Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Gumroad est une plateforme américaine merchant of record qui permet aux créateurs de vendre des ebooks, téléchargements, logiciels, abonnements et formations en ligne. Les créateurs lient à une page hébergée Gumroad ou intègrent un overlay chargé depuis gumroad.com sur leur site. En tant que merchant of record, Gumroad collecte la TVA UE, gère les remboursements et achemine les paiements via Stripe et PayPal. L'overlay dépose des cookies non strictement nécessaires : les sites UE doivent le conditionner au consentement et documenter le transfert US.
Gumroad est une plateforme américaine immatriculée Gumroad Inc. à San Francisco, Californie, fondée en 2011 par Sahil Lavingia. Elle cible les créateurs indépendants qui veulent vendre des biens numériques (ebooks, formations, logiciels, musique, ressources graphiques), des biens physiques et des abonnements récurrents. Gumroad opère comme merchant of record (MoR) : c''est Gumroad Inc. qui figure légalement sur la facture, collecte la TVA UE et autres taxes, gère les remboursements et reverse le revenu net au créateur.
Les créateurs peuvent envoyer les acheteurs sur une page hébergée Gumroad (creator.gumroad.com ou gumroad.com/l/PRODUIT) ou utiliser l''overlay Gumroad, un snippet JS qui ouvre le checkout dans une iframe sur le site du créateur.
Quand l''overlay Gumroad est intégré sur un site tiers, gumroad.js charge depuis gumroad.com. L''iframe pose des cookies first party Gumroad (_gumroad_session, _gumroad_guid d''attribution panier, jeton CSRF) et des cookies Cloudflare bot management. Le checkout Stripe ajoute __stripe_mid et __stripe_sid ; si l''acheteur paye en PayPal, des cookies paypal_* sont chargés. Sur son propre site, Gumroad utilise par ailleurs Google Analytics 4, Microsoft Clarity et Segment.
L''intégration de l''overlay charge des cookies avant toute action du visiteur, déclenchant l''art. 5(3) ePrivacy et imposant un consentement préalable en UE. Sur le checkout hébergé Gumroad, les cookies strictement nécessaires à l''achat reposent sur l''exécution du contrat et sont exemptés. En tant que MoR, Gumroad est responsable distinct pour la TVA, la facturation et les remboursements.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour le trafic UE, remplacez l''overlay par un bouton ouvrant la page hébergée Gumroad dans un nouvel onglet tant que le visiteur n''a pas accepté la catégorie fonctionnelle ou marketing dans le CMP. Une fois le consentement donné, chargez gumroad.js et laissez l''overlay s''ouvrir. L''interaction avec le checkout se fait alors sur le domaine Gumroad, avec sa propre politique et ses propres contrôles.
Tout le traitement Gumroad a lieu sur AWS US East. Le DPA Gumroad intègre les CCT (modules 2 et 3) et référence le Data Privacy Framework UE/États Unis. Stripe et PayPal appliquent leurs propres mécanismes (entités UE en Irlande, CCT vers les États Unis, certifications DPF).
Signez le DPA Gumroad depuis votre compte. Conditionnez l''overlay au CMP et utilisez un lien statique vers la page hébergée tant que le consentement n''est pas donné. Listez Gumroad, Stripe et PayPal dans la politique et le registre art. 30. Mentionnez la relation merchant of record et le transfert US sous CCT et DPF. Préparez votre service client : les acheteurs contactent Gumroad pour les remboursements et reçus TVA.
Les sites web utilisant Gumroad doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est pas requise pour un créateur classique utilisant Gumroad. Elle devient pertinente pour les créateurs gérant un large catalogue avec analytics étendu, profilage d'audience, suivi de complétion de formation et recommandations IA sur la même base.
Exemple de texte de consentement
Les ventes de ce site sont opérées par Gumroad (Gumroad Inc., États Unis), notre merchant of record. L'overlay Gumroad dépose des cookies fonctionnels et analytiques, ouvre une iframe vers gumroad.com, traite les paiements via Stripe et PayPal et reverse la TVA UE en notre nom. Les transferts vers les États Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework.
Domaines tiers contactes
gumroad.compublic-files.gumroad.comstatic.gumroad.comjs.stripe.comwww.paypal.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _gumroad_session | third_party | 2 weeks | Gumroad session cookie set on gumroad.com to keep an authenticated session and an in progress checkout. |
| _gumroad_guid | third_party | 1 year | Gumroad attribution and recognition identifier used to attribute purchases to the originating link or affiliate. |
| __cf_bm | third_party | 30 minutes | Cloudflare bot management cookie set on gumroad.com to distinguish humans from automated traffic. |
| __stripe_mid | third_party | 1 year | Stripe machine identifier loaded during the Gumroad Stripe checkout step for fraud prevention. |
| __stripe_sid | third_party | 30 minutes | Stripe session identifier loaded during the Gumroad Stripe checkout step for fraud detection. |
Gumroad utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Le chargement de l'overlay Gumroad pose des cookies first party Gumroad sur gumroad.com (_gumroad_session, _gumroad_guid d'attribution panier, jeton CSRF) et des cookies Cloudflare bot management (__cf_bm, _cfuvid). Le checkout Stripe ajoute __stripe_mid, __stripe_sid et m. En PayPal, des cookies paypal_* sont chargés.
Oui. L'overlay charge gumroad.js avant toute action du visiteur, posant des cookies non strictement nécessaires. L'art. 5(3) ePrivacy impose un consentement préalable en UE. Tant qu'aucun consentement n'est donné, remplacez l'overlay par un bouton statique vers la page hébergée Gumroad dans un nouvel onglet.
Consentement (art. 6(1)(a) RGPD et art. 5(3) ePrivacy) pour le chargement de l'overlay et de ses cookies. Exécution du contrat (art. 6(1)(b)) pour l'achat sur la page hébergée Gumroad. Obligation légale (art. 6(1)(c)) pour la collecte de TVA UE, puisque Gumroad est merchant of record.
Oui. Gumroad Inc. est établi aux États Unis et traite les données UE sur AWS US East. Le DPA Gumroad intègre les CCT (modules 2 et 3) et référence le Data Privacy Framework. Stripe et PayPal appliquent leurs propres mécanismes.
Pas requise pour un créateur qui vend quelques produits. Elle peut devenir pertinente quand Gumroad est combiné à un profilage client étendu, des emails d'audience, du suivi de complétion de formations et des recommandations IA sur la même base.
Signez le DPA, conditionnez l'overlay au CMP, utilisez un lien statique tant que le consentement n'est pas donné, mentionnez Gumroad, Stripe et PayPal dans la politique, documentez le transfert US avec CCT et DPF, ajoutez Gumroad au registre art. 30 et redirigez les demandes de remboursement et de TVA vers Gumroad comme MoR.
Plateformes commerce créateur UE friendly : Lemon Squeezy (US avec DPF, voir notre page dédiée), Paddle (UK MoR), Podia, Kajabi (US), Teachable (US), SendOwl (UK), Tipeee (France), Lemonway, Stripe Checkout / Payment Links pour gestion autonome. Sans MoR : Mollie (Pays Bas) ou Adyen (Pays Bas).
Listez les cookies Gumroad et Stripe dans la politique cookies par catégories. Dans la politique de confidentialité, décrivez Gumroad comme merchant of record pour les biens numériques, l'overlay, l'iframe vers gumroad.com, le transfert US sous CCT et DPF et le rôle de Stripe et PayPal comme sous traitants distincts.