RGPD du revendeur en ligne : registre, bases légales et sanctions 2026
Mis à jour le 6 juillet 2026 · 15 min de lecture · Par L'équipe Margeo
Vous revendez en micro-entreprise avec un fichier clients, une newsletter ou un site Shopify ? Le RGPD vous concerne — même avec 50 ventes par an. Ce guide couvre le registre des traitements, les bases légales (contrat et intérêt légitime), les durées de conservation (3 à 10 ans), les 6 outils conformes pour un revendeur solo, un SOP de mise en conformité en 7 étapes, la fiscalité micro-BIC 2026 (plafond 203 100 €, cotisations 12,3 %, DAC7 2 000 € ou 30 ventes) et les sanctions pouvant atteindre 4 % de votre CA. Pour les cookies et le bandeau CNIL, consultez notre guide cookies revendeur 2026.
RGPD 2026
Registre obligatoire · bases légales documentées · conservation 3 ans (clients) / 10 ans (factures).
Les plafonds de sanction prévus par le RGPD dépendent de la nature du manquement. Leur application est appréciée au cas par cas : ne présentez pas une fourchette comme un tarif de non-conformité.
Le RGPD s'applique-t-il à un petit revendeur ?
Oui, sans exception de taille. Le RGPD protège les personnes physiques, pas les entreprises. Dès que vous stockez un nom, une adresse ou un e-mail — même dans un tableur Excel — vous êtes responsable de traitement. La CNIL ne fait pas de distinction entre un revendeur Vinted à 3 000 € de CA et une PME e-commerce à 500 000 €.
En pratique, trois profils déclenchent des obligations RGPD distinctes :
- Revendeur plateforme seul (Vinted, Leboncoin) — responsabilité partielle : la plateforme gère ses données, vous gérez les vôtres (Excel, WhatsApp, newsletter)
- Revendeur + site web — responsabilité complète : clients, cookies, analytics, formulaire contact
- Revendeur + newsletter / CRM — consentement explicite, registre, politique de confidentialité obligatoires
| Activité revendeur | Données concernées | RGPD applicable ? | Action prioritaire |
|---|---|---|---|
| Fichier clients Excel / Margeo | Nom, adresse, e-mail, historique | Oui | Registre + sécurisation |
| Newsletter « nouveautés » | E-mail, prénom | Oui | Opt-in explicite + Brevo DPA |
| Site Shopify + analytics | Cookies, IP, comportement | Oui | Bandeau cookies + politique |
| Vente Vinted uniquement | Données gérées par Vinted | Partiel | Conformité outils perso |
| Instagram DM pour ventes | Conversations, adresses en DM | Oui | Purge 3 ans, pas d'export massif |
| WhatsApp Business clients | Tel., historique commandes | Oui | Politique confidentialité |
| Stripe / PayPal encaissement | Données paiement (sous-traitant) | Oui (DPA) | Contrat sous-traitant signé |
| Comptabilité URSSAF / expert-comptable | Factures, identité, CA | Oui (obligation légale) | Conservation 10 ans |
SOP conformité RGPD : procédure en 7 étapes
Exécutez cette procédure standard dès la création de votre micro-entreprise ou à l'ajout d'un nouvel outil (newsletter, site, CRM). Temps total : 3 à 4 heures la première fois, 30 min en mise à jour annuelle.
- Cartographier vos traitements — listez chaque endroit où vous stockez des données perso : Excel, Margeo, Brevo, Shopify, Google Drive, téléphone
- Compléter le registre CNIL — finalité, base légale, durée, destinataires pour chaque traitement (modèle gratuit sur cnil.fr)
- Rédiger la politique de confidentialité — page publique décrivant vos traitements (modèle revendeur)
- Publier les mentions légales — SIRET, hébergeur, contact DPO ou responsable (guide mentions légales)
- Signer les DPA sous-traitants — hébergeur, outil e-mail, PSP, analytics (souvent dans les CGU)
- Configurer le bandeau cookies — si site web avec GA4, Pixel ou PostHog (voir guide cookies CNIL)
- Planifier la purge annuelle — supprimer clients > 3 ans, désabonnés newsletter, logs expirés
Choisir ses outils sans promettre une conformité automatique
Aucun outil ne rend une activité « conforme » à lui seul. Pour chaque prestataire, identifiez les données traitées, les finalités, les destinataires, les transferts éventuels, les mesures de sécurité et la documentation contractuelle disponible. Ces éléments alimentent votre registre et vos informations aux clients.
- Ne collectez que les données nécessaires à la commande, au SAV ou à la finalité annoncée.
- Vérifiez la documentation de protection des données du prestataire et les clauses applicables à votre compte.
- Paramétrez les accès, les exports et les durées de conservation selon votre activité.
- Pour les cookies ou traceurs non exemptés, recueillez le consentement avant leur dépôt.
Le registre des traitements : comment le remplir
Le registre des traitements : comment le remplir
Le registre des traitements est un document interne (non public) listant chaque usage de données personnelles. Obligatoire pour toute structure, y compris un auto-entrepreneur seul. L'exemption « moins de 250 salariés » ne s'applique que si le traitement est occasionnel et non sensible — un revendeur actif avec CRM et newsletter n'y est jamais éligible.
Modèle registre revendeur (5 traitements types)
| Traitement | Finalité | Base légale | Données | Durée | Destinataires |
|---|---|---|---|---|---|
| Gestion commandes | Livraison, SAV, facturation | Contrat (art. 6.1.b) | Nom, adresse, e-mail, tel. | 3 ans après dernière cmd | Colissimo, Mondial Relay |
| Comptabilité | Obligation fiscale | Obligation légale (art. 6.1.c) | Factures, montants, identité | 10 ans | Expert-comptable, URSSAF |
| Newsletter | Prospection commerciale | Consentement (art. 6.1.a) | E-mail, prénom | Jusqu'au désabonnement | Brevo, Mailchimp |
| Analytics site | Mesure audience | Consentement (cookies) | IP, pages vues, cookies | 13 mois | Google Analytics, PostHog |
| Lutte fraude | Sécurité transactions | Intérêt légitime (art. 6.1.f) | IP, historique commandes | 3 ans | Stripe, PayPal |
Les 4 bases légales d'un revendeur
| Base légale | Art. RGPD | Usage revendeur | Consentement requis ? |
|---|---|---|---|
| Exécution du contrat | 6.1.b | Livraison, confirmation commande, SAV | Non |
| Obligation légale | 6.1.c | Conservation factures 10 ans, DAC7 | Non |
| Consentement | 6.1.a | Newsletter, cookies non essentiels | Oui, explicite |
| Intérêt légitime | 6.1.f | Anti-fraude, stats internes, prospection B2B | Non (sauf opposition) |
Contrat vs intérêt légitime : quand utiliser quoi ?
Contrat : toute donnée strictement nécessaire à la vente. Nom et adresse pour expédier un colis = contrat. Envoyer un e-mail promo 6 mois après = pas contrat.
Intérêt légitime : intérêt de votre activité, sans porter atteinte aux droits du client. Exemples valides : détecter une commande frauduleuse, mesurer le trafic de votre site (avec bandeau cookies), relancer un client B2B (friperie) sur des produits similaires. Documentez votre analyse d'équilibre dans le registre.
RGPD, fiscalité micro-BIC 2026 et DAC7 : le lien
Le RGPD et la fiscalité ne sont pas le même cadre, mais ils se croisent sur les données de vente que vous conservez. En micro-BIC 2026, voici les paramètres qui impactent votre gestion de données :
| Paramètre | Valeur 2026 | Lien RGPD revendeur |
|---|---|---|
| Plafond CA micro-BIC marchandises | 203 100 €/an | Volume de factures à conserver 10 ans |
| Cotisations URSSAF | 12,3 % du CA encaissé | Données CA = obligation légale, pas consentement |
| Seuil DAC7 plateforme | 2 000 € ou 30 ventes/an | Vinted transmet identité + CA au fisc |
| Conservation factures | 10 ans | Base légale : obligation légale (art. 6.1.c) |
| Conservation preuves d'achat | 6 ans minimum | Données fournisseurs, pas données clients |
| Données clients CRM | 3 ans après dernier contact | Base : contrat ou intérêt légitime |
| Newsletter prospects | Jusqu'au désabonnement | Base : consentement explicite uniquement |
| Export comptable annuel | Obligatoire si CA > 0 | Transmission expert-comptable = sous-traitant |
La directive DAC7 oblige Vinted, Leboncoin et eBay à transmettre votre identité et votre CA au fisc — ce n'est pas une violation RGPD (base légale : obligation légale côté plateforme). En revanche, si vous exportez ensuite ces données vers un fichier Excel partagé ou une newsletter sans consentement, vous basculez en non-conformité. Consultez notre guide seuil DAC7 plateformes.
Durées de conservation : le tableau de référence
| Type de donnée | Durée légale | Base | Action après expiration |
|---|---|---|---|
| Données clients (CRM, commandes) | 3 ans après dernier contact | Recommandation CNIL | Suppression ou anonymisation |
| Factures et pièces comptables | 10 ans | Art. L123-22 Code de commerce | Archivage puis destruction |
| Données de livraison / SAV | 3 ans après clôture litige | Intérêt légitime | Suppression |
| Newsletter (consentement) | Jusqu'au désabonnement | Consentement | Suppression immédiate |
| Cookies analytics | 13 mois max. | Recommandation CNIL | Renouvellement consentement |
| Logs de connexion (sécurité) | 1 an | Obligation LCEN | Suppression automatique |
| Candidatures / CV (si recrutement) | 2 ans | Recommandation CNIL | Suppression |
Droits des personnes : répondre aux demandes ARCO
Tout client peut exercer ses droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Délai de réponse : 1 mois (extensible à 3 mois si complexe).
- Accès — fournir une copie des données détenues (export Margeo ou Excel)
- Effacement — supprimer sauf factures (10 ans) ; anonymiser le reste
- Opposition newsletter — désabonnement immédiat, trace dans Brevo
- Portabilité — export CSV des commandes et coordonnées
Documentez chaque demande dans votre registre avec date, demandeur, action effectuée. Un modèle de réponse type suffit pour un micro-revendeur — pas besoin d'avocat pour chaque demande.
Sanctions CNIL : tableau complet par manquement
| Manquement | Sanction max. légale | Pratique micro-revendeur | Probabilité contrôle |
|---|---|---|---|
| Absence de registre | 4 % CA ou 20 M€ | Mise en demeure, puis 1 000 à 5 000 € | Faible (plainte) |
| Pas de politique de confidentialité | 4 % CA ou 20 M€ | 2 000 à 10 000 € | Moyenne (site web) |
| Newsletter sans consentement | 4 % CA ou 20 M€ | 5 000 à 20 000 € | Élevée (plainte client) |
| Fuite de données (fichier non sécurisé) | 4 % CA ou 20 M€ | 10 000 à 50 000 € | Élevée si fuite publique |
| Non-réponse demande d'effacement | 4 % CA ou 20 M€ | 1 000 à 5 000 € | Moyenne |
| Cookies déposés sans consentement | 4 % CA ou 20 M€ | 2 000 à 15 000 € | Élevée (scan CNIL) |
| Transfert hors UE sans garanties | 4 % CA ou 20 M€ | 5 000 à 30 000 € | Faible |
| Absence DPA sous-traitant | 4 % CA ou 20 M€ | 1 000 à 5 000 € | Faible |
| Conservation excessive (> 3 ans clients) | 4 % CA ou 20 M€ | 1 000 à 3 000 € | Faible |
| Violation obligation notification fuite | 4 % CA ou 20 M€ | 5 000 à 20 000 € | Élevée si breach |
Exemple chiffré : revendeur avec 25 000 € de CA annuel. Sanction théorique max. = 25 000 × 4 % = 1 000 €. En pratique, la CNIL commence par un rappel à l'ordre gratuit pour les TPE de bonne foi qui corrigent sous 30 jours.
Cas chiffré : Sophie, revendeuse Vinted + newsletter
Profil : Sophie, micro-entreprise APE 4791B, 180 ventes/an sur Vinted, CA 4 200 €, newsletter Brevo (320 abonnés), fichier clients Margeo (450 contacts), site vitrine Shopify avec GA4.
| Poste conformité RGPD | Coût annuel | Impact CA 4 200 € | Statut Sophie |
|---|---|---|---|
| Registre CNIL (DIY) | 0 € | 0 % | ✓ Complété |
| Politique confidentialité | 0 € | 0 % | ✓ Publiée |
| Brevo (newsletter) | 0 € (gratuit) | 0 % | ✓ DPA signé |
| Axeptio (bandeau cookies) | 180 €/an | 4,3 % | ✓ Installé |
| Margeo Pro (CRM UE) | 96 €/an | 2,3 % | ✓ Actif |
| Cotisations URSSAF (12,3 %) | 517 € | 12,3 % | ✓ Déclaré |
| Temps admin RGPD (4 h/an) | ~60 € | 1,4 % | Purge janvier |
| Total conformité RGPD | ~336 €/an | 8 % | Conforme |
Sans conformité, une plainte client sur la newsletter (opt-in absent) exposerait Sophie à une amende de 5 000 à 10 000 € — soit 15 à 30 fois le coût annuel de mise en conformité. Le ROI de la conformité RGPD est immédiat dès la première vente avec données perso.
Impact sur votre marge : coût de la conformité
| Poste RGPD | Coût annuel | Impact CA 20 000 € |
|---|---|---|
| Registre + politique (DIY) | 0 € | 0 % |
| Outil consentement cookies (Axeptio, tarteaucitron) | 0 à 120 €/an | 0 à 0,6 % |
| Hébergement UE (Margeo, OVH) | Inclus | 0 % |
| DPO externalisé | Non requis (< 250 sal.) | 0 % |
| Temps administratif (4 h/an) | ~60 € (valorisation temps) | 0,3 % |
| Total conformité RGPD | 0 à 180 €/an | 0 à 0,9 % |
La conformité RGPD coûte moins qu'un colis perdu. Le non-respect, en cas de plainte, peut coûter 10 à 50 fois plus. Sur un CA micro-BIC de 20 000 €, les cotisations URSSAF (12,3 % = 2 460 €) restent le poste dominant — pas le RGPD.
Les 7 erreurs RGPD des revendeurs
- Pas de registre — obligatoire, même solo, même sous 250 salariés si traitement régulier
- Newsletter sans opt-in — case pré-cochée ou inscription automatique = illégal
- Fichier clients sur Google Drive non sécurisé — lien partagé = fuite potentielle
- Conserver indéfiniment — purgez à 3 ans (clients) et 10 ans (factures)
- Ignorer les demandes d'effacement — répondez sous 1 mois, documentez
- Copier la politique d'un concurrent — vos prestataires et durées diffèrent
- Croire que Vinted gère tout — vos outils perso (Excel, newsletter) restent sous votre responsabilité
Données hébergées en UE, conformes RGPD
Margeo stocke vos ventes et clients en Europe. Export, purge et traçabilité simplifiés pour votre registre des traitements.
Créer mon compte gratuitQuestions fréquentes
Un revendeur Vinted en micro-entreprise est-il soumis au RGPD ?
Oui, dès que vous collectez des données personnelles en dehors de la plateforme : fichier clients, newsletter, site web, formulaire de contact. Vinted gère les données de ses utilisateurs ; vous êtes responsable de traitement pour vos propres fichiers et outils.
Faut-il un registre des traitements pour un revendeur solo ?
Oui. Toute structure, y compris un micro-entrepreneur seul, doit tenir un registre listant chaque traitement : finalité, base légale, durée de conservation, destinataires. La CNIL propose un modèle gratuit. Exemption uniquement si traitement non sensible occasionnel — rarement le cas d'un revendeur actif.
Quelle base légale pour les données de commande ?
Exécution du contrat (art. 6.1.b) pour nom, adresse et e-mail nécessaires à la livraison. Obligation légale (art. 6.1.c) pour conservation factures 10 ans. Consentement (art. 6.1.a) pour newsletter. Intérêt légitime (art. 6.1.f) pour lutte contre la fraude.
Combien de temps conserver les données clients revendeur ?
Données clients actifs : 3 ans après dernière commande ou contact. Factures : 10 ans (Code de commerce). Newsletter : jusqu'au désabonnement. Cookies analytics : 13 mois maximum.
Quelles sanctions RGPD pour un revendeur non conforme ?
Le RGPD prévoit des plafonds de sanction selon le type de manquement. La CNIL apprécie chaque dossier au cas par cas ; documentez vos traitements et corrigez rapidement toute lacune constatée.
Peut-on envoyer une newsletter sans consentement explicite ?
Non pour les prospects. Oui pour clients existants uniquement si produits similaires, avec lien de désabonnement visible (soft opt-in). Case pré-cochée interdite. Listes achetées ou scrapées : interdit.