Boutique en ligne : obligations légales LSSI et RGPD

·

Lancer une boutique en ligne en Espagne n'a jamais été aussi simple sur le plan technique, mais le volet juridique reste un obstacle contre lequel de nombreux commerçants se heurtent. La Loi sur les services de la société de l'information (LSSI-CE), le Règlement général sur la protection des données (RGPD), la Loi générale pour la défense des consommateurs et des utilisateurs (TRLGDCU) et la Loi sur l'organisation du commerce de détail forment un cadre réglementaire qui s'impose à toute entreprise vendant sur internet en Espagne, quelle que soit sa taille ou qu'il s'agisse d'un travailleur indépendant ou d'une société. Dans cet article, nous vous expliquons quels documents sont nécessaires, quelles informations doivent être publiées et quelles sont les conséquences du non-respect, avec des données actualisées pour 2026.

Quelles lois régissent une boutique en ligne en Espagne ?

Avant de détailler les exigences une par une, il convient d'avoir une vision claire du paysage réglementaire. Il ne s'agit pas d'une loi unique : ce sont au moins quatre textes qui se chevauchent et qui concernent différents aspects de l'activité numérique :

À ces textes s'ajoutent les directives européennes transposées par l'Espagne : la Directive Omnibus (UE 2019/2161, en vigueur depuis mai 2022) renforce les droits des consommateurs numériques ; la Directive sur les services numériques (DSA, Règlement UE 2022/2065) impose de nouvelles obligations de transparence aux plateformes.

Mentions légales : la carte d'identité de votre activité en ligne

Les mentions légales constituent le premier document obligatoire en vertu de l'article 10 de la LSSI. Elles doivent être accessibles à tout moment depuis n'importe quelle page du site et doivent contenir au minimum :

Le non-respect de l'article 10 de la LSSI constitue une infraction mineure sanctionnée par une amende pouvant atteindre 30 000 € en vertu de l'article 38.1 de la même loi. En pratique, le Secrétariat d'État à la Numérisation et à l'Intelligence Artificielle (SEDIA) — qui a repris les compétences en la matière — a augmenté le nombre de procédures engagées ces dernières années.

Politique de confidentialité et RGPD : bien plus qu'un texte copié

Toute boutique en ligne collecte des données personnelles dès le premier instant : lors de la création d'un compte, du traitement d'une commande, de l'inscription à la lettre d'information ou simplement de l'installation de Google Analytics. L'article 13 du RGPD exige d'informer l'utilisateur avant la collecte de ses données sur :

Un aspect souvent négligé par de nombreuses boutiques en ligne est la base juridique du traitement. Tout ne peut pas être fondé sur le consentement ; dans la plupart des cas, le traitement des données pour exécuter un contrat de vente repose sur l'article 6.1.b du RGPD (exécution contractuelle), ce qui signifie qu'un consentement explicite n'est pas nécessaire pour ces données, mais qu'il l'est pour l'envoi de communications commerciales ultérieures.

Pour la gestion intégrale de la protection des données dans votre boutique, notre équipe de conseil LSSI et e-commerce élabore la documentation adaptée à votre modèle d'affaires et vous accompagne dans sa mise en œuvre.

Politique de cookies : la règle la plus fréquemment enfreinte

Le Guide sur l'utilisation des cookies publié par l'AEPD en 2023 (révisé en 2024) établit que tout site web qui installe ou lit des cookies non strictement nécessaires doit :

  1. Afficher une bannière lors de la première visite permettant d'accepter, de refuser ou de configurer les cookies avant leur installation.
  2. Accorder la même visibilité au bouton «refuser» qu'au bouton «accepter».
  3. Ne pas utiliser de dark patterns qui rendent le refus difficile (boutons cachés, couleurs trompeuses, options pré-sélectionnées).
  4. Maintenir une politique de cookies accessible depuis la bannière et le pied de page, avec la liste complète des cookies, leur finalité et leur durée.
  5. Enregistrer le consentement et être en mesure de le prouver auprès de l'AEPD si nécessaire.

L'AEPD peut sanctionner le non-respect en matière de cookies comme une infraction au RGPD, avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (article 83.4 du RGPD), bien qu'en pratique les sanctions aux PME se situent entre 3 000 € et 150 000 € selon la gravité.

Conditions générales de vente : le contrat avec votre client

Les conditions générales de contrat sont le document qui régit la relation commerciale entre votre boutique et le client. Pour les contrats à distance (qui incluent les achats en ligne), le TRLGDCU exige de fournir au consommateur, avant qu'il passe la commande, les informations précontractuelles suivantes :

Si vous n'informez pas les clients de leur droit de rétractation, le délai est automatiquement prolongé à 12 mois en vertu de l'article 105 du TRLGDCU. Ce détail, méconnu de nombreux commerçants, représente un risque juridique considérable si un client réclame après les 14 jours.

Tableau comparatif : documents obligatoires selon la réglementation

Document Réglementation de référence Obligatoire pour Sanction maximale en cas de non-respect
Mentions légales LSSI art. 10 Tout site web à activité économique 30 000 € (infraction mineure)
Politique de confidentialité RGPD art. 13 / LOPDGDD Tout site web traitant des données personnelles Jusqu'à 20 M € ou 4 % du CA mondial
Politique de cookies RGPD + Guide AEPD 2023 Tout site web utilisant des cookies non essentiels Jusqu'à 10 M € ou 2 % du CA mondial
Conditions générales de vente TRLGDCU + Loi 7/1998 Boutiques vendant à des consommateurs finaux Jusqu'à 100 000 € (TRLGDCU art. 49)
Informations précontractuelles TRLGDCU arts. 97-99 Tout contrat à distance B2C Jusqu'à 100 000 € + prolongation droit de rétractation
Lien plateforme ODR Règlement UE 524/2013 Boutiques vendant à des consommateurs UE Infraction administrative variable selon région

Exigences spécifiques pour la vente de certains produits

Au-delà du cadre général, certains secteurs présentent des exigences supplémentaires que la boutique en ligne doit respecter :

Alimentation et boissons

Le Règlement UE 1169/2011 relatif à l'information des consommateurs sur les denrées alimentaires oblige à mentionner dans la fiche produit les 14 allergènes, les informations nutritionnelles, la liste des ingrédients et le pays d'origine pour certains produits. Les boissons alcoolisées titrant plus de 1,2 % vol. doivent indiquer le degré d'alcool.

Produits électriques et électroniques

La fiche produit doit inclure l'étiquette énergétique (Règlement UE 2017/1369 et ses règlements délégués par catégorie de produit) et les informations sur le système de gestion des déchets DEEE (Décret royal 110/2015). Depuis 2024, les distributeurs en ligne sont tenus d'informer le consommateur sur le point de collecte le plus proche.

Cosmétiques et dispositifs médicaux

Régis par le Règlement UE 1223/2009 (cosmétiques) et le Règlement UE 2017/745 (dispositifs médicaux), ils exigent des informations spécifiques dans la fiche : liste INCI, numéro de lot, date de péremption et, pour les dispositifs médicaux, le numéro CE et l'organisme notifié.

Communications commerciales et e-mail marketing

L'article 21 de la LSSI interdit l'envoi de communications commerciales par courrier électronique sans le consentement préalable du destinataire. Ce consentement doit être :

L'exception prévue à l'article 21.2 de la LSSI permet d'envoyer des communications commerciales à des clients existants concernant des produits ou services similaires à ceux déjà achetés, à condition de leur avoir offert la possibilité de s'y opposer dans chaque communication.

Obligations fiscales et facturation

La boutique en ligne doit émettre une facture à tout client qui en fait la demande et à tous les clients professionnels (B2B). Pour les ventes aux consommateurs finaux (B2C), il est obligatoire d'émettre au moins un ticket de caisse ou une facture simplifiée. Si la boutique vend à des clients d'autres pays de l'Union européenne et dépasse les 10 000 € annuels de ventes intra-communautaires à distance, elle doit s'inscrire au régime du guichet unique (OSS) auprès de l'AEAT pour reverser la TVA dans le pays du consommateur.

Si votre système de facturation doit s'adapter à Verifactu ou à la facture électronique B2B obligatoire issue de la Loi Crea y Crece, Summum Consultoría coordonne l'analyse juridique et technique conjointement avec l'équipe systèmes.

Accessibilité web : une obligation réelle depuis 2025

La Loi 11/2023 du 8 mai (BOE-A-2023-11022), qui transpose la Directive européenne sur l'accessibilité (EAA, Directive 2019/882), exige que les services de commerce électronique respectent les exigences d'accessibilité de niveau AA (WCAG 2.1) pour les nouveaux services fournis aux consommateurs à partir du 28 juin 2025. Cette obligation s'applique à toute boutique en ligne vendant à des consommateurs dans l'UE, quelle que soit sa taille. Le Décret royal 1112/2018 (Directive UE 2016/2102) s'applique au secteur public ; le secteur privé est couvert par la Loi 11/2023 et la EAA. Le non-respect peut entraîner des sanctions pouvant aller jusqu'à 600 000 € dans les cas les plus graves.

Checklist rapide avant de lancer votre boutique

Voici les dix vérifications minimales à effectuer avant d'activer les ventes :

  1. Mentions légales visibles et complètes (LSSI art. 10).
  2. Politique de confidentialité mise à jour selon le RGPD avec la base juridique de chaque traitement.
  3. Bandeau de cookies conforme au Guide AEPD 2023 avec une option de refus tout aussi visible.
  4. Conditions générales de vente avec le droit de rétractation de 14 jours clairement mentionné.
  5. Prix affichés TVA comprise avec indication des frais de livraison avant de finaliser la commande.
  6. Formulaire de rétractation disponible en téléchargement (exigé par le TRLGDCU art. 102).
  7. Lien vers la plateforme ODR de la Commission européenne en pied de page.
  8. Formulaire d'inscription à la lettre d'information avec consentement explicite et sans case pré-cochée.
  9. Registre des activités de traitement (RGPD art. 30) documenté en interne.
  10. Contrats de sous-traitance avec les sous-traitants (passerelle de paiement, plateforme logistique, outil d'e-mail marketing).

Questions fréquentes

Une petite boutique en ligne ou un travailleur indépendant a-t-il les mêmes obligations qu'une grande entreprise ?

Oui, pour l'essentiel. La LSSI, le RGPD et le TRLGDCU s'appliquent quelle que soit la taille de l'entreprise. La seule différence notable est que le RGPD fixe des seuils pour certaines obligations supplémentaires (comme le Délégué à la Protection des Données ou l'analyse d'impact), que la plupart des petites boutiques en ligne n'atteignent pas. Mais les mentions légales, la politique de confidentialité, les cookies et les conditions de vente sont obligatoires dès le premier jour, pour tout commerçant.

Que se passe-t-il si je copie les textes juridiques d'une autre boutique ?

C'est une erreur courante qui a deux conséquences. Premièrement, les textes copiés ne correspondent probablement pas à votre modèle commercial spécifique (vos produits, vos délais de livraison, vos prestataires de paiement). Deuxièmement, si l'autre boutique avait des textes incorrects, vous en héritez les non-conformités. En cas d'inspection ou de réclamation d'un client, des textes génériques ou copiés ne prouvent pas que vous avez respecté vos obligations d'information. Il peut également y avoir une violation des droits d'auteur sur les textes copiés.

À quelle fréquence faut-il mettre à jour les textes juridiques ?

Chaque fois que les circonstances qu'ils décrivent changent : nouveaux prestataires de services traitant des données, modification de la politique de cookies lors de l'ajout de nouveaux outils d'analyse ou de publicité, changements dans les conditions de livraison ou de retour, évolutions réglementaires. En pratique, une révision annuelle est un minimum raisonnable ; dans un environnement numérique actif, une révision tous les six mois est conseillée. L'AEPD publie périodiquement des guides et des résolutions qui peuvent affecter la rédaction de la politique de confidentialité et de cookies.

Ai-je besoin d'un DPD (Délégué à la Protection des Données) pour ma boutique en ligne ?

Pour la plupart des petites et moyennes boutiques en ligne, la désignation d'un DPD n'est pas obligatoire. L'article 37 du RGPD l'exige lorsque le traitement des données est effectué à grande échelle, lorsque des catégories particulières de données (santé, idéologie, religion…) sont traitées de manière systématique, ou lorsque l'activité principale implique la surveillance systématique de personnes. Toutefois, si votre boutique opère dans des secteurs tels que la santé, l'alimentation pour des groupes vulnérables ou des produits par abonnement avec profilage intensif, il convient d'analyser si le seuil est dépassé. Vous pouvez obtenir plus d'informations dans notre guide sur le DPD externe.