Légal

Politique de confidentialité du revendeur : modèle RGPD et structure 2026

Mis à jour le 6 juillet 2026 · 12 min de lecture · Par L'équipe Margeo

Dès qu'un client passe commande sur votre boutique Vinted, Shopify ou site perso, vous collectez des données personnelles : nom, adresse, e-mail. Le RGPD impose de les documenter dans une politique de confidentialité accessible en permanence. Ce guide détaille la structure du modèle, les 6 sous-traitants à mentionner, les données de commande à déclarer, les droits ARCO, le lien avec la fiscalité micro-BIC 2026 (plafond 203 100 €, cotisations 12,3 %, seuil DAC7 2 000 € ou 30 ventes) et confirme qu'un DPO n'est pas obligatoire pour un revendeur micro. Pour le registre des traitements, consultez notre guide RGPD revendeur 2026.

Obligation RGPD

Art. 13 et 14 RGPD → informer toute personne dont vous collectez les données, avant ou au moment de la collecte.

Page dédiée · droits ARCO expliqués · durées de conservation · pas de DPO obligatoire en micro standard.

Pourquoi un revendeur a besoin de cette page

Contrairement aux mentions légales (qui identifient qui vous êtes), la politique de confidentialité explique ce que vous faites des données de vos acheteurs. Elle est obligatoire dès la première commande, la première inscription newsletter ou le premier formulaire de contact.

Action revendeurDonnée collectéePolitique requise ?
Vente sur site propreNom, adresse, e-mail, téléphoneOui
Newsletter « nouveautés stock »E-mail, prénomOui
Formulaire de contactNom, e-mail, messageOui
Vente Vinted sans siteDonnées gérées par la plateformeNon (Vinted informe)
Google Analytics / Meta PixelDonnées de navigationOui + bannière cookies

Structure du modèle : 10 rubriques obligatoires

Voici l'ossature conforme CNIL pour un revendeur en ligne :

  1. Responsable de traitement — votre identité, SIRET, adresse, e-mail de contact RGPD
  2. Données collectées — liste exhaustive par canal (commande, newsletter, contact)
  3. Finalités — pourquoi vous traitez chaque donnée (livraison, facturation, prospection)
  4. Base légale — contrat, obligation légale, consentement ou intérêt légitime
  5. Destinataires — transporteurs, prestataires paiement, hébergeur, outils e-mail
  6. Transferts hors UE — si vous utilisez un outil US (Stripe, Mailchimp, Shopify)
  7. Durées de conservation — par type de donnée (commande, facture, newsletter)
  8. Droits des personnes — ARCO + portabilité + réclamation CNIL
  9. Sécurité — mesures mises en place (mots de passe, accès limité)
  10. Modifications — date de dernière mise à jour et procédure d'information

SOP rédaction : publier votre politique en 7 étapes

Exécutez cette procédure standard dès la création de votre micro-entreprise ou à l'ajout d'un nouvel outil (newsletter, site, CRM). Temps total : 2 à 3 heures la première fois, 20 min en mise à jour annuelle.

  1. Cartographier vos traitements — listez chaque endroit où vous stockez des données perso : Excel, Margeo, Brevo, Shopify, Google Drive, téléphone
  2. Identifier vos sous-traitants — transporteur, PSP, hébergeur, outil e-mail, analytics (voir les 6 briques ci-dessous)
  3. Adapter le modèle — remplacez les noms fictifs par vos prestataires réels et vos durées de conservation
  4. Publier la page — URL /politique-confidentialite, lien en pied de page à côté des mentions légales
  5. Lier au moment de la collecte — formulaire commande, inscription newsletter, bandeau cookies (guide cookies CNIL)
  6. Signer les DPA — accord de traitement avec chaque sous-traitant (souvent dans les CGU)
  7. Planifier la mise à jour — à chaque changement de prestataire ou nouvel outil adopté

Les 6 sous-traitants à documenter dans votre politique

Chaque outil qui traite des données pour votre compte doit figurer dans la rubrique « Destinataires » de votre politique. Voici les six briques les plus courantes chez les revendeurs français en 2026.

1. Transporteur — Colissimo / Mondial Relay

Données transmises : nom, adresse, téléphone, poids colis.

Finalité : livraison des commandes.

À mentionner : nom du transporteur, pays d'hébergement UE.

2. Paiement — Stripe / PayPal

Données transmises : montant, e-mail, référence commande (pas la CB).

Finalité : encaissement sécurisé PCI-DSS.

À mentionner : vous ne stockez jamais les numéros de carte.

3. E-mail — Brevo / Mailchimp

Données transmises : e-mail, prénom, historique ouvertures.

Finalité : confirmations commande et newsletter.

À mentionner : base consentement pour la prospection.

4. Hébergeur — OVH / Infomaniak

Données transmises : logs serveur, formulaires contact.

Finalité : hébergement site vitrine et e-mails pro.

À mentionner : datacenter UE, DPA disponible.

5. Boutique — Shopify / WooCommerce

Données transmises : profil client, commandes, adresses.

Finalité : gestion catalogue et tunnel d'achat.

À mentionner : Shopify = sous-traitant, vous = responsable.

6. Analytics — PostHog EU / GA4

Données transmises : IP, pages vues, cookies.

Finalité : mesure audience site (consentement requis).

À mentionner : hébergement eu.posthog.com ou bandeau cookies.

Erreurs fréquentes dans la rubrique Destinataires :
  • Oublier le transporteur alors que vous expédiez 50 colis/mois
  • Ne pas mentionner l'hébergeur du site (OVH, Netlify, Vercel)
  • Lister « Google » sans préciser Analytics vs Gmail pro
  • Copier une politique US sans clause transfert hors UE (SCC)

Données clients et commandes : que déclarer ?

DonnéeSourceFinalitéBase légale
Nom, prénomFormulaire commandeLivraison, facturationExécution du contrat
Adresse postaleFormulaire commandeExpédition colisExécution du contrat
E-mailCommande / newsletterConfirmation, suivi, prospectionContrat / Consentement
TéléphoneCommande (optionnel)Contact livreurExécution du contrat
Historique commandesBoutique / MargeoSAV, garantie, comptabilitéContrat / Obligation légale
Données de paiementStripe, PayPal, Shopify PaymentsEncaissementContrat (traité par le PSP)
Adresse IP, cookiesSite web / analyticsStatistiques, sécuritéConsentement / Intérêt légitime
Important : vous ne stockez jamais les numéros de carte bancaire. Le prestataire de paiement (Stripe, PayPal) est responsable de sous-traitant. Mentionnez-le dans la rubrique « Destinataires ».

Les droits ARCO expliqués à vos clients

Votre politique doit informer clairement sur les 6 droits fondamentaux :

DroitDélai de réponseException revendeur
Accès1 mois max.Gratuit (1re demande)
Rectification1 mois max.
Effacement1 mois max.Factures conservées 10 ans (obligation légale)
Opposition prospectionImmédiatRetirer de la liste newsletter sous 48 h
Portabilité1 mois max.Données fournies activement par le client
Réclamation CNILIndiquer l'URL cnil.fr/plainte

DPO : pas obligatoire pour un revendeur micro

Le Délégué à la Protection des Données (DPO) n'est pas requis pour la majorité des revendeurs solo. Obligatoire uniquement si :

En micro-entreprise revendeur avec 200 à 2 000 clients/an, vous êtes le contact RGPD. Indiquez votre e-mail dédié (ex. rgpd@votreboutique.fr ou contact@) dans la politique.

Définir des durées de conservation utiles et justifiées

Une politique de confidentialité doit décrire les durées réellement appliquées, traitement par traitement. Certaines pièces doivent être conservées au titre d'obligations légales ; d'autres données ne doivent pas être gardées plus longtemps que nécessaire. Évitez de recopier une durée standard sans l'adapter à votre processus de vente, de SAV et de comptabilité.

Les obligations déclaratives des plateformes et votre propre politique de confidentialité sont deux sujets distincts. Décrivez les destinataires auxquels vous transmettez effectivement des données, la base légale correspondante et la façon d'exercer ses droits.

Cas chiffré : Marie, revendeuse mode à Lyon

Cas chiffré : Marie, revendeuse mode à Lyon

Profil : micro-entreprise, 18 400 € de CA en 2025, 340 clients, site Shopify + Vinted Pro, newsletter Brevo (120 abonnés).

TraitementDonnéesPrestataire mentionnéDurée politique
Commandes ShopifyNom, adresse, e-mail, historiqueShopify + Colissimo + Stripe3 ans après dernière cmd
NewsletterE-mail, prénomBrevoJusqu'au désabonnement
AnalyticsIP, cookiesPostHog EU13 mois
ComptabilitéFactures, montantsExpert-comptable10 ans

Marie rédige sa politique en 2 h avec le modèle ci-dessous, la publie en pied de page Shopify et lie la page au formulaire newsletter. Coût : 0 €. Elle met à jour la politique quand elle ajoute Mondial Relay en alternative à Colissimo.

Modèle de politique de confidentialité revendeur

POLITIQUE DE CONFIDENTIALITÉ
Dernière mise à jour : 6 juillet 2026

1. Responsable de traitement
Marie Dupont — Micro-entrepreneur
12 rue des Lilas, 69001 Lyon — SIRET 123 456 789 00012
Contact RGPD : contact@madressing-revente.fr

2. Données collectées
Lors d'une commande : nom, prénom, adresse de livraison, e-mail, téléphone (optionnel), historique d'achats.
Newsletter : e-mail, prénom (avec consentement explicite).

3. Finalités et bases légales
Traitement et livraison des commandes (contrat) · Facturation et comptabilité (obligation légale) · Envoi de la newsletter (consentement) · Statistiques de fréquentation du site (intérêt légitime, avec consentement cookies).

4. Destinataires
Colissimo / Mondial Relay (livraison) · Stripe (paiement) · OVH (hébergement) · Brevo (e-mails transactionnels).

5. Durées de conservation
Données clients : 3 ans après la dernière commande · Factures : 10 ans · Newsletter : jusqu'au désabonnement · Cookies : 13 mois max.

6. Vos droits
Accès, rectification, effacement, opposition, limitation, portabilité. Contact : contact@madressing-revente.fr — réponse sous 1 mois. Réclamation : cnil.fr/plainte.

Checklist de conformité RGPD revendeur

ÉtapeActionDélai
1. CartographierLister toutes les données collectées (commandes, newsletter, analytics)1 h
2. RédigerAdapter le modèle ci-dessus à vos prestataires réels1 à 2 h
3. PublierPage /politique-confidentialite + lien pied de page15 min
4. RegistreCréer le registre des traitements (voir guide RGPD)30 min
5. CookiesBannière consentement si analytics (voir guide cookies)30 min
6. Processus droitsPrévoir une procédure de réponse aux demandes ARCO30 min

Coût et impact sur la marge

PosteCoûtFréquence
Rédaction modèle (DIY)0 €Une fois
Générateur RGPD (LegalPlace, iubenda)0 à 50 €/moisMensuel ou annuel
Registre des traitements0 € (modèle CNIL)Mise à jour annuelle
DPO externaliséNon requis en micro
Bandeau cookies (Axeptio, tarteaucitron)0 à 15 €/moisSi site + analytics
Relecture avocat / juriste150 à 400 €Optionnel
Hébergement politique (Shopify page)Inclus forfait
Mise à jour annuelle (changement PSP)0 € (DIY, 20 min)À chaque changement outil
Sanction CNIL (non-conformité)1 000 à 50 000 €En cas de plainte avérée
Amende max. théorique4 % du CA mondialCas graves uniquement

Sur un CA de 20 000 €/an, une conformité RGPD DIY coûte 0 € et 3 à 4 heures de travail. C'est 0 % d'impact sur la marge — contre un risque de sanction pouvant atteindre 800 € (4 % × 20 000 €) en cas de manquement avéré.

Les 6 erreurs à éviter

Données clients et ventes centralisées

Margeo héberge vos données de vente en UE. Export client, historique commandes et conformité DAC7 simplifiés.

Créer mon compte gratuit

Questions fréquentes

Un revendeur micro doit-il publier une politique de confidentialité ?

Oui, dès la première collecte de données (commande, newsletter, contact). Le RGPD s'applique quelle que soit la taille de l'activité.

Quelles données clients déclarer ?

Identité, coordonnées, données de commande et livraison, historique achats, données de paiement (via PSP), cookies si analytics activés.

Quels sont les droits ARCO ?

Accès, Rectification, Effacement, Opposition, Limitation, Portabilité. Réponse sous 1 mois. Exception : factures conservées 10 ans.

Faut-il un DPO en micro-entreprise ?

Non pour un revendeur standard. Vous êtes le contact RGPD. Le DPO n'est obligatoire qu'à grande échelle ou pour des données sensibles.

Combien de temps conserver les données de commande ?

Clients : 3 ans après dernière commande. Factures : 10 ans. Newsletter : jusqu'au désabonnement. Livraison : jusqu'à clôture du litige.

Peut-on copier un modèle en ligne ?

Comme base oui, mais adaptez prestataires, durées et finalités. Un modèle non personnalisé est non conforme.

Articles associés

Pour aller plus loin