Depuis l'entrée en vigueur de la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004, tout site web accessible au public en France est soumis à une obligation de transparence. Pour les cabinets d'avocats, cette obligation se double d'exigences déontologiques propres à la profession, encadrées par le Conseil National des Barreaux (CNB). En 2026, les contrôles de la CNIL et des barreaux se sont intensifiés : un site non-conforme expose le cabinet à des sanctions disciplinaires et à des amendes administratives pouvant atteindre 375 000 € pour une personne morale.

Ce guide pratique recense l'ensemble des mentions légales obligatoires, les pièges les plus fréquents et la marche à suivre pour mettre votre site en conformité en moins d'une heure.

1. Mentions légales obligatoires (LCEN art. 6)

L'article 6-III de la LCEN impose aux personnes dont l'activité est d'éditer un service de communication en ligne à titre professionnel de mettre à la disposition du public les informations suivantes :

• Nom et prénom ou dénomination sociale du cabinet (ex. : « SCP Martin & Associés » ou « Maître Sophie Dupont »)
• Adresse du siège social ou du domicile professionnel — l'adresse de domiciliation fiscale ne suffit pas ; il faut l'adresse où le cabinet exerce réellement
• Numéro de téléphone permettant de joindre l'éditeur rapidement
• Adresse électronique — une adresse du domaine du cabinet de préférence (ex. : contact@cabinet-martin.fr)
• Numéro SIRET / SIREN — obligatoire pour toute structure dotée de la personnalité morale (SCP, SELARL, AARPI, etc.)
• Numéro de TVA intracommunautaire si le cabinet est assujetti à la TVA (la plupart des structures soumises à l'IS ou en régime réel le sont)
• Barreau d'inscription (ex. : « Barreau de Paris », « Barreau de Lyon ») et numéro au tableau de l'ordre
• Directeur de la publication — pour un cabinet, il s'agit généralement de l'associé gérant ou du fondateur ; son nom complet doit figurer explicitement
• Titre professionnel et État membre dans lequel il a été octroyé (requis par la directive 98/5/CE pour les avocats européens exerçant hors de leur État d'origine)

2. Hébergeur : une mention souvent oubliée

L'article 6-III de la LCEN impose également d'identifier l'hébergeur du site. Il s'agit de la société qui stocke physiquement les fichiers du site sur ses serveurs. Ces informations doivent comprendre :

• Nom ou dénomination sociale de l'hébergeur (ex. : OVH SAS, Scaleway SAS, Amazon Web Services EMEA SARL)
• Adresse du siège social de l'hébergeur
• Numéro de téléphone de l'hébergeur

En pratique, si votre site est hébergé chez OVHcloud, il suffit d'indiquer : « OVH SAS — 2 rue Kellermann, 59100 Roubaix — +33 9 72 10 10 07 ». Pour AWS : « Amazon Web Services EMEA SARL — 38 avenue John F. Kennedy, L-1855 Luxembourg ». L'omission de cette mention est l'une des infractions les plus facilement détectables et sanctionnées.

3. Assurance responsabilité civile professionnelle

Le décret n° 2007-932 du 15 mai 2007 impose à tout avocat de souscrire une assurance garantissant sa responsabilité civile professionnelle (RCP). Bien que la LCEN n'impose pas directement la mention de l'assurance dans les mentions légales, la directive 2006/123/CE relative aux services (art. 22) et le RIN du CNB recommandent d'indiquer sur le site :

• Le nom de la compagnie d'assurance (ex. : AXA, Allianz, MMA, SMABTP)
• La couverture géographique du contrat (France métropolitaine, UE, mondiale)
• Les coordonnées de l'assureur ou un renvoi vers la fiche d'information contractuelle

Cette information rassure les clients potentiels et peut être exigée par des clients professionnels (collectivités, grandes entreprises) dans le cadre de leurs procédures d'achat. En cas de litige, l'absence de cette mention peut compliquer la démonstration que l'avocat remplissait ses obligations légales.

4. Politique de confidentialité (RGPD art. 13 et 14)

Le Règlement Général sur la Protection des Données (RGPD) exige que toute personne dont les données sont collectées soit informée, au moment de la collecte, d'un ensemble d'éléments précis. Pour un cabinet d'avocats, la politique de confidentialité doit impérativement mentionner :

• Identité et coordonnées du responsable du traitement — nom du cabinet, adresse, e-mail dédié à la protection des données
• Finalités et bases légales pour chaque traitement : formulaire de contact (intérêt légitime ou consentement), newsletter (consentement), facturation (obligation légale), etc.
• Délégué à la protection des données (DPO) — obligatoire uniquement si le cabinet traite à grande échelle des données sensibles (données de santé de clients, données relatives à des condamnations pénales) ou réalise un suivi systématique à grande échelle. La plupart des cabinets de taille moyenne ne sont pas soumis à cette obligation, mais peuvent désigner un DPO volontaire.
• Durées de conservation — ex. : données de contact : 3 ans après le dernier contact ; données de facturation : 10 ans (obligation comptable) ; dossiers clients : 5 ans après clôture du dossier (prescription civile)
• Droits des personnes concernées : accès, rectification, effacement, limitation, portabilité, opposition — avec l'adresse e-mail ou le formulaire pour exercer ces droits, et le délai de réponse (1 mois, extensible à 3 mois pour les demandes complexes)
• Transferts hors UE — si vous utilisez des outils américains (Mailchimp, HubSpot, Google Analytics), vous devez mentionner le mécanisme de transfert utilisé (décision d'adéquation UE–États-Unis — DPF — ou clauses contractuelles types)
• Droit de saisir la CNIL — rappel obligatoire du droit de déposer une plainte auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL)

5. Cookies et consentement : les exigences de la CNIL

La directive ePrivacy (2002/58/CE, modifiée en 2009) transposée à l'article 82 de la loi Informatique et Libertés impose de recueillir le consentement préalable de l'internaute avant tout dépôt de cookies non strictement nécessaires. Les recommandations de la CNIL (délibération n° 2020-091) précisent :

• Le bouton « Refuser » doit être aussi visible et accessible que le bouton « Accepter » — même niveau de l'interface, même taille, même contraste
• Aucune case pré-cochée : le consentement doit être un acte positif et non ambigu
• L'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné — lien « Gérer mes cookies » accessible à tout moment (pied de page)
• Les cookies strictement nécessaires (session, panier, sécurité) ne nécessitent pas de consentement, mais doivent être listés dans la politique cookies
• Google Analytics 4 avec anonymisation IP reste soumis au consentement selon la CNIL (délibération du 7 juin 2023) ; privilégiez Matomo en auto-hébergement pour échapper à cette contrainte

La CNIL a sanctionné en 2023 et 2024 plusieurs entreprises françaises pour des bandeaux cookies non conformes (bouton « Refuser » absent ou masqué, cases pré-cochées, chargement de traceurs avant consentement). Les montants des amendes vont de 20 000 € à plusieurs millions d'euros pour les grandes structures.

6. Erreurs fréquentes sur les sites de cabinets d'avocats

7. Vérifier la conformité de votre site en 3 minutes

Un audit manuel des 7 points ci-dessus peut prendre plusieurs heures, surtout si votre site comporte plusieurs pages et intègre des outils tiers. Juralex Audit automatise cette vérification : en moins de 3 minutes, le scanner analyse votre site et produit un rapport détaillé couvrant :

• Présence et complétude des mentions légales (LCEN)
• Détection du barreau d'inscription et du numéro SIRET
• Conformité du bandeau cookies (bouton Refuser, cases pré-cochées)
• Qualité de la politique de confidentialité (bases légales, durées de conservation)
• En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options)
• Transferts de données hors UE détectés automatiquement

Le rapport est exportable en PDF et peut être partagé avec votre bâtonnier ou votre direction. Il est mis à jour à chaque nouveau scan, vous permettant de suivre l'évolution de votre conformité dans le temps.