Guide actualisé 2026

Conformité web en France
le guide pratique

Checklists, exemples concrets et sanctions : tout ce qu'il faut faire pour être en règle.

Mentions légales

Obligatoire

RGPD

Obligatoire

CGV

E-commerce

Cookies

Obligatoire

Sanctions

Risques

Mentions légales

Votre checklist

  • Nom ou raison sociale affiché
  • Adresse du siège social visible
  • SIRET / RCS mentionné
  • Numéro de téléphone et e-mail
  • Directeur de publication nommé
  • Hébergeur identifié (nom, adresse, téléphone)
  • Numéro de TVA intracommunautaire (si applicable)

Qui est concerné ?

Tous les sites accessibles depuis la France. Blog personnel, portfolio freelance, site vitrine, e-commerce : aucune exception. La loi LCEN (article 6-III) l'impose.

Pas de mentions légales = délit pénal. Jusqu'à 75 000 EUR d'amende pour une personne physique, 375 000 EUR pour une société.

Exemples concrets

Bon exemple

SAS Dupont Digital 12 rue de la Paix, 75002 Paris SIRET : 123 456 789 00011 RCS Paris B 123 456 789 Tél : 01 23 45 67 89 Email : contact@dupont.fr Directeur de publication : Jean Dupont Hébergeur : OVH SAS, 2 rue Kellermann, 59100 Roubaix, 09 72 10 10 07

Mauvais exemple

Site créé par Jean. Contact : voir formulaire. Hébergé quelque part en France.

Vérifiez votre site gratuitement

Lancez un scan pour savoir où vous en êtes.

Scanner mon site

RGPD

Votre checklist

  • Politique de confidentialité accessible depuis toutes les pages
  • Base légale définie pour chaque traitement
  • Formulaires conformes (case non pré-cochée, finalité indiquée)
  • Registre des traitements tenu à jour
  • Procédure de réponse aux demandes de droits
  • Sous-traitants encadrés par contrat (article 28)
  • Notification CNIL sous 72h en cas de violation

Quand le RGPD s'applique-t-il ?

Dès que vous collectez une donnée personnelle : formulaire de contact, analytics, newsletter, cookie. Si votre site a des visiteurs, le RGPD s'applique.

Les 6 droits de vos visiteurs

Droit de accès

Obtenir une copie de ses données

Droit de rectification

Corriger des données inexactes

Droit de effacement

Demander la suppression

Droit de portabilité

Récupérer ses données

Droit de opposition

Refuser un traitement

Droit de limitation

Geler temporairement un traitement

Un simple formulaire de contact suffit à déclencher vos obligations RGPD. Informez, minimisez les données collectées, et permettez l'exercice des droits.

Exemples concrets

Bon exemple

Formulaire de contact avec : - Mention de la finalité - Lien vers la politique de confidentialité - Case « J'accepte » non pré-cochée - Seuls les champs nécessaires (nom, email, message)

Mauvais exemple

Formulaire demandant nom, prénom, adresse, téléphone, date de naissance... pour un simple message de contact. Aucune mention de la finalité ni lien vers une politique de confidentialité.

Conditions Générales de Vente

Votre checklist

  • Prix TTC clairement indiqués
  • Frais de livraison mentionnés avant commande
  • Droit de rétractation de 14 jours détaillé
  • Formulaire de rétractation type fourni
  • Garantie légale de conformité (2 ans)
  • Garantie des vices cachés mentionnée
  • Médiateur de la consommation désigné
  • Modalités de paiement précisées

Qui est concerné ?

Tout site qui vend en ligne. Les CGV doivent être accessibles avant la validation de la commande. Elles sont le contrat entre vous et l'acheteur.

Le Code de la consommation (articles L111-1 à L111-7) impose une information précontractuelle complète. Sans CGV conformes, vous perdez quasi systématiquement en cas de litige.

Obligation de désigner un médiateur. Depuis 2016, tout e-commerçant doit indiquer les coordonnées d'un médiateur de la consommation dans ses CGV.

Vérifiez votre site gratuitement

Lancez un scan pour savoir où vous en êtes.

Scanner mon site

Cookies et consentement

Votre checklist

  • Bandeau de consentement affiché au premier accès
  • Bouton « Refuser » aussi visible que « Accepter »
  • Aucun cookie non essentiel avant consentement
  • Liste des cookies et finalités accessible
  • Possibilité de retirer son consentement à tout moment
  • Preuve du consentement conservée
  • Renouvellement du consentement tous les 13 mois

Ce que dit la CNIL

Depuis les recommandations CNIL de 2020 (entrées en vigueur le 1er avril 2021), continuer la navigation ne vaut plus consentement. Le refus doit être aussi simple que l'acceptation.

Bon vs mauvais bandeau

Bon exemple

Bandeau avec : - Bouton « Tout accepter » - Bouton « Tout refuser » (même taille, même couleur) - Lien « Personnaliser mes choix » - Aucun cookie déposé tant que le visiteur n'a pas choisi

Mauvais exemple

Bandeau avec uniquement « OK, j'accepte ». Petit lien gris « En savoir plus » en bas. Cookies Google Analytics déjà chargés avant tout clic. Pas de bouton refuser.

Cookies exemptés de consentement

Certains cookies ne nécessitent pas de consentement : panier d'achat, authentification, et certains outils d'audience configurés conformément aux exemptions CNIL (Matomo, AT Internet dans certaines configurations).

Google Analytics nécessite toujours le consentement, même en version GA4. Vous devez attendre l'accord du visiteur avant de charger le script.

Sanctions et amendes

Les sanctions sont réelles et touchent toutes les tailles d'entreprise. Voici l'échelle des risques et des exemples concrets.

Échelle de risque par infraction

Critique

Violation RGPD (données personnelles)

Jusqu'à 20M EUR ou 4% du CA mondial

Critique

Cookies sans consentement

Jusqu'à 20M EUR ou 4% du CA mondial

Élevé

Absence de CGV conformes

Jusqu'à 15 000 EUR (personne physique)

Élevé

Mentions légales manquantes

Jusqu'à 75 000 EUR + 1 an de prison

Modéré

Défaut d'information précontractuelle

Jusqu'à 3 000 EUR (personne physique)

Décisions récentes en protection des données

Google LLC

2022

Bandeau cookies ne permettant pas de refuser aussi facilement qu'accepter.

150M EUR

Amazon Europe

2021

Traitement de données non conforme au RGPD (décision CNPD Luxembourg).

746M EUR

Criteo

2023

Défaut de consentement pour le ciblage publicitaire.

40M EUR

RATP

2021

Conservation excessive de données d'évaluation des salariés.

400K EUR

Doctissimo

2023

Cookies déposés sans consentement, transferts hors UE.

280K EUR
La CNIL ne vise pas que les géants. Les TPE et PME font aussi l'objet de contrôles et de mises en demeure. Amendes moyennes pour les petites structures : 5 000 à 100 000 EUR.

Vérifiez votre site gratuitement

Lancez un scan pour savoir où vous en êtes.

Scanner mon site