Shopify est la plateforme e-commerce dominante à Singapour. Le Personal Data Protection Act (PDPA) est la principale loi sur la protection des données personnelles de Singapour — appliquée par la Personal Data Protection Commission (PDPC). Ces deux réalités créent une obligation de conformité spécifique que la plupart des marchands Shopify n'ont pas encore pleinement satisfaite.
Ce guide couvre ce que le PDPA exige des boutiques Shopify singaporiennes, les points de défaillance les plus fréquents, et les étapes concrètes pour y remédier.
⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences du PDPA sont interprétées et appliquées par le PDPC. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.
Le PDPA s'applique à toute organisation qui collecte, utilise ou divulgue des données personnelles à Singapour — quel que soit le pays d'immatriculation de l'organisation. Si vous :
...les obligations du PDPA s'appliquent à vous.
Les données personnelles au sens du PDPA comprennent tout ce qui permet d'identifier une personne : nom, adresse e-mail, numéro de téléphone, adresse de livraison, historique d'achats, adresse IP, identifiants d'appareils, comportement de navigation sur votre boutique.
Shopify collecte tout cela par défaut.
Vérifiez votre conformité PDPA avant votre prochaine campagne. Lancez un scan PDPA gratuit sur votre boutique Shopify → — voyez exactement quels traceurs se déclenchent avant le consentement.
La PDPA impose d'obtenir le consentement avant de collecter, d'utiliser ou de divulguer des données personnelles — sauf si une exception s'applique (par exemple, les données sont accessibles au public ou la collecte est imposée par la loi).
Pour une boutique Shopify, cela signifie :
Comportement par défaut critique de Shopify : Shopify installe des pixels de suivi et des outils analytiques par défaut. À moins que vous ne les ayez désactivés ou conditionnés à un consentement préalable, ils se déclenchent probablement pour chaque visiteur singaporien avant l'obtention du consentement.
Vous ne pouvez utiliser les données personnelles qu'aux fins pour lesquelles elles ont été collectées. Si un client vous communique son adresse e-mail pour exécuter une commande, vous ne pouvez pas utiliser cet e-mail pour lui envoyer des messages marketing sans qu'il ait séparément consenti au marketing.
Erreur courante : importer les e-mails de contact des commandes dans une liste marketing et envoyer des promotions sans opt-in marketing distinct.
La PDPA impose d'informer les clients des données que vous collectez et pourquoi — au moment de la collecte. En pratique, votre boutique Shopify doit disposer d'une politique de confidentialité qui :
Les clients ont le droit d'accéder aux données personnelles que vous détenez à leur sujet et d'en demander la correction. Votre politique de confidentialité doit expliquer comment exercer ce droit, et votre organisation doit être en mesure de répondre aux demandes.
En vertu des amendements du PDPA entrés en vigueur en février 2021, la notification obligatoire des violations de données s'applique. Si vous subissez une violation d'un volume ou d'une sensibilité significatifs, vous devez en informer le PDPC dans les 3 jours calendaires. La PDPA impose également de notifier les personnes concernées si la violation est susceptible de leur causer un préjudice significatif.
C'est là que la plupart des boutiques Shopify échouent au test PDPA.
Par défaut, une boutique Shopify charge :
Tous ces outils collectent des données personnelles. En vertu du PDPA, vous devez obtenir le consentement avant que cette collecte de données ne commence.
La solution : Vous avez besoin d'un système de gestion du consentement sur votre boutique Shopify qui :
La barre de consentement aux cookies intégrée à Shopify ne bloque pas les scripts. Elle n'est pas conforme au PDPA pour les finalités de suivi.
Consentmo (version gratuite + payante) — Plateforme de gestion du consentement (CMP) native Shopify. Bloque les scripts par catégorie, compatible GDPR/PDPA, géociblage pour n'afficher la notice qu'aux visiteurs singaporiens. Option la plus pratique pour Shopify.
CookieYes pour Shopify — S'intègre via une balise script, catégorise automatiquement les cookies, blocage disponible sur les offres payantes.
Fonctionnalités et offres des applications telles qu'elles existaient en juin 2026 — vérifiez les caractéristiques actuelles sur la fiche Shopify de chaque application.
Le modèle de politique de confidentialité par défaut de Shopify n'est pas suffisant pour le PDPA. Vous devez y ajouter :
Si votre boutique sert à la fois des clients singaporiens et européens, les deux cadres réglementaires s'appliquent de manière indépendante.
| Aspect | PDPA (Singapour) | RGPD (UE) |
|---|---|---|
| Appliqué par | PDPC | Autorités nationales de protection des données (CNIL, BfDI, ICO, etc.) |
| Amende maximale | Le plus élevé entre S$1 000 000 et 10 % du chiffre d'affaires annuel (depuis le 1er oct. 2022) | 4 % du chiffre d'affaires annuel mondial ou 20 M€ |
| Délai de notification de violation | 3 jours calendaires au PDPC | 72 heures à l'autorité nationale de protection des données |
| Consentement marketing | Opt-in explicite requis | Opt-in explicite requis |
| Consentement traceurs/cookies | Requis avant le suivi | Requis (directive ePrivacy) |
| Portée extraterritoriale | Oui — données des résidents de Singapour | Oui — données des résidents de l'UE |
| Droit d'accès aux données personnelles | Oui (PDPA art. 21) | Oui (RGPD art. 15) |
Le PDPC publie ses décisions d'application sur pdpc.gov.sg. Principaux schémas relevés dans leur base de décisions :
Si votre boutique Shopify sert à la fois des résidents singaporiens et des clients européens, vous opérez simultanément sous deux régimes de protection des données indépendants. Sitetals couvre les deux. Lancez le scan UE/RGPD pour votre exposition européenne et le scan PDPA pour Singapour.
Pour un contexte plus large sur le RGPD/UE : Amendes RGPD en 2026 : 13 cas réels et ce qu'ils ont coûté. Pour un audit de conformité complet : les 12 vérifications RGPD que la plupart des entreprises oublient.
Collez l'URL de votre boutique Shopify. Obtenez un scan gratuit indiquant les comportements de suivi, les mécanismes de consentement manquants et les lacunes de conformité au PDPA.
Rapport PDF complet avec références aux décisions du PDPC et liste de contrôle de remédiation : 49 €.
Sources : PDPA 2012 (Singapour), amendé 2021 · Lignes directrices consultatives du PDPC sur le commerce électronique (2021) · Décisions d'application du PDPC 2020–2025 · Exigences de notification des violations de données du PDPC (Avis 01/2021)
🩸 — Rédaction Sitetals