Découvrez toutes les informations à connaître pour votre la rédaction de vos mentions légales et vous mettre en conformité avec le RGPD
Vous avez créé ou vous allez créer votre site web. Au-delà de la présentation de votre site et du contenu que vous prévoyez, vous devez également penser aux mentions légales qui doivent absolument apparaître sur votre site et organiser la protection des données personnelles qui transitent par votre site. Faites le point avec ces obligations et vérifiez si tout est conforme en lisant les lignes ci-dessous.
L’identité de l’entrepreneur.
Les internautes doivent avoir des informations sur les personnes qui se trouvent “derrière” le site. Autrement dit, vous êtes tenus de leur communiquer l’identité de l’éditeur du site, qui peut être une personne ou une société, l’identité de l’hébergeur, et les modalités d’utilisation du site. Un responsable du contenu doit être joignable pour toutes questions.
Si l’entrepreneur est une personne physique, vous devez indiquer son nom, son prénom, ses coordonnées, son numéro d’inscription au registre du commerce et des sociétés, le cas échéant.
Si l’entrepreneur est une personne morale, une société, vous devez faire apparaître le forme juridique de la société (SARL, par exemple), le nom de la société, l’adresse du siège social, ainsi que le montant du capital social et le numéro d’immatriculation au registre du commerce et des sociétés.
Les mentions obligatoires.
Les mentions indiquées ci-dessous sont celles qui doivent apparaître sur votre site :
une adresse électronique et un numéro de téléphone en cas de difficultés avec le site internet ;
s’il y a lieu, votre numéro de TVA intracommunautaire ;
si votre activité est réglementée, toutes les références utiles comme le titre professionnel, l’ordre auprès duquel vous êtes inscrit (ordre des architectes par exemple) ;
si vous êtes concerné, les coordonnées de l’autorité à l’origine de votre autorisation d’exercer votre activité ;
une clause d’information sur les données personnelles collectées conformément au RGPD (les données, le but de la collecte, la conservation, etc.) ;
des informations sur le service Bloctel si vous collectez les numéros de téléphone de vos clients ;
les conditions générales de vente (avec notamment, les frais et dates de livraison, le prix TTC, les moyens de paiement, le droit de rétractation du client, la durée de l’offre, le service après-vente et le coût de la communication à distance).
Si vous recherchez un modèle de mentions légales, reportez vous à notre document interactif en ligne Mentions légales et politique de confidentialité”.
Quelles sont les sanctions prévues si ces mentions n’apparaissent pas ?
Attention, les sanctions peuvent être lourdes…
En cas d’absence d’une ou plusieurs de ces mentions, les peines prévues sont les suivantes :
pour les personnes individuelles : une peine d’amende pouvant aller jusqu’à 75 000 € et jusqu’à un an d’emprisonnement (article 6, III de la loi du 21 juin 2004) ;
pour les personnes morales : le montant de l’amende pourra aller jusqu’à 375 000 €, soit 5 fois plus que pour les personnes physiques.Le dirigeant pourra être déclaré pénalement responsable également et être interdit d’exercer certaines activités professionnelles pendant 5 ans.
Et la protection des données personnelles dans tout ça ?
Vous devez prévoir une clause d’information spécifique sur les données personnelles collectées conformément au RGPD (règlement sur la protection des données, entré en vigueur en 2018). Devront être précisées notamment les données collectées, le but de la collecte, la conservation des données.
La CNIL peut vous sanctionner si vous n’avez pas les mentions obligatoires RGPD. L’amende peut monter jusqu’à 20 millions d’euros, rien que ça…
Que dit précisément le RGPD ?
Le règlement sur la protection des données précise, en son article 5, que les données à caractère personnel doivent être :
"adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89 paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité)."
Qu’est ce qu’une donnée à caractère personnel, exactement ?
Une donnée à caractère personnel désigne toute information concernant une personne physique identifiée ou identifiable.
Une personne identifiable est celle qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Il s’agit par exemple des noms et prénoms, de l’âge, de l’adresse mail, du numéro de téléphone, etc…
Ces informations peuvent donner lieu à l’exercice d’un droit d’accès, de rectification, de suppression et de portabilité des données qui concernent les personnes physiques. Cette possibilité d’accéder à ces données doit être prévue et les personnes qui accèdent à votre site doivent savoir comment s’y prendre pour vous contacter et exercer leurs droits.
Combien de temps pouvez-vous conserver des données personnelles ?
En règle générale, vos données personnelles ne peuvent être conservées plus longtemps que nécessaire pour atteindre vos objectifs. En d’autres termes, vous ne pouvez pas conserver ces données indéfiniment. La loi ne fixe pas de délai maximum.
Voici quelques exemples de durées de conservation proposés par la Cnil :
dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes : 1 mois pour la conservation des images ;
données relatives à gestion de la paie ou au contrôle des horaires des salariés : 5 ans ;
données figurant dans un dossier médical : 10 ans ;
coordonnées de la carte bancaire d’un client lors d’un achat sur internet : conservées pendant seulement le temps de réalisation de l’opération de paiement.
La Cnil recommande par ailleurs que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.
Que faire des données qui ont atteint leur "date de péremption" ?
Au terme de la réalisation de cet objectif (comme l’achat d’un produit ou d’un bien), les données doivent être effacées ou archivées ou faire l’objet d’un processus d’anonymisation des données, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.
Et pour finir, que doit-on faire avec les “cookies” ?
Vous êtes tenu de prévenir les utilisateurs de votre site de l’existence de ces cookies et de leurs finalités. Rapprochez-vous du concepteur de site ou de votre webmaster pour avoir ces informations.
Vous devez également permettre aux utilisateurs de refuser les cookies, le cas échéant.
Pour informer vos clients sur l’utilisation des cookies, reportez vous à notre document interactif en ligne “Politique de cookies”.