Un site vitrine créé en une soirée sur WordPress, un blog lancé entre deux projets, une boutique Shopify montée à la hâte : on oublie souvent le même détail, la page de mentions légales. En France, tout site internet accessible au public doit afficher ses mentions légales, qu’il soit professionnel ou personnel. La loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 pose cette obligation, et les sanctions en cas de manquement ne sont pas symboliques.
Contrôles CNIL et conformité numérique : ce qui a changé depuis 2023
On associe souvent les mentions légales à une formalité figée. En pratique, la CNIL intègre désormais la vérification des mentions légales dans ses contrôles globaux de conformité numérique. Depuis le bilan 2023 de la CNIL et son plan de contrôle 2024, l’absence ou l’obsolescence de ces mentions est relevée lors d’enquêtes portant sur la protection des données, la prospection commerciale ou la gestion des cookies.
A lire en complément : Streaming sportif en ligne : quelles alternatives légales à Roja Directa aujourd'hui ?
Autrement dit, une page de mentions légales incomplète peut déclencher un contrôle plus large sur la conformité RGPD du site. On ne parle plus d’un manquement isolé qu’on corrige après un signalement, mais d’un point d’entrée pour les autorités. C’est une bonne raison de traiter cette page comme un document vivant, mis à jour à chaque changement d’hébergeur, de raison sociale ou de politique de données.
Pour voir à quoi ressemble concrètement une page structurée, les mentions légales de Geek Gazette illustrent bien le niveau de détail attendu sur un site éditorial.
A lire en complément : Les solutions innovantes pour faciliter votre recherche de logement social en France
Mentions légales obligatoires sur un site professionnel : les informations à ne pas oublier
La LCEN distingue deux profils d’éditeurs, les personnes physiques et les personnes morales, avec des exigences différentes. Pour un entrepreneur individuel, il faut indiquer nom, prénom, adresse, et la mention « entrepreneur individuel » ou les initiales « EI ». Pour une société, on ajoute la dénomination sociale, le siège social, le montant du capital.
Au-delà de cette base, plusieurs informations sont systématiquement absentes des sites créés avec des templates no-code :
- Le numéro d’immatriculation au RCS et le numéro d’identification à la TVA, souvent laissés vides dans les modèles génériques
- L’identité complète de l’hébergeur du site (nom ou dénomination sociale, adresse et numéro de téléphone), que beaucoup confondent avec le nom du CMS utilisé
- Les coordonnées de contact réelles de l’éditeur (adresse email et numéro de téléphone), pas un simple formulaire de contact
- Pour les activités réglementées (pharmacie, débit de boissons, professions libérales), le nom et l’adresse de l’autorité ayant délivré l’autorisation d’exercer
Conserver le modèle par défaut de son CMS sans l’adapter est l’erreur la plus fréquente. Les avocats spécialisés et les DPO le constatent régulièrement : absence de SIREN, mauvaise identification de l’hébergeur, qualification incorrecte du statut professionnel ou personnel. Ces lacunes exposent directement à des sanctions.
Sanctions prévues par la LCEN
Pour une personne physique, l’amende peut atteindre 75 000 euros. Pour une personne morale, ce montant grimpe à 375 000 euros. Une peine d’emprisonnement d’un an est également prévue par le texte. On est loin de la simple tape sur les doigts.
Données personnelles et cookies : la frontière avec le RGPD
Les mentions légales ne se limitent pas à l’identification de l’éditeur. Dès qu’un site collecte des données personnelles (formulaire de contact, newsletter, compte utilisateur, analytics), la page doit préciser les finalités de la collecte, la base juridique du traitement et les destinataires des données.
En pratique, on sépare souvent ces informations entre la page de mentions légales proprement dite et une politique de confidentialité dédiée. Les deux approches sont acceptées, mais l’information doit rester facilement accessible. La CNIL vérifie ce point lors de ses contrôles.
Pour les cookies, le bandeau de consentement ne suffit pas. Les mentions légales ou la politique associée doivent lister les cookies utilisés, leur finalité et leur durée de conservation. Un site qui affiche un bandeau sans documentation derrière reste en infraction.
AI Act et transparence IA : la prochaine mise à jour de vos mentions légales
Le Parlement européen a adopté le texte final du règlement sur l’intelligence artificielle (AI Act) le 13 mars 2024. Ce texte va imposer de nouvelles obligations de transparence pour les sites utilisant des systèmes d’IA : chatbots, génération automatique de contenus, systèmes de recommandation ou de modération.
Concrètement, si un site utilise un chatbot alimenté par un modèle de langage ou génère des fiches produits automatiquement, il devra informer les utilisateurs de la présence de ces systèmes. Cette information pourra figurer dans les mentions légales, dans une page dédiée à la transparence IA, ou dans les conditions d’utilisation.
Pour les éditeurs de sites français, cela signifie une révision de la page de mentions légales dans les mois qui suivront l’entrée en application des différentes dispositions du règlement. Anticiper cette évolution évite de se retrouver en retard le jour où les contrôles intégreront ce volet.
Sites no-code et templates : pourquoi le copier-coller ne protège pas
WordPress, Wix, Shopify et les autres plateformes no-code fournissent des modèles de mentions légales. Ces modèles sont génériques et rarement adaptés au droit français. On retrouve des pages qui mentionnent un hébergeur américain sans adresse ni téléphone, des statuts juridiques mal qualifiés, ou des clauses RGPD copiées depuis un site anglophone.
Adapter les mentions légales à sa situation réelle prend moins d’une heure et protège contre des risques disproportionnés. Il faut vérifier chaque champ : identité de l’éditeur, coordonnées de l’hébergeur, numéro RCS ou SIREN, politique de données. Si le site exerce une activité réglementée, les mentions spécifiques à cette activité doivent aussi figurer.
Un site personnel sans activité commerciale a des obligations allégées. On peut se limiter au nom de l’hébergeur si on souhaite rester anonyme en tant que personne physique. La page doit quand même exister : l’absence totale de mentions légales reste sanctionnable quel que soit le type de site.
La page de mentions légales fonctionne comme une carte d’identité du site. Elle évolue avec le cadre réglementaire, avec l’activité de l’éditeur, et bientôt avec l’usage de l’intelligence artificielle. La mettre à jour une fois par an, au minimum, reste le réflexe le plus simple pour rester en conformité.