La plupart des PME qui gèrent une boutique en ligne vendent depuis des années sans avoir jamais vérifié leurs fondations juridiques. L'avis de confidentialité a été copié d'un autre site en 2019, les conditions générales ne prévoient pas le droit de rétractation mis à jour par le décret royal 7/2021, et la bannière de cookies accepte tout sans filtrage. Ce scénario est la norme, pas l'exception. La question n'est pas de savoir s'il existe des manquements, mais combien et quelle est leur gravité.
Un audit légal d'e-commerce met des chiffres et des priorités sur cette réalité. Ce n'est pas une formalité bureaucratique : c'est le point de départ pour vendre avec des garanties, éviter les sanctions de l'Agence espagnole de protection des données (AEPD), de la Direction générale de la consommation ou des plateformes de paiement, et sécuriser la relation avec le client quand quelque chose tourne mal.
Quelles réglementations couvre un audit légal de boutique en ligne
Le commerce électronique espagnol est soumis à un paysage réglementaire qui s'est considérablement durci entre 2021 et 2026. Un audit bien conduit couvre, au minimum, les couches suivantes :
| Réglementation | Ce qu'elle encadre | Autorité de sanction |
|---|---|---|
| LSSI-CE (loi 34/2002) | Identification du prestataire, communications commerciales, conditions de contrat électronique | Secrétariat d'État aux Télécommunications |
| RGPD + LOPDGDD | Collecte et traitement des données personnelles des clients, abonnés et employés | AEPD (jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial) |
| Décret royal 7/2021 (TRLCU réformé) | Droits du consommateur : rétractation 14 jours, garanties, information précontractuelle, biens numériques | Communautés autonomes et consommation nationale |
| Règlement ePrivacy / Loi sur les cookies | Consentement pour les cookies non essentiels, plateformes de gestion du consentement (CMP) | AEPD |
| DSA — Règlement sur les services numériques (UE 2022/2065) | Transparence des plateformes, modération de contenus, traçabilité des vendeurs professionnels | CNMC / Commission européenne |
| Directive Omnibus (transposée dans le RDL 7/2021) | Publicité des prix lors des soldes, avis vérifiés, sanctions pour faux prix | Consommation régionale et nationale |
| Verifactu / Facturation électronique B2B (loi Crea y Crece) | Obligation d'émettre des factures électroniques aux entreprises et de facturer avec un logiciel antifraude | AEAT (administration fiscale espagnole) |
Aucune de ces réglementations n'est facultative. L'accumulation de couches rend la révision complexe et justifie le recours à un service spécialisé de mise en conformité légale pour l'e-commerce plutôt que de se débrouiller avec une liste de contrôle générique téléchargée sur internet.
En quoi consiste l'audit, étape par étape
Un audit légal d'e-commerce n'est pas une lecture superficielle des textes juridiques publiés sur le site. C'est une analyse technico-juridique qui combine la révision documentaire, la vérification fonctionnelle du parcours d'achat et la comparaison avec la réglementation en vigueur. Voici les blocs habituels :
1. Identité et mentions légales (LSSI art. 10)
L'audit vérifie que les mentions légales comprennent : la dénomination sociale complète, le NIF, le domicile, les données d'immatriculation, l'adresse e-mail et, le cas échéant, le numéro d'ordre professionnel ou l'autorisation administrative. De nombreuses PME ne publient que leur nom commercial et un numéro de téléphone, ce qui enfreint l'article 10 de la LSSI et peut entraîner des amendes allant jusqu'à 30 000 euros.
2. Politique de confidentialité et base juridique de chaque traitement
Tous les formulaires de collecte de données sont audités (achat, création de compte, newsletter, contact, chat) et la politique de confidentialité est contrôlée pour vérifier qu'elle informe correctement sur : la finalité du traitement, la base juridique, la durée de conservation, les éventuelles transmissions à des tiers (passerelle de paiement, plateforme d'e-mail marketing, transporteur) et l'exercice des droits. Une erreur fréquente consiste à invoquer l'«intérêt légitime» comme base pour l'envoi de publicité sans avoir réalisé le test d'équilibre exigé par le RGPD.
3. Gestion du consentement aux cookies
L'AEPD a publié en 2023 son «Guide sur l'utilisation des cookies» actualisé et a lancé en 2024 une campagne d'inspection ciblant les boutiques en ligne. L'audit vérifie si la CMP mise en place (Cookiebot, OneTrust, Axeptio ou autre) bloque réellement les cookies non essentiels avant le consentement, si le refus est aussi simple que l'acceptation et si la bannière n'utilise pas de schémas obscurs («dark patterns») pour orienter l'utilisateur vers le «oui». L'AEPD a sanctionné par des avertissements et des amendes des entreprises dont le chiffre d'affaires annuel était inférieur à 250 000 euros pour ce seul point.
4. Conditions générales de vente et processus d'achat
Le flux complet du paiement est examiné : le prix final TTC est-il affiché avant le paiement ? Le bouton de confirmation inclut-il la mention «obligation de paiement» ou équivalente exigée par la directive relative aux droits des consommateurs ? Les conditions de rétractation prévoient-elles les 14 jours calendaires et les exceptions légales (contenu numérique, produits personnalisés, denrées périssables) ? La politique de retour décrit-elle correctement qui assume les frais d'envoi ? Ces points sont à l'origine de nombreuses réclamations auprès des associations de consommateurs.
5. Transparence des prix et publicité des réductions
La directive Omnibus, en vigueur en Espagne depuis 2022, oblige à afficher le prix le plus bas des 30 derniers jours comme référence lors de l'annonce d'une promotion. L'audit contrôle la mise en œuvre technique de cette exigence sur la plateforme (WooCommerce, PrestaShop, Shopify) et vérifie si les avis publiés attestent qu'ils proviennent d'acheteurs vérifiés.
6. Sécurité et notification des violations
L'audit vérifie si la boutique dispose d'une procédure documentée pour détecter et notifier les violations de données à l'AEPD dans le délai de 72 heures imposé par le RGPD. Les contrats avec les prestataires d'hébergement, de passerelle de paiement et d'outils marketing sont également examinés pour s'assurer qu'ils incluent les clauses de sous-traitant des données (art. 28 RGPD).
Combien coûte un audit légal d'e-commerce : fourchettes indicatives du marché
Le prix d'un audit légal de boutique en ligne varie selon la taille de la boutique, le nombre de marchés sur lesquels elle opère, la complexité du catalogue et selon que le prestataire livre uniquement le rapport ou exécute aussi les plans de correction. Les fourchettes indicatives suivantes pour le marché espagnol en 2025-2026 sont basées sur des offres publiques de cabinets juridiques et de consultants spécialisés en droit numérique :
| Type de service | Fourchette indicative (HT) | Ce qui est habituellement inclus |
|---|---|---|
| Audit de base (rapport uniquement) | 800 – 1 800 € | Révision des textes juridiques publiés, liste de contrôle de conformité, rapport des lacunes avec niveau de gravité |
| Audit complet (rapport + plan d'action) | 1 800 – 3 500 € | Tout ce qui précède, plus révision fonctionnelle du parcours d'achat, analyse des cookies en conditions réelles et feuille de route priorisée |
| Audit + mise en conformité exécutée | 3 500 – 7 000 € | Rédaction de tous les textes juridiques, configuration de la CMP, révision du paiement et accompagnement jusqu'à la clôture des lacunes |
| Maintenance légale annuelle | 600 – 1 500 €/an | Mise à jour des textes à chaque évolution réglementaire, révision semestrielle, consultations illimitées |
Ces prix sont indicatifs du marché et ne constituent pas le tarif d'un prestataire précis. Les facteurs qui font monter le prix sont : opérer dans plusieurs pays de l'UE (nécessite une analyse par juridiction), vente de produits réglementés (alimentation, cosmétique, dispositifs médicaux, jouets), traitement de données de mineurs, ou nécessité d'un DPO externe associé. Les facteurs qui le font baisser sont : boutique monomarque sans marketplaces tiers, catalogue standard sans produits réglementés et plateforme SaaS avec modules légaux préconfigurés (Shopify, par exemple, gère nativement une partie de la facturation électronique sur certains marchés).
Quand l'audit devient urgent
Il existe des moments où reporter la révision légale cesse d'être de l'imprudence et devient un risque réel. L'expérience accumulée depuis 2007 dans des projets de mise en conformité réglementaire pour PME permet d'identifier cinq déclencheurs habituels :
- Lancement d'un nouvel e-commerce. Commencer à vendre sans textes juridiques corrects crée un passif dès le premier jour. La première réclamation d'un client ou le premier contrôle de l'AEPD arrivent plus tôt que prévu.
- Expansion vers de nouveaux marchés européens. Vendre en France, en Italie ou en Allemagne implique de respecter les exigences d'information aux consommateurs propres à chaque pays, en plus du RGPD commun. Une mention légale conçue uniquement pour l'Espagne n'est pas suffisante.
- Réclamation d'un client ou signalement auprès des services de la consommation. Lorsqu'une réclamation formelle arrive, l'absence de conditions générales correctes ou de preuve du consentement du client rend la défense beaucoup plus coûteuse.
- Changement de plateforme technologique. Migrer de PrestaShop à Shopify ou de WooCommerce à Magento réinitialise souvent les configurations de confidentialité et de cookies. C'est le moment de revoir et de mettre à jour l'ensemble du dispositif juridique.
- Adhésion à un programme de marketplace. Amazon, El Corte Inglés Digital ou Miravia exigent de leurs vendeurs le respect de la LSSI et du RGPD. Le non-respect peut entraîner la suspension du compte.
Différence entre mise en conformité et audit : ne pas les confondre
L'audit diagnostique l'état actuel de conformité : ce qui manque, ce qui est mal rédigé, quels processus n'ont pas de support documentaire. La mise en conformité exécute les corrections : rédige les textes, configure la CMP, révise le paiement et accompagne la mise en œuvre. Ce sont deux phases distinctes, même si de nombreux prestataires les proposent dans un même projet.
Il est également important de distinguer l'audit légal de l'audit technique de sécurité (test d'intrusion, analyse de vulnérabilités). Le premier est réalisé par un juriste spécialisé en droit numérique ; le second, par une équipe de cybersécurité. Les deux sont recommandables pour une boutique en ligne mature, mais répondent à des questions différentes. Si vous avez besoin de renforcer la couche technologique, l'équipe de mise en conformité légale pour l'e-commerce peut se coordonner avec les spécialistes systèmes pour une approche intégrée.
Ce que l'audit ne peut pas remplacer
Un audit ponctuel est une photographie de l'état juridique à un moment donné. La réglementation e-commerce évolue fréquemment : la transposition espagnole de la directive sur les services numériques, le futur règlement ePrivacy qui remplacera les lignes directrices sur les cookies, ou les délais de mise en œuvre de Verifactu pour les PME (1er janvier 2027 pour les sociétés et 1er juillet 2027 pour les travailleurs indépendants et autres contribuables, conformément au décret royal 15/2025 et au décret royal 238/2026) sont des changements qui nécessitent une révision continue. C'est pourquoi les consultants experts en droit numérique proposent généralement un service de maintenance légale annuelle qui met à jour les textes à chaque nouveauté réglementaire et garantit que la boutique reste conforme sans que le chef d'entreprise ait à suivre le Journal officiel semaine après semaine.
Questions fréquentes
Puis-je copier les textes juridiques d'un autre site et les adapter ?
Techniquement, rien ne vous en empêche, mais les risques sont sérieux. Les textes copiés sont généralement obsolètes, ne reflètent pas votre activité réelle (traitements de données, destinataires, produits vendus) et peuvent contenir des erreurs héritées du site d'origine. Si l'AEPD ouvre une enquête, l'incohérence entre les textes publiés et les traitements réels aggrave la sanction. La rédaction personnalisée est toujours la bonne option.
Que se passe-t-il si l'AEPD me contrôle sans qu'il y ait eu de plainte préalable ?
L'AEPD réalise des inspections d'office, notamment dans les secteurs traitant de grands volumes de données personnelles (e-commerce, assurances, télécommunications). En 2024 et 2025, elle a intensifié ses actions contre les boutiques en ligne de taille intermédiaire. La procédure habituelle commence par une demande d'information : si vous ne pouvez pas fournir de preuves documentaires de conformité, un dossier de sanction est ouvert. Les amendes pour les PME oscillent généralement entre 5 000 et 50 000 euros pour des infractions de niveau intermédiaire, bien que les infractions graves (absence totale de base juridique pour des traitements massifs) puissent dépasser ce montant.
Combien de temps dure un audit légal d'e-commerce ?
Cela dépend du périmètre. Un audit de diagnostic de base peut être livré en 5 à 10 jours ouvrés. S'il inclut une révision fonctionnelle complète du paiement, une analyse de la CMP en conditions réelles et une comparaison avec les prestataires externes, le délai habituel est de 3 à 5 semaines. La phase de mise en conformité (correction des textes et mise en œuvre) s'y ajoute généralement en 2 à 6 semaines supplémentaires selon la complexité.
L'audit couvre-t-il aussi le canal de vente sur les réseaux sociaux ou les marketplaces ?
Cela dépend du contrat. De nombreux audits se concentrent sur le site propre. Si vous vendez via Instagram Shopping, TikTok Shop, Amazon ou Miravia, vous devez également examiner les conditions de chaque plateforme et la façon dont elles s'articulent avec vos propres textes juridiques. Il s'agit d'un périmètre différent qu'il convient de préciser avant de commander le service. L'approche habituelle est de l'auditer de façon modulaire ou lors d'une deuxième phase.