Startup 2026 : checklist des obligations légales

Lancer un site ou une application, c’est aussi assumer un socle d’obligations légales : identifier l’entreprise, encadrer l’usage et la vente, protéger les données et respecter le consentement aux cookies. Cette checklist, à jour 2026, réunit les obligations essentielles d’une startup qui se lance, leurs bases légales, les sanctions réelles, et ce qui a changé cette année. Chaque bloc renvoie vers nos guides détaillés et nos modèles.

Dernière révision : 11 juin 2026. Checklist informative, à faire relire par un professionnel du droit avant mise en ligne.

Ce qui change en 2026 (à vérifier dans vos documents)

• La plateforme européenne de litiges (RLL/ODR) est fermée. Depuis le 20 juillet 2025, la plateforme ec.europa.eu/consumers/odr n’existe plus : le règlement (UE) 2024/3228 a abrogé le règlement (UE) n° 524/2013 (Commission européenne). Retirez tout lien ou mention de cette plateforme de vos CGV — l’obligation d’indiquer un médiateur de la consommation reste, elle, en vigueur.
• Résiliation « en 3 clics ». Pour les contrats à reconduction conclus en ligne (abonnements), une fonctionnalité gratuite de résiliation directement accessible est obligatoire — article L.215-1-1 du Code de la consommation, en vigueur depuis le 1ᵉʳ juin 2023.
• Bouton de rétractation au 19 juin 2026. Pour les ventes en ligne aux consommateurs, une fonctionnalité de rétractation gratuite et directement accessible est désormais obligatoire (article L.221-21, ordonnance n° 2026-2). Détails : notre guide du droit de rétractation.
• Recodification fiscale au 1ᵉʳ septembre 2026. Les règles de franchise en base de TVA (micro-entreprise, aujourd’hui « article 293 B du CGI ») et les mentions e-commerce de l’article 19 de la LCEN changent de siège textuel : franchise TVA déplacée vers le Code des impositions sur les biens et services (CIBS), mentions e-commerce transférées vers le Code de la consommation. ⚠️ Les obligations demeurent ; re-vérifiez les références d’articles après cette date.

La checklist en 6 blocs

Chaque bloc ci-dessous répond à une obligation précise, avec sa base légale. Traitez-les comme une liste de contrôle avant la mise en ligne.

1. Mentions légales (identifier l’entreprise)

Obligatoires dès qu’un site est public (article 1-1 de la LCEN). Doivent figurer : dénomination et forme juridique, capital social, adresse du siège, numéro RCS et SIREN, TVA intracommunautaire le cas échéant, directeur de la publication, un téléphone et une adresse de contact, et l’identité de l’hébergeur (nom, adresse). Le défaut de mentions légales est un délit. Détails et exemples : notre guide des mentions légales obligatoires.

2. CGU (encadrer l’usage du service)

Pas strictement imposées par un texte unique, mais indispensables : elles définissent les règles d’utilisation, la propriété intellectuelle, les responsabilités et la modération. Pour un service qui héberge des contenus d’utilisateurs (comptes, avis, marketplace), le DSA (règlement (UE) 2022/2065, art. 14) impose d’exposer dans les CGU les règles et procédures de modération. Conservez toujours une trace de l’acceptation. Pour un SaaS, partez de notre modèle de CGU SaaS ; pour le cadre complet, voyez le guide CGU e-commerce.

3. CGV (encadrer la vente)

Si vous vendez (produits, services, abonnements), les CGV portent l’information précontractuelle obligatoire (articles L.111-1 et L.221-5 du Code de la consommation). En B2C : droit de rétractation de 14 jours (article L.221-18), garantie légale de conformité (article L.217-3), information sur un médiateur de la consommation (article L.616-1). Voyez notre guide de rédaction des CGV, le modèle CGV e-commerce et, en micro-entreprise, les CGV auto-entrepreneur.

4. RGPD (protéger les données)

Dès que vous traitez des données personnelles : tenez un registre des traitements, identifiez une base légale par finalité (article 6 du RGPD), encadrez vos sous-traitants par un DPA (hébergeur, paiement, emailing — article 28), garantissez l’exercice des droits (accès, rectification, effacement, opposition — articles 15 à 22) et appréciez si un DPO est obligatoire (article 37). Publiez une politique de confidentialité claire. Cadre : RGPD — règlement (UE) 2016/679 + loi n° 78-17 dite « Informatique et Libertés ». Notre guide RGPD pour entreprise détaille la marche à suivre.

5. Cookies et traceurs (respecter le consentement)

Aucun traceur non essentiel ne peut être déposé avant un consentement libre, éclairé et spécifique (article 82 de la loi Informatique et Libertés, lignes directrices CNIL). Il faut un bandeau/CMP qui permette d’accepter et de refuser aussi simplement, conserver la preuve du consentement et borner sa durée (la CNIL recommande de re-solliciter après 6 mois). ⚠️ Une politique cookies n’est pas un bandeau : le dispositif de recueil est à votre charge. Détails : politique de confidentialité et cookies.

6. Facturation et délais de paiement

Vos factures portent des mentions obligatoires (identité, SIREN, TVA ou mention de franchise, numérotation continue). En B2B, tout retard de paiement entraîne de plein droit des pénalités de retard et une indemnité forfaitaire de recouvrement de 40 € (article L.441-10 du Code de commerce). Les délais de paiement convenus sont eux-mêmes plafonnés (en principe 60 jours).

Les sanctions : pourquoi ce socle n’est pas optionnel

Chaque manquement a sa sanction propre — elles s’additionnent :

• RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les manquements les plus graves ; 10 M€ / 2 % pour les autres — article 83 du RGPD (CNIL).
• Information précontractuelle / rétractation : jusqu’à 15 000 € (personne physique) et 75 000 € (personne morale) — articles L.242-10 et suivants du Code de la consommation.
• Défaut d’information sur le médiateur de la consommation : jusqu’à 3 000 € / 15 000 € — article L.641-1 du Code de la consommation.
• Délais de paiement B2B omis ou mentions de facturation absentes : jusqu’à 75 000 € / 2 000 000 € — Code de commerce.

S’y ajoutent le risque civil des clauses abusives (réputées non écrites) et l’atteinte à la réputation. Pour le panorama complet, voyez notre guide des sanctions en cas de non-conformité.

Roadmap 0–90 jours

• Semaine 1 : mentions légales, politique de confidentialité, politique cookies + CMP, CGU.
• Semaine 2 : CGV, droit de rétractation/retours, e-mails transactionnels.
• Mois 2 : DPA fournisseurs, registre RGPD, sauvegardes et gestion des accès.
• Mois 3 : revue contractuelle clients/fournisseurs, factures et mentions, formation de l’équipe.

Erreurs fréquentes à éviter

• Pas de traçabilité de l’acceptation des CGU/CGV (horodatage, version, case à cocher).
• Cookies déposés avant consentement, ou refus plus difficile que l’acceptation.
• Confusion B2B / B2C dans les clauses (rétractation, médiation, TTC/HT).
• Reconduction tacite non encadrée et résiliation « 3 clics » oubliée dans les abonnements.
• Renvoi vers la plateforme ODR (fermée) encore présent dans les CGV.

Partir d’une base, puis générer vos documents

Le plus efficace : partir d’une base à jour 2026 et l’adapter, plutôt que rédiger de zéro. Notre générateur produit mentions légales, CGU, CGV, politique de confidentialité et politique cookies à partir d’un formulaire guidé.

Accélérez votre mise en conformité : générez vos documents de base, puis faites-les relire avant la mise en ligne.

Questions fréquentes

Quelles obligations légales pour lancer un site ou une app en 2026 ? Au minimum : des mentions légales identifiant l’éditeur et l’hébergeur (article 1-1 de la LCEN) ; des CGU adaptées au produit ; des CGV si vous vendez (information précontractuelle, rétractation, garanties, médiation) ; une politique de confidentialité et un registre RGPD ; un dispositif de consentement aux cookies conforme à l’article 82 de la loi Informatique et Libertés ; et des factures aux mentions obligatoires. C’est un socle, pas une option : chaque manquement a sa sanction propre.

Les mentions légales sont-elles obligatoires pour une startup ? Oui, dès qu’un site est accessible au public (article 1-1 de la LCEN). Doivent y figurer l’identité de l’éditeur (dénomination, forme juridique, capital, adresse, RCS, TVA), le directeur de la publication, un moyen de contact dont un téléphone, et l’identité de l’hébergeur. Le défaut de mentions légales est un délit pénalement sanctionné.

Une startup doit-elle nommer un DPO (délégué à la protection des données) ? Pas systématiquement. La désignation d’un DPO est obligatoire (article 37 du RGPD) lorsque le traitement à grande échelle de données est au cœur de l’activité, ou en cas de suivi régulier et systématique des personnes, ou de traitement à grande échelle de données sensibles. En dehors de ces cas, elle reste recommandée mais facultative. Le registre des traitements, lui, est quasi toujours requis.

Quelles sanctions en cas de non-conformité RGPD ? Les manquements les plus graves au RGPD (principes, droits des personnes, transferts hors UE) exposent à une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 83 du RGPD). Les autres manquements sont plafonnés à 10 millions d’euros ou 2 %. La CNIL peut aussi ordonner la mise en conformité sous astreinte.

Faut-il encore citer la plateforme européenne de litiges (RLL/ODR) ? Non. La plateforme européenne de règlement en ligne des litiges a fermé définitivement le 20 juillet 2025 (règlement (UE) 2024/3228, qui abroge le règlement 524/2013). Toute référence ou lien vers cette plateforme doit être retiré de vos documents. L’obligation d’indiquer un médiateur de la consommation, en B2C, demeure.

Sources officielles

Légifrance — LCEN (loi n° 2004-575), Légifrance — Code de la consommation, CNIL — sanctions, economie.gouv.fr — mentions sur votre site. Vérification des références : juin 2026.

---

Checklist indicative et non contractuelle. Adaptez selon votre secteur et faites valider par un professionnel du droit avant mise en ligne. TinyTerms ne garantit pas la conformité à votre situation.