Politique de confidentialité et mentions légales : ce que la loi exige vraiment

Table des matières

TL;DR — Points clés

À retenir de cet article

Deux documents distincts, deux fondements juridiques
Les mentions légales relèvent de la LCEN (identité de l'éditeur et de l'hébergeur) ; la politique de confidentialité relève du RGPD (information sur les traitements).
L'information doit être concise et accessible
Le RGPD (art. 12-14) impose une information concise, transparente, compréhensible et aisément accessible, à proximité des points de collecte.
Un moyen concret d'exercer ses droits
Indiquer les six droits ne suffit pas : il faut un canal réel (email, formulaire, adresse) pour les exercer, et mentionner le droit de réclamation auprès de la CNIL.
L'obligation de mentions légales a été recodifiée
Depuis la loi SREN de 2024, l'obligation figure à l'article 1-1 de la LCEN (et non plus à l'ancien article 6 III).
Une notice de premier niveau sur chaque formulaire
Au point de collecte, une mention courte (finalité, base légale, droits) avec un lien vers la politique complète est attendue.

Deux pages, souvent reléguées en pied de site, concentrent une part importante du risque RGPD : les mentions légales et la politique de confidentialité. On les confond fréquemment ; elles répondent pourtant à deux logiques juridiques distinctes. Voici ce que la loi exige réellement en 2026 — et comment vérifier que vos pages sont à la hauteur.

Deux documents, deux fondements

Les mentions légales relèvent de la loi pour la confiance dans l’économie numérique (LCEN). Depuis la loi SREN de 2024, l’obligation figure à l’article 1-1 de la LCEN (et non plus à l’ancien article 6 III). Elles servent à identifier qui édite et qui héberge le site.

La politique de confidentialité relève du RGPD (articles 12 à 14). Elle informe les personnes sur les traitements de leurs données : qui, pourquoi, sur quelle base, pour combien de temps, avec quels droits.

Ce sont deux documents distincts. La bonne pratique : deux liens séparés en pied de page, présents sur tout le site.

Ce que doivent contenir les mentions légales

Pour une personne morale : dénomination sociale, forme juridique, adresse du siège, capital social, numéro RCS et ville d’immatriculation, SIREN/SIRET, numéro de TVA intracommunautaire, coordonnées de contact, et le directeur de la publication. Pour un entrepreneur individuel : nom, adresse, et la mention « entrepreneur individuel » ou « EI ».

Dans tous les cas, l’hébergeur doit être identifié : nom, adresse et téléphone. Pour une activité B2C de e-commerce, s’ajoutent les CGV, le droit de rétractation de 14 jours, les garanties légales et, le cas échéant, le médiateur de la consommation.

Ce que doit contenir la politique de confidentialité

Le RGPD impose une information concise, transparente, compréhensible et aisément accessible. Concrètement, la politique doit préciser :

l’identité et les coordonnées du responsable de traitement (et du DPO s’il est désigné) ;
les finalités de chaque traitement et leur base légale (consentement, contrat, intérêt légitime, obligation légale) ;
les destinataires et sous-traitants, et les éventuels transferts hors-UE avec leurs garanties ;
les durées de conservation par catégorie de données ;
les six droits des personnes — accès, rectification, effacement, limitation, opposition, portabilité — et un moyen concret de les exercer ;
le droit de réclamation auprès de la CNIL.

L’erreur la plus fréquente : lister les droits sans moyen de les exercer

Énumérer les droits ne suffit pas. La CNIL attend un canal réel — une adresse email dédiée, un formulaire ou une adresse postale — permettant d’exercer ces droits. Et l’organisme doit répondre dans un délai d’un mois (prolongeable de deux mois pour les demandes complexes, avec information préalable).

Pensez aussi à la notice de premier niveau : sur chaque formulaire de collecte, une mention courte (finalité, base légale, droits) avec un lien vers la politique complète. La CNIL publie des exemples de mentions d’information réutilisables.

Observable vs back-office

Un scan vérifie facilement la présence et l’accessibilité des pages, et la présence d’un lien de politique près des formulaires. En revanche, la complétude réelle du contenu (toutes les mentions de l’article 13, l’exactitude du SIREN, la réalité du canal d’exercice des droits) demande une lecture humaine — c’est du back-office, signalé « à vérifier ».

Notre Audit RGPD repère la présence des pages obligatoires et des liens, source chaque point sur l’article applicable du RGPD ou de la LCEN, et liste séparément ce qui doit être audité manuellement.

⚠️ Article informatif — ni avis juridique, ni certification, ni substitut à un DPO. Pour la rédaction de vos pages, faites-vous accompagner.

Chiffres-clés

Données sourcées

1 mois

délai de principe pour répondre à une demande d'exercice de droits (accès, effacement…) selon le RGPD, prolongeable de deux mois si la demande est complexe.

Selon CNIL — Respecter les droits des personnes

20 M€ ou 4 %

du chiffre d'affaires annuel mondial : plafond des amendes prévu par l'article 83 du RGPD, le montant le plus élevé étant retenu.

Selon Article 83 du RGPD — Amendes administratives

Questions fréquentes

Vos questions sur ce sujet

Les mentions légales et la politique de confidentialité sont-elles le même document ?

Non. Les mentions légales relèvent de la LCEN et identifient l'éditeur et l'hébergeur du site. La politique de confidentialité relève du RGPD et informe sur les traitements de données personnelles : finalités, bases légales, durées, droits. Ce sont deux documents distincts, idéalement accessibles via deux liens séparés en pied de page.

Faut-il indiquer un moyen concret d'exercer ses droits ?

Oui. Énumérer les six droits (accès, rectification, effacement, limitation, opposition, portabilité) ne suffit pas : la politique doit indiquer un canal réel — email dédié, formulaire ou adresse postale — pour les exercer, et mentionner le droit d'introduire une réclamation auprès de la CNIL (article 13 du RGPD).

Quel délai pour répondre à une demande de droits ?

Le RGPD fixe un délai de principe d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou si les demandes sont nombreuses, à condition d'en informer la personne dans le premier mois en expliquant les raisons.

Quelles informations doivent figurer dans les mentions légales ?

Pour une personne morale : dénomination, forme juridique, adresse du siège, capital social, RCS et ville, SIREN/SIRET, numéro de TVA, contact, directeur de la publication. Plus l'identité de l'hébergeur (nom, adresse, téléphone). Pour un entrepreneur individuel : nom, adresse et la mention « entrepreneur individuel » ou « EI ».

Sources et références

Les données et affirmations de cet article sont sourcées auprès d'autorités publiques et d'études peer-reviewed.

CNIL — Conformité RGPD : comment informer les personnes et assurer la transparence ? (2026) « L'information doit être concise, transparente, compréhensible et aisément accessible (articles 12 à 14 du RGPD). »
CNIL — RGPD : exemples de mentions d'information « Modèles de mentions d'information à adapter pour les formulaires de collecte. »
CNIL — Respecter les droits des personnes
CNIL — Règlement européen sur la protection des données — Articles 12 à 23 du RGPD — Information et droits des personnes

Prêt à initier vos équipes à l'IA ?

Le Passeport IA est un workshop de 7 heures qui rend vos collaborateurs autonomes avec les outils d'IA.

Demander un devis ← Tous les articles