Le Comité européen de la protection des données (CEPD) a adopté le 3 décembre 2025 de nouvelles recommandations qui s’intéressent à une pratique courante du secteur du e-commerce, consistant à conditionner l’acte d’achat à l’ouverture d’un compte client.

Le régulateur européen part du constat qu’une telle création obligatoire n’est pas neutre, l’identification systématique des clients pouvant mener à une collecte accrue de données personnelles qui, conjuguée à leur conservation prolongée dans des bases actives, renforce les risques en matière de sécurité.

Confrontant cette pratique aux dispositions du RGPD, le CEPD parvient à une conclusion claire et implacable : aucune des bases habituellement invoquées (exécution du contrat, obligation légale, intérêt légitime) ne permet, en principe, d’imposer la création d’un compte client.

Le CEPD estime en particulier que l’ensemble des objectifs avancés pour défendre la création obligatoire d’un compte client — suivi de commande, respect des obligations réglementaires et légales, prévention de la fraude ou fidélisation — sont atteignables avec des dispositifs moins intrusifs pour les personnes concernées que la création d’un compte utilisateur.

Dans ce contexte, le CEPD considère que l’accès à un “mode invité” dans le parcours d’achat constitue l’option la plus conforme au regard des principes de minimisation et de protection des données inscrits dans le RGPD, la création préalable d’un compte ne pouvant résulter que d’une démarche volontaire du client, fondée sur son consentement.

Seules quelques situations limitées échappent à ce constat du CEPD, et notamment les abonnements ou l’accès à de véritables communautés fermées de clients « membres », parce qu’elles impliquent une relation contractuelle suivie et peuvent dans certaines conditions justifier l’obligation de créer un compte client.

Alors que la question avait déjà pu être abordée en France (mise en œuvre d’un groupe de travail CNIL, proposition de loi présentée devant le Sénat), sans jamais déboucher sur un cadre clair, la prise de position du CEPD offre une clarification attendue.

Celle-ci s’inscrit dans un contexte déjà marqué par un encadrement renforcé des cookies et autres traceurs, qui doit inciter les acteurs du e-commerce à repenser leurs leviers de connaissance client, en intégrant davantage des logiques de collecte volontaire, transparente et proportionnée, compatibles avec les exigences du RGPD et les attentes croissantes des utilisateurs en matière de protection de leur vie privée.

Actuellement soumises à une consultation publique, ces recommandations demeurent susceptibles d’être modifiées, et leur portée devra également être appréciée en tenant compte des discussions en cours à l’échelle européenne sur un possible allègement de certaines obligations du RGPD.

La création obligatoire de comptes clients devient néanmoins un point de vigilance clairement identifié : le choix laissé au client entre la création d’un compte et l’achat en tant qu’« invité » risque de s’imposer progressivement comme un standard de conformité, ce qui doit être anticipé par les acteurs du e-commerce.