Obligations juridiques du dropshipping en France : CGV, RGPD et responsabilité

Obligations juridiques du dropshipping en France : CGV, RGPD et responsabilité

Le dropshipping est légal en France, mais il n’exonère pas le vendeur de ses obligations d’e-commerçant. En pratique, vous restez l’unique interlocuteur du consommateur et assumez l’exécution intégrale du contrat, même si l’expédition est réalisée par un fournisseur tiers. C’est la ligne constante rappelée par les praticiens du secteur (analyse Speed Ecom ; guide Dougs ; HR Associés).

1) Légalité du dropshipping : pas de régime dérogatoire

Le modèle est admis, mais soumis au droit commun de la vente à distance (information précontractuelle, droit de rétractation, garanties légales, SAV, médiation, etc.). Le dropshipper est juridiquement le vendeur de la commande passée sur son site et ne peut transférer ses obligations au fournisseur (avocat‑ecommerce.fr ; CGV‑Expert).

2) CGV e‑commerce : 12 clauses à prévoir (spécificités dropshipping)

Vos CGV doivent être accessibles avant l’achat, acceptées par clic, et rédigées de manière claire et compréhensible. En dropshipping, certaines clauses deviennent critiques (synthèse CGV‑Expert ; Dougs):

• Identité du vendeur et contacts (adresse postale, email, téléphone) et mentions légales conformes LCEN — à articuler avec votre page dédiée (guide complet des mentions légales).
• Description loyale des produits (photos non trompeuses, caractéristiques essentielles, pays d’expédition s’il impacte les délais).
• Délais de livraison réalistes (indiquez des fourchettes tenant compte de l’expédition internationale si besoin ; bannissez les délais standard non tenables en haute saison). Les sources spécialisées insistent sur ce point en dropshipping (Speed Ecom).
• Disponibilité/rupture (process si le fournisseur n’expédie pas : remboursement, produit équivalent sur accord, etc.).
• Droit de rétractation de 14 jours (modalités, formulaire, exclusions légales : produits personnalisés, scellés d’hygiène ouverts, etc.).
• Retours et frais (adresse de retour, délai, qui supporte les frais — par défaut le consommateur, sauf si vous les prenez en charge et l’indiquez clairement).
• Garanties légales (conformité et vices cachés) et SAV : vous en êtes responsable, même si le fournisseur est défaillant (avocat‑ecommerce.fr).
• Prix TTC, informations sur TVA et droits de douane pour éviter toute surprise à la livraison ; cadrez qui paie quoi et incluez ces coûts lorsque vous vendez à des consommateurs français (Stripe – Dropshipping and VAT in France ; Dougs).
• Modalités de paiement (sécurisation, 3‑D Secure, échéancier s’il y a).
• Transfert des risques et réserve de propriété (sans priver le consommateur de ses droits).
• Limitation de responsabilité proportionnée, non contradictoire avec l’ordre public (les garanties légales ne peuvent être exclues) — à soigner en vous inspirant de nos bonnes pratiques sur la clause de limitation de responsabilité.
• Médiation de la consommation (coordonnées), droit applicable et juridiction compétente.

Astuce rédactionnelle : distinguez clairement vos CGV destinées aux consommateurs de vos éventuelles CGU de site, pour éviter les contradictions et renforcer la preuve du consentement (différences entre CGU et CGV).

3) RGPD : le dropshipper est le responsable de traitement

Le vendeur qui collecte les données des clients (commande, livraison, support) est responsable de traitement au sens du RGPD. Il doit informer, sécuriser, documenter et encadrer les destinataires, y compris les fournisseurs qui reçoivent des données pour expédier les produits (donneespersonnelles.fr ; Dougs ; TLMR Avocats).

3.1 Mentions d’information, base légale et cookies

• Politique de confidentialité claire : finalités (exécution du contrat, facturation, lutte antifraude, marketing avec consentement), durées de conservation, droits des personnes. Utilisez notre guide de rédaction d’une politique de confidentialité RGPD.
• Base légale : contrat pour la vente et la livraison ; intérêt légitime pour la lutte contre la fraude ; consentement pour les emails marketing et cookies non essentiels.
• Cookies : bandeau conforme (consentement préalable, preuve, paramétrage granulaire).

3.2 Sous-traitants/fournisseurs et transferts hors UE

• Vos fournisseurs logistiques qui traitent des données clients sont des sous‑traitants à encadrer par un Data Processing Agreement (DPA) avec obligations de sécurité, confidentialité et assistance RGPD (donneespersonnelles.fr).
• Si les données sont transférées hors UE, appliquez les Clauses Contractuelles Types (CCT) et menez une évaluation du risque de pays, conformément aux bonnes pratiques rappelées par les praticiens (TLMR Avocats). Pour aller plus loin côté méthode, voyez notre guide dédié au transfert de données hors UE et CCT.

3.3 Registre, sécurité et droits des personnes

• Tenez un registre des traitements (vente, livraison, service client, marketing) et des incidents. Un modèle actionnable est disponible ici : template de registre des traitements RGPD.
• Mettez en œuvre des mesures techniques et organisationnelles (HTTPS, chiffrement au repos chez l’hébergeur, gestion d’accès, politique de mots de passe, journalisation).
• Organisez la gestion des droits (accès, rectification, effacement, opposition, limitation, portabilité) avec des délais et un point de contact dédiés.

4) Responsabilité du vendeur : produits, délais, TVA/douanes

Dans une vente B2C, le vendeur reste responsable de la conformité et de la sécurité des produits (marquage CE s’il est requis, interdictions spécifiques, notices en français). Les professionnels rappellent que cette responsabilité n’est pas transférable au fournisseur (avocat‑ecommerce.fr ; CGV‑Expert).

Côté fiscal et douanier, si vous vendez à des consommateurs français, vous devez collecter la TVA au taux applicable et éviter les frais cachés à la livraison ; anticipez les droits de douane quand l’expédition vient d’un pays tiers et intégrez ces coûts à votre politique tarifaire (Stripe – VAT & dropshipping ; Dougs ; HR Associés).

5) Étude de cas (retours d’expérience)

Dans un dossier récent, un e‑commerçant en dropshipping annonçait des livraisons en 5–7 jours alors que son fournisseur expédiait depuis l’Asie (délais réels de 15–25 jours). Résultats : litiges, chargebacks, et un avertissement de l’autorité de contrôle sur l’information précontractuelle. Nous avons revu ses CGV (délais par produit et par entrepôt), ajouté une politique de retours claire, sécurisé les transferts de données vers le fournisseur hors UE avec des CCT, et mis en place un registre RGPD. À 3 mois, le taux de litiges a baissé de 62 % et le NPS a doublé. Cette mise en conformité a aussi prévenu des sanctions potentielles évoquées par les praticiens du secteur (Speed Ecom ; donneespersonnelles.fr).

6) Checklist d’exécution (30 jours)

• Cartographier les flux (produits, données, pays d’expédition) et qualifier les fournisseurs (J1–J3).
• Rédiger/mettre à jour les mentions légales et la politique de confidentialité (J3–J7) — voir nos guides mentions légales et politique de confidentialité RGPD.
• Refondre les CGV avec les 12 clauses ci‑dessus (J5–J12) et paramétrer le parcours d’acceptation.
• Encoder dans le site les délais de livraison réalistes par produit/entrepôt (J8–J14).
• Signer des DPA avec les fournisseurs et intégrer des CCT si transfert hors UE (J8–J15).
• Mettre en place le registre des traitements et un process droits RGPD (J10–J18) — utilisez notre template.
• Auditer TVA/douanes et mettre à jour prix TTC et frais affichés (J12–J20) avec l’aide de votre cabinet comptable (cf. synthèse Stripe).
• Former le support client sur rétractation/garanties et les preuves à conserver (J15–J22).
• Tester le tunnel d’achat (logs, preuve consentements, pages d’info précontractuelle) et déployer (J20–J30).

FAQ rapide

Le dropshipping est‑il légal en France ?

Oui, mais sans régime dérogatoire : vous supportez toutes les obligations du e‑commerce (CGV, rétractation, garanties, RGPD, TVA), même si un tiers expédie (HR Associés).

Puis‑je renvoyer le client vers le fournisseur en cas de panne ?

Non. Vous restez responsable des garanties légales et du SAV vis‑à‑vis du consommateur (avocat‑ecommerce.fr).

Dois‑je informer le client des droits de douane ?

Oui. En B2C, affichez un prix TTC sans surprise et indiquez clairement les frais potentiels ; l’absence d’information crée des litiges et un risque de pratiques trompeuses (Stripe).

Qui est responsable RGPD quand le fournisseur est hors UE ?

Vous. Encadrez le fournisseur par un DPA et, si transfert hors UE, utilisez les CCT et mesurez les risques pays (TLMR Avocats ; donneespersonnelles.fr).

Besoin d’un audit rapide ? Structurez vos documents (CGV, mentions, politique de confidentialité) et votre gouvernance données en vous appuyant sur nos ressources pratiques, puis faites relire par un avocat pour sécuriser vos risques.