E-commerce et RGPD : peut-on rendre obligatoire la création d'un compte client ?

Le Comité européen de la protection des données (CEPD) a adopté, début décembre 2025, des recommandations importantes à destination des acteurs du e-commerce, relatives à la base juridique permettant d’exiger la création de comptes d’utilisateurs sur les sites de e-commerce (en ce compris les plateformes d’intermédiation et applications web ou mobiles).

Il en ressort un message clair : obliger un utilisateur à créer un compte est rarement compatible avec le Règlement général sur la protection des données (RGPD).

Le CEPD souligne notamment qu’un compte utilisateur fait peser des risques plus importants sur les personnes concernées (sur-collecte de données personnelles, durée de stockage excessive, risques en matière de sécurité des comptes…), et ne peut être imposé que lorsqu'il est strictement nécessaire. 

✔️ Exemples de cas où l'on peut exiger la création d'un compte utilisateur

Le CEPD donne les exemples suivants, à titre non limitatif :

• Abonnements nécessitant un suivi continu, si le compte est strictement nécessaire pour que les personnes concernées accèdent aux services auxquels elles se sont abonnées, avec des interactions authentifiées régulières pendant toute la durée du contrat ;
• Accès à des offres exclusives, réservé à un cercle fermé de membres présentant des caractéristiques spécifiques et vérifiables (par exemple, une communauté de membres vérifiés, par cooptation ou parrainage).

❌ Dans la plupart des autres situations, c'est non

Le CEPD balaie les bases légales souvent invoquées par les acteurs du e-commerce pour obliger leur client à créer un compte, et refuse notamment les justifications suivantes :

• Pour permettre l'accès à des offres en réalité accessibles à tous sur inscription, pour vérifier ponctuellement le statut de l’acheteur (par exemple pour octroyer une réduction à un étudiant), pour la gestion du service après-vente ou pour l’exercice des droits de l’acheteur sur ses données personnelles ;
• Pour démontrer le respect de ses obligations contractuelles, fiscales ou comptables (les opérations liées aux obligations fiscales et comptables se limitent généralement à des documents spécifiques tels que les factures et n’exigent généralement pas la conservation des données personnelles ayant servi à créer ces documents) ;
• Pour poursuivre des intérêts légitimes tels que faciliter le suivi de la commande, gérer un programme de fidélité, faciliter les achats ultérieurs...

👉 Le parcours utilisateur recommandé

Offrir le choix entre acheter en mode invité ou créer volontairement un compte, lorsqu'un compte n'est pas strictement nécessaire.

Selon le CEPD, cette approche est la plus conforme au RGPD, en particulier aux principes de protection des données dès la conception et par défaut et de minimisation des données.

En résumé

La création d’un compte utilisateur ne peut être imposée que de manière exceptionnelle, lorsqu’elle est strictement nécessaire à la fourniture du service. Dans la majorité des cas, les acteurs du e-commerce doivent privilégier des parcours alternatifs, moins intrusifs, permettant l’achat sans compte.

📚 Une consultation publique est ouverte jusqu'au 12 février 2026, phase pendant laquelle toute partie prenante (entreprise, association, particulier, etc.) peut adresser ses observations concernant la V1.0 des recommandations. Après analyse des retours, le CEPD adoptera la version finale de ses recommandations.

Vous exploitez un site ou une application de e-commerce et imposez aujourd’hui la création d’un compte client ? Ces recommandations appellent à revoir le parcours utilisateur, les bases légales invoquées et les paramétrages de collecte des données.

➡️ Un audit ciblé de vos pratiques peut vous permettre d’anticiper les risques de non-conformité et d’adapter votre parcours utilisateur.