Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 13 avril 2026
Accueil/RGPD/Mentions légales RGPD : guide et modèles
RGPD

Mentions légales RGPD : guide et modèles

Mentions légales et RGPD : obligations, modèles et erreurs à éviter. Guide pratique pour mettre votre site en conformité avec la LCEN et le RGPD.

Par Thiebaut DevergrannePublie le 11 avril 2026Mis a jour le 11 avril 202610 min de lecture
Sommaire
  1. Mentions légales et RGPD : deux obligations distinctes
  2. Les mentions légales obligatoires (LCEN)
  3. Les obligations d’information RGPD (articles 13 et 14)
  4. Structure recommandée pour un site conforme
  5. Erreurs fréquentes à éviter
  6. Modèle de mentions légales
  7. Modèle de clause d’information RGPD (formulaire)
  8. Ce qu’il faut retenir
  9. FAQ

La CNIL a intensifié ses contrôles automatisés sur les sites web depuis 2024, et les mentions légales figurent parmi les premiers éléments vérifiés. Pourtant, la confusion entre mentions légales au sens de la LCEN et obligations d’information du RGPD reste massive : 60 % des PME mélangent les deux ou omettent l’un des volets. Voici ce que vous devez afficher — et comment structurer vos pages pour être réellement conforme.

Mentions légales et RGPD : deux obligations distinctes

C’est un point fondamental que beaucoup de sites négligent. Les mentions légales au sens strict sont imposées par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004. Le RGPD, lui, impose des obligations d’information spécifiques sur le traitement des données personnelles, détaillées aux articles 13 et 14.

En pratique, un site internet conforme doit donc comporter au minimum :

  • Une page de mentions légales (LCEN, art. 6-III)
  • Une politique de confidentialité (RGPD, art. 13 et 14)
  • Un bandeau cookies conforme aux recommandations CNIL (directive ePrivacy)

Ces trois éléments répondent à des textes différents, avec des exigences propres. Les regrouper dans une seule page fourre-tout est une erreur fréquente — et un signal de non-conformité pour la CNIL.

Les mentions légales obligatoires (LCEN)

La LCEN distingue les personnes physiques et morales. Dans mon expérience de conseil, je constate que les mentions les plus souvent oubliées sont celles relatives à l’hébergeur et au directeur de publication.

Pour une personne morale (entreprise, association)

Les mentions obligatoires sur un site internet comprennent :

  • Raison sociale et forme juridique (SARL, SAS, association loi 1901, etc.)
  • Adresse du siège social
  • Numéro de téléphone et adresse email de contact
  • SIRET et numéro d’inscription au RCS ou au répertoire des métiers
  • Capital social
  • Nom du directeur de la publication (ou du responsable de la rédaction)
  • Nom, adresse et numéro de téléphone de l’hébergeur
  • Numéro de TVA intracommunautaire (si assujetti)

Pour les professions réglementées (avocats, experts-comptables, médecins), il faut ajouter la référence aux règles professionnelles applicables et le nom de l’ordre ou de l’autorité ayant délivré l’autorisation d’exercer.

Pour un auto-entrepreneur ou une personne physique

L’obligation est allégée : nom, prénom, domicile (ou adresse du siège si activité professionnelle), et coordonnées de l’hébergeur. La LCEN permet de ne pas afficher l’adresse personnelle à condition d’avoir désigné un intermédiaire (l’hébergeur, par exemple) pour recevoir les notifications.

Sanctions en cas d’absence

L’absence de mentions légales est punie d’un an d’emprisonnement et de 75 000 € d’amende pour les personnes physiques (LCEN, art. 6-VI-2), et de 375 000 € pour les personnes morales. Ce n’est pas théorique : la DGCCRF procède régulièrement à des contrôles, notamment sur les sites e-commerce. L’article mentions légales absentes : 5 000 € la ligne détaille un cas concret.

Les obligations d’information RGPD (articles 13 et 14)

C’est ici que la plupart des sites sont défaillants. Le RGPD impose, au moment de la collecte des données personnelles, de fournir une liste d’informations précises. En pratique, cette obligation se matérialise par une politique de confidentialité distincte des mentions légales.

Informations obligatoires (Art. 13 RGPD)

Lorsque vous collectez des données directement auprès de la personne concernée (formulaire de contact, newsletter, création de compte), l’article 13 du RGPD impose de communiquer :

  1. L’identité et les coordonnées du responsable de traitement — Nom de l’entreprise, adresse, email du contact RGPD
  2. Les coordonnées du DPO si vous en avez désigné un
  3. Les finalités du traitement et la base légale — Pour chaque traitement, précisez pourquoi vous collectez les données et sur quel fondement juridique (consentement, contrat, intérêt légitime, etc.)
  4. Les intérêts légitimes poursuivis si c’est la base légale retenue
  5. Les destinataires des données (sous-traitants, partenaires)
  6. Les transferts hors UE éventuels et les garanties appliquées (clauses contractuelles types, décision d’adéquation)
  7. La durée de conservation ou les critères pour la déterminer
  8. Les droits des personnes : accès, rectification, effacement, limitation, portabilité, opposition
  9. Le droit de retirer son consentement à tout moment (si le traitement est fondé sur le consentement)
  10. Le droit d’introduire une réclamation auprès de la CNIL
  11. Le caractère obligatoire ou facultatif de la collecte et les conséquences d’un refus
  12. L’existence d’une prise de décision automatisée (profilage)

C’est une liste longue, mais chaque élément est exigé par le texte. Les politiques de confidentialité « copier-coller » de trois paragraphes ne satisfont pas cette obligation — et l’EDPB a annoncé que la transparence (art. 12-14) est la priorité d’action coordonnée 2026 des autorités européennes.

Informations obligatoires pour la collecte indirecte (Art. 14 RGPD)

Si vous obtenez des données personnelles autrement que directement auprès de la personne (achat de fichier, scraping, données fournies par un partenaire), l’article 14 impose les mêmes informations que l’article 13, plus :

  • La source des données (et si elles proviennent de sources accessibles au public)
  • Les catégories de données concernées

L’information doit être fournie dans un délai raisonnable (un mois maximum) ou au moment du premier contact avec la personne.

Structure recommandée pour un site conforme

Ayant travaillé 6 ans au sein de la DCSSI puis accompagné des centaines de sites dans leur mise en conformité, voici la structure que je recommande :

Page 1 : Mentions légales

Page dédiée, accessible depuis le footer. Contenu : uniquement les informations LCEN (identité, hébergeur, directeur de publication). Pas de mélange avec le RGPD.

Page 2 : Politique de confidentialité

Page séparée, accessible depuis le footer et depuis tout formulaire de collecte. Contenu : toutes les informations des articles 13 et 14 du RGPD, organisées par traitement.

Je recommande de structurer cette page par finalité de traitement :

  • Gestion des demandes de contact
  • Envoi de la newsletter
  • Gestion des comptes clients
  • Analyse d’audience (cookies)
  • Prospection commerciale

Pour chaque finalité, précisez : base légale, données collectées, destinataires, durée de conservation, transferts éventuels.

Page 3 : Politique cookies

Liée au bandeau cookies, cette page détaille les cookies utilisés, leur finalité, leur durée, et les modalités de gestion du consentement. La CNIL exige que le refus soit aussi simple que l’acceptation — les dark patterns sont interdits.

Mentions contextuelles

En plus de ces pages, le RGPD exige des mentions d’information au point de collecte. Sous chaque formulaire, ajoutez un court texte avec les informations essentielles et un lien vers la politique de confidentialité complète. Par exemple :

Vos données sont traitées par [Entreprise] pour répondre à votre demande de contact (base légale : intérêt légitime, art. 6(1)(f) RGPD). En savoir plus

Pour un guide complet sur la conformité de votre site, consultez notre checklist RGPD site web.

Erreurs fréquentes à éviter

1. Confondre mentions légales et politique de confidentialité

Ce sont deux documents distincts, fondés sur des textes différents (LCEN vs RGPD). Les fusionner dans une seule page rend l’information confuse et ne satisfait ni l’un ni l’autre.

2. Le numéro de déclaration CNIL

Depuis l’entrée en application du RGPD en mai 2018, les déclarations à la CNIL n’existent plus. Si votre site affiche encore un « numéro de déclaration CNIL », supprimez-le — il signale un site non mis à jour depuis au moins 8 ans.

3. Des formulations vagues sur les finalités

« Nous collectons vos données pour améliorer nos services » ne satisfait pas l’exigence de l’article 13. La CNIL attend des finalités précises et explicites : « Gestion des demandes de contact via le formulaire de la page Contact » est conforme. « Améliorer votre expérience » ne l’est pas.

4. Oublier les sous-traitants

Votre hébergeur, votre outil d’emailing, votre CRM, votre solution analytics — tous sont des destinataires au sens du RGPD. La politique de confidentialité doit les mentionner, au minimum par catégorie (« prestataire d’hébergement situé en France », « outil d’analyse d’audience conforme RGPD »).

5. Ne pas mentionner les transferts hors UE

Si vous utilisez Google Analytics, Mailchimp, HubSpot ou tout outil américain, il y a transfert de données hors UE. La politique de confidentialité doit l’indiquer et préciser les garanties (EU-US Data Privacy Framework, clauses contractuelles types).

Modèle de mentions légales

Voici un modèle de mentions légales pour une entreprise (LCEN). Adaptez les éléments entre crochets.

Éditeur du site : [Raison sociale], [forme juridique] au capital de [montant] € Siège social : [adresse] Immatriculée au RCS de [ville] sous le numéro [numéro] SIRET : [numéro] N° TVA intracommunautaire : [numéro] Directeur de la publication : [Prénom Nom] Contact : [email] — [téléphone]

Hébergeur : [Nom de l’hébergeur], [adresse], [téléphone]

Pour un générateur de mentions légales automatisé, consultez notre outil gratuit.

Modèle de clause d’information RGPD (formulaire)

Pour vos formulaires de collecte (exemples de formulaires RGPD conformes), voici un modèle de mention d’information courte :

Les données collectées via ce formulaire sont traitées par [Entreprise], responsable de traitement, pour [finalité]. La base légale est [votre consentement / l’exécution du contrat / notre intérêt légitime à…]. Elles sont conservées [durée] et ne sont pas transférées hors de l’Union européenne. Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Pour exercer ces droits, contactez [email DPO]. Vous pouvez également introduire une réclamation auprès de la CNIL. Pour en savoir plus, consultez notre [politique de confidentialité].

Ce qu’il faut retenir

  • Les mentions légales (LCEN) et la politique de confidentialité (RGPD) sont deux obligations distinctes qui nécessitent des pages séparées.
  • L’article 13 du RGPD impose 12 catégories d’informations à fournir au moment de chaque collecte de données personnelles.
  • Structurez votre politique de confidentialité par finalité de traitement, pas en recopiant le texte du RGPD.
  • Ajoutez des mentions d’information courtes sous chaque formulaire, avec un lien vers la politique complète.
  • La transparence (art. 12-14) est la priorité d’action coordonnée 2026 de l’EDPB — les contrôles vont s’intensifier.

FAQ

Les mentions légales et la politique de confidentialité sont-elles la même chose ?

Non. Les mentions légales sont imposées par la LCEN (loi de 2004) et concernent l’identification de l’éditeur du site et de l’hébergeur. La politique de confidentialité est imposée par le RGPD (art. 13-14) et porte sur le traitement des données personnelles. Ce sont deux documents juridiquement distincts, fondés sur des textes différents.

Faut-il encore afficher un numéro de déclaration CNIL ?

Non. Depuis l’entrée en application du RGPD le 25 mai 2018, les déclarations préalables à la CNIL ont été supprimées. Afficher un ancien numéro de déclaration signale un site non mis à jour et peut être perçu comme un indicateur de non-conformité par les autorités de contrôle.

Quelle est la sanction si mes mentions légales sont absentes ?

L’absence de mentions légales est une infraction pénale : 1 an d’emprisonnement et 75 000 € d’amende pour les personnes physiques, 375 000 € pour les personnes morales (LCEN, art. 6-VI-2). Côté RGPD, un défaut d’information peut entraîner une amende administrative allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (art. 83(5)(b) RGPD).

Où placer les mentions légales et la politique de confidentialité sur mon site ?

Les deux doivent être accessibles depuis toutes les pages, typiquement via un lien dans le footer. La politique de confidentialité doit en plus être accessible depuis chaque point de collecte de données (formulaires, inscription newsletter, création de compte). La CNIL vérifie cette accessibilité lors de ses contrôles automatisés.

Recevez nos analyses conformité chaque semaine — inscrivez-vous à la newsletter.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Charte informatique RGPD : guide pratique

13 avril 2026 · 11 min
RGPD

Legiscope vs Vanta : comparatif RGPD 2026

12 avril 2026 · 12 min
RGPD

Co-responsabilité RGPD : article 26 en pratique

11 avril 2026 · 10 min