Les mentions légales sur vitre site web sont obligatoires. Leur absence vous expose à des poursuites pénales. Leur écriture varie en fonction de votre type d’activité et de vos pratiques concernant gestion des données personnelles collectées. Au-delà de l’obligation, une rédaction soignée de vos mentions légales témoignera de votre professionnalisme et réduira les risques de contentieux.

Intégrant diverses informations, leur contenu varie en fonction des cas. Ainsi, leur rédaction ne doit pas être prise à la légère. Comment les écrire ? Quels sont les éventualités possibles ? Quelles sanctions peuvent être appliquées en cas de manquement ? Découvrez tout ce qu’il faut savoir sur les mentions légales.

A noter : les textes juridiques ont pu faire l’objet de modifications après la publication de cet article. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité. Article mis à jour le 14/03/2022.

Mentions légales : c’est quoi et à quoi ça sert ?

Tous les sites web doivent obligatoirement indiquer un certain nombre d’informations, selon la loi sur la confiance en l’économie numérique (LCEN) du 21 juin 2004. Elles doivent permettre d’identifier facilement les responsables du site. Cette volonté de transparence garantit ainsi à chaque utilisateur de pouvoir contacter son propriétaire en cas de problème ou litige.

Cet ensemble d’informations, appelé Mentions légales  doit donc être visible, complet et facile d’accès pour tous les utilisateurs du site internet. En général, il suffit seulement de les rendre accessibles via un lien placé en bas de chaque page du site. Ainsi, tout utilisateur peut signaler les dysfonctionnements d’un site ou bien la publication de contenu illicite.

L’obligation d’afficher les mentions légales s’applique aussi bien aux sites personnels (blog et autres sites qui n’ont pas un objectif commercial) qu’aux sites professionnels (liés à une activité économique ou commerciale).

Le non-respect de ces obligations expose à des sanctions pouvant aller jusqu’à un an d’emprisonnement et 375 000 euros d’amende.

Cet article traite des obligations pour les sites professionnels. Pour les sites personnels, dont les obligations sont moindres, vous pouvez consulter le site Service-public.fr.

Les mentions légales, pour le site d’un entrepreneur individuel ou d’une société peuvent être scindées en deux groupes :

• • • Les mentions d’identification
    • Les mentions relatives à l’utilisation et la gestion des cookies

Les mentions d’identification

Elles servent à identifier le propriétaire d’un site, ainsi que l’hébergeur de votre site web.

Pour une personne physique, un entrepreneur individuel, il faut faire figurer :

• • Nom et prénom,
  • Adresse du domicile,
  • Numéro de téléphone et adresse mail

Pour une personne morale, une société, il faut afficher :

• • la dénomination sociale de l’entreprise : nom de l’entreprise et numéro SIRET,
  • sa forme juridique,
  • le montant de son capital social,
  • l’adresse du siège social.

A ces informations d’identification de votre entité vous devez ajouter celles relatives à votre hébergeur du site internet :

Son Nom, Adresse et numéro SIRET

Obligations spécifiques à certaines activités

Selon l’activité exercée, le site professionnel doit aussi contenir les informations suivantes :

• • Activités commerciales : numéro d’inscription au registre du commerce et des sociétés (RCS) et si vous en avez un, numéro de TVA intracommunautaire
  • Activités artisanales : numéro d’immatriculation au répertoire des métiers (RM)
  • Activités éditoriales : pour les sites proposant des articles, des blogs et autres informations : nom du directeur, codirecteur ou responsable de la publication
  • Activités soumises à un régime d’autorisation : nom et adresse de l’autorité ayant délivré l’autorisation d’exercer

Les mentions relatives à l’utilisation des données personnelle et à la gestion des cookies

Depuis l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les sites web (et plus largement toute entreprise collectant des données personnelles) doivent recenser les traitements appliqués et mettre en œuvre les droits assurés par le RGPD.

Les données personnelles sont toute information se rapportant à une personne physique : le nom, prénom, adresse, numéro de téléphone… Le RGPD distingue deux situations :

• • La personne physique est identifiée directement : collecte directe des données de l’utilisateur, par l’utilisateur par exemple via le remplissage d’un formulaire ou au travers de l’observation de son activité (géolocalisation, adresse IP…)
  •  La personne physique est identifiable indirectement : données récupérées auprès de partenaires commerciaux ou collecte de données qui permettent indirectement de retrouver des données personnelles des utilisateurs

Dans les deux cas, le site web doit obligatoirement mentionner certaines informations.

A noter : afin de renseigner les visiteurs sur les modalités de traitement et de conservation de leurs données, vous pouvez choisir, d’écrire ces informations à la suite des mentions d’identification, sur la même page, ou bien dans une page dédiée que vous pourrez nommer par exemple Politique de confidentialité ou encore Charte sur le respect de la vie privée.

Les finalités de la collecte des données par les cookies

Pour analyser le comportement des internautes, comme par exemple leurs navigations, leurs habitudes de consommation, leurs déplacements… les sites utilisent de petit fichier déposé sur l’ordinateur de l’internaute : le cookie.

On distingue :

• Les cookies « nécessaires » au bon fonctionnement de l’application. Ils permettent par exemple de sauvegarder un panier d’achat, une session de connexion ou de suivre les actions d’un internaute sur le site web
• Les autres cookies, internes ou externes, qui collectent les données personnelles du visiteur pour suivre son comportement et servir à des fins publicitaires

A l’exception des cookies nécessaires au fonctionnement du site internet, l’utilisation de tous les autres cookies doit être expliquée de manière claire et précise à tous les utilisateurs du site internet.

De plus, il est obligatoire de demander un consentement préalable au traitement de ces données personnelles. C’est la fenêtre qui s’affiche quand vous visitez un site pour première fois et qui vous demande si vous acceptez les conditions (relatives à la gestion de vos données personnelles) du site.

A ce sujet, la Cnil insiste sur la nécessité que le recueillement du consentement des internautes offre la même simplicité pour le refus que  pour l’approbation.

Pour plus d’informations sur la mise en conformité de l’utilisation des cookies sur un site web, vous pouvez vous rendre sur les sites suivants :

• Cookies et traceurs : comment mettre mon site web en conformité ? (Cnil.fr)
• Cookies et traceurs : que dit la loi ? (Cnil.fr)
• Utilisation de données personnelles : vos obligations d’information vis-à-vis de l’internaute (Economie.gouv.fr)
• Refuser les cookies doit être aussi simple qu’accepter : bilan de la deuxième campagne de mises en demeure et actions à venir (Cnil.fr)

La base juridique du traitement de données

Les mentions légales doivent préciser, conformément au RGPD, sur quelle base légale s’appuient les traitements de données mis en œuvre sur votre site.

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

• le consentement : la personne a consenti au traitement de ses données ;
• le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
• l’obligation légale : le traitement est imposé par des textes légaux ;
• la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
• la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

La base légale la plus couramment utilisée est le consentement. Il assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :

• de comprendre ce que vous allez faire de leurs données,
• de choisir sans contrainte d’accepter ou non ce traitement,
• de changer d’avis librement.

Vous pouvez consulter, à titre d’illustration, la page dédiée à la Charte du respect de la vie privée de Legalstart, plateforme de services juridiques en ligne à destination des TPE/PME

Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :

• Comprendre le RGPD – Les bases légales
• Prendre en compte les bases légales dans l’implémentation technique
• La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD

Les destinataires des données personnelles

Il s’agit des personnes qui ont connaissance des données personnelles collectées. Dans le cas d’un site internet professionnel, il s’agit le plus souvent de la société éditrice du site et de l’hébergeur du site.

Dans cette partie des mentions légales, il convient aussi d’indiquer s’il y a des transferts des données personnelles hors Union européenne. Tel est notamment le cas lorsque le site internet est hébergé par un hébergeur étranger qui a des serveurs hors Union européenne. Cela peut aussi être le cas si vous utilisez des outils proposés par des entreprises tierces à l’Union, comme par exemple Google Analytics.

Les droits des utilisateurs sur leurs données personnelles

Conformément au RGPD, les mentions légales doivent informer les utilisateurs sur leurs droits (droit d’accès, de rectification, d’opposition, d’effacement…). Un internaute peut par exemple décider de retirer son consentement.

Il est aussi important d’indiquer une adresse email ou une adresse postale que la personne peut utiliser pour exercer ses droits. Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPD) (Cnil.fr) que vous aurez dû désigner.

Dans la plupart des cas, les petites structures dont les traitements sont limités en volume, peuvent se contenter d’indiquer l’adresse d’une boite mail dédiée aux échanges relatifs aux données personnelles.

Pour en savoir plus :

• Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?
• Les droits pour maîtriser vos données personnelles ! (Cnil.fr)

Des mentions supplémentaires peuvent s’imposer :

Pour prévenir d’éventuels litiges avec les visiteurs de votre site, vous pouvez égalevement rédiger des conditions générales d’utilisation (CGU). Elles constituent un document contractuel. En les acceptants l’utilisateur s’engage à respecter un certain nombre de règles. Les CGU ne sont pas obligatoires : pour en savoir plus, lire l’article suivant :

• Rédiger des conditions générales d’utilisation (CGU) pour son site internet professionnel

Les sites marchands, notamment les sites de «e-commerce » proposant des services de vente et paiement en ligne et des services de livraisons de biens, doivent faire apparaître leurs Conditions générales de vente : pour en savoir plus, lire notre article :

• Rédiger des conditions générales de vente (CGV) sur son site internet professionnel