Dès lors que tu stockes des informations personnelles comme un nom, un prénom, des adresses... Tu tombes sous le coup de la RGPD.
Pour autant que je sache, tu dois fournir un moyen aux utilisateurs de télécharger toutes les données les concernant dans une archive (comme le fait Facebook) et un moyen de supprimer facilement leur compte.
Au delà de ça, au bout de 3 ans sans activité, les internautes ont le droit à l'oubli qui t'oblige à anonymiser leurs données et à désactiver leur compte.