Intégrant diverses informations, leur contenu varie en fonction des cas. Ainsi, leur rédaction ne doit pas être effectuée à la légère. Comment les rédiger ? Quels sont les cas possibles ? Quelles sanctions sont appliquées en cas de manquement ? Découvrez tout ce qu’il faut savoir sur les mentions légales.

A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 18 mars 2021]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.

Mentions légales : c’est quoi et à quoi ça sert ?

Tous les sites internet doivent obligatoirement faire figurer un certain nombre d’informations, selon la loi sur la confiance en l’économie numérique (LCEN) du 21 juin 2004. Elles doivent permettre d’identifier facilement les responsables du site. Cette volonté de transparence garantit ainsi à chacun de pouvoir contacter son propriétaire en cas de problème ou litige.

Cet ensemble d’informations, appelé Mentions légales  doit donc être visible, complet et facile d’accès à tous les utilisateurs du site internet. En général, il suffit seulement de les rendre accessibles via un lien placé en pied de page d’accueil du site. Ainsi, tout internaute peut signaler les dysfonctionnements d’un site ou bien la publication de contenu illicite.

L’obligation de faire figurer les mentions légales s’applique aussi bien aux sites personnels (blog et autres sites qui n’ont pas un objectif commercial) qu’aux sites professionnels (liés à une activité économique ou commerciale).

Le non-respect de ces obligations expose à des sanctions pouvant aller jusqu’à un an d’emprisonnement et 375 000 euros d’amende.

Cet article traite des obligations pour les sites professionnels. Pour les sites personnels, dont les obligations sont moindres, vous pouvez consulter le site Service-public.fr.

Les mentions légales, pour le site d’un entrepreneur individuel ou d’une  société peuvent être regroupées en deux catégories :

• Les mentions d’identification
• Les mentions relatives à l’utilisation et la gestion des cookies

Les mentions d’identification

Elles servent à identifier le propriétaire d’un site, ainsi que l’hébergeur du site internet.

Pour une personne physique, un entrepreneur individuel, il faut faire figurer :

• Nom et prénom,
• Adresse du domicile,
• Numéro de téléphone et adresse mail

Pour une personne morale, une société, il faut afficher :

• la dénomination sociale de l’entreprise : nom de l’entreprise et numéro SIRET,
• sa forme juridique,
• le montant de son capital social,
• l’adresse du siège social.

A ces informations d’identification de votre structure vous devez ajouter celles relatives à votre hébergeur du site internet : nom, adresse et numéro SIRET

Obligations spécifiques à certaines activités

Selon son activité, le site professionnel doit aussi contenir les informations suivantes :

• Activités commerciales : numéro d’inscription au registre du commerce et des sociétés (RCS) et si vous en avez un, numéro de TVA intracommunautaire
• Activités artisanales : numéro d’immatriculation au répertoire des métiers (RM)
• Activités éditoriales : pour les sites proposant des articles, des blogs et autres informations : nom du directeur, codirecteur ou responsable de la publication
• Activités soumises à un régime d’autorisation : nom et adresse de l’autorité ayant délivré l’autorisation d’exercer

Les mentions relatives à l’utilisation des données personnelle et à la gestion des cookies

Depuis l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les sites (et plus largement toute personne ou organisation collectant des données personnelles) doivent recenser les traitements faits et mettre en œuvre les droits assurés par le RGPD.

Les données personnelles sont toute information se rapportant à une personne physique : le nom, prénom, adresse, numéro de téléphone… Le RGPD distingue deux situations :

• La personne physique est identifiée directement : collecte directe des données de l’utilisateur, par l’utilisateur par exemple via le remplissage d’un formulaire ou au travers de l’observation de son activité (géolocalisation, adresse IP…)
•  La personne physique est identifiable indirectement : données récupérées auprès de partenaires commerciaux ou collecte de données qui permettent indirectement de retrouver des données personnelles des utilisateurs

Dans ces deux cas, le site internet doit obligatoirement contenir un certain nombre d’informations.

A noter : afin de renseigner les internautes sur les modalités de traitement et de conservation de leurs données, vous pouvez choisir, de mettre à disposition ces informations à la suite des mentions d’identification, sur la même page, ou bien dans une page dédiée que vous pourrez nommer par exemple Politique de confidentialité ou encore Charte sur le respect de la vie privée.

Les finalités de la collecte des données par les cookies

Pour analyser le comportement des internautes, comme par exemple leurs navigations, leurs habitudes de consommation, leurs déplacements… les sites utilisent de petit fichier déposé sur l’ordinateur de l’internaute : le cookie.

On distingue :

• Les cookies « nécessaires » au bon fonctionnement du site internet. Ils permettent par exemple d’enregistrer un panier d’achat, des identifiants de connexion ou de suivre les actions d’un internaute sur le site web
• Les autres cookies, internes ou externes, qui collectent des données personnelles de l’utilisateur pour suivre le comportement de l’utilisateur et servir à des finalités publicitaires

A l’exception des cookies nécessaires au fonctionnement du site internet, l’utilisation de tous les autres cookies doit être expliquée de manière claire et précise à tous les utilisateurs du site internet.

De plus, il est obligatoire de demander un consentement préalable au traitement de ces données personnelles. C’est la fenêtre qui s’affiche quand vous visitez un site pour première fois et qui vous demande si vous acceptez les conditions (relatives à la gestion de vos données personnelles) du site.

A ce sujet, la Cnil insiste sur la nécessité que le recueillement du consentement des internautes offre la même simplicité pour le refus que  pour l'approbation.

Pour plus d’informations sur la mise en conformité de l’utilisation des cookies sur un site web, vous pouvez vous rendre sur les sites suivants :

• Cookies et traceurs : comment mettre mon site web en conformité ? (Cnil.fr)
• Cookies et traceurs : que dit la loi ? (Cnil.fr)
• Utilisation de données personnelles : vos obligations d'information vis-à-vis de l'internaute (Economie.gouv.fr)
• Refuser les cookies doit être aussi simple qu'accepter : bilan de la deuxième campagne de mises en demeure et actions à venir (Cnil.fr)

La base juridique du traitement de données

Les mentions légales doivent préciser, conformément au RGPD, sur quelle base légale s’appuient les traitements de données mis en œuvre sur votre site.

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :   

• le consentement : la personne a consenti au traitement de ses données ;
• le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
• l’obligation légale : le traitement est imposé par des textes légaux ;
• la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
• la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

La base légale la plus couramment utilisée est le consentement. Il assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :

• de comprendre le traitement qui sera fait de leurs données ;
• de choisir sans contrainte d’accepter ou non ce traitement ;
• de changer d’avis librement.

Vous pouvez consulter, à titre d’illustration, la page dédiée à la Charte du respect de la vie privée de Legalstart, plateforme de services juridiques en ligne à destination des TPE/PME

Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :

• Comprendre le RGPD - Les bases légales
• Prendre en compte les bases légales dans l’implémentation technique
• La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
   

Les destinataires des données personnelles

Il s’agit des personnes qui ont connaissance des données personnelles collectées. Dans le cas d’un site internet professionnel, il s’agit le plus souvent de la société éditrice du site et de l’hébergeur du site.

Dans cette partie des mentions légales, il convient aussi d’indiquer s’il y a des transferts des données personnelles hors Union européenne. Tel est notamment le cas lorsque le site internet est hébergé par un hébergeur étranger qui a des serveurs hors Union européenne. Cela peut aussi être le cas si vous utilisez des outils proposés par des entreprises tierces à l’Union, comme par exemple Google Analytics.

Les droits des utilisateurs sur leurs données personnelles

Conformément au RGPD, les mentions légales doivent informer les utilisateurs sur leurs droits (droit d’accès, de rectification, d’opposition, d’effacement…). Un utilisateur peut par exemple décider de retirer son consentement.

Il est également important d’indiquer une adresse mail ou une adresse postale que la personne peut utiliser pour exercer ses droits. Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPD) (Cnil.fr) que vous aurez dû désigner.

Dans la plupart des cas, les petites structures dont les traitements sont limités en volume, peuvent se contenter d’indiquer l’adresse d’une boite mail dédiée aux échanges relatifs aux données personnelles.  

Pour en savoir plus :

• Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?
• Les droits pour maîtriser vos données personnelles ! (Cnil.fr)

Des mentions annexes peuvent s’imposer :

Pour prévenir d’éventuels litiges avec les utilisateurs de votre site, vous pouvez rédiger des conditions générales d’utilisation (CGU). Elles constituent un document contractuel. En les acceptants l’utilisateur s’engage à respecter un certain nombre de règles. Les CGU  ne sont pas obligatoires : pour en savoir plus, lire notre article :

• Rédiger des conditions générales d’utilisation (CGU) pour son site internet professionnel

Les sites marchands, notamment les sites de «e-commerce » proposant des services de vente et paiement en ligne et des services de livraisons de biens, doivent faire apparaître leurs Conditions générales de vente : pour en savoir plus, lire notre article :

• Rédiger des conditions générales de vente (CGV) sur son site internet professionnel