Aller au contenu principal
Conformité19 juin 2026·4 min de lecture

RGPD et bouton de rétractation : que faire des données du formulaire ?

Le bouton de rétractation collecte des données personnelles : nom, email, référence de commande, horodatage. Quelle base légale, quelles données collecter, combien de temps les conserver, comment concilier l'archivage de la preuve avec le droit à l'effacement. Le point RGPD que beaucoup oublient.

Anis Mokadym

Fondateur de BackToMe

On parle du bouton, de l'accusé, de la preuve. On oublie souvent que tout cela manipule des données personnelles : nom, prénom, email, référence de commande, adresse IP, horodatage. Dès qu'un consommateur remplit le formulaire de rétractation, vous traitez ces données, et le RGPD s'applique. Voici les quelques points à cadrer pour être conforme des deux côtés, consommation et protection des données.

Une base légale qui va de soi

La première question RGPD est toujours : sur quel fondement traitez-vous ces données ? Pour la rétractation, la réponse est confortable. Le traitement est nécessaire au respect d'une obligation légale à laquelle vous êtes soumis (recevoir et traiter la demande au titre de l'article L.221-21) et à l'exécution du contrat. Vous n'avez donc pas besoin du consentement du client pour traiter sa demande : elle relève de l'exécution de vos obligations.

Cela ne vous dispense pas d'informer le consommateur de l'usage de ses données, idéalement au moment du formulaire et dans votre politique de confidentialité.

Ne collectez que le nécessaire

Le principe de minimisation impose de ne demander que les données utiles à la finalité. Pour identifier une demande de rétractation, vous avez besoin de peu : l'identité du demandeur, de quoi rattacher la demande au contrat (un numéro de commande, par exemple), et un moyen de le recontacter pour l'accusé.

Profiter du formulaire pour collecter un numéro de téléphone, une date de naissance ou des informations marketing serait disproportionné. Un formulaire de rétractation n'est pas un formulaire d'inscription : chaque champ doit se justifier par la finalité.

La vraie question : combien de temps conserver ?

C'est ici que les deux logiques semblent s'opposer. Le RGPD pousse à ne pas garder les données plus que nécessaire. Le droit de la consommation, lui, vous demande de pouvoir prouver que la demande a bien été reçue et traitée, parfois plus d'un an après.

Il n'y a pas de contradiction, à condition de raisonner par finalité et par durée :

  • Pendant le traitement : vous conservez les données le temps de traiter la demande et de procéder au remboursement (14 jours, plus le temps logistique).
  • Au titre de la preuve : vous conservez ensuite la trace de la demande pour la durée de prescription applicable, afin de pouvoir la produire en cas de litige ou de contrôle. Le délai de référence pour les écrits commerciaux est de cinq ans (article L.110-4 du Code de commerce).
  • Après : les données qui ne servent plus aucune de ces finalités doivent être supprimées ou archivées de façon restreinte.

Conserver la preuve n'est donc pas une entorse au RGPD : c'est une conservation justifiée par une finalité légitime, pour une durée déterminée et motivée.

Droit à l'effacement et preuve : qui l'emporte ?

Un client peut demander l'effacement de ses données. Mais ce droit n'est pas absolu : il s'efface devant une obligation légale de conservation et devant la nécessité de constater, exercer ou défendre des droits en justice. Concrètement, vous pouvez refuser d'effacer la preuve d'une rétractation tant qu'elle reste utile à établir vos obligations, en l'expliquant au demandeur.

L'enjeu est de tenir les deux bouts : honorer les droits RGPD pour ce qui n'a plus d'utilité probatoire, et conserver, de façon cadrée, ce qui vous protège.

Sécurité et hébergement

Les données d'une rétractation sont des données personnelles ordinaires, mais elles méritent les mêmes égards que le reste : accès restreint, transmission sécurisée, hébergement maîtrisé. Un hébergement dans l'Union européenne simplifie la conformité en évitant la question des transferts hors UE. C'est un critère à vérifier si vous vous appuyez sur un outil externe pour gérer le dispositif.

Le bon réflexe : un dispositif qui pense les deux conformités

Beaucoup de montages maison règlent la consommation et oublient le RGPD, ou l'inverse. Le dispositif idéal traite les deux d'un bloc : collecte minimale, base légale claire, accusé sur support durable, preuve horodatée conservée pour une durée justifiée, et possibilité d'exporter ou de purger les données. La preuve que vous gardez doit être à la fois solide juridiquement et propre du point de vue des données.

Pour la dimension probante de cette conservation, voir notre dossier sur la valeur probante de la preuve de rétractation. Et pour vérifier rapidement votre exposition globale, testez si vous êtes concerné.

Anis Mokadym

Fondateur de BackToMe

Art. L.221-21 · 19 juin 2026

Prêt à installer la fonctionnalité de rétractation ?

Installez le bouton de rétractation sur votre site en cinq minutes. Mode démonstration gratuit, sans carte bancaire.

Installer gratuitement →

À lire aussi

Droit·19 juin 2026·4 min

Contrôle DGCCRF du bouton de rétractation : comment ça se passe concrètement

Beaucoup de marchands redoutent le contrôle DGCCRF sans savoir comment il se déroule. Comment l'administration repère un site non conforme, ce qu'elle vérifie sur le dispositif de rétractation, ce qu'elle vous demande de produire, et la procédure jusqu'à la sanction. Un déroulé concret pour savoir à quoi s'attendre et être prêt.

Par Anis MokadymLire
Conseils·19 juin 2026·3 min

Combien vous coûte la non-conformité : le calcul de l'exposition

L'amende DGCCRF de 75 000 € fait les gros titres, mais ce n'est pas le coût le plus probable. La vraie facture, c'est l'extension du délai de rétractation à 12 mois sur chaque vente non couverte. Comment estimer concrètement votre exposition, et la comparer au coût dérisoire de la mise en conformité.

Par Anis MokadymLire
Droit·19 juin 2026·3 min

Le client a utilisé le produit : pouvez-vous réduire le remboursement ?

Un client se rétracte mais a manifestement utilisé l'article. Vous ne pouvez pas refuser le remboursement, mais vous pouvez parfois en retenir une partie au titre de la dépréciation. Ce que permet vraiment l'article L.221-23, à quelles conditions, et comment le documenter sans s'exposer.

Par Anis MokadymLire