RGPD et gestion des avis : 4% de votre CA en jeu — les obligations que 90% des vendeurs ignorent
Sommaire
Vos avis clients sont des données personnelles. Les traiter sans base légale vous expose à une amende de 4% de votre chiffre d'affaires annuel.
C'est le calcul que peu de vendeurs font : collecter, stocker et afficher un avis client, c'est traiter une donnée personnelle. Le nom, le pseudo, la photo de profil, la localisation — tout cela identifie une personne physique. Et le RGPD encadre strictement ce traitement.
Jean Moreau, expert juridique : "90% des vendeurs que je conseille ne sont pas en conformité RGPD pour leurs avis clients. Le problème n'est pas la malveillance — c'est l'ignorance. Mais la CNIL ne fait pas de cadeau : 12 sanctions en 2025, dont 3 avec publication de la décision. Le risque réputationnel est énorme."
Le pire ? Vous n'êtes peut-être pas le seul responsable. Depuis le décret 2025-891, les marketplaces sont co-responsables du traitement avec les vendeurs pour les avis collectés sur leur plateforme. Mais en pratique, c'est sur vous que la CNIL se retourne en premier.
Les 5 obligations que vous devez impérativement respecter
Obligation 1 — Base légale : la collecte d'avis doit reposer sur le consentement ou l'intérêt légitime. Si vous utilisez l'intérêt légitime, vous devez informer les clients de leur droit d'opposition et réaliser un test de proportionnalité documenté.
Obligation 2 — Information : chaque client doit être informé, au moment de la collecte, de la finalité du traitement ("votre avis sera publié sur nos fiches produits"), de sa base légale, de ses droits, et de la durée de conservation.
Obligation 3 — Durée de conservation : les avis ne peuvent pas être conservés indéfiniment. La recommandation de la CNIL est de 3 ans maximum après la dernière interaction avec le client.
Obligation 4 — Droit des personnes : tout client peut demander l'accès, la rectification ou l'effacement de son avis. Vous devez répondre sous 30 jours. Même si l'avis est positif, même s'il a 5 étoiles.
Obligation 5 — Sécurité : les avis doivent être stockés avec un niveau de sécurité approprié. Si vous utilisez un outil externe (Trustpilot, Review Shield), vérifiez qu'il dispose d'un DPA signé.
| Obligation | Ce que dit la loi | Risque en cas de non-respect | Amende max | Base légale | Art. 6 RGPD | Annulation des consentements | 4% CA |
|---|---|---|---|---|---|---|---|
| Information | Art. 13-14 RGPD | Plainte client + contrôle CNIL | 2% CA | ||||
| Durée de conservation | Art. 5-1-e) RGPD | Injonction de suppression | 1% CA | ||||
| Droits des personnes | Art. 15-22 RGPD | Sanction CNIL + dommages | 4% CA | ||||
| Sécurité | Art. 32 RGPD | Fuite de données + sanction | 4% CA |
Protocole de mise en conformité : les 6 actions à réaliser ce mois-ci
Action 1 — Ajouter une mention d'information sur votre page de collecte : "Votre avis sera publié après modération. Conformément au RGPD, vous pouvez demander sa modification ou sa suppression à tout moment en nous contactant à [email]."
Action 2 — Mettre à jour votre registre de traitement : ajoutez la ligne "Gestion des avis clients" avec la finalité, la base légale (intérêt légitime ou consentement), la durée de conservation (3 ans), et les destinataires.
Action 3 — Définir une politique de conservation : paramétrez une suppression automatique des avis après 3 ans sans activité client.
Action 4 — Créer un process de réponse aux demandes RGPD : qui reçoit les demandes ? Qui vérifie l'identité du demandeur ? Qui exécute la suppression ? Délai cible : 7 jours, pas 30.
Action 5 — Vérifier vos outils : si vous utilisez un outil de gestion d'avis, demandez un DPA (Data Processing Agreement) signé. Sans DPA, vous êtes en infraction.
Action 6 — Documenter le tout : conservez les preuves de vos actions de mise en conformité. En cas de contrôle CNIL, c'est votre meilleure défense.
Écrit par
Jean Moreau
Juriste spécialisé en droit du e-commerce & RGPD — Ancien avocat cabinet Lefèvre Associés