En 2025, la CNIL a infligé 486 millions d’euros d’amendes pour des violations liées aux données personnelles. La plupart des entreprises sanctionnées n’avaient pas supprimé leurs pages légales : elles avaient mal configuré leur bandeau cookies. Ce chiffre illustre une réalité que beaucoup d’éditeurs de sites découvrent trop tard. Les mentions légales, la politique de confidentialité, les CGU et la politique cookies ne forment pas un bloc homogène. Chaque document répond à un régime juridique distinct, avec des bases légales et des sanctions qui n’ont rien à voir les unes avec les autres. Un site peut afficher quatre pages légales et rester exposé à des poursuites pénales.
Mentions légales : l’obligation de base, souvent périmée
Les mentions légales sont imposées par l’article 6 III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite LCEN. Tout éditeur d’un site accessible au public doit y faire figurer son identité, ses coordonnées et les informations de son hébergeur. L’absence ou l’inexactitude de ces mentions n’est pas une irrégularité administrative : c’est une infraction pénale.
L’article 6 VI de la LCEN prévoit un an d’emprisonnement et 75 000 € d’amende pour une personne physique. Pour une personne morale, le plafond monte à 375 000 €. Ces montants concernent une page que la plupart des sites créent en cinq minutes lors du lancement puis oublient de mettre à jour quand l’hébergeur change ou que la société modifie son capital social.
Le contenu obligatoire varie selon le statut de l’éditeur. Une société commerciale doit indiquer sa dénomination sociale, son adresse de siège, son numéro d’immatriculation au RCS, son capital social, le nom du directeur de publication et les coordonnées complètes de son hébergeur. Un particulier peut préserver son anonymat à condition d’avoir transmis son identité réelle à l’hébergeur, qui devient alors le point de contact légal.
Politique de confidentialité : le RGPD, pas les mentions légales
La politique de confidentialité est imposée par les articles 12, 13 et 14 du Règlement général sur la protection des données (RGPD, Règlement UE 2016/679). Elle est distincte des mentions légales et concerne tout site qui collecte des données personnelles, ce qui inclut quasiment tout site disposant d’un formulaire de contact, d’un espace membre ou d’outils d’analyse d’audience.
Le RGPD impose une information « concise, transparente, compréhensible et aisément accessible ». La politique de confidentialité doit préciser l’identité du responsable de traitement, les finalités et bases légales de chaque traitement, la durée de conservation des données, les destinataires (hébergeur, prestataires tiers, sous-traitants), les droits des personnes (accès, rectification, effacement, portabilité, opposition) et les modalités pour les exercer, ainsi que la possibilité de déposer une plainte auprès de la CNIL. Si des données sont transférées hors de l’Union européenne, le transfert doit être mentionné avec les garanties mises en place.
Les sanctions sont à deux étages. Le Code pénal prévoit cinq ans d’emprisonnement et 300 000 € d’amende pour traitement illicite de données personnelles. La CNIL peut par ailleurs prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les manquements au RGPD.
Politique cookies : le document le plus risqué à négliger
La politique cookies est encadrée par l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5(3) de la directive ePrivacy (directive 2002/58/CE). Le principe : tout cookie non strictement nécessaire au fonctionnement du service requiert le consentement explicite de l’utilisateur avant d’être déposé sur son appareil. Le silence de l’utilisateur, y compris le simple fait de continuer à naviguer, ne vaut pas consentement depuis les lignes directrices CNIL de 2020.
Les cookies de mesure d’audience, comme ceux de Google Analytics, peuvent bénéficier d’une exemption de consentement mais à des conditions strictes fixées par la CNIL : données utilisées exclusivement à des fins statistiques anonymes, au seul bénéfice de l’éditeur, sans croisement avec d’autres traitements et sans transmission à des tiers. Une configuration standard de Google Analytics ne remplit pas ces conditions.
Le bandeau de consentement doit proposer un bouton « Tout refuser » aussi visible et accessible que le bouton « Tout accepter ». Les sanctions dans ce domaine sont sans ambiguïté sur la priorité accordée par le régulateur : en septembre 2025, la CNIL a prononcé 325 millions d’euros d’amende contre Google et 150 millions d’euros contre Shein pour violation répétée des règles de consentement aux cookies à des fins publicitaires.
CGU : le seul document facultatif, mais utile contractuellement
Les conditions générales d’utilisation (CGU) ne sont pas imposées par la loi pour un site qui ne vend pas de produits ou de services. C’est le seul document de cette liste qui relève d’un choix plutôt que d’une obligation. Pour un site e-commerce, les conditions générales de vente (CGV) sont en revanche obligatoires selon l’article L. 111-1 du Code de la consommation.
Les CGU définissent le cadre contractuel entre l’éditeur et ses utilisateurs : conditions d’accès au service, droits de propriété intellectuelle sur les contenus, limites de responsabilité en cas de panne technique, règles de modération sur les espaces participatifs. Sans CGU, un éditeur ne peut pas opposer à ses utilisateurs les règles qu’il entend faire respecter sur son site. Si le site comporte un espace membre, des téléchargements ou une newsletter, leur absence crée un vide contractuel réel.
Les CGU doivent être rédigées en français si le site s’adresse à des consommateurs basés en France (loi du 4 août 1994 relative à l’emploi de la langue française, dite loi Toubon). Elles ne remplacent pas les mentions légales et ne protègent pas contre les sanctions RGPD.
Les quatre régimes en un tableau
| Document | Texte de référence | Obligatoire ? | Sanction maximale |
|---|---|---|---|
| Mentions légales | LCEN, art. 6 III et VI (2004) | Oui, pour tout site | 75 000 € / 1 an (physique) ; 375 000 € (morale) |
| Politique de confidentialité | RGPD art. 12-14 ; Code pénal | Oui, si collecte de données | 20 M€ ou 4 % CA mondial ; 300 000 € / 5 ans (pénal) |
| Politique cookies | Art. 82 Loi Informatique et Libertés ; directive ePrivacy | Oui, si cookies non essentiels | Jusqu’à 4 % CA mondial (via CNIL) |
| CGU | Droit commun des contrats ; loi Toubon si applicable | Non (CGV obligatoires pour e-commerce) | Responsabilité contractuelle |
Trois erreurs qui rendent un site non conforme malgré ses pages légales
La première erreur est de copier les mentions légales d’un autre site ou de les créer une fois pour toutes. Dès que l’hébergeur, le statut juridique ou les coordonnées changent, la page n’est plus exacte et l’infraction pénale est constituée. Les mentions légales doivent être vérifiées à chaque changement de prestataire technique ou de structure juridique.
La deuxième erreur concerne les cookies. Beaucoup de sites déposent des cookies publicitaires ou analytiques dès l’arrivée de l’utilisateur, avant tout clic sur le bandeau. Ce comportement est illégal depuis 2020. Aucun cookie non essentiel ne peut être déposé avant un geste positif de l’utilisateur : ni au chargement de la page, ni lors du défilement.
La troisième erreur est de fondre politique de confidentialité et politique cookies dans un seul texte dense de vingt pages. Ces deux documents répondent à des bases légales différentes. Les regrouper dans un document illisible ne satisfait pas l’obligation d’information « compréhensible et aisément accessible » du RGPD.
La conformité d’un site n’est pas figée au moment du lancement : elle se maintient à mesure que les outils changent, que les prestataires évoluent et que la réglementation se précise. Les 486 millions d’euros d’amendes prononcées en 2025 portaient pour une bonne part sur des violations que les sites concernés auraient pu corriger avec une mise à jour de leur configuration plutôt qu’une refonte juridique complète.
