Comment ça marche Ce que nous vérifions Tarifs Articles À propos Scanner maintenant →
Conformité Shopify PDPA Singapour
← Tous les articles Singapour · PDPA ⏱ 8 min de lecture Mis à jour le 27 juin 2026

Conformité Shopify PDPA Singapour : Guide pas à pas pour les marchands

Shopify est la plateforme e-commerce dominante à Singapour. Le Personal Data Protection Act (PDPA) est la principale loi sur la protection des données personnelles de Singapour — appliquée par la Personal Data Protection Commission (PDPC). Ces deux réalités créent une obligation de conformité spécifique que la plupart des marchands Shopify n'ont pas encore pleinement satisfaite.

Ce guide couvre ce que le PDPA exige des boutiques Shopify singaporiennes, les points de défaillance les plus fréquents, et les étapes concrètes pour y remédier.

⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences du PDPA sont interprétées et appliquées par le PDPC. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.


Pourquoi le PDPA s'applique à votre boutique Shopify

Le PDPA s'applique à toute organisation qui collecte, utilise ou divulgue des données personnelles à Singapour — quel que soit le pays d'immatriculation de l'organisation. Si vous :

...les obligations du PDPA s'appliquent à vous.

Les données personnelles au sens du PDPA comprennent tout ce qui permet d'identifier une personne : nom, adresse e-mail, numéro de téléphone, adresse de livraison, historique d'achats, adresse IP, identifiants d'appareils, comportement de navigation sur votre boutique.

Shopify collecte tout cela par défaut.

Vérifiez votre conformité PDPA avant votre prochaine campagne. Lancez un scan PDPA gratuit sur votre boutique Shopify → — voyez exactement quels traceurs se déclenchent avant le consentement.


Les 5 obligations PDPA que tout marchand Shopify doit respecter

1. Obligation de consentement (PDPA)

La PDPA impose d'obtenir le consentement avant de collecter, d'utiliser ou de divulguer des données personnelles — sauf si une exception s'applique (par exemple, les données sont accessibles au public ou la collecte est imposée par la loi).

Pour une boutique Shopify, cela signifie :

Comportement par défaut critique de Shopify : Shopify installe des pixels de suivi et des outils analytiques par défaut. À moins que vous ne les ayez désactivés ou conditionnés à un consentement préalable, ils se déclenchent probablement pour chaque visiteur singaporien avant l'obtention du consentement.

2. Obligation de limitation des finalités (PDPA)

Vous ne pouvez utiliser les données personnelles qu'aux fins pour lesquelles elles ont été collectées. Si un client vous communique son adresse e-mail pour exécuter une commande, vous ne pouvez pas utiliser cet e-mail pour lui envoyer des messages marketing sans qu'il ait séparément consenti au marketing.

Erreur courante : importer les e-mails de contact des commandes dans une liste marketing et envoyer des promotions sans opt-in marketing distinct.

3. Obligation de notification

La PDPA impose d'informer les clients des données que vous collectez et pourquoi — au moment de la collecte. En pratique, votre boutique Shopify doit disposer d'une politique de confidentialité qui :

4. Obligation d'accès et de correction (PDPA)

Les clients ont le droit d'accéder aux données personnelles que vous détenez à leur sujet et d'en demander la correction. Votre politique de confidentialité doit expliquer comment exercer ce droit, et votre organisation doit être en mesure de répondre aux demandes.

5. Notification des violations de données

En vertu des amendements du PDPA entrés en vigueur en février 2021, la notification obligatoire des violations de données s'applique. Si vous subissez une violation d'un volume ou d'une sensibilité significatifs, vous devez en informer le PDPC dans les 3 jours calendaires. La PDPA impose également de notifier les personnes concernées si la violation est susceptible de leur causer un préjudice significatif.


Le problème du consentement aux traceurs et aux cookies

C'est là que la plupart des boutiques Shopify échouent au test PDPA.

Par défaut, une boutique Shopify charge :

Tous ces outils collectent des données personnelles. En vertu du PDPA, vous devez obtenir le consentement avant que cette collecte de données ne commence.

La solution : Vous avez besoin d'un système de gestion du consentement sur votre boutique Shopify qui :

  1. Affiche un avis de consentement aux cookies aux visiteurs singaporiens
  2. Bloque les scripts de suivi jusqu'à l'obtention du consentement
  3. Offre un moyen simple de refuser

La barre de consentement aux cookies intégrée à Shopify ne bloque pas les scripts. Elle n'est pas conforme au PDPA pour les finalités de suivi.

Applications Shopify pour un consentement cookies conforme au PDPA

Consentmo (version gratuite + payante) — Plateforme de gestion du consentement (CMP) native Shopify. Bloque les scripts par catégorie, compatible GDPR/PDPA, géociblage pour n'afficher la notice qu'aux visiteurs singaporiens. Option la plus pratique pour Shopify.

CookieYes pour Shopify — S'intègre via une balise script, catégorise automatiquement les cookies, blocage disponible sur les offres payantes.

Fonctionnalités et offres des applications telles qu'elles existaient en juin 2026 — vérifiez les caractéristiques actuelles sur la fiche Shopify de chaque application.


Politique de confidentialité Shopify : ce qu'il faut inclure pour le PDPA

Le modèle de politique de confidentialité par défaut de Shopify n'est pas suffisant pour le PDPA. Vous devez y ajouter :


PDPA vs RGPD : différences clés pour les marchands Shopify

Si votre boutique sert à la fois des clients singaporiens et européens, les deux cadres réglementaires s'appliquent de manière indépendante.

Aspect PDPA (Singapour) RGPD (UE)
Appliqué par PDPC Autorités nationales de protection des données (CNIL, BfDI, ICO, etc.)
Amende maximale Le plus élevé entre S$1 000 000 et 10 % du chiffre d'affaires annuel (depuis le 1er oct. 2022) 4 % du chiffre d'affaires annuel mondial ou 20 M€
Délai de notification de violation 3 jours calendaires au PDPC 72 heures à l'autorité nationale de protection des données
Consentement marketing Opt-in explicite requis Opt-in explicite requis
Consentement traceurs/cookies Requis avant le suivi Requis (directive ePrivacy)
Portée extraterritoriale Oui — données des résidents de Singapour Oui — données des résidents de l'UE
Droit d'accès aux données personnelles Oui (PDPA art. 21) Oui (RGPD art. 15)

Application du PDPA : comment ça se passe concrètement

Le PDPC publie ses décisions d'application sur pdpc.gov.sg. Principaux schémas relevés dans leur base de décisions :


Liste de contrôle de conformité Shopify PDPA

Consentement et gestion des cookies

Politique de confidentialité

Marketing

Préparation aux violations de données


Vous vendez à la fois à Singapour et dans l'UE ?

Si votre boutique Shopify sert à la fois des résidents singaporiens et des clients européens, vous opérez simultanément sous deux régimes de protection des données indépendants. Sitetals couvre les deux. Lancez le scan UE/RGPD pour votre exposition européenne et le scan PDPA pour Singapour.

Pour un contexte plus large sur le RGPD/UE : Amendes RGPD en 2026 : 13 cas réels et ce qu'ils ont coûté. Pour un audit de conformité complet : les 12 vérifications RGPD que la plupart des entreprises oublient.


Lancez un scan PDPA gratuit

Collez l'URL de votre boutique Shopify. Obtenez un scan gratuit indiquant les comportements de suivi, les mécanismes de consentement manquants et les lacunes de conformité au PDPA.

Scan PDPA gratuit sur Sitetals

Rapport PDF complet avec références aux décisions du PDPC et liste de contrôle de remédiation : 49 €.


Sources : PDPA 2012 (Singapour), amendé 2021 · Lignes directrices consultatives du PDPC sur le commerce électronique (2021) · Décisions d'application du PDPC 2020–2025 · Exigences de notification des violations de données du PDPC (Avis 01/2021)

🩸 — Rédaction Sitetals