Sanctions e-commerce 2026 : Combien ça coûte vraiment de ne pas être conforme ?
En 2026, les contrôles se multiplient et les sanctions atteignent des niveaux records. La CNIL a prononcé 87 amendes en 2025, soit +107 % en un an, pour un total dépassant 90 millions d'euros. La DGCCRF intensifie ses contrôles sur les boutiques en ligne depuis l'entrée en vigueur de la Directive Omnibus. Si vous gérez une boutique WooCommerce, voici exactement combien vous risquez — par catégorie d'infraction.
Nouveauté 2026 : les amendes peuvent désormais être renouvelées tous les 6 mois si les manquements persistent. Une non-conformité non corrigée ne coûte donc pas une seule amende, mais autant d'amendes qu'il y a de semestres de retard.
Tableau complet des sanctions par catégorie
| Domaine | Infraction | Sanction maximale | Autorité |
|---|---|---|---|
| RGPD | Absence de consentement valide, pas de registre des traitements, fuite de données non déclarée | 20 M€ ou 4 % du CA annuel mondial | CNIL |
| Directive Omnibus — Droit de rétractation | Délai non affiché, formulaire absent, exceptions non mentionnées | 4 % du CA annuel | DGCCRF |
| Directive Omnibus — Faux avis | Avis non vérifiés, avis achetés, avis manipulés | 15 000 € (personne physique) · 75 000 € (personne morale) | DGCCRF |
| Directive Omnibus — Prix / Promotions | Fausse promotion, prix de référence fictif, absence du prix plancher 30 jours | Amende DGCCRF + sanctions pénales | DGCCRF |
| Dark patterns | Cases pré-cochées, frais cachés, désabonnement volontairement difficile | 75 000 € (personne morale) | DGCCRF / CNIL |
| Cybersécurité | Absence de mesures de sécurité adéquates, fuite non déclarée à la CNIL sous 72h | 10 M€ ou 2 % du CA (NIS2, entités essentielles) + amende RGPD cumulable | CNIL / ANSSI |
| Accessibilité (DAE) | Site non accessible aux personnes handicapées — s'applique aux e-commerçants de plus de 10 salariés ou 2 M€ de CA depuis juin 2025 | Sanctions définies par décret national · micro-entreprises exemptées | Arcom / DGCCRF |
| Mentions légales / CGV | CGV absentes, non acceptées, ou informations précontractuelles manquantes | 15 000 € (physique) · 75 000 € (morale) | DGCCRF |
RGPD : les amendes les plus lourdes, et en forte hausse
Avec 87 sanctions prononcées par la CNIL en 2025, le RGPD est de loin le cadre réglementaire le plus actif. Les infractions les plus sanctionnées sont :
- Défaut de consentement : cases pré-cochées, consentement non libre.
- Absence de registre des traitements : document obligatoire, contrôlé en priorité.
- Faille de sécurité non déclarée : toute fuite doit être notifiée à la CNIL sous 72 heures.
- Durées de conservation non respectées : données conservées au-delà du nécessaire.
Le montant maximal — 20 millions d'euros ou 4 % du CA mondial — s'applique aux infractions les plus graves. Pour une boutique réalisant 500 000 € de CA, cela représente jusqu'à 20 000 € d'amende, cumulable avec d'autres sanctions.
Directive Omnibus : des montants précis par type d'infraction
Faux avis clients
Afficher des avis non vérifiés ou achetés expose à 15 000 € d'amende pour une personne physique et 75 000 € pour une société. La directive impose que chaque avis soit lié à un achat réel et vérifiable. Les plateformes comme Trustpilot ou les systèmes de vérification WooCommerce natives permettent de se conformer.
Droit de rétractation mal affiché
Si le délai légal de 14 jours n'est pas clairement mentionné, il s'étend automatiquement à 12 mois — sans amende immédiate, mais avec un risque massif de retours tardifs et de litiges. La DGCCRF peut par ailleurs prononcer une amende allant jusqu'à 4 % du chiffre d'affaires pour pratique commerciale déloyale.
Dark patterns
Les interfaces manipulatrices (options pré-cochées, frais affichés au dernier moment, désabonnement complexe) sont sanctionnées jusqu'à 75 000 € par infraction. La DGCCRF a renforcé ses contrôles automatisés sur ces pratiques depuis janvier 2026.
Cybersécurité : deux régimes de sanctions cumulables
En cas de faille de sécurité, deux régimes s'appliquent simultanément :
- RGPD : si des données personnelles sont compromises et la CNIL n'est pas notifiée sous 72h → jusqu'à 4 % du CA.
- NIS2 (directive réseau et systèmes d'information) : jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes.
Ces amendes sont cumulables. Une boutique victime d'une attaque qui n'a pas pris les mesures techniques élémentaires (mises à jour, SSL, sauvegardes) peut se retrouver sanctionnée sur les deux volets.
Accessibilité numérique (DAE) : applicable au privé depuis juin 2025
La Directive Accessibilité Européenne (DAE) s'applique aux e-commerçants privés depuis le 28 juin 2025 — à condition de dépasser 10 salariés ou 2 millions d'euros de CA. Les micro-entreprises en dessous de ces seuils sont exemptées. Les sanctions françaises sont définies par décret national. Le RGAA, lui, concerne principalement le secteur public.
Comment éviter ces sanctions concrètement ?
- Auditer votre boutique — identifier les points non conformes avant un contrôle.
- Tenir un registre des traitements RGPD — document simple mais obligatoire.
- Afficher le droit de rétractation et le formulaire type — accessible en 2 clics.
- Vérifier les avis clients — passer à un système de vérification d'achat.
- Supprimer les dark patterns — frais visibles, cases décochées, désabonnement simple.
- Mettre à jour WooCommerce et plugins — chaque mise à jour corrige des failles actives.
- Notifier la CNIL en cas de fuite — le délai de 72h est impératif.
⚠️ Combien de ces infractions votre boutique commet-elle aujourd'hui ?
Notre IA audite votre boutique WooCommerce sur l'ensemble de ces critères — RGPD, Omnibus, cybersécurité, mentions légales — et vous livre un rapport PDF avec plan d'action priorisé directement par email. Identifiez vos risques avant qu'un contrôle ne le fasse à votre place.
🔍 Auditer ma boutique maintenant