Politique de confidentialité du revendeur : modèle RGPD et structure 2026
Mis à jour le 6 juillet 2026 · 12 min de lecture · Par L'équipe Margeo
Dès qu'un client passe commande sur votre boutique Vinted, Shopify ou site perso, vous collectez des données personnelles : nom, adresse, e-mail. Le RGPD impose de les documenter dans une politique de confidentialité accessible en permanence. Ce guide détaille la structure du modèle, les 6 sous-traitants à mentionner, les données de commande à déclarer, les droits ARCO, le lien avec la fiscalité micro-BIC 2026 (plafond 203 100 €, cotisations 12,3 %, seuil DAC7 2 000 € ou 30 ventes) et confirme qu'un DPO n'est pas obligatoire pour un revendeur micro. Pour le registre des traitements, consultez notre guide RGPD revendeur 2026.
Obligation RGPD
Art. 13 et 14 RGPD → informer toute personne dont vous collectez les données, avant ou au moment de la collecte.
Page dédiée · droits ARCO expliqués · durées de conservation · pas de DPO obligatoire en micro standard.
Pourquoi un revendeur a besoin de cette page
Contrairement aux mentions légales (qui identifient qui vous êtes), la politique de confidentialité explique ce que vous faites des données de vos acheteurs. Elle est obligatoire dès la première commande, la première inscription newsletter ou le premier formulaire de contact.
| Action revendeur | Donnée collectée | Politique requise ? |
|---|---|---|
| Vente sur site propre | Nom, adresse, e-mail, téléphone | Oui |
| Newsletter « nouveautés stock » | E-mail, prénom | Oui |
| Formulaire de contact | Nom, e-mail, message | Oui |
| Vente Vinted sans site | Données gérées par la plateforme | Non (Vinted informe) |
| Google Analytics / Meta Pixel | Données de navigation | Oui + bannière cookies |
Structure du modèle : 10 rubriques obligatoires
Voici l'ossature conforme CNIL pour un revendeur en ligne :
- Responsable de traitement — votre identité, SIRET, adresse, e-mail de contact RGPD
- Données collectées — liste exhaustive par canal (commande, newsletter, contact)
- Finalités — pourquoi vous traitez chaque donnée (livraison, facturation, prospection)
- Base légale — contrat, obligation légale, consentement ou intérêt légitime
- Destinataires — transporteurs, prestataires paiement, hébergeur, outils e-mail
- Transferts hors UE — si vous utilisez un outil US (Stripe, Mailchimp, Shopify)
- Durées de conservation — par type de donnée (commande, facture, newsletter)
- Droits des personnes — ARCO + portabilité + réclamation CNIL
- Sécurité — mesures mises en place (mots de passe, accès limité)
- Modifications — date de dernière mise à jour et procédure d'information
SOP rédaction : publier votre politique en 7 étapes
Exécutez cette procédure standard dès la création de votre micro-entreprise ou à l'ajout d'un nouvel outil (newsletter, site, CRM). Temps total : 2 à 3 heures la première fois, 20 min en mise à jour annuelle.
- Cartographier vos traitements — listez chaque endroit où vous stockez des données perso : Excel, Margeo, Brevo, Shopify, Google Drive, téléphone
- Identifier vos sous-traitants — transporteur, PSP, hébergeur, outil e-mail, analytics (voir les 6 briques ci-dessous)
- Adapter le modèle — remplacez les noms fictifs par vos prestataires réels et vos durées de conservation
- Publier la page — URL /politique-confidentialite, lien en pied de page à côté des mentions légales
- Lier au moment de la collecte — formulaire commande, inscription newsletter, bandeau cookies (guide cookies CNIL)
- Signer les DPA — accord de traitement avec chaque sous-traitant (souvent dans les CGU)
- Planifier la mise à jour — à chaque changement de prestataire ou nouvel outil adopté
Les 6 sous-traitants à documenter dans votre politique
Chaque outil qui traite des données pour votre compte doit figurer dans la rubrique « Destinataires » de votre politique. Voici les six briques les plus courantes chez les revendeurs français en 2026.
1. Transporteur — Colissimo / Mondial Relay
Données transmises : nom, adresse, téléphone, poids colis.
Finalité : livraison des commandes.
À mentionner : nom du transporteur, pays d'hébergement UE.
2. Paiement — Stripe / PayPal
Données transmises : montant, e-mail, référence commande (pas la CB).
Finalité : encaissement sécurisé PCI-DSS.
À mentionner : vous ne stockez jamais les numéros de carte.
3. E-mail — Brevo / Mailchimp
Données transmises : e-mail, prénom, historique ouvertures.
Finalité : confirmations commande et newsletter.
À mentionner : base consentement pour la prospection.
4. Hébergeur — OVH / Infomaniak
Données transmises : logs serveur, formulaires contact.
Finalité : hébergement site vitrine et e-mails pro.
À mentionner : datacenter UE, DPA disponible.
5. Boutique — Shopify / WooCommerce
Données transmises : profil client, commandes, adresses.
Finalité : gestion catalogue et tunnel d'achat.
À mentionner : Shopify = sous-traitant, vous = responsable.
6. Analytics — PostHog EU / GA4
Données transmises : IP, pages vues, cookies.
Finalité : mesure audience site (consentement requis).
À mentionner : hébergement eu.posthog.com ou bandeau cookies.
- Oublier le transporteur alors que vous expédiez 50 colis/mois
- Ne pas mentionner l'hébergeur du site (OVH, Netlify, Vercel)
- Lister « Google » sans préciser Analytics vs Gmail pro
- Copier une politique US sans clause transfert hors UE (SCC)
Données clients et commandes : que déclarer ?
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Nom, prénom | Formulaire commande | Livraison, facturation | Exécution du contrat |
| Adresse postale | Formulaire commande | Expédition colis | Exécution du contrat |
| Commande / newsletter | Confirmation, suivi, prospection | Contrat / Consentement | |
| Téléphone | Commande (optionnel) | Contact livreur | Exécution du contrat |
| Historique commandes | Boutique / Margeo | SAV, garantie, comptabilité | Contrat / Obligation légale |
| Données de paiement | Stripe, PayPal, Shopify Payments | Encaissement | Contrat (traité par le PSP) |
| Adresse IP, cookies | Site web / analytics | Statistiques, sécurité | Consentement / Intérêt légitime |
Les droits ARCO expliqués à vos clients
Votre politique doit informer clairement sur les 6 droits fondamentaux :
- Accès (A) — le client peut demander la liste de toutes les données que vous détenez sur lui
- Rectification (R) — corriger une adresse erronée ou un nom mal orthographié
- Effacement (C — droit à l'oubli) — supprimer ses données hors obligations légales (factures 10 ans)
- Opposition (O) — refuser la prospection commerciale (newsletter, SMS)
- Limitation — geler le traitement en cas de litige
- Portabilité — recevoir ses données dans un format CSV/JSON
| Droit | Délai de réponse | Exception revendeur |
|---|---|---|
| Accès | 1 mois max. | Gratuit (1re demande) |
| Rectification | 1 mois max. | — |
| Effacement | 1 mois max. | Factures conservées 10 ans (obligation légale) |
| Opposition prospection | Immédiat | Retirer de la liste newsletter sous 48 h |
| Portabilité | 1 mois max. | Données fournies activement par le client |
| Réclamation CNIL | — | Indiquer l'URL cnil.fr/plainte |
DPO : pas obligatoire pour un revendeur micro
Le Délégué à la Protection des Données (DPO) n'est pas requis pour la majorité des revendeurs solo. Obligatoire uniquement si :
- Traitement à grande échelle de données sensibles (santé, biométrie) — non applicable en mode
- Organisme public ou autorité
- Suivi régulier et systématique de personnes à grande échelle — seuil rarement atteint par un micro
En micro-entreprise revendeur avec 200 à 2 000 clients/an, vous êtes le contact RGPD. Indiquez votre e-mail dédié (ex. rgpd@votreboutique.fr ou contact@) dans la politique.
Définir des durées de conservation utiles et justifiées
Une politique de confidentialité doit décrire les durées réellement appliquées, traitement par traitement. Certaines pièces doivent être conservées au titre d'obligations légales ; d'autres données ne doivent pas être gardées plus longtemps que nécessaire. Évitez de recopier une durée standard sans l'adapter à votre processus de vente, de SAV et de comptabilité.
Les obligations déclaratives des plateformes et votre propre politique de confidentialité sont deux sujets distincts. Décrivez les destinataires auxquels vous transmettez effectivement des données, la base légale correspondante et la façon d'exercer ses droits.
Cas chiffré : Marie, revendeuse mode à Lyon
Cas chiffré : Marie, revendeuse mode à Lyon
Profil : micro-entreprise, 18 400 € de CA en 2025, 340 clients, site Shopify + Vinted Pro, newsletter Brevo (120 abonnés).
| Traitement | Données | Prestataire mentionné | Durée politique |
|---|---|---|---|
| Commandes Shopify | Nom, adresse, e-mail, historique | Shopify + Colissimo + Stripe | 3 ans après dernière cmd |
| Newsletter | E-mail, prénom | Brevo | Jusqu'au désabonnement |
| Analytics | IP, cookies | PostHog EU | 13 mois |
| Comptabilité | Factures, montants | Expert-comptable | 10 ans |
Marie rédige sa politique en 2 h avec le modèle ci-dessous, la publie en pied de page Shopify et lie la page au formulaire newsletter. Coût : 0 €. Elle met à jour la politique quand elle ajoute Mondial Relay en alternative à Colissimo.
Modèle de politique de confidentialité revendeur
Dernière mise à jour : 6 juillet 2026
1. Responsable de traitement
Marie Dupont — Micro-entrepreneur
12 rue des Lilas, 69001 Lyon — SIRET 123 456 789 00012
Contact RGPD : contact@madressing-revente.fr
2. Données collectées
Lors d'une commande : nom, prénom, adresse de livraison, e-mail, téléphone (optionnel), historique d'achats.
Newsletter : e-mail, prénom (avec consentement explicite).
3. Finalités et bases légales
Traitement et livraison des commandes (contrat) · Facturation et comptabilité (obligation légale) · Envoi de la newsletter (consentement) · Statistiques de fréquentation du site (intérêt légitime, avec consentement cookies).
4. Destinataires
Colissimo / Mondial Relay (livraison) · Stripe (paiement) · OVH (hébergement) · Brevo (e-mails transactionnels).
5. Durées de conservation
Données clients : 3 ans après la dernière commande · Factures : 10 ans · Newsletter : jusqu'au désabonnement · Cookies : 13 mois max.
6. Vos droits
Accès, rectification, effacement, opposition, limitation, portabilité. Contact : contact@madressing-revente.fr — réponse sous 1 mois. Réclamation : cnil.fr/plainte.
Checklist de conformité RGPD revendeur
| Étape | Action | Délai |
|---|---|---|
| 1. Cartographier | Lister toutes les données collectées (commandes, newsletter, analytics) | 1 h |
| 2. Rédiger | Adapter le modèle ci-dessus à vos prestataires réels | 1 à 2 h |
| 3. Publier | Page /politique-confidentialite + lien pied de page | 15 min |
| 4. Registre | Créer le registre des traitements (voir guide RGPD) | 30 min |
| 5. Cookies | Bannière consentement si analytics (voir guide cookies) | 30 min |
| 6. Processus droits | Prévoir une procédure de réponse aux demandes ARCO | 30 min |
Coût et impact sur la marge
| Poste | Coût | Fréquence |
|---|---|---|
| Rédaction modèle (DIY) | 0 € | Une fois |
| Générateur RGPD (LegalPlace, iubenda) | 0 à 50 €/mois | Mensuel ou annuel |
| Registre des traitements | 0 € (modèle CNIL) | Mise à jour annuelle |
| DPO externalisé | Non requis en micro | — |
| Bandeau cookies (Axeptio, tarteaucitron) | 0 à 15 €/mois | Si site + analytics |
| Relecture avocat / juriste | 150 à 400 € | Optionnel |
| Hébergement politique (Shopify page) | Inclus forfait | — |
| Mise à jour annuelle (changement PSP) | 0 € (DIY, 20 min) | À chaque changement outil |
| Sanction CNIL (non-conformité) | 1 000 à 50 000 € | En cas de plainte avérée |
| Amende max. théorique | 4 % du CA mondial | Cas graves uniquement |
Sur un CA de 20 000 €/an, une conformité RGPD DIY coûte 0 € et 3 à 4 heures de travail. C'est 0 % d'impact sur la marge — contre un risque de sanction pouvant atteindre 800 € (4 % × 20 000 €) en cas de manquement avéré.
Les 6 erreurs à éviter
- Modèle générique non adapté — mentionner vos vrais prestataires (transporteur, PSP, hébergeur)
- Durées de conservation floues — « aussi longtemps que nécessaire » est non conforme
- Oublier la newsletter — consentement et désabonnement doivent être documentés
- Pas de contact RGPD — un e-mail dédié ou votre e-mail pro suffit
- Page inaccessible — lien en pied de page obligatoire, pas enfoui dans les CGV
- Ne jamais mettre à jour — changement de prestataire = mise à jour de la politique
Données clients et ventes centralisées
Margeo héberge vos données de vente en UE. Export client, historique commandes et conformité DAC7 simplifiés.
Créer mon compte gratuitQuestions fréquentes
Un revendeur micro doit-il publier une politique de confidentialité ?
Oui, dès la première collecte de données (commande, newsletter, contact). Le RGPD s'applique quelle que soit la taille de l'activité.
Quelles données clients déclarer ?
Identité, coordonnées, données de commande et livraison, historique achats, données de paiement (via PSP), cookies si analytics activés.
Quels sont les droits ARCO ?
Accès, Rectification, Effacement, Opposition, Limitation, Portabilité. Réponse sous 1 mois. Exception : factures conservées 10 ans.
Faut-il un DPO en micro-entreprise ?
Non pour un revendeur standard. Vous êtes le contact RGPD. Le DPO n'est obligatoire qu'à grande échelle ou pour des données sensibles.
Combien de temps conserver les données de commande ?
Clients : 3 ans après dernière commande. Factures : 10 ans. Newsletter : jusqu'au désabonnement. Livraison : jusqu'à clôture du litige.
Peut-on copier un modèle en ligne ?
Comme base oui, mais adaptez prestataires, durées et finalités. Un modèle non personnalisé est non conforme.