Obligations légales d'un site internet pour PME en 2026

Obligations légales d'un site internet pour PME en 2026

Si vous vendez depuis un atelier à Limoges, tenez une chambre d'hôtes ou acceptez des réservations en ligne pour un restaurant, la loi française s'applique que votre site soit en français ou en anglais. La plupart des sites de TPE et PME passent à côté d'au moins une des six couches d'obligations. Voici ce que chacune impose réellement, et dans quel ordre les traiter.

De quoi parle-t-on, exactement

Le droit français des sites web n'est pas un texte unique. C'est un empilement. La loi pour la confiance dans l'économie numérique (LCEN, 2004) régit les mentions d'identification. Le règlement général sur la protection des données (RGPD, 2018) régit les données personnelles. La directive ePrivacy, transposée en droit français en 2020, régit les cookies et traceurs. Le code de la consommation régit le commerce en ligne. Depuis juin 2025, l'European Accessibility Act (EAA), transposé en droit français, régit l'accessibilité. Chaque couche s'applique indépendamment, et les sanctions se cumulent.

Deux conséquences pratiques. D'abord, un site peut être conforme sur trois couches et recevoir une amende sur la quatrième. Ensuite, l'autorité qui intervient dépend de la couche enfreinte. La CNIL traite les données personnelles et les cookies. La DGCCRF traite le droit de la consommation. Le Défenseur des droits traite les plaintes en accessibilité.

Les mentions légales, page que beaucoup oublient

Tout site publié depuis la France ou ciblant des clients français doit comporter une page « mentions légales ». La LCEN liste ce qu'elle doit contenir :

• Identité de l'éditeur du site (dénomination, forme juridique, adresse du siège, capital social pour les sociétés, numéro SIRET, numéro de TVA intracommunautaire le cas échéant)
• Nom et coordonnées du directeur de publication
• Identité et coordonnées de l'hébergeur (nom, adresse, téléphone)
• Pour les sites à contenu éditorial, le directeur de publication doit être nommément désigné

La page doit être accessible depuis n'importe où sur le site en deux clics. La plupart des agences la mettent en pied de page, ce qui convient. L'enfouir dans une archive de 2019 intitulée « À propos » ne suffit pas.

Le guide Orange Pro sur le sujet précise que les micro-entreprises (auto-entrepreneurs) sont dispensées de l'indication du capital social, mais doivent toujours indiquer SIRET, hébergeur et directeur de publication. Il n'existe pas d'exemption « trop petit pour s'embêter ».

Données personnelles, le RGPD sans détour

Si votre site collecte une adresse e-mail via un formulaire de contact, installe Google Analytics ou stocke la moindre information client, le RGPD s'applique. Les obligations de base :

• Une politique de confidentialité qui nomme le responsable de traitement, la base légale de chaque traitement, la durée de conservation et le contact pour les demandes des personnes concernées
• Un moyen pour les utilisateurs d'exercer leurs droits : accès, rectification, suppression, portabilité. Une adresse e-mail de contact suffit pour une petite structure
• Un registre des traitements si vous employez moins de 250 personnes, il n'est obligatoire que pour les traitements non occasionnels ou qui présentent un risque

La CNIL a publié un cadre simplifié pour les très petites entreprises, qui tient en quelques pages. Le suivre ne vous rend pas intouchable, mais vous sort de la catégorie « négligence manifeste ».

Ce qui piège la plupart des petits sites : des formulaires qui collectent des données sans dire pourquoi, des fichiers de contacts constitués lors de salons sans consentement documenté, et des analyses d'audience qui tournent avant que l'utilisateur ait pu refuser. Chacun de ces cas est une violation connue du RGPD.

Cookies, le consentement d'abord, toujours

La France applique la directive ePrivacy strictement. Aucun cookie non essentiel ne peut être déposé avant que l'utilisateur ait donné un consentement explicite, et le refus doit être aussi simple que l'acceptation. Une bannière avec un bouton « Tout accepter » et un lien « Gérer mes préférences » planqué ne suffit pas.

Ce qui est réellement exigé :

• Une bannière de consentement qui apparaît dès la première visite, avant le déclenchement de tout traceur non essentiel
• Des boutons « Accepter » et « Refuser » de même visibilité. Le bouton Refuser ne peut pas être plus petit ni grisé
• Un moyen de changer d'avis plus tard, généralement via un lien persistant en pied de page
• Une politique cookies qui liste chaque traceur, ce qu'il fait, qui le dépose et combien de temps il vit

Google Analytics, le pixel Meta, Hotjar et la plupart des outils publicitaires sont non essentiels. Ils exigent tous un consentement préalable. Une PME qui livre un nouveau site en oubliant la couche consentement est en infraction dès le premier jour.

Vendre en ligne, les règles en plus

Si le site accepte un paiement, le RGPD ne suffit pas. Le code de la consommation impose un jeu d'obligations distinct :

• Des conditions générales de vente (CGV) que le client accepte avant de payer. Elles doivent inclure identité, prix, conditions de livraison, droit de rétractation et règlement des litiges
• Un délai de rétractation de 14 jours pour les ventes aux consommateurs, avec une formulation précise
• L'affichage de la TVA (TTC pour les ventes en B2C en France)
• Une gestion sécurisée des paiements. La conformité PCI-DSS est déléguée au prestataire de paiement, mais il faut en utiliser un
• Une confirmation par e-mail dans un délai raisonnable

La mise à jour 2025 de Simplébo rappelle que les mêmes règles s'appliquent aux systèmes de réservation et aux arrhes, pas seulement aux produits physiques. Un restaurant qui encaisse un acompte via son propre formulaire fait du e-commerce.

Accessibilité, la règle de 2025 que tout le monde a ratée

Depuis le 28 juin 2025, l'EAA s'applique en France. Toute entreprise vendant un service numérique à des consommateurs doit respecter la norme européenne EN 301 549, qui s'aligne sur WCAG 2.1 AA. La structure de sanctions est moins visible que celle du RGPD, mais les plaintes parviennent au Défenseur des droits et peuvent conduire à des injonctions.

Le périmètre concret : contraste de texte, textes alternatifs des images, navigation au clavier, sous-titres des vidéos, étiquettes de formulaires. Une TPE avec un site de cinq pages peut s'auto-auditer en une après-midi avec la checklist WebAIM. L'article de BTG sur les obligations 2026 cite une étude WebAIM qui a trouvé que 95,9 % des pages d'accueil du top un million présentaient au moins une erreur WCAG détectable, donc le taux de base pour les vrais problèmes n'a rien de subtil.

Si votre site a plus de trois ans, il échoue presque certainement. Corriger tient surtout à de petites retouches de contraste, de textes alternatifs et de structure de formulaires. Rien n'oblige à tout refaire.

Une checklist réalisable cette semaine

La plupart des TPE et PME atteignent un niveau de conformité défendable en deux jours concentrés. L'ordre compte :

1. Rédiger la page mentions légales à partir du modèle LCEN. Tenez-vous en à une page imprimée
2. Ajouter ou mettre à jour la politique de confidentialité. Le modèle CNIL suffit pour démarrer
3. Installer une bannière de consentement conforme au droit français. Tarteaucitron, Axeptio et Didomi fonctionnent toutes. Testez le chemin « Refuser » à la main
4. Auditer l'accessibilité avec axe DevTools ou le vérificateur de contraste WebAIM. Commencez par les alertes rouges
5. Si vous vendez, rédiger les CGV et ajouter un lien de rétractation dans le parcours de paiement

Cette séquence couvre environ 80 % de ce que regardent les régulateurs. Les 20 % restants tiennent aux particularités de votre activité (professions réglementées, traitement à grande échelle, transferts de données hors UE).

Ce qui se passe si vous passez outre

Les sanctions sont réelles mais inégalement appliquées. La CNIL publie son rapport annuel et la majorité des mises en demeure visent des petites structures. Amende moyenne pour une première infraction sur les cookies : quelques milliers d'euros. En cas de récidive ou de mauvaise foi : jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros, selon le montant le plus élevé. En pratique, le régulateur préfère publier le nom du contrevenant et imposer une période de mise en conformité. Le coût réputationnel est presque toujours supérieur à l'amende.

L'accessibilité est moins visible aujourd'hui, mais la vague de plaintes EAA commence à arriver via les associations de consommateurs. Le risque contentieux est réel pour toute entreprise qui vend au-delà des frontières.

En pratique, la plupart des sites de PME sont à moitié conformes et à moitié pas. Combler le retard ne tient pas à l'installation d'un plugin magique. C'est une après-midi d'éditions structurées, suivie d'une habitude de se demander « est-ce légal ? » avant d'ajouter la fonctionnalité suivante.

Si vous voulez un point de départ, le studio Lumevel accompagne les PME sur l'ensemble de la pile légale dans le cadre d'une refonte. L'audit est plus court que ce qu'annoncent la plupart des agences et la liste des corrections sort en français clair.

Sources

• Mentions légales d'un site web : France Num
• Mentions obligatoires d'un site internet : Burguin Digital
• Création de site internet : obligations légales : LegalVision
• Mentions obligatoires selon la loi : Orange Pro
• Obligations légales d'un site professionnel : Simplébo
• Accessibilité web : obligations 2026 : BTG Communication