Table des matières
- Directive e-Commerce (200/31/CE) transposées par la loi pour la Confiance dans l’économie numérique (LCEN 2004-575)
- Règlement Général pour la Protection des Données (RGPD)
- Directive e-Privacy (2002/58/CE)
- Code de la propriété intellectuelle
- Code de la consommation
- Directive NIS2
- IA ACT
- Référentiel Général de l’Amélioration de l’Accessibilité (RGAA)
- Liste des organismes chargés de la mise en œuvre et des contrôles
Directive e-Commerce (200/31/CE) transposées par la loi pour la Confiance dans l’économie numérique (LCEN 2004-575)
| Élément du site en cause | Obligation LCEN (transposition) | Sanction encourue |
|---|---|---|
| Mentions légales (éditeur et hébergeur) | Article 6 I-2 : nom, raison sociale, adresse, coordonnées, numéro d’inscription au registre, etc. | Amende jusqu’à 150 000 € ou 2 % du CA mondial hors taxes Porté à 300 000 € ou 4 % en cas de récidive sous 5 ans |
| Conditions générales de vente (CGV) / de service | Article 6 I-3 : informations précontractuelles (prix, caractéristiques, durée, modalités de paiement) | Même régime de sanctions que pour les mentions légales (cf. art. 6 I-2) |
Règlement Général pour la Protection des Données (RGPD)
| Élément du site en cause | Violation RGPD correspondante | Sanction associée |
|---|---|---|
| Bannière de cookies sans consentement valide | Absence de recueil du consentement explicite (art. 6(1)(a)) | – Injonction de mise en conformité (astreinte jusqu’à 100 €/jour) – Amende jusqu’à 20 M€ ou 4 % du CA mondial (niveau 2) |
| Mentions d’information incomplètes ou inaccessibles | Non-respect de l’obligation d’information (art. 12–14) | – Rappel à l’ordre ou réprimande – Amende jusqu’à 10 M€ ou 2 % du CA mondial (niveau 1) |
| Pas de registre des traitements | Manquement à l’obligation de tenue de registre (art. 30) | – Injonction de produire le registre – Amende jusqu’à 10 M€ ou 2 % du CA mondial (niveau 1) |
| Absence d’analyse d’impact (DPIA) | Négligence de l’analyse d’impact pour traitements à risque (art. 35) | – Injonction de réaliser la DPIA – Amende jusqu’à 10 M€ ou 2 % du CA mondial (niveau 1) |
| Non-respect des droits des personnes | Refus ou délai excessif pour : accès, rectification, effacement (art. 15–17) | – Injonction d’exécuter les demandes sous 1 mois – Amende jusqu’à 20 M€ ou 4 % du CA mondial (niveau 2) |
| Défaut de notification de violation de données | Manquement à l’obligation de notification (art. 33–34) | – Injonction de notifier immédiatement – Amende jusqu’à 10 M€ ou 2 % du CA mondial (niveau 1) |
| Traitement sans base légale | Absence de base légale (art. 6) | – Suspension temporaire du traitement – Amende jusqu’à 20 M€ ou 4 % du CA mondial (niveau 2) |
Directive e-Privacy (2002/58/CE)
| Élément du site en cause | Violation e-Privacy / CPCE | Sanction associée |
|---|---|---|
| Bannière de cookies sans option de refus aussi facile que l’acceptation | Art. 5 § 3 e-Privacy (transposé par l’art. 82 de la loi « Informatique & Libertés ») | • Google : 150 M€ + injonction de mise en conformité sous peine de 100 000 €/jour de retard • Facebook : 60 M€ + injonction de conformité |
| Prospection commerciale électronique (e-mails, SMS) sans consentement préalable | Art. 13 e-Privacy (transposé par l’art. L. 34-5 CPCE) | Amende administrative jusqu’à 75 000 € pour une personne physique et 375 000 € pour une personne morale • Ex. CNIL : 50 M€ + injonction |
| Conservation des données de trafic au-delà des finalités ou durées légales | Art. 6 II et III e-Privacy (transposé par l’art. L. 34-1 CPCE) | • Amende administrative jusqu’à 75 000 € (physique) / 375 000 € (morale) + injonction de destruction ou d’anonymisation des données non conformes |
Code de la propriété intellectuelle
| Élément de cause | Référence du texte | Sanction prévue |
|---|---|---|
| Contrefaçon d’une œuvre de l’esprit : édition, reproduction ou représentation d’écrits, de compositions musicales, etc. | Art. L 335-2 CPI | 3 ans d’emprisonnement et 300 000 € d’amende ; portée à 7 ans et 750 000 € en bande organisée |
| Reproduction, représentation ou diffusion d’une œuvre protégée (ex. mise à disposition sur un site) | Art. L 335-3 CPI | 3 ans d’emprisonnement et 300 000 € d’amende ; portée à 7 ans et 750 000 € en bande organisée |
| Atteinte aux mesures techniques de protection (contournement de DRM, etc.) | Art. L 335-3-1 CPI | Jusqu’à 3 750 € d’amende (I) ; 6 mois d’emprisonnement et 30 000 € d’amende pour fourniture de moyens (II) |
| Suppression ou modification d’informations techniques (éléments de gestion des droits) | Art. L 335-3-2 CPI | Jusqu’à 3 750 € d’amende (I) ; 6 mois d’emprisonnement et 30 000 € d’amende pour fourniture de moyens (II) |
| Fixation, reproduction ou mise à disposition d’enregistrements phonographiques, vidéographiques | Art. L 335-4 CPI | 3 ans d’emprisonnement et 300 000 € d’amende ; mêmes peines pour import/export/détention infligés |
Code de la consommation
| Élément de cause | Référence du texte | Sanction prévue |
|---|---|---|
| Non-remise ou non-conformité du contrat hors établissement (informations L. 221-5 obligatoires, délai de rétractation) | Art. L. 242-3 du Code de la consommation | Peine d’emprisonnement de 2 ans et amende de 150 000 € |
| Absence ou non-conformité du formulaire-type de rétractation | Art. L. 242-6 du Code de la consommation | Peine d’emprisonnement de 2 ans et amende de 150 000 € |
| Manquement aux obligations d’information précontractuelle (articles L. 221-5, L. 221-6, L. 221-8, L. 221-11 à L. 221-14) | Art. L. 242-10 du Code de la consommation | Amende administrative jusqu’à 15 000 € (personne physique) et 75 000 € (personne morale) |
| Manquement aux obligations de confirmation du contrat et support choisi | Art. L. 242-11 du Code de la consommation | Amende administrative jusqu’à 15 000 € (personne physique) et 75 000 € (personne morale) |
| Violation des conditions d’exercice et des effets du droit de rétractation (L. 221-18, L. 221-21, L. 221-23 à L. 221-27) | Art. L. 242-14 du Code de la consommation | Amende administrative jusqu’à 15 000 € (personne physique) et 75 000 € (personne morale) |
Directive NIS2
| Élément de cause | Référence du texte | Sanction prévue |
|---|---|---|
| Défaut de mise en place de mesures de gestion des risques (risk management) | Art. 21 NIS2 Directive | Amende administrative jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires mondial (entités essentielles) ; jusqu’à 7 000 000 € ou 1,4 % du chiffre d’affaires mondial (IE) |
| Défaut de notification d’incident majeur de cybersécurité dans les délais impartis | Art. 23 NIS2 Directive | Amende administrative aux mêmes montants (10 M€/2 % CA ou 7 M€/1,4 % CA) |
| Absence de désignation d’une personne responsable de la cybersécurité et de gouvernance interne adéquate | Art. 20 NIS2 Directive | Amende administrative aux mêmes montants ; responsabilité directe des organes de direction en cas de manquement |
| Manquement aux obligations de supervision et coopération avec l’autorité nationale (audit, contrôle) | Art. 31 NIS2 Directive | Mesures correctives (injonction, suspension de services) et amende administrative aux mêmes montants |
| Défaut d’enregistrement au registre national des entités couvertes | Art. 27 NIS2 Directive | Amende administrative aux mêmes montants et possible exclusion temporaire du registre |
IA ACT
| Élément de cause | Référence du texte | Sanction prévue |
|---|---|---|
| Utilisation de pratiques d’IA interdites (p. ex. social scoring, dispositifs de subliminalisation, exploitation de vulnérabilités d’un groupe protégé) | Art. 5 AI Act & Art. 71(3) | Amende jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu |
| Non-conformité aux exigences des systèmes d’IA à haut risque (p. ex. absence de système de gestion des risques, données d’entraînement insuffisantes) | Art. 10 (qualité des données) / Art. 9 (gestion des risques) & Art. 71(4) | Amende jusqu’à 15 M€ ou 3 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu |
| Fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités (p. ex. enregistrements manquants, déclarations erronées) | Art. 52 (transparence) & Art. 71(5) | Amende jusqu’à 7,5 M€ ou 1 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu |
Référentiel Général de l’Amélioration de l’Accessibilité (RGAA)
| Élément de cause | Référence du texte | Sanction prévue |
|---|---|---|
| Défaut de mise en accessibilité d’un service de communication publique en ligne | Loi n° 2005-102 du 11 février 2005, art. 47 I ; ordonnance n° 2023-859 du 6 septembre 2023 | Amende pécuniaire jusqu’à 50 000 € par service non conforme, renouvelable tous les 6 mois tant que le manquement persiste |
| Défaut de publication de la déclaration d’accessibilité (contenu et plan pluriannuel) | Loi n° 2005-102 du 11 février 2005, art. 47 III ; ordonnance n° 2023-859 du 6 septembre 2023 | Amende pécuniaire jusqu’à 25 000 €, renouvelable tous les 6 mois tant que le manquement persiste |
| Défaut d’élaboration ou de mise à jour du plan pluriannuel de mise en accessibilité | Loi n° 2005-102 du 11 février 2005, art. 47 IV ; ordonnance n° 2023-859 du 6 septembre 2023 | Amende pécuniaire jusqu’à 25 000 €, renouvelable tous les 6 mois tant que le manquement persiste |
Liste des organismes chargés de la mise en œuvre et des contrôles
| Réglementation | Organisme de contrôle |
|---|---|
| Code de la consommation | DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) |
| Code de la propriété intellectuelle | ARCOM (Autorité de régulation de la communication audiovisuelle et numérique), issue de la fusion CSA-HADOPI pour la lutte contre le piratage en ligne |
| Directive NIS2 | ANSSI (Agence nationale de la sécurité des systèmes d’information) |
| AI Act | – Commission européenne : AI Office (coordination et surveillance au niveau UE) |
| – Autorités nationales compétentes (à désigner par chaque État membre ; en France, la CNIL est pressentie pour la surveillance des aspects relatifs aux données personnelles) | |
| Directive e-Privacy | CNIL (Commission Nationale de l’Informatique et des Libertés) |
| RGPD (Règlement général sur la protection des données) | CNIL (Commission Nationale de l’Informatique et des Libertés) |
| Directive e-Commerce (2000/31/CE) | DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) |
| RGAA (accessibilité numérique) | ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) pour le contrôle de la conformité des sites publics aux règles d’accessibilité |