Vous venez de lancer votre site ou vous en avez un depuis quelques années sans trop vous poser de questions sur sa conformité ? Mauvaise nouvelle, les obligations sont bien réelles, et elles s’appliquent à tout le monde, que vous soyez une grande entreprise ou un petit indépendant. Toutefois, avec un peu de méthode, vous verrez que c’est tout à fait gérable.
Petit tour d’horizon de ce que la loi impose concrètement pour votre site internet.
Les mentions légales : une base souvent négligée
Les mentions légales forment la première obligation d’un site internet, et paradoxalement celle que beaucoup d’entreprises bâclent ou oublient. La LCEN (loi pour la confiance dans l’économie numérique) impose en effet la présence de mentions légales dès qu’un site est accessible au public, et ce, peu importe votre statut ou la taille de votre activité.
Concrètement, votre page de mentions légales doit indiquer votre identité (nom, dénomination sociale, adresse), votre numéro SIRET ou RCS selon votre statut, le nom du directeur de la publication, ainsi que les coordonnées de votre hébergeur. Pour les sociétés (SARL, SAS, etc.), il faut ajouter la forme juridique, le capital social et le numéro de TVA intracommunautaire.
L’absence de mentions légales sur un site d’entreprise est une infraction pénale loin d’être négligeable. Si vous omettez cette étape, vous encourrez jusqu’à 75 000 € d’amende pour un auto-entrepreneur et 375 000 € pour une société. Certes, en pratique, les contrôles sont rares, mais un litige commercial ou un concurrent malveillant peut très bien s’en servir contre vous. Autant ne pas prendre ce risque !
Le respect du RGPD, si votre site collecte des données
Le règlement général sur la protection des données (RGPD) est un texte européen qui encadre le traitement des données personnelles. Et contrairement à ce que beaucoup pensent, il ne concerne pas uniquement les grandes entreprises avec des bases de données massives.
Dès que votre site comporte un formulaire de contact, un outil d’analyse d’audience ou un pixel de suivi publicitaire, vous collectez des données personnelles. Qu’il s’agisse d’une adresse email, d’une adresse IP ou d’un identifiant de cookie, tous ces éléments relèvent de la donnée personnelle au sens du RGPD. Or, la collecte et le traitement de ces informations vous imposent plusieurs obligations concrètes.
Vous devez d’abord publier une politique de confidentialité claire et accessible sur votre site. Cette page doit expliquer quelles données sont collectées, pourquoi, combien de temps elles sont conservées, et qui y a accès (hébergeur, outil emailing, CRM, etc). Vous devez également garantir l’exercice de leurs droits aux personnes concernées, que ce soit pour l’accès, la rectification ou la suppression. Un simple email de contact suffit souvent pour ce faire, à condition qu’il soit clairement indiqué.
Si l’envie vous en prenait de ne pas prendre le RGPD au sérieux, sachez que la CNIL (l’autorité française chargée de contrôler la conformité RGPD) a sérieusement renforcé ses contrôles ces dernières années. Elle dispose désormais de systèmes automatisés capables de scanner des milliers de sites en quelques heures. D’ailleurs, les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les cas graves.
À noter tout de même que pour les TPE/PME, une simple mise en demeure est souvent le premier recours.
Cookies et consentement : un bandeau qui n’est pas optionnel
Beaucoup d’entreprises considèrent le bandeau des cookies comme un détail cosmétique. Et c’est une grave erreur ! Là encore, la CNIL pose des règles très précises sur le consentement des utilisateurs, et les sanctions tombent régulièrement (même pour des entreprises de taille modeste, une fois de plus).
Le principe est simple : tout cookie qui ne sert pas strictement au fonctionnement du site doit faire l’objet d’un consentement préalable. Google Analytics dans sa configuration standard, pixels Facebook, outils de retargeting publicitaire, autant d’éléments qui nécessitent que l’utilisateur ait explicitement accepté avant que vous puissiez déposer ces traceurs sur son appareil.
À ce titre, votre bandeau de consentement doit proposer un bouton « Accepter » et un bouton « Refuser » aussi visibles l’un que l’autre. Attention, un bouton « Refuser » grisé, caché dans les paramètres ou absent est sanctionnable.
Le consentement est valable 13 mois. Au-delà, vous devez le redemander. De même, il est impératif de toujours conserver la preuve que ledit consentement a bien été donné.
Bon à savoir : Il existe des cookies exemptés, tels que les cookies de session (panier d’achat, connexion), les cookies de choix de langue, et certaines configurations d’analytics très encadrées.
Selon la CNIL, en 2024, près de 8 sanctions sur 10 ont visé des TPE/PME, pour un total de 87 sanctions et 55 millions d’euros d’amendes prononcées sur l’année.
Les CGV et CGU obligatoires ou recommandées selon votre activité
Les conditions générales de vente (CGV) ne sont pas obligatoires pour tous les sites. Tout dépend de ce que vous y faites concrètement.
Un site vitrine d’artisan ou de prestataire de services qui ne vend rien en ligne n’est pas légalement tenu de publier des CGV. Elles restent néanmoins vivement recommandées pour prévenir les litiges.
En revanche, si votre site internet vend des produits ou des services directement à des particuliers (e-commerce BtoC), les CGV deviennent obligatoires. Le Code de la consommation impose également d’afficher clairement le droit de rétractation de 14 jours, les délais de livraison et les prix TTC, en plus de proposer un processus de commande complet avec récapitulatif avant paiement.
Les CGU (conditions générales d’utilisation), quant à elles, restent optionnelles pour les sites vitrines simples, mais sont fortement recommandées dès qu’il y a un espace client, un forum ou des services en ligne qui impliquent une interaction régulière avec les utilisateurs.
L’accessibilité numérique, une obligation qui s’élargit
Depuis le 28 juin 2025, l’European Accessibility Act impose de nouvelles obligations de mise en accessibilité numérique à certaines entreprises privées. Jusqu’ici, le RGAA (référentiel général d’amélioration de l’accessibilité) ne concernait que le secteur public et les grandes organisations, sauf que désormais, les entreprises privées entrent progressivement dans le périmètre selon leur activité et leur taille.
Si votre site propose des services numériques au grand public, vérifiez si vous êtes concerné par ces nouvelles règles.
Une nouvelle couche réglementaire pour l’intelligence artificielle
L’AI Act (le règlement européen sur l’intelligence artificielle) entre progressivement en application. Si votre site utilise des systèmes d’intelligence artificielle (chatbot, recommandations automatisées, scoring, traitement automatisé de données personnelles, etc.), de nouvelles obligations de transparence et d’encadrement des traitements s’ajoutent au cadre RGPD existant. Les systèmes d’IA à haut risque sont d’ailleurs soumis à des exigences de conformité particulièrement strictes.
Évidemment, c’est encore un domaine en cours de structuration. Pour autant, les entreprises qui intègrent d’ores et déjà l’intelligence artificielle dans leurs services en ligne ont tout intérêt à anticiper dès maintenant.
En bref, la conformité d’un site internet en 2026 tient à quelques pages essentielles et règles bien appliquées (des mentions légales complètes, une politique de confidentialité honnête, un bandeau cookies qui respecte le choix de l’utilisateur et des CGV si vous vendez en ligne). Vous voyez qu’il n’y a rien de compliqué, alors n’attendez pas d’avoir un problème pour vous en préoccuper, d’autant plus que la CNIL, la DGCCRF et les diverses juridictions ne font plus de cadeaux sur ces sujets. La protection des données personnelles est en effet devenue un vrai enjeu de confiance pour les utilisateurs.
