Quelles informations sont obligatoires dans les mentions légales d’un site ?
En bref : Les mentions légales d'un site web sont obligatoires en France depuis la loi LCEN du 21 juin 2004 (article 6 III). L'absence de mentions légales expose l'éditeur à une amende pouvant atteindre 75 000 € pour une personne morale. Pour les entreprises, les mentions doivent inclure la dénomination sociale, le numéro SIREN, l'adresse, l'hébergeur, et le responsable de publication. Un simple modèle copié sans adaptation reste insuffisant si les informations ne correspondent pas à la réalité.
Les mentions légales d'un site web ne sont pas une formalité accessoire — elles constituent une obligation légale dont le non-respect est sanctionné pénalement. Pourtant, de nombreux sites professionnels affichent des mentions légales incomplètes, comportant des informations fictives ou simplement copiées depuis un autre site. Ce guide détaille ce que la loi impose réellement, en distinguant les obligations selon le statut de l'éditeur (particulier, professionnel, association) et le type de site (informatif, e-commerce, blog).
Le cadre légal : LCEN et obligations d'identification
La loi pour la Confiance dans l'Économie Numérique (LCEN) du 21 juin 2004 distingue deux catégories d'éditeurs. Les éditeurs non professionnels (particuliers publiant à titre privé) peuvent garder leur identité anonyme en transmettant leurs coordonnées à leur hébergeur, qui les communiquera aux autorités en cas de besoin. Les éditeurs professionnels (entreprises, commerçants, associations, professions libérales, auto-entrepreneurs) ont l'obligation d'identifier complètement le responsable de publication et l'entreprise éditrice.
Le Règlement Général sur la Protection des Données (RGPD) entré en application en mai 2018 a ajouté une couche d'obligations : tout site collectant des données personnelles (formulaire de contact, newsletter, analytics, cookies) doit informer les utilisateurs via une politique de confidentialité détaillée. Cette politique, souvent intégrée aux mentions légales ou publiée séparément, n'est pas facultative — c'est une exigence du RGPD dont la CNIL peut sanctionner le non-respect.
Les mentions obligatoires pour une entreprise
Pour un site édité par une entreprise (SARL, SAS, SA, EURL ou autre forme), les mentions légales doivent obligatoirement indiquer : la dénomination sociale (nom de l'entreprise tel qu'il figure au Kbis, avec la forme juridique), le numéro SIREN ou SIRET, le numéro de TVA intracommunautaire si l'entreprise est assujettie, l'adresse du siège social complète, le capital social, les coordonnées de contact (email et/ou téléphone — au moins un moyen de contact direct), le nom du responsable de publication (généralement le directeur général ou le gérant), et les informations sur l'hébergeur (nom, adresse, contact).
Pour les sites e-commerce (vendant des produits ou services aux consommateurs), des mentions supplémentaires s'imposent : les CGV accessibles avant l'achat, la procédure de médiation (obligation depuis 2016 : tout professionnel doit proposer un médiateur de la consommation à ses clients), les numéros d'immatriculation professionnelle pour les professions réglementées (numéro ORIAS pour les assurances, numéro de carte professionnelle pour les agents immobiliers), et pour les auto-entrepreneurs, la mention de leur assurance professionnelle si l'activité l'impose.
| Mention | Particulier | Entreprise | E-commerce |
|---|---|---|---|
| Identité de l'éditeur | Via hébergeur (anonymat possible) | Obligatoire (dénomination, SIREN) | Obligatoire |
| Adresse siège social | Non | Obligatoire | Obligatoire |
| Capital social | Non | Obligatoire (sociétés) | Obligatoire |
| Hébergeur | Obligatoire | Obligatoire | Obligatoire |
| CGV | Non | Si vente aux professionnels | Obligatoire |
| Médiateur consommation | Non | Si vente B2C | Obligatoire |
| Politique RGPD/cookies | Si collecte données | Si collecte données | Obligatoire |
La politique de confidentialité et les cookies
Le RGPD impose qu'avant tout dépôt de cookie non strictement nécessaire (analytics, publicité, réseaux sociaux), l'utilisateur soit informé et donne son consentement éclairé. La CNIL a précisé en 2020 que les bandeaux cookies doivent permettre de refuser aussi facilement qu'accepter — un bouton "Accepter" bien visible et un bouton "Refuser" difficile à trouver ne respecte pas cette exigence. Les amendes pour non-conformité RGPD peuvent être substantielles : Google a été condamné à 150 millions d'euros par la CNIL en 2022 pour son bandeau cookies.
La politique de confidentialité doit identifier le responsable du traitement, les catégories de données collectées, les finalités de chaque traitement (analyse du trafic, prospection, facturation), la base légale de chaque traitement (consentement, intérêt légitime, obligation légale), les destinataires des données (hébergeur, outil analytics, CRM), la durée de conservation, et les droits des utilisateurs (accès, rectification, effacement, portabilité). Un générateur en ligne (RGPD.io, Iubenda, CookieBot) peut aider à structurer ces informations correctement.
Les erreurs les plus fréquentes
La première erreur est d'afficher un numéro SIREN fictif ou celui d'une autre entreprise. C'est une infraction distincte (faux en écriture) en plus du non-respect de la LCEN. La deuxième est de ne pas mettre à jour les mentions après un changement de dirigeant, d'adresse ou de forme juridique. La troisième est d'indiquer un hébergeur incorrect ou obsolète — l'hébergeur mentionné doit être celui qui héberge réellement le site au moment de la consultation.
En e-commerce, l'erreur la plus risquée est l'absence de médiateur de consommation. Depuis l'ordonnance du 20 août 2015, tout professionnel vendant à des consommateurs est tenu d'indiquer les coordonnées d'un médiateur auquel le consommateur peut recourir gratuitement en cas de litige non résolu. La DGCCRF sanctionne régulièrement les e-commerçants qui négligent cette obligation. La liste des médiateurs sectoriels agréés est disponible sur le site de la Commission d'Évaluation et de Contrôle de la Médiation de la Consommation (CECMC).
Questions fréquentes sur les mentions légales
Un blog personnel doit-il avoir des mentions légales ?
Oui, dès lors que le blog est accessible au public sur internet. Un particulier peut opter pour l'anonymat en transmettant ses coordonnées à son hébergeur (la LCEN l'y autorise), mais doit obligatoirement indiquer les coordonnées de l'hébergeur. Si le blog est monétisé (publicité, affiliation, vente de produits), il devient une activité professionnelle qui impose les mentions légales complètes d'un éditeur professionnel.
Les mentions légales doivent-elles être accessibles depuis toutes les pages ?
La loi n'impose pas que les mentions légales soient en bas de chaque page, mais elles doivent être "facilement accessibles" depuis n'importe quelle page du site. La pratique standard est un lien en pied de page sur toutes les pages du site. Un lien nommé "Mentions légales" dans le footer, visible sans défilement sur la page d'accueil, satisfait cette exigence.
Un site en sous-domaine ou en version test doit-il avoir des mentions légales ?
Si le sous-domaine ou la version test est accessible publiquement (sans protection par mot de passe), les obligations légales s'appliquent de la même façon. Pour éviter cette contrainte, les versions de développement ou de test doivent être protégées par un mot de passe ou accessibles uniquement depuis des adresses IP autorisées, les rendant non accessibles au grand public et donc hors du champ d'application de la LCEN.
Sources : Loi LCEN n°2004-575 du 21 juin 2004, art. 6 III, RGPD, Règlement UE 2016/679, CNIL, guide mentions légales et RGPD, DGCCRF, guide obligations e-commerçants
