CGV et RGPD : les mentions obligatoires

L’articulation entre les conditions générales de vente et le RGPD constitue un point de vigilance majeur pour tout site e-commerce ou prestataire de services. Les mentions RGPD obligatoires ne sont pas une option : les articles 13 et 14 du règlement imposent au responsable de traitement de fournir une information complète, transparente et facilement accessible aux personnes dont les données sont collectées. L’absence de ces mentions ou leur caractère insuffisant constitue un manquement sanctionnable par la CNIL, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Dans les CGV e-commerce comme dans les CGV de prestation de service, la question des données personnelles doit être traitée de manière rigoureuse. Cet article détaillé les mentions a intégrer, leur contenu et les bonnes pratiques de présentation.

Le cadre légal : pourquoi des mentions RGPD dans les CGV

L’obligation de transparence du RGPD

Le principe de transparence constitue l’un des principes fondamentaux du RGPD (article 5.1.a). Il impose au responsable de traitement de fournir aux personnes concernées une information claire, concise, transparente, compréhensible et aisément accessible sur le traitement de leurs données personnelles.

Les articles 13 et 14 du RGPD détaillent les informations qui doivent être fournies selon que les données sont collectées directement auprès de la personne (article 13) ou indirectement (article 14). Le non-respect de ces obligations constitue une infraction au RGPD, indépendamment de la conformité par ailleurs du traitement.

L’intégration dans les CGV ou dans un document sépare

Deux approches sont possibles pour intégrer les mentions RGPD :

L’intégration directe dans les CGV : un article dédié aux données personnelles figure dans les conditions générales. Cette approche à l’avantage de centraliser les informations contractuelles et réglementaires dans un document unique.

Le renvoi vers une politique de confidentialité séparée : les CGV contiennent un article de renvoi vers un document spécifique (politique de confidentialité ou politique de protection des données). Cette approche est généralement recommandée pour les traitements complexes, car elle permet de détailler l’ensemble des informations sans alourdir les CGV.

Quelle que soit l’approche retenue, l’information doit être facilement accessible, clairement identifiée et consultable à tout moment par la personne concernée. Un simple lien hypertexte dans les CGV vers une politique de confidentialité inexistante ou incomplète ne satisfait pas aux exigences du RGPD.

Les mentions obligatoires au titre de l’article 13 du RGPD

L’identité et les coordonnées du responsable de traitement

La première mention obligatoire est l’identification du responsable de traitement :

• Dénomination sociale et forme juridique ;
• Adresse du siège social ;
• Coordonnées de contact (adressé électronique, téléphone) ;
• Numéro d’immatriculation (RCS, SIRET).

Si un délégué à la protection des données (DPO) a été désigné, ses coordonnées doivent également être fournies.

Les finalités du traitement et la base légale

Pour chaque traitement de données personnelles, les mentions doivent indiquer la finalité du traitement (le pourquoi) et la base légale (le fondement juridique). Les six bases légales prévues par l’article 6 du RGPD sont le consentement, l’exécution du contrat, l’obligation légale, la sauvegarde des intérêts vitaux, la mission d’intérêt public, et l’intérêt légitime.

Pour un site e-commerce, les traitements les plus courants sont :

Traitement	Finalité	Base légale
Gestion des commandés	Traitement et suivi de la commande	Exécution du contrat
Facturation	Établissement et conservation des facturés	Obligation légale
Livraison	Organisation de la livraison	Exécution du contrat
Service client	Traitement des réclamations	Exécution du contrat
Newsletter marketing	Envoi de communications commerciales	Consentement
Prospection commerciale	Envoi d’offres et promotions	Intérêt légitime (clients existants)
Comptabilite	Tenue des comptes	Obligation légale
Cookies analytiques	Mesure d’audience	Consentement

Lorsque la base légale est l’intérêt légitime, les mentions doivent indiquer la nature de l’intérêt poursuivi.

Les destinataires des données

Les mentions doivent indiquer les catégories de destinataires des données personnelles. En e-commerce, les destinataires courants incluent les prestataires de paiement, les transporteurs et prestataires logistiques, les prestataires d’hébergement, les outils d’emailing, les prestataires de service client, les autorités fiscales, et les sous-traitants techniques (maintenance, sécurité).

Il n’est pas nécessaire de nommer chaque destinataire : l’indication des catégories suffit, sauf si la communication est susceptible d’affecter significativement les personnes concernées.

Les transferts hors Union européenne

Si des données personnelles sont transférées vers des pays situés en dehors de l’Union européenne, les mentions doivent indiquer les pays concernés, le mécanisme de transfert utilise (décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes), et les moyens d’obtenir une copié des garanties appropriées.

Ce point est particulièrement important pour les sites e-commerce qui utilisent des services cloud américains (AWS, Google Cloud, Stripe, Mailchimp) ou des outils d’analyse (Google Analytics). Le cadre de protection des données UE-États-Unis (Data Privacy Framework) adopté par la Commission européenne en juillet 2023 constitue un mécanisme de transfert pour les entreprises américaines auto-certifiées.

La durée de conservation

Les mentions doivent indiquer la durée de conservation des données ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée. Les durées de conservation courantes en e-commerce sont les suivantes :

• Données clients actifs : pendant la durée de la relation commerciale ;
• Données de commande : 5 ans après la dernière commande (prescription civile) ;
• Données de facturation : 10 ans (obligation comptable) ;
• Données de prospection : 3 ans après le dernier contact ;
• Données des comptes inactifs : suppression après 3 ans d’inactivité ;
• Cookies : 13 mois maximum (recommandation CNIL).

Les droits des personnes

Les mentions doivent informer les personnes de l’existence de leurs droits et des modalités de leur exercice :

• Droit d’accès (article 15) : obtenir la confirmation du traitement et une copié des données ;
• Droit de rectification (article 16) : corriger des données inexactes ;
• Droit à l’effacement (article 17) : obtenir la suppression des données ;
• Droit à la limitation (article 18) : obtenir la limitation du traitement ;
• Droit à la portabilité (article 20) : recevoir ses données dans un format structuré ;
• Droit d’opposition (article 21) : s’opposer au traitement fondé sur l’intérêt légitime ;
• Droit de retirer le consentement : à tout moment et sans motif ;
• Droit d’introduire une réclamation auprès de la CNIL.

Les mentions doivent préciser les modalités pratiques d’exercice des droits (adressé électronique dédiée, formulaire en ligne, adressé postale).

Le caractère obligatoire ou facultatif de la collecte

Pour les formulaires de collecte de données (inscription, commande, contact), les mentions doivent préciser quels champs sont obligatoires et quels champs sont facultatifs, ainsi que les conséquences en cas de non-fourniture des données obligatoires (impossibilité de traiter la commande, par exemple).

Les mentions complémentaires selon les traitements

Les cookies et traçeurs

Les mentions relatives aux cookies doivent figurer dans une politique de cookies dédiée ou dans la politique de confidentialité. Elles doivent couvrir la nature des cookies utilisés (fonctionnels, analytiques, publicitaires), les finalités de chaque catégorie de cookies, la durée de vie des cookies, les modalités de refus et de gestion des préférences, et les tiers bénéficiaires des cookies.

La CNIL impose un consentement préalable pour les cookies non essentiels, et un mécanisme de refus aussi simple que le mécanisme d’acceptation.

Le profilage et la prise de décision automatisée

Si le site e-commerce utilise des systèmes de profilage ou de prise de décision automatisée (scoring crédit, personnalisation des offres, détection de fraude), les mentions doivent informer les personnes de l’existence d’un tel traitement, de la logique sous-jacente, et de l’importance et des conséquences envisagées du traitement. Cette obligation rejoint les exigences du AI Act en matière de transparence pour les systèmes d’IA.

Les programmes de fidélité

Les programmes de fidélité impliquant la collecte et l’analyse de données d’achat doivent faire l’objet de mentions spécifiques couvrant les finalités du programme, les données collectées et analysées, les durées de conservation, et les conditions de désabonnement.

Les erreurs les plus fréquentes

L’absence totale de mention

Certains sites e-commerce ne contiennent aucune mention relative aux données personnelles, ni dans leurs CGV ni dans un document sépare. Ce manquement est le plus grave et le plus facilement sanctionné par les autorités de contrôle.

Les mentions génériques et non spécifiques

Des mentions telles que “vos données sont traitées conformément au RGPD” ou “nous respectons votre vie privée” ne satisfont pas aux exigences des articles 13 et 14. L’information doit être spécifique à chaque traitement, avec les finalités, bases légales, durées et destinataires précis.

L’absence de mise à jour

Des mentions rédigés lors de la création du site et jamais mises à jour constituent un risque important, notamment en cas de modification des traitements, d’ajout de nouveaux prestataires, ou d’évolution de la législation. Un audit annuel des mentions RGPD est recommandé, en cohérence avec la mise à jour des CGV.

La confusion entré clause de consentement et information

Une case à cocher dans le processus de commande indiquant “j’accepté le traitement de mes données personnelles” ne constitue ni une information adequte ni un consentement validé au sens du RGPD. L’information doit être accessible indépendamment de tout mécanisme de consentement, et le consentement ne peut être requis que pour les traitements qui reposent effectivement sur cette base légale. Le délai de rétractation s’applique au contrat, pas au consentement RGPD.

FAQ

Les mentions RGPD doivent-elles obligatoirement figurer dans les CGV ?

Non. Le RGPD n’impose pas que les mentions figurent dans les CGV. Il exigé que l’information soit fournie de manière claire, transparente et facilement accessible. Les mentions peuvent figurer dans un document sépare (politique de confidentialité) accessible par un lien permanent sur le site. L’essentiel est que le client puisse y accéder facilement, à tout moment, et avant la collecte de ses données. En pratique, un renvoi clair dans les CGV vers la politique de confidentialité est une bonne pratique.

Quelles sanctions encourt un site e-commerce qui ne respecte pas les mentions obligatoires RGPD ?

Le défaut d’information des personnes constitue un manquement aux articles 13 et 14 du RGPD, sanctionné par une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En pratique, la CNIL a prononcé de nombreuses sanctions pour défaut de transparence, y compris contre des sites e-commerce. Les montants des amendes varient selon la gravité du manquement, le nombre de personnes concernées, et les mesures correctives mises en oeuvre. Au-delà de la sanction financière, une mise en demeure publique peut porter atteinte à la réputation du site.

Faut-il recueillir le consentement pour chaque traitement de données dans les CGV ?

Non. Le consentement n’est qu’une des six bases légales prévues par le RGPD. De nombreux traitements réalisés dans le cadre d’une vente en ligne reposent sur l’exécution du contrat (traitement de la commande, livraison) ou sur l’obligation légale (facturation, conservation comptable). Le consentement est requis principalement pour l’envoi de newsletters à des prospects (non-clients), le dépôt de cookies non essentiels, et les traitements fondés sur le consentement dans la politique de confidentialité. L’important est de bien identifier la base légale pour chaque traitement et de la mentionner dans les informations fournies.