CGV et RGPD : les mentions obligatoires

L’articulation entre les conditions generales de vente et le RGPD constitue un point de vigilance majeur pour tout site e-commerce ou prestataire de services. Les mentions RGPD obligatoires ne sont pas une option : les articles 13 et 14 du reglement imposent au responsable de traitement de fournir une information complete, transparente et facilement accessible aux personnes dont les donnees sont collectees. L’absence de ces mentions ou leur caractere insuffisant constitue un manquement sanctionnable par la CNIL, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Dans les CGV e-commerce comme dans les CGV de prestation de service, la question des donnees personnelles doit etre traitee de maniere rigoureuse. Cet article detaille les mentions a integrer, leur contenu et les bonnes pratiques de presentation.

Le cadre legal : pourquoi des mentions RGPD dans les CGV

L’obligation de transparence du RGPD

Le principe de transparence constitue l’un des principes fondamentaux du RGPD (article 5.1.a). Il impose au responsable de traitement de fournir aux personnes concernees une information claire, concise, transparente, comprehensible et aisement accessible sur le traitement de leurs donnees personnelles.

Les articles 13 et 14 du RGPD detaillent les informations qui doivent etre fournies selon que les donnees sont collectees directement aupres de la personne (article 13) ou indirectement (article 14). Le non-respect de ces obligations constitue une infraction au RGPD, independamment de la conformite par ailleurs du traitement.

L’integration dans les CGV ou dans un document separe

Deux approches sont possibles pour integrer les mentions RGPD :

L’integration directe dans les CGV : un article dedie aux donnees personnelles figure dans les conditions generales. Cette approche a l’avantage de centraliser les informations contractuelles et reglementaires dans un document unique.

Le renvoi vers une politique de confidentialite separee : les CGV contiennent un article de renvoi vers un document specifique (politique de confidentialite ou politique de protection des donnees). Cette approche est generalement recommandee pour les traitements complexes, car elle permet de detailler l’ensemble des informations sans alourdir les CGV.

Quelle que soit l’approche retenue, l’information doit etre facilement accessible, clairement identifiee et consultable a tout moment par la personne concernee. Un simple lien hypertexte dans les CGV vers une politique de confidentialite inexistante ou incomplete ne satisfait pas aux exigences du RGPD.

Les mentions obligatoires au titre de l’article 13 du RGPD

L’identite et les coordonnees du responsable de traitement

La premiere mention obligatoire est l’identification du responsable de traitement :

• Denomination sociale et forme juridique ;
• Adresse du siege social ;
• Coordonnees de contact (adresse electronique, telephone) ;
• Numero d’immatriculation (RCS, SIRET).

Si un delegue a la protection des donnees (DPO) a ete designe, ses coordonnees doivent egalement etre fournies.

Les finalites du traitement et la base legale

Pour chaque traitement de donnees personnelles, les mentions doivent indiquer la finalite du traitement (le pourquoi) et la base legale (le fondement juridique). Les six bases legales prevues par l’article 6 du RGPD sont le consentement, l’execution du contrat, l’obligation legale, la sauvegarde des interets vitaux, la mission d’interet public, et l’interet legitime.

Pour un site e-commerce, les traitements les plus courants sont :

Traitement	Finalite	Base legale
Gestion des commandes	Traitement et suivi de la commande	Execution du contrat
Facturation	Etablissement et conservation des factures	Obligation legale
Livraison	Organisation de la livraison	Execution du contrat
Service client	Traitement des reclamations	Execution du contrat
Newsletter marketing	Envoi de communications commerciales	Consentement
Prospection commerciale	Envoi d’offres et promotions	Interet legitime (clients existants)
Comptabilite	Tenue des comptes	Obligation legale
Cookies analytiques	Mesure d’audience	Consentement

Lorsque la base legale est l’interet legitime, les mentions doivent indiquer la nature de l’interet poursuivi.

Les destinataires des donnees

Les mentions doivent indiquer les categories de destinataires des donnees personnelles. En e-commerce, les destinataires courants incluent les prestataires de paiement, les transporteurs et prestataires logistiques, les prestataires d’hebergement, les outils d’emailing, les prestataires de service client, les autorites fiscales, et les sous-traitants techniques (maintenance, securite).

Il n’est pas necessaire de nommer chaque destinataire : l’indication des categories suffit, sauf si la communication est susceptible d’affecter significativement les personnes concernees.

Les transferts hors Union europeenne

Si des donnees personnelles sont transferees vers des pays situes en dehors de l’Union europeenne, les mentions doivent indiquer les pays concernes, le mecanisme de transfert utilise (decision d’adequation, clauses contractuelles types, regles d’entreprise contraignantes), et les moyens d’obtenir une copie des garanties appropriees.

Ce point est particulierement important pour les sites e-commerce qui utilisent des services cloud americains (AWS, Google Cloud, Stripe, Mailchimp) ou des outils d’analyse (Google Analytics). Le cadre de protection des donnees UE-Etats-Unis (Data Privacy Framework) adopte par la Commission europeenne en juillet 2023 constitue un mecanisme de transfert pour les entreprises americaines auto-certifiees.

La duree de conservation

Les mentions doivent indiquer la duree de conservation des donnees ou, si cela n’est pas possible, les criteres utilises pour determiner cette duree. Les durees de conservation courantes en e-commerce sont les suivantes :

• Donnees clients actifs : pendant la duree de la relation commerciale ;
• Donnees de commande : 5 ans apres la derniere commande (prescription civile) ;
• Donnees de facturation : 10 ans (obligation comptable) ;
• Donnees de prospection : 3 ans apres le dernier contact ;
• Donnees des comptes inactifs : suppression apres 3 ans d’inactivite ;
• Cookies : 13 mois maximum (recommandation CNIL).

Les droits des personnes

Les mentions doivent informer les personnes de l’existence de leurs droits et des modalites de leur exercice :

• Droit d’acces (article 15) : obtenir la confirmation du traitement et une copie des donnees ;
• Droit de rectification (article 16) : corriger des donnees inexactes ;
• Droit a l’effacement (article 17) : obtenir la suppression des donnees ;
• Droit a la limitation (article 18) : obtenir la limitation du traitement ;
• Droit a la portabilite (article 20) : recevoir ses donnees dans un format structure ;
• Droit d’opposition (article 21) : s’opposer au traitement fonde sur l’interet legitime ;
• Droit de retirer le consentement : a tout moment et sans motif ;
• Droit d’introduire une reclamation aupres de la CNIL.

Les mentions doivent preciser les modalites pratiques d’exercice des droits (adresse electronique dediee, formulaire en ligne, adresse postale).

Le caractere obligatoire ou facultatif de la collecte

Pour les formulaires de collecte de donnees (inscription, commande, contact), les mentions doivent preciser quels champs sont obligatoires et quels champs sont facultatifs, ainsi que les consequences en cas de non-fourniture des donnees obligatoires (impossibilite de traiter la commande, par exemple).

Les mentions complementaires selon les traitements

Les cookies et traceurs

Les mentions relatives aux cookies doivent figurer dans une politique de cookies dediee ou dans la politique de confidentialite. Elles doivent couvrir la nature des cookies utilises (fonctionnels, analytiques, publicitaires), les finalites de chaque categorie de cookies, la duree de vie des cookies, les modalites de refus et de gestion des preferences, et les tiers beneficiaires des cookies.

La CNIL impose un consentement prealable pour les cookies non essentiels, et un mecanisme de refus aussi simple que le mecanisme d’acceptation.

Le profilage et la prise de decision automatisee

Si le site e-commerce utilise des systemes de profilage ou de prise de decision automatisee (scoring credit, personnalisation des offres, detection de fraude), les mentions doivent informer les personnes de l’existence d’un tel traitement, de la logique sous-jacente, et de l’importance et des consequences envisagees du traitement. Cette obligation rejoint les exigences du AI Act en matiere de transparence pour les systemes d’IA.

Les programmes de fidelite

Les programmes de fidelite impliquant la collecte et l’analyse de donnees d’achat doivent faire l’objet de mentions specifiques couvrant les finalites du programme, les donnees collectees et analysees, les durees de conservation, et les conditions de desabonnement.

Les erreurs les plus frequentes

L’absence totale de mention

Certains sites e-commerce ne contiennent aucune mention relative aux donnees personnelles, ni dans leurs CGV ni dans un document separe. Ce manquement est le plus grave et le plus facilement sanctionne par les autorites de controle.

Les mentions generiques et non specifiques

Des mentions telles que “vos donnees sont traitees conformement au RGPD” ou “nous respectons votre vie privee” ne satisfont pas aux exigences des articles 13 et 14. L’information doit etre specifique a chaque traitement, avec les finalites, bases legales, durees et destinataires precis.

L’absence de mise a jour

Des mentions rediges lors de la creation du site et jamais mises a jour constituent un risque important, notamment en cas de modification des traitements, d’ajout de nouveaux prestataires, ou d’evolution de la legislation. Un audit annuel des mentions RGPD est recommande, en coherence avec la mise a jour des CGV.

La confusion entre clause de consentement et information

Une case a cocher dans le processus de commande indiquant “j’accepte le traitement de mes donnees personnelles” ne constitue ni une information adequte ni un consentement valide au sens du RGPD. L’information doit etre accessible independamment de tout mecanisme de consentement, et le consentement ne peut etre requis que pour les traitements qui reposent effectivement sur cette base legale. Le delai de retractation s’applique au contrat, pas au consentement RGPD.

FAQ

Les mentions RGPD doivent-elles obligatoirement figurer dans les CGV ?

Non. Le RGPD n’impose pas que les mentions figurent dans les CGV. Il exige que l’information soit fournie de maniere claire, transparente et facilement accessible. Les mentions peuvent figurer dans un document separe (politique de confidentialite) accessible par un lien permanent sur le site. L’essentiel est que le client puisse y acceder facilement, a tout moment, et avant la collecte de ses donnees. En pratique, un renvoi clair dans les CGV vers la politique de confidentialite est une bonne pratique.

Quelles sanctions encourt un site e-commerce qui ne respecte pas les mentions obligatoires RGPD ?

Le defaut d’information des personnes constitue un manquement aux articles 13 et 14 du RGPD, sanctionne par une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En pratique, la CNIL a prononce de nombreuses sanctions pour defaut de transparence, y compris contre des sites e-commerce. Les montants des amendes varient selon la gravite du manquement, le nombre de personnes concernees, et les mesures correctives mises en oeuvre. Au-dela de la sanction financiere, une mise en demeure publique peut porter atteinte a la reputation du site.

Faut-il recueillir le consentement pour chaque traitement de donnees dans les CGV ?

Non. Le consentement n’est qu’une des six bases legales prevues par le RGPD. De nombreux traitements realises dans le cadre d’une vente en ligne reposent sur l’execution du contrat (traitement de la commande, livraison) ou sur l’obligation legale (facturation, conservation comptable). Le consentement est requis principalement pour l’envoi de newsletters a des prospects (non-clients), le depot de cookies non essentiels, et les traitements fondes sur le consentement dans la politique de confidentialite. L’important est de bien identifier la base legale pour chaque traitement et de la mentionner dans les informations fournies.