires sont tout le contraire : Meta Pixel, Google Ads et TikTok Pixel servent exclusivement au marketing et ne peuvent se charger qu'une fois que la visiteuse a activement donné son accord. Une bannière qui déclenche ces scripts avant le consentement n'est pas un détail formel : c'est l'erreur de conformité la plus fréquente dans les boutiques en ligne.

Les widgets d'avis comme Trusted Shops se situent entre les deux : le badge lui-même est fonctionnel, mais selon la configuration, des données circulent vers le prestataire — un coup d'œil au rapport de scan permet de voir quels cookies le widget dépose concrètement.

Les outils de marketing par e-mail comme Klaviyo ou Mailchimp constituent un cas particulier, car ils requièrent deux consentements distincts, souvent confondus dans la pratique : l'inscription à la newsletter avec e-mail de confirmation ne couvre que l'envoi d'e-mails. Le suivi des visiteurs de ces mêmes outils sur le site de la boutique — par exemple la reconnaissance des abandonnistes de panier pour des e-mails de rappel automatiques — n'en fait pas partie et nécessite le consentement via la bannière de cookies. Charger le script de suivi de Klaviyo sans demander, au motif que « les clients ont de toute façon souscrit à la newsletter », revient à confondre les deux niveaux.

Configuration selon la plateforme

Shopify

Pour Shopify, Aiara propose une intégration sans installation d'application : un snippet Liquid que vous enregistrez comme snippet distinct dans l'éditeur de code du thème, complétez avec votre identifiant de domaine et intégrez avant la balise fermante </head> dans theme.liquid. La bannière apparaît ensuite automatiquement sur toutes les pages de la boutique — du catalogue de produits à la confirmation de commande. Vous trouverez les instructions et le téléchargement sur la page Shopify.

Deux particularités de Shopify méritent d'être connues. Premièrement, Shopify dispose de sa propre interface pour les signaux de consentement, la Customer Privacy API, que les fonctions propres à Shopify et une partie des applications de l'App Store écoutent — il vaut la peine de vérifier lesquelles de vos applications installées respectent ces signaux et lesquelles chargent leurs scripts indépendamment. Deuxièmement, l'App Store lui-même est la plus grande source de tracking : chaque application d'avis, d'upsell ou d'e-mail peut apporter ses propres cookies et pixels. C'est pourquoi un nouveau scan de cookies doit figurer sur la checklist après chaque installation d'application.

WooCommerce (WordPress)

Pour les boutiques WooCommerce, la configuration passe par le plugin Aiara du répertoire officiel WordPress : installer le plugin, saisir l'identifiant de domaine, terminé. Le plugin bloque automatiquement les scripts soumis au consentement jusqu'à ce que celui-ci soit donné — les cookies de panier et de session techniquement nécessaires de WooCommerce continuent de fonctionner sans perturbation, le checkout fonctionne donc même si la bannière est refusée. Détails et téléchargement sur la page WordPress.

Le piège typique de WooCommerce est le zoo de plugins : une boutique WooCommerce moyenne compte 20 à 30 plugins installés, et beaucoup d'entre eux — constructeurs de pages, plugins de formulaires, flux de réseaux sociaux, extensions d'analyse — déposent leurs propres cookies dont l'exploitant de la boutique ignore tout. Un scan automatique après chaque mise à jour majeure de plugin révèle ce qui s'est glissé dans la boutique.

Autres systèmes de boutique

Pour tous les autres systèmes — Magento, PrestaShop, Shopware ou une solution d'agence sur mesure — le snippet universel fait l'affaire : une seule ligne de script avant la balise fermante </head> dans le template, et la bannière fonctionne. Comme le snippet est du JavaScript pur sans dépendances, le système sous-jacent n'a aucune importance. La seule chose qui compte est que la ligne soit livrée sur toutes les pages — y compris au checkout, où de nombreux templates utilisent une mise en page séparée et allégée.

Sans Google Consent Mode V2, vous perdez des données de conversion

Pour les boutiques qui font de la publicité, un point est critique pour l'activité : depuis mars 2024, Google exige des signaux de consentement selon le standard Google Consent Mode V2 pour les utilisateurs de l'Espace économique européen. Si ces signaux manquent, Google ne traite plus de données de conversion — vos campagnes Google Ads tournent alors à l'aveugle : le suivi des conversions s'effondre, les enchères automatiques perdent leur base de données et les listes de remarketing ne se remplissent plus.

Une bannière correctement configurée résout le problème : elle transmet à Google les signaux appropriés à chaque décision de consentement. Si la visiteuse accepte, le suivi fonctionne normalement ; si elle refuse, Google compense statistiquement une partie des données manquantes par des conversions modélisées — vous conservez donc une base de données fiable même en cas de refus. Le fonctionnement détaillé du Google Consent Mode V2 et les points à surveiller lors de la configuration sont expliqués dans notre article sur le Google Consent Mode V2.

Checklist : bannière de cookies pour le lancement de la boutique

Avant la mise en ligne — ou comme audit d'une boutique existante — ces points devraient être cochés :

  1. Scan complet des cookies sur tous les types de pages : page d'accueil, pages produits, panier et checkout — c'est justement au checkout que les cookies de paiement apparaissent
  2. Catégorisation vérifiée : cookies de paiement et de panier comme nécessaires, tous les pixels publicitaires comme marketing
  3. Blocage avant consentement : les scripts marketing ne se chargent de manière vérifiable qu'après le clic sur « Accepter » — à contrôler en fenêtre de navigation privée avec les outils de développement du navigateur
  4. Google Consent Mode V2 actif si Google Ads ou Google Analytics sont utilisés
  5. Déclaration de protection des données avec mentions e-commerce : prestataire de paiement, partenaires d'expédition, éventuelle vérification de solvabilité, service de newsletter
  6. Bannière dans toutes les langues de la boutique — qui vend en français a besoin de la bannière en français
  7. Refuser est aussi simple qu'accepter — pas de liens cachés, pas de cases précochées
  8. Processus pour les changements : après chaque nouvelle application, chaque nouveau plugin et chaque nouveau canal publicitaire, on rescanne

Que risque-t-on sans bannière ?

La loi suisse sur la protection des données prévoit des amendes jusqu'à CHF 250'000 en cas de violations intentionnelles — dirigées non pas contre l'entreprise, mais contre la personne responsable, typiquement la direction. Sous le Règlement général sur la protection des données, le cadre va jusqu'à 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel mondial, et les autorités de contrôle de l'UE peuvent aussi agir contre des boutiques suisses qui servent une clientèle de l'UE.

Pour la plupart des boutiques, un autre scénario est toutefois plus réaliste que l'amende maximale : les mises en demeure venues d'Allemagne. Quiconque y livre peut recevoir des avertissements payants de concurrents ou d'associations de protection des consommateurs si le tracking tourne sans consentement — un modèle d'affaires établi qui touche régulièrement les commerçants suisses. S'y ajoute le dommage de réputation : une clientèle qui confie ses données de paiement à une boutique réagit plus sensiblement aux gros titres sur la protection des données que partout ailleurs.

La bonne nouvelle : l'effort pour une configuration propre reste raisonnable. Intégrer le snippet ou le plugin, lancer le scan, vérifier les catégories, activer le Google Consent Mode V2 — et une boutique en ligne suisse est en règle générale conforme en un après-midi.

Questions fréquentes

Ma boutique Shopify en Suisse a-t-elle besoin d'une bannière de cookies ?

Oui, pratiquement toujours. Dès que des services soumis au consentement tournent — pixels publicitaires, outils statistiques, marketing par e-mail — une bannière est nécessaire. Pour les boutiques en ligne, c'est la norme : même la combinaison standard de Google Ads, Meta Pixel et d'un outil de newsletter n'est pas admissible sans consentement dès que des clients de l'UE sont concernés. La loi suisse sur la protection des données exige en outre la transparence sur tous les services utilisés.

Les cookies de paiement de Stripe, PostFinance ou Twint sont-ils soumis au consentement ?

Non. Les cookies nécessaires au traitement sécurisé du paiement et à la prévention de la fraude sont considérés comme techniquement nécessaires et peuvent être déposés sans consentement — sans eux, l'achat ne pourrait tout simplement pas aboutir. Ils doivent néanmoins figurer dans la liste des cookies de la bannière et dans la déclaration de protection des données, avec l'indication du prestataire de paiement.

Le RGPD s'applique-t-il à ma boutique en ligne suisse ?

Presque toujours. Dès que vous ciblez de manière reconnaissable une clientèle dans l'UE — par exemple par une livraison vers l'Allemagne ou l'Autriche, des prix en euros ou un domaine .de — le principe du lieu du marché du Règlement général sur la protection des données s'applique, même sans établissement dans l'UE. Cela signifie : consentement actif avant le chargement des scripts marketing, et pas de cases précochées.

Comment configurer une bannière de cookies dans WooCommerce ?

Le plus simple est un plugin du répertoire officiel WordPress : installer le plugin, saisir l'identifiant de domaine, terminé. Le plugin Aiara bloque automatiquement les scripts marketing jusqu'à ce que le consentement soit donné — les cookies de panier et de session de WooCommerce continuent de fonctionner comme cookies techniquement nécessaires.

Mon suivi des conversions Google Ads fonctionne-t-il encore avec une bannière de cookies ?

Oui — avec Google Consent Mode V2. La bannière transmet le statut de consentement à Google ; depuis mars 2024, Google ne traite plus de données de conversion des utilisateurs de l'Espace économique européen sans ces signaux. En cas de refus, Google compense une partie des données manquantes par des conversions modélisées.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara