FAQ : mettre en place e-commerce sur Dolibarr orienté conformité

Version 1.0 – Dernière mise à jour : 2 novembre 2025

Objectif : Vous aider à créer une boutique en ligne avec Dolibarr tout en respectant les obligations légales et réglementaires (RGPD, TVA, exigences fiscales, sécurité des paiements, etc.). > Public cible : Entrepreneurs, responsables e‑commerce, experts comptables et informaticiens qui souhaitent exploiter Dolibarr en mode « tout‑en‑un » tout en étant en conformité.

1. Quel est le principe de Dolibarr pour un e‑commerce ?

Dolibarr est un ERP/PGM open‑source qui regroupe gestion :

  • Produits / CataloguesCommandes & FacturesStocks

  • Paiements (CB, PayPal, virement, etc.)

  • Expédition (suivi transporteur)

Le module e‑Commerce (ou Web‑Shop) permet de publier le catalogue sur un site web (via iFrame, API ou un module dédié). La conformité se retrouve dans :

Domaine Fonctionnalité Dolibarr correspondante Points à vérifier pour la conformité
RGPD / Protection des données Gestion des contacts, consentement, droit à l’effacement Consentement éclairé, durée de conservation, DPO intégré
Facturation & TVA Génération automatique d’invoices, paramètres de TVA Calcul correct de la TVA intra‑EU, TVA à 0 % pour certains biens
Livraison & Retour Suivi colis, numéros de suivi, gestion des retours Politique de rétractation, frais de retour clairement affichés
Sécurité des paiements Intégrations CB, PayPal, Stripe, etc. PCI‑DSS, 3‑DS, conservation minimale des données de carte
Fiscalité Juridictions multiples, auto‑déclaration Reporting fiscale (ex. : TVA intracommunautaire)
Accessibilité Thèmes compatibles WCAG 2.1 Conformité AA pour les utilisateurs à mobilité réduite

2. FAQ « Conformité » – Questions fréquentes et réponses### Q1 – Dois‑je activer le module « CRM » pour la collecte de données clients ?

R: Oui. Le module CRM de Dolibarr vous permet de :

  • Stocker les informations personnelles (nom, prénom, email, adresse).

  • Demander le consentement explicite via une case à cocher lors de la commande.

  • Supprimer ou anonymiser automatiquement les données à la demande du client (« right‑to‑be‑forgotten »).

    Bonne pratique : créez un formulaire de contact dédié avec une case « J’accepte la collecte de mes données à des fins de traitement de commande » puis activez la fonction « Traitement des demandes d’effacement » (CRM → Settings → Data retention).

Q2 – Comment configurer les taux de TVA conformément à la législation européenne ?

R: 1. CRM → Settings → Tax

  • Ajoutez chaque pays où vous avez un nœud de TVA (France, Allemagne, Espagne, …).

  • Définissez :

    • Taux standard (20 % FR, 19 % DE, …)

    • Taux réduit (ex. : 10 % pour les produits alimentaires).

    • Taux à 0 % pour les livraisons hors UE ou vers les particuliers non‑résidents UE (auto‑déclaration).

      1. Global → Settings → Currency : définissez la devise principale et la monnaie de facturation.

      2. Products → Tax : assignez le taux adéquat à chaque fiche produit.

Astuce : utilisez le « Tax Rules » de Dolibarr pour créer des groupes de TVA par pays/zone (ex. : “EU‑Standard‑20”). Ainsi, la bonne taxe s’applique automatiquement selon l’adresse de facturation du client.

Q3 – Comment garantir la conformité PCI‑DSS pour les paiements en ligne ?

R: 1. Ne stockez jamais les données de carte bancaire dans Dolibarr. Utilisez uniquement des passerelles externes (ex. : Stripe, PayPal, Adyen).

  1. Intégrez les formulaires de paiement via iFrame ou redirection. Dolibarr ne voit que le code de transaction ou un identifiant de client.

  2. Activez le module “Payment Provider” compatible PCI‑DSS :

    • Stripe (recommandé) → configurez l’« API Key » dans Payments → Settings.

    • PayPal → créez une application PayPal et activez le paiement « Express Checkout ».

  3. Vérifiez le certificat SSL (HTTPS) de votre site ; le module “Payment Provider” bloque les paiements en HTTP.

  4. Journalisation : activez le suivi des transactions dans Back‑office → Setup → Logs et conservez les logs au moins 12 mois (exigence de l’ARIX pour la fraude).

Tip : Malgré la redirection, gardez un contrôle d’accès limité aux pages de paiement (ex. : ACL “payment”).

Q4 – Que faire pour la protection des données lors de l’envoi des factures PDF ?

R: 1. Activer le chiffrement du stockage dans Setup → General → Data security (option “Encrypt file storage”).

  1. Inclure les mentions légales dans le PDF : numéro de TVA intracommunautaire, mentions duarante de traitement des données personnelles.

  2. Mettre un délai de suppression des factures après le délai légal de conservation (ex. : 7 ans en France). Configurer une tâche cron pour archiver les factures>7 ans dans un répertoire chiffré.

Q5 – Comment assurer la transparence des frais de livraison et de retour ?

R: 1. Créer un “Shipping Rule” qui indique clairement le coût standard, les frais de suivi et les options de remise (ex. : frais de retour à la charge du client).

  1. Inclure ces informations dans la page produit (section “Détails du transport”) et dans le processus de checkout (checkbox “J’ai lu les conditions de retour”).

  2. Impact sur la conformité : le client doit disposer d’une information préalable sur les frais de retour (article L. 221-28 du Code de la consommation).

Q6 – Dois‑je enregistrer les adresses IP des visiteurs ?

R: Oui, pour la géolocalisation (si vous devez appliquer une TVA intra‑UE différente).

  • Dans Dolibarr → Setup → General → Logging → IP Logging activez l’enregistrement.

  • Conservez les logs selon la réglementation (max. 6 mois pour la finalité du marketing, 12 mois pour la sécurité).

  • Offrez la possibilité de refuser le suivi via le bandeau cookie (module “Cookie Consent”). —

Q7 – Comment gérer les données de mineurs (clients < 18 ans) ?

R: 1. Activer le consentement parentale dans le formulaire de commande. – Ajoutez un champ “Nom du parent/tuteur” + case à cocher “Je donne mon accord”.

  1. Limiter la collecte à ce qui est strictement nécessaire (nom, email).

  2. Envisagez de bloquer les achats pour les adresses de facturation dont l’âge est indiqué < 18 ans (règle métier dans Products → Conditions).

Q8 – Quelle est la procédure de sauvegarde conforme aux exigences légales ? R: 1. Plan de sauvegarde quotidien des bases de données (MySQL/MariaDB) et des fichiers (factures, pièces jointes).

  1. Chiffrer les sauvegardes (outil pg_dump ou mysqldump + gpg).

  2. Conserver au moins 7 ans sur un serveur hors‑site (RGPD/ISO 27001 recommande une duplication hors‑site).

  3. Tester la restauration périodiquement (au moins une fois par an).

Q9 – Puis‑je générer automatiquement un registre de traitements de données personnelles ?

R: Dolibarr ne produit pas directement le registre, mais :

  • Exportez les paramètres de CRM → Personal Data vers un fichier CSV.

  • Utilisez le plugin « Data Protection Report » (contribué par la communauté) qui génère un tableau récapitulatif (type de données, durée de conservation, base légale).

  • Exportez ce tableau au format PDF et joignez‑le à votre Document de conformité interne.

Q10 – Quelle est la meilleure façon d’informer les clients sur le droit de rétractation ?

R: 1. Clause standardisée à placer en bas de chaque page produit :

  • “Vous disposez d’un délai de 14 jours calendaires pour exercer votre droit de rétractation, conformément à l’article L. 221‑24 du Code de la consommation. Vous pouvez retourner le produit gratuitement en suivant les instructions du service client.”

    1. Intégration du formulaire de retour via le module Orders → Return.

    2. Envoi automatique du bon de retour après validation de la commande (processus « Return Merchandise Authorization »).

3. Guide pas‑à‑pas : Créer un e‑commerce “conforme” avec Dolibarr

Étape Action concrète Vérification de conformité
1️⃣ Installez Dolibarr en HTTPS sur un serveur PCI‑DSS et ISO 27001 Certificat SSL valide (HTTPS uniquement)
2️⃣ Activez les modules : CRM, Products, Orders, Invoicing, Payment Providers, Shipping, Web‑Shop Tous les modules nécessaires sélectionnés
3️⃣ Paramétrez les taux de TVA selon les pays cibles Tax Rates → 250+ pays configurés
4️⃣ Créez les fiches produits avec taxes, poids, stock et description claire Description conforme à la législation (hypertexte, images)
5️⃣ Dans CRM → Settings → Personal Data, activez le consentement et gestion des droits Cases à cocher pour collecte de données
6️⃣ Installez un Payment Provider (Stripe ou PayPal) via Payments → Configuration PCI‑DSS redirection activée
7️⃣ Configurez Shipping Rules (délais, frais, options de suivi) Mentions claires des frais de retour
8️⃣ Ajoutez un banner Cookies/GDPR (module “GDPR Cookie”) Consentement optionnel avant suivi
9️⃣ Activez le chiffrement des fichiers (backup, factures) « Encrypt file storage » activé
🔟 Effectuez un test de conformité : créez une commande test, vérifiez le PDF facture, le paiement, le retour Rapport « Invoice preview », test de paiement en sandbox

4. Checklist de conformité (à cocher avant la mise en production)

Élément Statut
1 SSL/TLS 1.3 ou supérieur sur tout le site
2 Consentement explicite (CRM → Personal Data)
3 Politique de confidentialité et mentions légales publiées
4 Taux de TVA corrects par pays
5 Paiement via passerelle PCI‑DSS (Stripe, PayPal)
6 Logs d’IP sauvegardés < 12 mois
7 Délai de rétractation clairement affiché
8 Conditions de retour et frais de restitution détaillés
9 Sauvegarde chiffrée quotidienne + rétention 7 ans
10 Journal d’audit (log de paiement + gestion des retours)
11 Implémentation d’un DPD (Data Protection Officer) ou désignation interne
12 Tests de sécurité (scan SSL, vulnérabilité) réalisés

5. Ressources complémentaires| Ressource | Lien / Description |

|———–|——————–|
| Guide officiel Dolibarr – e‑Commerce | https://www.dolibarr.org/doc/latest/en_US/erp/customer/website/ |
| RGPD pour les sites e‑commerce (ANSSI) | https://www.ssi.anssi.fr/particuliers/rgpd-e-commerce |
| PCI‑DSS – FAQ Stripe | https://stripe.com/french/guides/pci-dss |
| Web‑shop GDPR Consent Plugin (contrib) | https://github.com/Dolibarr/dolibarr-contrib-gdpr-consent |
| Modèle de conditions générales de vente | Disponible sur le site de l’UFC‑Que Choisir (adaptable à votre activité) |

6. Conclusion

Dolibarr vous offre une plateforme tout‑en‑un pour lancer rapidement un e‑commerce, mais la conformité (RGPD, TVA, PCI‑DSS, droit de rétractation, etc.) ne s’improvise pas. En suivant les bonnes pratiques présentées dans cette FAQ :

  • planifier chaque étape de la collecte et du traitement des données,

  • paramétrer correctement les taxes et les règles de paiement,

  • documenter chaque processus (factures, retours, sauvegardes),

  • tester régulièrement les exigences légales,

vous obtiendrez une boutique en ligne robuste, fiable et 100 % conforme aux exigences européennes.

Prochaine étape : lancez un projet pilote avec un catalogue restreint, validez les flux de commande et de facturation, puis étendez la configuration à l’ensemble de votre gamme de produits tout en surveillant les indicateurs de conformité.

Bonne implémentation ! 🚀

Publications similaires