Légal

RGPD du revendeur en ligne : registre, bases légales et sanctions 2026

Mis à jour le 6 juillet 2026 · 15 min de lecture · Par L'équipe Margeo

Vous revendez en micro-entreprise avec un fichier clients, une newsletter ou un site Shopify ? Le RGPD vous concerne — même avec 50 ventes par an. Ce guide couvre le registre des traitements, les bases légales (contrat et intérêt légitime), les durées de conservation (3 à 10 ans), les 6 outils conformes pour un revendeur solo, un SOP de mise en conformité en 7 étapes, la fiscalité micro-BIC 2026 (plafond 203 100 €, cotisations 12,3 %, DAC7 2 000 € ou 30 ventes) et les sanctions pouvant atteindre 4 % de votre CA. Pour les cookies et le bandeau CNIL, consultez notre guide cookies revendeur 2026.

RGPD 2026

Registre obligatoire · bases légales documentées · conservation 3 ans (clients) / 10 ans (factures).

Les plafonds de sanction prévus par le RGPD dépendent de la nature du manquement. Leur application est appréciée au cas par cas : ne présentez pas une fourchette comme un tarif de non-conformité.

Le RGPD s'applique-t-il à un petit revendeur ?

Oui, sans exception de taille. Le RGPD protège les personnes physiques, pas les entreprises. Dès que vous stockez un nom, une adresse ou un e-mail — même dans un tableur Excel — vous êtes responsable de traitement. La CNIL ne fait pas de distinction entre un revendeur Vinted à 3 000 € de CA et une PME e-commerce à 500 000 €.

En pratique, trois profils déclenchent des obligations RGPD distinctes :

Activité revendeurDonnées concernéesRGPD applicable ?Action prioritaire
Fichier clients Excel / MargeoNom, adresse, e-mail, historiqueOuiRegistre + sécurisation
Newsletter « nouveautés »E-mail, prénomOuiOpt-in explicite + Brevo DPA
Site Shopify + analyticsCookies, IP, comportementOuiBandeau cookies + politique
Vente Vinted uniquementDonnées gérées par VintedPartielConformité outils perso
Instagram DM pour ventesConversations, adresses en DMOuiPurge 3 ans, pas d'export massif
WhatsApp Business clientsTel., historique commandesOuiPolitique confidentialité
Stripe / PayPal encaissementDonnées paiement (sous-traitant)Oui (DPA)Contrat sous-traitant signé
Comptabilité URSSAF / expert-comptableFactures, identité, CAOui (obligation légale)Conservation 10 ans

SOP conformité RGPD : procédure en 7 étapes

Exécutez cette procédure standard dès la création de votre micro-entreprise ou à l'ajout d'un nouvel outil (newsletter, site, CRM). Temps total : 3 à 4 heures la première fois, 30 min en mise à jour annuelle.

  1. Cartographier vos traitements — listez chaque endroit où vous stockez des données perso : Excel, Margeo, Brevo, Shopify, Google Drive, téléphone
  2. Compléter le registre CNIL — finalité, base légale, durée, destinataires pour chaque traitement (modèle gratuit sur cnil.fr)
  3. Rédiger la politique de confidentialité — page publique décrivant vos traitements (modèle revendeur)
  4. Publier les mentions légales — SIRET, hébergeur, contact DPO ou responsable (guide mentions légales)
  5. Signer les DPA sous-traitants — hébergeur, outil e-mail, PSP, analytics (souvent dans les CGU)
  6. Configurer le bandeau cookies — si site web avec GA4, Pixel ou PostHog (voir guide cookies CNIL)
  7. Planifier la purge annuelle — supprimer clients > 3 ans, désabonnés newsletter, logs expirés

Choisir ses outils sans promettre une conformité automatique

Aucun outil ne rend une activité « conforme » à lui seul. Pour chaque prestataire, identifiez les données traitées, les finalités, les destinataires, les transferts éventuels, les mesures de sécurité et la documentation contractuelle disponible. Ces éléments alimentent votre registre et vos informations aux clients.

À éviter : partager un fichier client par lien public, importer des contacts de plateforme dans une newsletter sans base valable, ou présenter un hébergement dans l'UE comme une garantie suffisante à lui seul.

Le registre des traitements : comment le remplir

Le registre des traitements : comment le remplir

Le registre des traitements est un document interne (non public) listant chaque usage de données personnelles. Obligatoire pour toute structure, y compris un auto-entrepreneur seul. L'exemption « moins de 250 salariés » ne s'applique que si le traitement est occasionnel et non sensible — un revendeur actif avec CRM et newsletter n'y est jamais éligible.

Modèle registre revendeur (5 traitements types)

TraitementFinalitéBase légaleDonnéesDuréeDestinataires
Gestion commandesLivraison, SAV, facturationContrat (art. 6.1.b)Nom, adresse, e-mail, tel.3 ans après dernière cmdColissimo, Mondial Relay
ComptabilitéObligation fiscaleObligation légale (art. 6.1.c)Factures, montants, identité10 ansExpert-comptable, URSSAF
NewsletterProspection commercialeConsentement (art. 6.1.a)E-mail, prénomJusqu'au désabonnementBrevo, Mailchimp
Analytics siteMesure audienceConsentement (cookies)IP, pages vues, cookies13 moisGoogle Analytics, PostHog
Lutte fraudeSécurité transactionsIntérêt légitime (art. 6.1.f)IP, historique commandes3 ansStripe, PayPal
Modèle CNIL gratuit : téléchargez le registre simplifié TPE sur cnil.fr. Complétez-le en 30 minutes avec vos traitements réels. Conservez-le et mettez-le à jour à chaque nouvel outil adopté (nouveau PSP, chat Crisp, etc.).

Les 4 bases légales d'un revendeur

Base légaleArt. RGPDUsage revendeurConsentement requis ?
Exécution du contrat6.1.bLivraison, confirmation commande, SAVNon
Obligation légale6.1.cConservation factures 10 ans, DAC7Non
Consentement6.1.aNewsletter, cookies non essentielsOui, explicite
Intérêt légitime6.1.fAnti-fraude, stats internes, prospection B2BNon (sauf opposition)

Contrat vs intérêt légitime : quand utiliser quoi ?

Contrat : toute donnée strictement nécessaire à la vente. Nom et adresse pour expédier un colis = contrat. Envoyer un e-mail promo 6 mois après = pas contrat.

Intérêt légitime : intérêt de votre activité, sans porter atteinte aux droits du client. Exemples valides : détecter une commande frauduleuse, mesurer le trafic de votre site (avec bandeau cookies), relancer un client B2B (friperie) sur des produits similaires. Documentez votre analyse d'équilibre dans le registre.

RGPD, fiscalité micro-BIC 2026 et DAC7 : le lien

Le RGPD et la fiscalité ne sont pas le même cadre, mais ils se croisent sur les données de vente que vous conservez. En micro-BIC 2026, voici les paramètres qui impactent votre gestion de données :

ParamètreValeur 2026Lien RGPD revendeur
Plafond CA micro-BIC marchandises203 100 €/anVolume de factures à conserver 10 ans
Cotisations URSSAF12,3 % du CA encaisséDonnées CA = obligation légale, pas consentement
Seuil DAC7 plateforme2 000 € ou 30 ventes/anVinted transmet identité + CA au fisc
Conservation factures10 ansBase légale : obligation légale (art. 6.1.c)
Conservation preuves d'achat6 ans minimumDonnées fournisseurs, pas données clients
Données clients CRM3 ans après dernier contactBase : contrat ou intérêt légitime
Newsletter prospectsJusqu'au désabonnementBase : consentement explicite uniquement
Export comptable annuelObligatoire si CA > 0Transmission expert-comptable = sous-traitant

La directive DAC7 oblige Vinted, Leboncoin et eBay à transmettre votre identité et votre CA au fisc — ce n'est pas une violation RGPD (base légale : obligation légale côté plateforme). En revanche, si vous exportez ensuite ces données vers un fichier Excel partagé ou une newsletter sans consentement, vous basculez en non-conformité. Consultez notre guide seuil DAC7 plateformes.

Durées de conservation : le tableau de référence

Type de donnéeDurée légaleBaseAction après expiration
Données clients (CRM, commandes)3 ans après dernier contactRecommandation CNILSuppression ou anonymisation
Factures et pièces comptables10 ansArt. L123-22 Code de commerceArchivage puis destruction
Données de livraison / SAV3 ans après clôture litigeIntérêt légitimeSuppression
Newsletter (consentement)Jusqu'au désabonnementConsentementSuppression immédiate
Cookies analytics13 mois max.Recommandation CNILRenouvellement consentement
Logs de connexion (sécurité)1 anObligation LCENSuppression automatique
Candidatures / CV (si recrutement)2 ansRecommandation CNILSuppression

Droits des personnes : répondre aux demandes ARCO

Tout client peut exercer ses droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Délai de réponse : 1 mois (extensible à 3 mois si complexe).

Documentez chaque demande dans votre registre avec date, demandeur, action effectuée. Un modèle de réponse type suffit pour un micro-revendeur — pas besoin d'avocat pour chaque demande.

Sanctions CNIL : tableau complet par manquement

ManquementSanction max. légalePratique micro-revendeurProbabilité contrôle
Absence de registre4 % CA ou 20 M€Mise en demeure, puis 1 000 à 5 000 €Faible (plainte)
Pas de politique de confidentialité4 % CA ou 20 M€2 000 à 10 000 €Moyenne (site web)
Newsletter sans consentement4 % CA ou 20 M€5 000 à 20 000 €Élevée (plainte client)
Fuite de données (fichier non sécurisé)4 % CA ou 20 M€10 000 à 50 000 €Élevée si fuite publique
Non-réponse demande d'effacement4 % CA ou 20 M€1 000 à 5 000 €Moyenne
Cookies déposés sans consentement4 % CA ou 20 M€2 000 à 15 000 €Élevée (scan CNIL)
Transfert hors UE sans garanties4 % CA ou 20 M€5 000 à 30 000 €Faible
Absence DPA sous-traitant4 % CA ou 20 M€1 000 à 5 000 €Faible
Conservation excessive (> 3 ans clients)4 % CA ou 20 M€1 000 à 3 000 €Faible
Violation obligation notification fuite4 % CA ou 20 M€5 000 à 20 000 €Élevée si breach

Exemple chiffré : revendeur avec 25 000 € de CA annuel. Sanction théorique max. = 25 000 × 4 % = 1 000 €. En pratique, la CNIL commence par un rappel à l'ordre gratuit pour les TPE de bonne foi qui corrigent sous 30 jours.

Cas chiffré : Sophie, revendeuse Vinted + newsletter

Profil : Sophie, micro-entreprise APE 4791B, 180 ventes/an sur Vinted, CA 4 200 €, newsletter Brevo (320 abonnés), fichier clients Margeo (450 contacts), site vitrine Shopify avec GA4.

Poste conformité RGPDCoût annuelImpact CA 4 200 €Statut Sophie
Registre CNIL (DIY)0 €0 %✓ Complété
Politique confidentialité0 €0 %✓ Publiée
Brevo (newsletter)0 € (gratuit)0 %✓ DPA signé
Axeptio (bandeau cookies)180 €/an4,3 %✓ Installé
Margeo Pro (CRM UE)96 €/an2,3 %✓ Actif
Cotisations URSSAF (12,3 %)517 €12,3 %✓ Déclaré
Temps admin RGPD (4 h/an)~60 €1,4 %Purge janvier
Total conformité RGPD~336 €/an8 %Conforme

Sans conformité, une plainte client sur la newsletter (opt-in absent) exposerait Sophie à une amende de 5 000 à 10 000 € — soit 15 à 30 fois le coût annuel de mise en conformité. Le ROI de la conformité RGPD est immédiat dès la première vente avec données perso.

Impact sur votre marge : coût de la conformité

Poste RGPDCoût annuelImpact CA 20 000 €
Registre + politique (DIY)0 €0 %
Outil consentement cookies (Axeptio, tarteaucitron)0 à 120 €/an0 à 0,6 %
Hébergement UE (Margeo, OVH)Inclus0 %
DPO externaliséNon requis (< 250 sal.)0 %
Temps administratif (4 h/an)~60 € (valorisation temps)0,3 %
Total conformité RGPD0 à 180 €/an0 à 0,9 %

La conformité RGPD coûte moins qu'un colis perdu. Le non-respect, en cas de plainte, peut coûter 10 à 50 fois plus. Sur un CA micro-BIC de 20 000 €, les cotisations URSSAF (12,3 % = 2 460 €) restent le poste dominant — pas le RGPD.

Les 7 erreurs RGPD des revendeurs

Données hébergées en UE, conformes RGPD

Margeo stocke vos ventes et clients en Europe. Export, purge et traçabilité simplifiés pour votre registre des traitements.

Créer mon compte gratuit

Questions fréquentes

Un revendeur Vinted en micro-entreprise est-il soumis au RGPD ?

Oui, dès que vous collectez des données personnelles en dehors de la plateforme : fichier clients, newsletter, site web, formulaire de contact. Vinted gère les données de ses utilisateurs ; vous êtes responsable de traitement pour vos propres fichiers et outils.

Faut-il un registre des traitements pour un revendeur solo ?

Oui. Toute structure, y compris un micro-entrepreneur seul, doit tenir un registre listant chaque traitement : finalité, base légale, durée de conservation, destinataires. La CNIL propose un modèle gratuit. Exemption uniquement si traitement non sensible occasionnel — rarement le cas d'un revendeur actif.

Quelle base légale pour les données de commande ?

Exécution du contrat (art. 6.1.b) pour nom, adresse et e-mail nécessaires à la livraison. Obligation légale (art. 6.1.c) pour conservation factures 10 ans. Consentement (art. 6.1.a) pour newsletter. Intérêt légitime (art. 6.1.f) pour lutte contre la fraude.

Combien de temps conserver les données clients revendeur ?

Données clients actifs : 3 ans après dernière commande ou contact. Factures : 10 ans (Code de commerce). Newsletter : jusqu'au désabonnement. Cookies analytics : 13 mois maximum.

Quelles sanctions RGPD pour un revendeur non conforme ?

Le RGPD prévoit des plafonds de sanction selon le type de manquement. La CNIL apprécie chaque dossier au cas par cas ; documentez vos traitements et corrigez rapidement toute lacune constatée.

Peut-on envoyer une newsletter sans consentement explicite ?

Non pour les prospects. Oui pour clients existants uniquement si produits similaires, avec lien de désabonnement visible (soft opt-in). Case pré-cochée interdite. Listes achetées ou scrapées : interdit.

Articles associés

Pour aller plus loin