TrustYourWebsite

Règles pour les sites web en France

Les sites web français doivent respecter la LCEN (mentions légales), le RGPD appliqué par la CNIL, et des règles strictes en matière de consentement aux cookies. La CNIL est l'une des autorités de protection des données les plus actives en Europe, connue pour ses amendes importantes contre les bannières cookies à dark patterns.

Autorité de protection des données :

Commission Nationale de l'Informatique et des Libertés

(CNIL)

Exigences

5

règles spécifiques au pays

Guides

0

guides disponibles

Exigences spécifiques pour France

Mentions légales (LCEN)

La LCEN (Loi pour la Confiance dans l'Économie Numérique) impose à tout site web français d'afficher des mentions légales obligatoires : dénomination sociale, adresse du siège, numéro SIREN/SIRET, directeur de la publication et coordonnées de l'hébergeur.

Numéro SIREN/SIRET

Les entreprises françaises doivent afficher leur numéro SIREN (9 chiffres) ou SIRET (14 chiffres) sur leur site web. C'est le numéro d'identification unique attribué par l'INSEE.

Application des règles cookies par la CNIL

La CNIL applique des règles strictes de consentement aux cookies. Les bannières doivent proposer un bouton « Tout refuser » aussi visible que « Tout accepter ». Les cases pré-cochées et les dark patterns sont interdits.

Accessibilité (RGAA)

Le RGAA (Référentiel Général d'Amélioration de l'Accessibilité) fixe les normes d'accessibilité web basées sur les WCAG 2.1. Le secteur public et les grandes entreprises privées doivent publier une déclaration d'accessibilité.

Politique de confidentialité (RGPD)

En vertu du RGPD, tout site web traitant des données personnelles doit fournir une politique de confidentialité claire couvrant la collecte de données, la base juridique, les sous-traitants, les durées de conservation et les droits des utilisateurs.

Application en France

En janvier 2022, la CNIL a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook pour avoir rendu difficile le refus des cookies — le bouton « Accepter » était mis en évidence mais refuser nécessitait plusieurs clics. Cette action historique contre les dark patterns dans les bannières cookies a fait jurisprudence dans toute l'Europe.

Ressources officielles

The CNIL is Europe's most active cookie enforcer

France's data protection authority is the Commission Nationale de l'Informatique et des Libertés (CNIL). Marie-Laure Denis has been its chair since February 2019, reappointed for a second term in January 2024 that runs until 2029.

Between December 2020 and September 2025 the CNIL has issued more than €700 million in cookie-specific fines. The headline cases every Irish business should know about:

  • Google LLC and Google Ireland, €100M in December 2020 (decision SAN-2020-012) for ad cookies placed without consent on google.fr
  • Amazon Europe Core, €35M in December 2020 (SAN-2020-013), upheld by the Conseil d'État in June 2022
  • Google again, €150M in December 2021 (SAN-2021-023), reject was harder than accept
  • Facebook Ireland, €60M in December 2021 (SAN-2021-024), same pattern
  • Microsoft Ireland, €60M in December 2022 (SAN-2022-023) on bing.com
  • Criteo, €40M in June 2023 (SAN-2023-009), upheld by the Conseil d'État in March 2026
  • Yahoo EMEA, €10M in December 2023 (SAN-2023-024), upheld by the Conseil d'État in October 2025
  • Google LLC and Google Ireland, €325M in September 2025 (SAN-2025-004) on Gmail advertising practices

The legal basis for all of these is Article 82 of the French Loi Informatique et Libertés, which transposes the ePrivacy Directive. The Conseil d'État confirmed in January 2022 that the GDPR one-stop-shop doesn't apply to cookie placement operations. That's why the CNIL keeps competence over Google Ireland and Meta Ireland even though Dublin is their EU seat.

What the CNIL expects from a cookie banner

The operational rules come from two CNIL texts, both dated 17 September 2020. Délibération 2020-091 sets the binding guidelines. Délibération 2020-092 gives practical recommendations.

Six concrete requirements for an Irish site targeting French visitors:

Consent before any non-essential cookie fires. Google Analytics, Meta Pixel, TikTok Pixel, retargeting tags, all of them must wait for an explicit click.

Reject must be as easy as accept. That means same visual weight, same position in the banner, same number of clicks. A prominent "Accept all" button next to a tiny "Settings" link fails this test.

Granular purpose consent. Bundling analytics with advertising under one "Accept" button is non-compliant. The user must be able to consent to analytics and refuse advertising.

Proof of consent. You must be able to produce, six months later, evidence that user X consented to purpose Y at time T. CMPs store this automatically. Homemade banners usually don't.

Clear identification of recipients. The list of third parties that receive data must be accessible from the banner in one or two clicks. "Our partners" isn't enough.

Consent renewal. The CNIL recommends renewing consent every six months maximum. A user who clicked accept in June should see the banner again by December.

An Irish SaaS selling to French SMEs that ignores this gets complaints routed through the DPC to the CNIL. In practice the CNIL handles the investigation itself because cookies fall under ePrivacy.

Beyond cookies, dark patterns and accessibility

Two other French regulations catch Irish sites by surprise.

Dark patterns. The CNIL is one of the European DPAs most willing to call out deceptive UX as a GDPR violation. In the Google and Meta cases, the "reject" button being harder to find than "accept" was itself the violation. The CNIL applies the EDPB dark pattern taxonomy with a strict hand.

Accessibility. The Référentiel Général d'Amélioration de l'Accessibilité (RGAA) applies to public sector sites and to private sites above certain revenue thresholds under the European Accessibility Act transposition. For an Irish B2C site with French customers, the EAA became enforceable on 28 June 2025. If your turnover exceeds €2 million and you sell to French consumers, RGAA 4.1 is your reference.

The DGCCRF, France's consumer protection body, also enforces sections of the Code de la consommation that overlap with GDPR. Pricing transparency under the Omnibus directive transposition applies to any site selling in France. If you display "-30%" the reference price must be the lowest price you charged in the previous 30 days.

For a quick read of your French-facing site, start with the free scan. For the UK side of your EU operations, see our UK page.

Vérifiez votre site web pour les exigences France

Notre scanner vérifie automatiquement les exigences spécifiques à France.

Analyser pour :