Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus Se connecter S'inscrire
← Blog Nouveaux enjeux Initié 5 min

Sites créés avec l'IA : les mentions légales restent obligatoires (et la sanction est sévère)

En quelques échanges avec un LLM, on obtient aujourd'hui un site complet : design soigné, formulaire de contact, section blog, politique de cookie générée automatiquement. Ce que l'outil d'IA ne rappelle jamais, c'est qu'une page de mentions légales n'est pas une option. C'est une obligation légale qui existe depuis 2004, qui s'applique à tous les sites accessibles au public depuis la France, et dont l'absence expose son créateur à des sanctions pénales.

La LCEN, une loi vieille de vingt ans que l'IA remet d'actualité

La loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 impose à toute personne qui édite un site accessible au public en France de rendre disponibles plusieurs informations d'identification. Son article 6-III est sans ambiguïté : l'obligation vaut pour les entreprises, bien sûr, mais aussi pour les particuliers.

Ce détail est crucial. On associe souvent les mentions légales aux e-commerçants ou aux entreprises. En réalité, dès qu'un site est accessible au public - blog, portfolio, association, projet personnel avec un formulaire de contact - l'obligation s'applique. La nature commerciale ou non du projet ne change rien au texte.

Pendant vingt ans, cette obligation a surtout concerné des créateurs de sites qui avaient, au minimum, sollicité un développeur ou passé du temps à configurer WordPress. Ce temps d'accès naturel au droit faisait office de filtre imparfait mais réel. Les outils d'IA générateurs de sites suppriment ce filtre sans supprimer l'obligation.

La sanction : un an de prison et 75 000 €

L'article 6-VI de la LCEN est précis : le défaut de mentions légales expose une personne physique à un an d'emprisonnement et 75 000 euros d'amende. Pour une personne morale, le plafond est de 375 000 euros.

Ces montants ne sont pas théoriques. Ils sont dans le texte de loi, ils constituent un risque pénal réel, et ils s'appliquent indépendamment de toute violation de données ou de plainte d'un utilisateur. Il suffit d'éditer un site sans ces informations.

En pratique, les poursuites sont rares pour un particulier publiant un blog de cuisine. Mais la probabilité zéro n'existe pas, et deux catégories de situations changent le calcul : un litige avec un concurrent ou un utilisateur mécontent qui cherche un levier légal, ou un contrôle découlant d'une plainte sur une autre infraction - RGPD, droit à l'image, droits d'auteur - qui révèle l'absence de mentions légales en cours d'enquête.

Ce que la loi exige concrètement

Pour une personne physique non professionnelle qui préfère ne pas divulguer son identité, la LCEN prévoit une solution : l'hébergeur peut se substituer au nom et à l'adresse, à condition que ce dernier dispose de ces informations et puisse les communiquer aux autorités. Ce n'est pas une dérogation à l'identification, c'est un transfert de l'obligation vers l'hébergeur.

Pour une personne physique qui accepte de s'identifier, ou pour tout professionnel, les mentions légales doivent contenir :

  • Nom et prénom (ou raison sociale et forme juridique)
  • Adresse (domicile pour un particulier, siège social pour une entreprise)
  • Numéro de téléphone et adresse email
  • Si applicable : numéro d'inscription au registre du commerce ou au répertoire des métiers
  • Nom, dénomination et adresse de l'hébergeur
  • Directeur de la publication pour les sites avec contenu éditorial

Rien de complexe. Mais rien qui soit généré automatiquement par un outil de création de site.

Quand des données personnelles sont collectées : une deuxième couche d'obligation

Les sites créés avec l'IA intègrent presque systématiquement un formulaire de contact. Parfois une newsletter. Souvent des outils analytics. Dès qu'une donnée personnelle est collectée - une adresse email, un nom, une adresse IP - le RGPD s'ajoute à la LCEN.

L'obligation n'est plus seulement de s'identifier comme éditeur. Il faut informer les visiteurs de la nature des données collectées, de la base légale du traitement, de leur durée de conservation et de leurs droits. Cette information prend la forme d'une politique de confidentialité distincte des mentions légales.

Là encore, l'IA peut générer un texte qui ressemble à une politique de confidentialité. Le problème est que ce texte doit décrire les traitements réels du site, pas un template générique. Un formulaire qui envoie les données vers un outil d'emailing américain sans clause contractuelle avec ce sous-traitant, c'est une violation du RGPD, quelle que soit la qualité du texte généré.

Les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Pour un particulier, la CNIL dispose de pouvoirs de mise en demeure et d'amende même sans chiffre d'affaires de référence.

Ce que vous pouvez faire si vous éditez un site

La vérification prend dix minutes. Ouvrez votre site, cherchez le lien "Mentions légales" dans le pied de page. S'il n'existe pas, c'est le premier problème. S'il existe, vérifiez qu'il contient bien votre identification complète et les coordonnées de votre hébergeur.

Si votre site collecte des données - même un simple formulaire de contact - ajoutez une politique de confidentialité qui liste précisément les traitements, les durées et les droits des visiteurs. La CNIL met à disposition un outil de génération guidé sur cnil.fr.

L'IA qui a construit votre site ne vous a pas protégé contre la loi. C'est à vous de le faire.

Ce que vous pouvez faire si vous visitez un site sans mentions légales

Un site sans mentions légales est un site dont vous ne savez pas à qui vous vous adressez. Si ce site collecte vos données, vous ne savez pas non plus qui les détient, pour combien de temps, et à quelles fins.

Vous avez le droit de demander à l'hébergeur - dont les coordonnées figurent dans les mentions légales du site d'hébergement - l'identité de l'éditeur. Vous pouvez signaler l'absence de mentions légales à la CNIL, qui peut transmettre au parquet si elle le juge approprié. Et si le site traite vos données sans vous avoir informé, vous disposez d'un droit d'accès, de rectification et d'effacement que vous pouvez exercer dès que l'éditeur est identifié.

Fairmi vous permet d'envoyer cette demande d'effacement en quelques clics, dès que vous connaissez le responsable de traitement. Le texte de loi est du côté des visiteurs. Encore faut-il savoir s'en servir.

La loi ne protégera pas à votre place les sites mal tenus, et les fuites de données ne s'arrêteront pas parce qu'on le souhaite. En attendant, la stratégie la plus efficace est de réduire votre surface d'attaque : moins de sites détiennent vos données, moins de risques qu'un éditeur négligent les fasse fuiter.

Savez-vous combien de services ont aujourd'hui accès à votre email, votre adresse ou votre numéro de téléphone ? Fairmi vous aide à cartographier ces sites et à supprimer les comptes inutilisés - avant qu'un prochain incident ne s'en charge à votre place.

Découvrir où sont vos données ->

Dans la même série

Initié

Algorithmes de recommandation : pourquoi votre fil n'est pas neutre et comment le reprendre

Vos fils sociaux, recos vidéo et notifications sont triés par des systèmes qui se nourrissent de vos données. Ce que vous voyez n'est pas le hasard. Vous pouvez l'arrêter.

5 min
Intermédiaire

DSA et DMA : comment l'Europe réécrit les règles du jeu numérique

Digital Services Act, Digital Markets Act : décryptage des deux règlements européens qui encadrent les plateformes et les gatekeepers. Obligations, sanctions et impact concret pour les citoyens.

17 min
Avancé

IA générative et données personnelles : ce que ChatGPT change pour vous

ChatGPT, Claude, Midjourney : comment l'IA générative collecte vos données, pourquoi le RGPD peine à suivre, ce que l'IA Act impose, et comment vous protéger concrètement.

18 min