Le Comité Européen de la Protection des Données (CEPD) a publié, le 3 décembre 2025, ses Recommandations 2/2025[1] portant sur les bases légales permettant d’exiger la création d’un compte client sur les sites e-commerce.
Dans ces Recommandations très détaillées, la position du Comité est sans ambiguïté : la création d’un compte client doit, en principe, rester un choix laissé à l’utilisateur. Imposer la création d’un compte lors d’un achat aboutit à collecter et traiter davantage de données que nécessaire, en méconnaissance du principe de minimisation de l’article 5 , paragraphe 1, c) du RGPD. Le Comité souligne également que la protection des données dès la conception et par défaut implique d’offrir une alternative moins intrusive lorsque cela est techniquement possible.
Le Comité procède à une analyse approfondie des trois bases légales que les responsables de traitement invoquent le plus fréquemment pour imposer la création d’un compte client : l’exécution d’un contrat, le respect d’une obligation légale et leur intérêt légitime.
Après avoir analysé toutes les finalités possibles liées à la création d’un compte en ligne, le Comité conclut que, dans la majorité des situations de vente en ligne, aucune de ces bases légales ne permet de justifier une exigence systématique de création de compte.
En effet, l’exécution du contrat n’exige pas intrinsèquement la tenue d’un compte ; aucune disposition légale n’impose une telle formalité pour la vente en ligne et l’intérêt légitime économique du commerçant (suivi du client, statistiques, marketing) ne saurait prévaloir sur les droits et libertés des personnes concernées.
Le CEPD ne reconnaît finalement que deux cas pour lesquels un responsable de traitement pourrait imposer la création obligatoire d’un compte :
- Les sites proposant des produits ou services ou des réductions spéciales à des personnes disposant d’un statut particulier (étudiants, professions réglementées) ;
- Les personnes titulaires d’un abonnement permettant de recevoir un bien ou un service régulièrement.
La création d’un compte peut également être légitime si l’objectif est de fournir l’accès à des offres exclusives.
Mais même dans ces cas, le Comité exige la rédaction d’un « legitime interest assessment », c’est-à-dire d’un document décrivant quel est l’intérêt légitime, si le traitement de la donnée est nécessaire pour la réalisation de cet intérêt légitime (test de nécessité : n’existe-t-il pas d’autres moyens moins intrusifs pour parvenir au résultat) et si les droits et libertés des personnes ne prévalent pas sur l’intérêt du responsable de traitement (test de la balance des intérêts en présence).
Ainsi, le responsable de traitement doit être en mesure de justifier en quoi les personnes ayant un statut particulier permettant un achat spécifique ne pourraient pas simplement remplir un formulaire en téléchargeant le document justifiant de leur statut (carte professionnelle ou carte d’étudiant par exemple).
En dehors de ces 2 situations, l’obligation de créer un compte ne saurait être justifiée.
Le Comité rappelle qu’il existe des alternatives moins intrusives et pleinement compatibles avec le RGPD, telles que :
- L’achat en mode « invité » ;
- L’envoi d’un lien de suivi vers l’adresse e-mail fournie lors de la commande ;
- La mise à disposition d’un espace temporaire sans création de compte.
Ces solutions permettent au Responsable de traitement de remplir ses obligations contractuelles sans imposer un traitement supplémentaire de données personnelles.
Il appartient dès lors à chaque site de vérifier les raisons précises de la demande de création d’un compte ou de faire en sorte que cette création de compte soit facultative. Les responsables de traitements doivent également informer les personnes de l’intérêt pour elles de se créer un compte, en expliquant également les finalités des traitements opérés par le responsable à partir des données de ce compte.
Ces recommandations font l’objet d’une consultation publique jusqu’au 12/2/2026.
Charlotte GALICHET
[1] https://www.edpb.europa.eu/system/files/2025-12/edpb-recommendations-202502-mandatory-user-accounts_en.pdf