Aller au contenu
UCP
Menu

Juridique · RGPD

UCP et RGPD : guide de conformité pour les marchands européens

Le Universal Commerce Protocol a été conçu avec une coalition américaine. Son déploiement en Europe, avec Carrefour et Zalando comme partenaires fondateurs, soulève des questions légitimes de conformité RGPD. Voici ce que les marchands européens doivent savoir avant d'activer le UCP.

Mis à jour : avril 2026 · Requête principale : UCP RGPD conformité

Les données personnelles impliquées dans une transaction UCP

Une transaction via le Universal Commerce Protocol implique plusieurs catégories de données personnelles :

  • Données Identity Linking : nom, prénom, adresse de livraison, numéro de téléphone, email, transmis de l'agent IA au marchand pour chaque commande
  • Token AP2 : pseudonyme cryptographique lié à un moyen de paiement réel, traité par le processeur de paiement
  • Données de commande : produits achetés, montant, date, conservées par le marchand
  • Logs de transaction : horodatage, agent IA utilisé, endpoint appelé, données techniques de la transaction
  • Données de livraison : transporteur, numéro de suivi, statut, partagées avec le livreur

Toutes ces données relèvent du RGPD dès lors que le marchand ou l'acheteur est situé dans l'Espace Économique Européen.

Bases légales pour le traitement des données UCP

Exécution du contrat (Article 6.1.b RGPD)

La base légale principale pour le traitement des données Identity Linking est l'exécution du contrat de vente. Sans le nom et l'adresse de livraison, le marchand ne peut pas expédier la commande. Ce traitement est donc nécessaire à l'exécution du contrat conclu entre l'acheteur et le marchand via l'agent IA.

Important : cette base légale ne couvre que ce qui est strictement nécessaire à la livraison. Utiliser l'adresse de livraison pour envoyer des newsletters ou des offres promotionnelles ultérieures nécessite une base légale distincte (le consentement, article 6.1.a).

Obligation légale (Article 6.1.c RGPD)

La conservation des données de transaction (commandes, factures, montants) pendant 10 ans est requise par le Code de commerce français. Cette base légale justifie la conservation au-delà de la durée nécessaire à l'exécution du contrat.

Intérêt légitime (Article 6.1.f RGPD)

La conservation des logs de transaction agentique à des fins de sécurité et de prévention de la fraude peut être fondée sur l'intérêt légitime du marchand, à condition que cet intérêt soit documenté et que la durée de conservation soit limitée (typiquement 12 à 24 mois pour les logs de sécurité).

Identity Linking et consentement : où se situe la responsabilité ?

Le consentement initial de l'utilisateur au partage de ses données via l'Identity Linking est recueilli par l'agent IA (Google Gemini, ChatGPT, etc.), pas par le marchand. L'utilisateur autorise l'agent à partager ses données avec les marchands compatibles UCP dans le cadre de ses achats.

Pour le marchand, cela crée une situation particulière : il reçoit des données personnelles dont le consentement a été recueilli par un tiers (l'agent IA). Il doit donc :

  • Vérifier que l'agent IA transmetteur est certifié UCP (ce qui garantit que le consentement a été correctement recueilli)
  • Documenter dans son registre des activités de traitement que la source des données est l'Identity Linking UCP et que la base légale est l'exécution du contrat
  • Ne pas utiliser ces données au-delà de la finalité de la commande sans recueillir un consentement supplémentaire direct auprès de l'acheteur

Droits des personnes dans le contexte UCP

Droit d'accès (Article 15 RGPD)

Si un utilisateur demande à accéder aux données que vous détenez sur lui (y compris celles reçues via Identity Linking), vous devez être en mesure de les fournir dans un délai d'un mois. Assurez-vous que votre système peut identifier et extraire toutes les données liées à un individu, y compris celles issues du canal agentique.

Droit d'effacement (Article 17 RGPD)

L'utilisateur peut demander l'effacement de ses données, sauf si des obligations légales s'y opposent (conservation des factures pendant 10 ans). Distinguez clairement dans vos systèmes les données "effaçables" (données de profil, historique de navigation) des données "à conserver" (données de transaction légalement requises).

Droit à la portabilité (Article 20 RGPD)

Les données fournies par l'utilisateur (via Identity Linking) et traitées sur la base du contrat ou du consentement sont portables. Si demandé, exportez-les dans un format structuré (JSON, CSV).

Data Processing Agreements (DPA) : avec qui les conclure ?

Dans l'écosystème UCP, vous êtes en relation avec plusieurs sous-traitants au sens du RGPD :

  • Votre processeur de paiement (Stripe, Adyen) : un DPA doit être signé, il l'est généralement via les CGU du processeur, mais vérifiez l'existence d'un addendum RGPD spécifique
  • Votre transporteur : DPA requis pour le partage de l'adresse de livraison
  • L'infrastructure UCP : si vous utilisez un service tiers pour gérer vos endpoints UCP (hébergeur, middleware), DPA requis
  • L'agent IA : techniquement, Google (Gemini) ou OpenAI (ChatGPT) sont des tiers indépendants, pas des sous-traitants. Vous n'avez pas besoin de DPA avec eux, mais vous devez documenter que vous avez vérifié leur certification UCP avant de traiter les données qu'ils transmettent.

Obligations de documentation

Mettez à jour votre registre des activités de traitement (Article 30 RGPD) pour inclure :

  • Nouvelle activité : "Traitement des commandes via agents IA (canal UCP)"
  • Catégories de données : nom, adresse, téléphone, email, données de commande, token AP2 (pseudonyme)
  • Base légale : exécution du contrat (6.1.b) pour la livraison ; obligation légale (6.1.c) pour la conservation comptable
  • Durée de conservation : données de livraison → effacement après livraison confirmée + 1 an ; données de transaction → 10 ans (obligation légale)
  • Sous-traitants : processeur de paiement, transporteur
  • Transferts hors UE : selon votre processeur de paiement (Stripe USA → clauses contractuelles types)

Transferts de données hors UE

Si votre processeur de paiement ou votre infrastructure UCP héberge des données dans des pays hors UE (États-Unis notamment), vérifiez l'existence de garanties appropriées (décision d'adéquation, CCT, BCR). Stripe et Adyen ont des addendums de transfert disponibles sur demande.

Mise à jour de votre politique de confidentialité

Ajoutez une section dans votre politique de confidentialité expliquant :

  • Que vous acceptez les commandes via agents IA (canal UCP)
  • Quelles données sont reçues via Identity Linking et comment elles sont traitées
  • Que les données de paiement sont gérées via le protocole AP2 (pseudonymisation)
  • Comment exercer ses droits pour les données issues d'achats agentiques

Pour aller plus loin