En 2026, la CNIL renforce ses contrôles et les sanctions pleuvent sur les sites non conformes. Entre les mentions légales, la politique de confidentialité, le bandeau cookies et le RGPD, difficile de s'y retrouver. Ce guide vous donne une checklist complète pour mettre votre site en règle et éviter des amendes pouvant atteindre 375 000 €.
Pourquoi la conformité légale est cruciale en 2026
Avoir un site web professionnel ne se limite pas à un joli design et un bon référencement. En France, la loi impose des obligations strictes à tous les éditeurs de sites, qu'il s'agisse d'un artisan avec une simple page vitrine ou d'un restaurateur avec un système de réservation en ligne.
La CNIL a intensifié ses contrôles depuis 2021 et utilise désormais des robots pour détecter automatiquement les sites non conformes. En 2025, elle a infligé plus de 280 sanctions, dont plus de 60 % concernaient des PME. Les grandes entreprises ne sont pas épargnées : Google a reçu une amende de 325 millions d'euros et Shein 150 millions d'euros pour non-respect des règles sur les cookies.
⚠️ Attention : Les sanctions sont lourdes même pour les petites structures. Absence de mentions légales : jusqu'à 75 000 € d'amende pour un entrepreneur individuel, 375 000 € pour une société. Non-conformité RGPD : jusqu'à 4 % du chiffre d'affaires annuel ou 20 millions d'euros.
La conformité légale repose sur quatre piliers essentiels : les mentions légales, la politique de confidentialité, la gestion des cookies et le respect du RGPD. Chacun répond à des obligations spécifiques définies par la loi LCEN de 2004, le RGPD de 2018 et les recommandations CNIL actualisées.
Au-delà de l'aspect juridique, afficher clairement vos informations légales rassure vos visiteurs. Un site transparent inspire confiance et crédibilité, ce qui favorise la conversion de vos prospects en clients.
Les mentions légales obligatoires
Les mentions légales permettent à vos visiteurs de vous identifier clairement. Elles sont obligatoires sur tous les sites internet professionnels depuis la loi pour la confiance dans l'économie numérique (LCEN) de 2004. Leur contenu varie selon votre statut juridique.
Pour un entrepreneur individuel (y compris micro-entrepreneur)
- ✓ Nom et prénom suivis de la mention « Entrepreneur individuel » ou « EI »
- ✓ Adresse de domiciliation de l'entreprise
- ✓ Adresse e‑mail et numéro de téléphone
- ✓ Numéro SIRET
- ✓ Numéro de TVA intracommunautaire (si assujetti)
- ✓ Nom et coordonnées de l'hébergeur du site
- ✓ Nom du responsable de la publication
Pour une société (SARL, SAS, SA, etc.)
- ✓ Dénomination sociale et forme juridique
- ✓ Adresse du siège social
- ✓ Montant du capital social
- ✓ Numéro RCS et ville d'immatriculation
- ✓ Numéro SIRET
- ✓ Numéro de TVA intracommunautaire
- ✓ Adresse e‑mail et numéro de téléphone
- ✓ Nom et coordonnées de l'hébergeur
- ✓ Nom du directeur de la publication
Mentions spécifiques selon l'activité
Certaines professions réglementées doivent ajouter des informations supplémentaires. Les artisans mentionnent leur numéro au répertoire des métiers. Les restaurateurs indiquent leur licence de débit de boissons. Les professions libérales précisent l'ordre ou la chambre dont elles relèvent.
💡 Conseil : Placez un lien vers vos mentions légales dans le footer de toutes les pages de votre site. La CNIL et les textes européens exigent qu'elles soient « accessibles en permanence ». Un lien visible en bas de page répond parfaitement à cette exigence.
Pour les sites e‑commerce, les Conditions Générales de Vente (CGV) sont également obligatoires et doivent être accessibles avant toute transaction. Elles complètent les mentions légales avec les informations relatives aux ventes : prix, livraison, droit de rétractation, garanties légales et médiation des litiges.
Politique de confidentialité : les mentions RGPD obligatoires
Dès que vous collectez des données personnelles sur votre site (formulaire de contact, inscription newsletter, création de compte, cookies analytiques), vous devez informer vos visiteurs de l'usage qui en est fait. C'est le rôle de la politique de confidentialité, rendue obligatoire par le RGPD.
Les articles 12, 13 et 14 du RGPD imposent une information « concise, transparente, compréhensible et aisément accessible ». Voici les mentions qui doivent figurer dans votre politique de confidentialité :
- Identité du responsable de traitement : nom de l'entreprise ou de la personne qui décide des finalités et moyens du traitement des données.
- Coordonnées du DPO : si vous avez désigné un délégué à la protection des données, ses coordonnées doivent apparaître. Pour les petites structures, un simple contact « données personnelles » suffit.
- Finalités du traitement : pourquoi collectez‑vous ces données ? Répondre aux demandes de contact, envoyer une newsletter, traiter une commande, analyser la fréquentation du site…
- Base légale du traitement : consentement, exécution d'un contrat, obligation légale, intérêt légitime… Chaque traitement doit être justifié par l'une des 6 bases prévues par le RGPD.
- Destinataires des données : qui accède aux données ? Vos équipes internes, votre hébergeur, des prestataires externes (outil d'emailing, CRM, etc.).
- Durée de conservation : combien de temps gardez‑vous les données ? Les durées doivent être proportionnées à la finalité du traitement.
- Droits des personnes : droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Expliquez comment les exercer.
- Droit de réclamation : mentionnez la possibilité de déposer une plainte auprès de la CNIL.
- Transferts hors UE : si des données sont transférées vers des pays tiers, indiquez les garanties mises en place.
💡 Conseil : Évitez les générateurs automatiques de politique de confidentialité qui produisent des textes génériques inadaptés à votre activité. Une politique de confidentialité doit refléter vos pratiques réelles. En cas de contrôle, un document copié‑collé sans rapport avec votre activité joue contre vous.
Cookies et traceurs : les règles CNIL 2026
Les règles sur les cookies n'ont pas fondamentalement changé en 2026, mais leur application se durcit. La CNIL maintient sa pression sur les éditeurs de sites avec des contrôles automatisés et des sanctions régulières. Voici ce que vous devez retenir.
Le principe : consentement préalable
Tout cookie non strictement nécessaire au fonctionnement du site requiert le consentement explicite de l'utilisateur avant d'être déposé. Cela concerne les cookies publicitaires, les cookies de réseaux sociaux et la plupart des cookies analytiques.
Le consentement doit être libre, spécifique, éclairé et univoque. Concrètement, cela signifie que l'utilisateur doit pouvoir refuser aussi facilement qu'accepter, et qu'aucun cookie non essentiel ne doit être déposé tant qu'il n'a pas fait son choix.
Les 5 critères d'un bandeau cookies conforme
- ✓ Bouton « Tout refuser » aussi visible que « Tout accepter » (même niveau, même format)
- ✓ Information claire sur les finalités des cookies avant tout dépôt
- ✓ Aucun dépôt de cookie non essentiel avant le choix de l'utilisateur
- ✓ Lien « Paramétrer mes cookies » accessible en footer de chaque page
- ✓ Conservation de la preuve du consentement (historique consultable)
⚠️ Attention : Présenter uniquement « Accepter » et « Paramétrer » sans bouton de refus explicite n'est pas conforme. La CNIL considère que cela dissuade le refus et ne respecte pas l'exigence de consentement libre.
Cookies exemptés de consentement
Certains cookies sont strictement nécessaires et peuvent être déposés sans consentement : cookies de session, cookies de panier d'achat, cookies d'authentification, cookies de préférence de langue. Les cookies de mesure d'audience peuvent également être exemptés sous conditions strictes : finalité limitée aux statistiques anonymes, pas de recoupement avec d'autres données, pas de transmission à des tiers.
Quelle CMP choisir pour votre site ?
Une CMP (Consent Management Platform) vous permet de gérer le recueil et le stockage des consentements. Elle affiche le bandeau, bloque les scripts non consentis et conserve la preuve des choix utilisateurs. Voici un comparatif des principales solutions françaises :
| CMP | Tarif | Points forts | Limites |
|---|---|---|---|
| Tarteaucitron | Gratuit / 15 €/mois | Gratuit, français, transparent, flexible | Design limité, moins d'analytics |
| Axeptio | Gratuit / 9 €/mois | Design soigné, UX friendly, bon taux | Fonctionnalités limitées sur forfaits bas |
| Didomi | À partir de 300 €/mois | Analytics avancés, multi‑réglementations | Prix élevé pour les TPE/PME |
| Cookiebot | Gratuit (100 pages) / 12 €/mois | Scan automatique, facile à configurer | Interface en anglais |
💡 Conseil : Pour un site vitrine d'artisan ou de restaurant avec un trafic modéré, Tarteaucitron (gratuit) ou Axeptio (entrée de gamme) suffisent amplement. L'essentiel est de bien configurer la CMP : vérifiez qu'aucun script non consenti ne se charge avant le choix utilisateur.
Checklist complète de conformité légale 2026
Utilisez cette checklist pour vérifier que votre site respecte toutes les obligations légales. Cochez chaque point une fois vérifié.
📜 Mentions légales
- ☐ Page « Mentions légales » accessible depuis le footer
- ☐ Identité complète de l'entreprise (nom, forme juridique, adresse)
- ☐ Numéros d'identification (SIRET, RCS, TVA)
- ☐ Coordonnées de contact (email, téléphone)
- ☐ Informations sur l'hébergeur
- ☐ Nom du directeur/responsable de publication
- ☐ Mentions spécifiques à l'activité (RM, licence, ordre professionnel)
🔒 Politique de confidentialité
- ☐ Page dédiée accessible depuis le footer
- ☐ Identité et coordonnées du responsable de traitement
- ☐ Liste des données collectées et finalités
- ☐ Base légale pour chaque traitement
- ☐ Destinataires des données
- ☐ Durée de conservation des données
- ☐ Droits des utilisateurs et comment les exercer
- ☐ Mention du droit de réclamation CNIL
- ☐ Information sur les transferts hors UE (si applicable)
🍪 Gestion des cookies
- ☐ Bandeau cookies affiché à la première visite
- ☐ Bouton « Tout refuser » aussi visible que « Tout accepter »
- ☐ Information claire sur les types de cookies utilisés
- ☐ Aucun cookie non essentiel avant consentement
- ☐ Lien « Gérer mes cookies » en footer de chaque page
- ☐ Preuve du consentement conservée
- ☐ Possibilité de retirer son consentement facilement
🛒 Site e‑commerce (en plus)
- ☐ CGV accessibles avant validation de commande
- ☐ Information sur le droit de rétractation (14 jours)
- ☐ Garanties légales mentionnées
- ☐ Modalités de paiement et livraison
- ☐ Procédure de médiation des litiges
- ☐ Lien vers la plateforme européenne de règlement des litiges (RLL)
Questions fréquentes
Un site vitrine sans formulaire a‑t‑il besoin d'une politique de confidentialité ?
Oui, dès lors que vous utilisez des cookies analytiques (même Google Analytics) ou que votre hébergeur collecte des données de connexion (adresses IP). En pratique, quasiment tous les sites collectent des données personnelles et doivent donc afficher une politique de confidentialité.
Puis‑je utiliser un générateur gratuit pour mes mentions légales ?
Oui, mais avec prudence. Les générateurs produisent des textes génériques qui peuvent ne pas correspondre à votre activité. Vérifiez que toutes les mentions obligatoires pour votre statut et votre secteur sont bien présentes. En cas de doute, faites relire par un professionnel du droit.
Que risque‑t‑on si le bouton « Refuser » est moins visible que « Accepter » ?
C'est un manquement aux recommandations CNIL qui peut entraîner une mise en demeure, puis une sanction. Les amendes pour non‑conformité aux règles sur les cookies ont atteint 750 000 € pour des entreprises françaises en 2025. Même les PME sont ciblées.
Combien de temps conserver la preuve du consentement aux cookies ?
La CNIL recommande de conserver cette preuve pendant toute la durée de validité du consentement, soit 13 mois maximum. Votre CMP doit permettre d'accéder à cet historique en cas de contrôle.
Les cookies Google Analytics nécessitent‑ils un consentement ?
Oui, dans leur configuration par défaut. Google Analytics dépose des cookies qui permettent un suivi individuel. Pour être exempté de consentement, vous devez utiliser une configuration anonymisée (pas de recoupement, pas de partage avec Google Ads) ou opter pour une solution comme Matomo configurée pour l'exemption.
Faut‑il afficher les mentions légales sur un blog personnel ?
Un blog strictement personnel sans monétisation ni collecte de données peut être dispensé de certaines mentions. Cependant, dès que vous utilisez des cookies, affichez des publicités ou collectez des emails, les obligations s'appliquent. Dans le doute, affichez au minimum votre identité et les coordonnées de l'hébergeur.
Sources et ressources officielles
Pour rédiger ce guide, nous nous sommes appuyés sur des sources fiables, officielles et régulièrement mises à jour (CNIL, textes européens, Ministère).
- CNIL – Cookies et traceurs : que dit la loi ? : règles officielles sur le consentement préalable et les cookies exemptés.
- CNIL – Questions-réponses sur les lignes directrices cookies : obligation d'avoir un bouton « Tout refuser » aussi visible que « Tout accepter ».
- CNIL – Transparence RGPD : comment informer les personnes : liste officielle des mentions obligatoires dans une politique de confidentialité.
- Ministère de l'Économie – Mentions légales obligatoires : détail des informations à afficher selon votre statut (EI, SAS, SARL...).
- Texte officiel du RGPD (EUR-Lex) : règlement européen complet (articles 12 à 14 sur l'information obligatoire).
- CNIL – Liste officielle des sanctions prononcées : base publique mise à jour avec toutes les amendes et décisions.
Conclusion
La conformité légale de votre site web n'est pas une option en 2026. Avec le renforcement des contrôles CNIL et des sanctions qui touchent désormais les PME, mettre votre site en règle est devenu une priorité. La bonne nouvelle : les obligations sont claires et les outils pour s'y conformer sont accessibles, même avec un budget limité.
Commencez par vérifier vos mentions légales et votre politique de confidentialité. Installez ensuite une CMP conforme pour gérer vos cookies. Ces trois actions couvrent l'essentiel des obligations pour un site vitrine ou un petit e‑commerce.
Besoin d'aide pour mettre votre site en conformité ? Contactez‑nous pour un audit gratuit de votre site ou découvrez nos offres de création de sites clés en main, conformes dès le lancement.