Un site e-commerce non conforme cumule désormais quatre risques : sanctions CNIL jusqu'à 4 % du CA mondial, amendes DGCCRF, exposition aux actions de groupe consommateurs, et sanctions DSA pour les places de marché. En 2026, le cadre s'est durci avec l'application complète du Digital Services Act et du Data Act européen.

Mentions légales obligatoires

Identité de l'éditeur (raison sociale, capital, RCS, SIRET, n° de TVA intracommunautaire), directeur de la publication, hébergeur (nom et coordonnées), CNIL si applicable, médiateur de la consommation, numéro de déclaration CNIL le cas échéant. La loi pour la confiance dans l'économie numérique (LCEN) impose ces mentions.

CGV : le socle légal

Identification du vendeur, caractéristiques essentielles des produits, prix TTC, modalités de paiement et de livraison, droit de rétractation de 14 jours en B2C (avec formulaire type en annexe), garanties légales (conformité, vices cachés), garantie commerciale éventuelle, médiateur de la consommation (mention obligatoire), juridiction compétente, modalités de résiliation pour les services. Voir le Code de la consommation, art. L221-1 et s..

RGPD et politique de confidentialité

Information claire sur les traitements (finalités, bases légales, durées de conservation), droits des personnes (accès, rectification, effacement, portabilité, opposition), DPO si nommé, transferts hors UE (CCT, BCR), profilage le cas échéant. Suivre les recommandations de la CNIL sur le RGPD.

Cookies et trackers : règles 2026

Bandeau cookies conforme aux lignes directrices CNIL : consentement granulaire par finalité, refus aussi facile que l'acceptation (bouton "tout refuser" au même niveau visuel que "tout accepter"), persistance du choix limité à 13 mois, accès facile au paramétrage. Les contrôles CNIL sur les cookies se sont intensifiés en 2025.

Digital Services Act (DSA)

Pour les plateformes en ligne (places de marché, réseaux sociaux), le règlement européen DSA 2022/2065 impose : modération des contenus illicites, transparence des recommandations, mécanismes de notification, point de contact unique, rapports de transparence annuels. Sanctions jusqu'à 6 % du CA mondial.

Sécurité et fraude : NIS 2 et Data Act

Pour les e-commerçants atteignant les seuils NIS 2, obligations de cybersécurité renforcées (notification d'incident sous 24h à l' ANSSI, mesures techniques et organisationnelles). Le Data Act 2024 encadre par ailleurs le partage des données IoT.

Questions fréquentes

Mes CGV doivent-elles être acceptées explicitement ?

Oui par case à cocher non pré-cochée à l'étape de la commande (consentement éclairé).

Faut-il un médiateur de la consommation ?

Oui, obligation pour tout professionnel vendant à des consommateurs (art. L612-1 du Code de la consommation). Coût : 300 à 1 000 €/an selon le médiateur.

Que faire en cas de violation de données ?

Notifier la CNIL sous 72h via le téléservice, informer les personnes concernées si risque élevé, documenter en interne.

Voir notre modèle CGV / CGU et notre article RGPD pour les PME.