Mentions légales et RGPD pour un site de TPE : tout savoir en 2026

Mai 9, 2026 | Développement web | 0 commentaires

businessman Search engine optimization, SEO Marketing on a table

Beaucoup d’entrepreneurs réunionnais lancent leur site sans s’occuper des mentions légales et de la politique RGPD. Pour beaucoup, ça reste invisible — jusqu’au jour où la CNIL ou la DGCCRF s’intéresse à eux. Or les sanctions peuvent être lourdes : jusqu’à 75 000 € d’amende pour mentions légales manquantes (pour une personne morale), et jusqu’à 4 % du chiffre d’affaires mondial pour non-conformité RGPD majeure. Voici tout ce que vous devez savoir et mettre en place pour être en règle, sans payer un avocat.

Pourquoi les mentions légales sont obligatoires

L’obligation découle de la loi pour la confiance dans l’économie numérique (LCEN, 2004) et concerne tout éditeur d’un site internet à but professionnel ou commercial — site vitrine, blog professionnel, e-commerce, application web. Le but : permettre à toute personne d’identifier qui est responsable du site.

Ce que doivent contenir vos mentions légales

Pour une personne physique (auto-entrepreneur, EI)

Nom et prénom.
Adresse complète du domicile (ou du siège pro si différent).
Numéro de téléphone.
Adresse email de contact.
Numéro SIRET.
Pour les professions réglementées : ordre professionnel, numéro d’inscription, références aux règles professionnelles.

Astuce : si vous êtes auto-entrepreneur travaillant à votre domicile et ne souhaitez pas y faire figurer votre adresse personnelle publiquement, optez pour une domiciliation commerciale (~25-50 €/mois) qui vous donne une adresse pro à publier. Plusieurs centres de domiciliation existent à La Réunion (Saint-Denis, Saint-Pierre, Saint-Paul).

Pour une société (EURL, SARL, SASU, SAS)

Raison sociale (nom légal de la société).
Forme juridique (SARL, SASU, etc.).
Capital social.
Adresse du siège social.
Numéro SIRET.
Numéro RCS (Registre du Commerce et des Sociétés) avec ville d’immatriculation (ex : RCS Saint-Denis).
Numéro de TVA intracommunautaire si applicable.
Nom du directeur de publication (généralement le dirigeant).

Pour tous les sites

Hébergeur du site : nom de l’entreprise (OVH, o2switch, Infomaniak, Hostinger, etc.), adresse complète, numéro de téléphone.
Médiateur de la consommation (pour les e-commerces B2C) : nom et coordonnées du médiateur agréé.
Si vous vendez en ligne : conditions générales de vente (CGV) accessibles avant validation de commande.

Les conditions générales de vente (CGV)

Obligatoires pour tout site qui vend en ligne (B2C ou B2B). Doivent contenir :

Description précise du produit ou service.
Prix TTC, frais de livraison, modalités de paiement.
Délais et modalités de livraison.
Droit de rétractation (14 jours pour le B2C en France).
Garanties légales (conformité, vices cachés).
Modalités de remboursement / échange.
Médiateur de la consommation.
Loi applicable et juridiction compétente.

L’utilisateur doit cocher explicitement « J’ai lu et j’accepte les CGV » avant de valider une commande.

Le RGPD pour les sites de TPE : ce qui est essentiel

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, encadre la collecte et le traitement des données personnelles. Tous les sites professionnels sont concernés dès qu’ils collectent la moindre donnée (formulaire de contact, newsletter, cookies analytics, e-commerce).

Les 6 obligations principales

Information transparente : politique de confidentialité accessible et claire.
Consentement explicite : pour tout dépôt de cookies non-essentiels (analytics, marketing).
Minimisation des données : ne collecter que ce qui est nécessaire à la finalité (pas de « demandez tout au cas où »).
Conservation limitée : durée de conservation justifiée et annoncée.
Sécurité : chiffrement HTTPS, sauvegardes, mots de passe robustes pour l’admin.
Respect des droits des utilisateurs : accès, rectification, suppression, opposition, portabilité.

La politique de confidentialité : ce qu’elle doit dire

Page distincte des mentions légales (mais souvent regroupée), accessible depuis chaque page (généralement footer). Doit décrire :

L’identité du responsable de traitement : votre entreprise.
Les données collectées : nom, email, téléphone, adresse IP, données de navigation, etc.
Les finalités : pourquoi vous collectez ces données (répondre à une demande, envoyer une newsletter, mesurer l’audience).
Les bases légales : consentement, contrat, intérêt légitime, obligation légale.
Les destinataires : sous-traitants techniques (hébergeur, outil emailing, analytics).
Les transferts hors UE : si vous utilisez Google Analytics, Meta Pixel, etc., précisez.
La durée de conservation : 3 ans après dernier contact, par exemple.
Les droits et comment les exercer (formulaire ou email dédié).
Coordonnées du DPO si vous en avez un (pas obligatoire pour les TPE généralement).
Droit de plainte auprès de la CNIL.

La gestion des cookies

Les cookies non-essentiels (analytics, publicité, réseaux sociaux) nécessitent un consentement explicite avant dépôt. Concrètement : votre site doit afficher un bandeau cookies au premier visiteur, qui doit pouvoir accepter, refuser, ou personnaliser son choix.

Outils gratuits pour gérer les cookies

Plugin WordPress : Complianz, CookieYes, Real Cookie Banner.
Solutions externes : Tarteaucitron (gratuit, français), Axeptio (freemium), Cookiebot (freemium).

Important : un bandeau cookies « Accepter et fermer » sans option pour refuser n’est pas conforme. La CNIL sanctionne ce type de bandeau « dark pattern » depuis 2022.

Les formulaires de contact et le RGPD

Vos formulaires (contact, devis, newsletter) doivent respecter quelques règles :

Mentionner en bas du formulaire : « Vos données personnelles sont traitées pour [finalité]. Pour en savoir plus, consultez notre [politique de confidentialité] ».
Demander uniquement les champs nécessaires : nom, email, message pour un contact. Pas de date de naissance ou adresse postale « au cas où ».
Pour la newsletter : double opt-in recommandé (l’utilisateur reçoit un email de confirmation à valider) — preuve indiscutable du consentement.
Conserver les preuves de consentement : date, heure, IP, version de la politique acceptée. La plupart des outils emailing (Brevo, Mailchimp, MailerLite) le font automatiquement.

Le registre des traitements (RGPD)

Document interne (pas publié) qui liste les traitements de données personnelles que vous opérez. Obligatoire pour toutes les entreprises sauf TPE de moins de 250 salariés en cas de traitement non-régulier et sans données sensibles — ce qui inclut beaucoup de TPE réunionnaises de service simple.

Mais même non-obligatoire, c’est très recommandé : en cas de contrôle CNIL, montrer son registre est l’argument qui désamorce immédiatement la procédure. Modèle gratuit téléchargeable sur cnil.fr.

Les outils gratuits pour générer ces pages

Service-public.fr : modèles types de mentions légales pour TPE.
CNIL.fr : modèles RGPD, registre des traitements, guide pour TPE/PME.
Donneespersonnelles.fr : générateur gratuit de politique de confidentialité.
Legalplace.fr, captaincontrat.com : plateformes payantes (50-150 €) pour CGV personnalisées.
Plugins WordPress : WP Legal Pages, Iubenda — génèrent les pages automatiquement.

Conseil : commencez avec les générateurs gratuits, puis faites relire par un expert si votre activité est sensible (e-commerce avec 1000+ clients, traitement de données de santé, etc.).

Les sanctions concrètes en cas de non-conformité

Mentions légales manquantes : amende jusqu’à 75 000 € pour personne morale, 1 an de prison.
RGPD – non-information : 10 millions € ou 2 % du CA mondial.
RGPD – non-respect des droits : 20 millions € ou 4 % du CA mondial.
Cookies non conformes : 100 000 € à 200 000 € selon CNIL (cas TPE typiques 1 000 à 10 000 €).

Dans les faits, la CNIL ne vise pas spécialement les TPE pour les amendes les plus élevées — mais une sanction publique peut représenter une mauvaise publicité catastrophique. Et les contrôles existent (suite à plainte d’un client mécontent, par exemple).

Checklist de mise en conformité (à faire ce week-end)

Créer une page « Mentions légales » avec tous les éléments listés.
Créer une page « Politique de confidentialité » complète.
Pour les e-commerces : créer une page « CGV ».
Installer un bandeau cookies conforme (avec option refuser).
Ajouter la mention RGPD à chaque formulaire avec lien vers la politique.
Vérifier que le site est en HTTPS (obligatoire dès qu’on collecte la moindre donnée).
Mettre à jour les liens dans le footer pour rendre ces pages accessibles depuis chaque page.
Constituer son registre des traitements (modèle CNIL).

Comptez 3-5 heures pour faire l’ensemble correctement. C’est l’investissement temps qui protège des risques juridiques pour les années suivantes.

Pour intégrer ces pages dans la structure complète de votre site, voyez notre guide sur les 8 pages essentielles d’un site TPE. Et pour comprendre l’écosystème global de votre projet web, le guide des prix d’un site web à La Réunion.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.