Bannière cookie conforme CNIL : guide complet 2026
Votre bannière cookie est probablement non conforme. Ce n’est pas une provocation : en 2025, la CNIL a infligé près de 487 millions d’euros d’amendes, dont une part massive liée aux violations de la législation sur les cookies. Google a écopé de 325 millions d’euros, Shein de 150 millions. La conformité n’est plus un sujet théorique — c’est un risque financier, juridique et réputationnel que chaque éditeur de site web doit prendre au sérieux.
Ce guide détaille les exigences exactes de la CNIL pour une bannière cookie conforme en 2026, les erreurs les plus courantes, les dark patterns interdits, et les solutions concrètes pour se mettre en règle.
Ce que la CNIL exige exactement
Le cadre juridique repose sur deux textes complémentaires : l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy) et le RGPD, notamment ses articles 4(11) et 7 sur le consentement.
La recommandation de la CNIL du 17 septembre 2020 (délibération n° 2020-092) reste le texte de référence. Elle a été mise à jour en décembre 2025 pour intégrer les règles sur le consentement multi-terminaux. Voici les principes fondamentaux que tout éditeur doit maîtriser.
1. Le consentement doit être un acte positif clair
La simple poursuite de la navigation ne vaut pas consentement. L’utilisateur doit cliquer explicitement sur un bouton d’acceptation. Aucun cookie non essentiel ne peut être déposé avant cette action.
Concrètement, cela signifie que le fait de scroller, de fermer la bannière avec une croix, ou de cliquer sur un lien du site ne constitue pas un consentement valide. La CNIL a explicitement écarté ces pratiques dans sa recommandation de septembre 2020. Seul un clic délibéré sur un bouton clairement identifié comme un acte d’acceptation est recevable.
Cette exigence a des conséquences techniques directes : votre site doit être capable de fonctionner normalement sans aucun cookie non essentiel tant que l’utilisateur n’a pas fait son choix. Les scripts tiers doivent être bloqués techniquement, pas simplement masqués par un overlay visuel.
2. Refuser doit être aussi simple qu’accepter
C’est le point qui fait tomber la majorité des sites. La CNIL exige que le mécanisme de refus soit accessible sur le même écran et avec la même facilité que le mécanisme d’acceptation. Un bouton “Accepter” en couleur et un lien “Paramétrer” en gris ne suffisent pas.
L’exigence va au-delà de la simple présence d’un bouton de refus. La CNIL attend une symétrie réelle : même taille de police, même poids visuel, même nombre de clics nécessaires. Si l’acceptation nécessite un seul clic, le refus doit également nécessiter un seul clic. Si le bouton “Tout accepter” est vert et proéminent, le bouton “Tout refuser” doit avoir un traitement visuel équivalent.
En janvier 2022, c’est précisément cette asymétrie qui a valu à Google une amende de 150 millions d’euros et à Facebook une amende de 60 millions d’euros. Les deux sites proposaient un bouton d’acceptation en un clic, mais le refus nécessitait de naviguer dans des sous-menus et de décocher des options une par une.
3. L’information doit être claire et complète
L’utilisateur doit savoir, avant de consentir :
- Qui dépose les cookies (identité des responsables de traitement et des tiers)
- À quelles fins (publicité ciblée, mesure d’audience, personnalisation du contenu, partage sur les réseaux sociaux)
- Comment retirer son consentement ultérieurement
- Quelle durée de conservation est prévue pour les cookies déposés
Cette information doit être rédigée dans un langage clair et accessible, pas dans un jargon juridique incompréhensible. La CNIL insiste sur le fait que le consentement doit être “éclairé” — ce qui suppose que l’utilisateur ait réellement compris ce à quoi il consent. Une liste de 200 partenaires publicitaires présentée en bloc de texte ne remplit pas cette exigence de clarté.
4. Le consentement doit être spécifique
L’utilisateur doit pouvoir consentir finalité par finalité. Un consentement global (“tout accepter”) est possible, mais il ne doit pas être la seule option. Le détail par catégorie doit rester accessible.
En pratique, cela implique de proposer au minimum les catégories suivantes : cookies de mesure d’audience, cookies publicitaires, cookies de personnalisation, cookies de réseaux sociaux. L’utilisateur doit pouvoir accepter les cookies d’audience tout en refusant les cookies publicitaires, par exemple. Ce niveau de granularité est un droit, pas une option.
Le regroupement de finalités distinctes sous une même case à cocher est une violation du principe de spécificité. Chaque finalité doit correspondre à un choix distinct et indépendant.
5. La durée de conservation des choix est encadrée
La CNIL recommande de conserver les choix de l’utilisateur (consentement ou refus) pendant une durée de 6 mois. Au-delà, la bannière doit être représentée. Pour les traceurs de mesure d’audience exemptés de consentement, la durée de vie recommandée est de 13 mois maximum.
Cette durée de 6 mois est une recommandation, pas une obligation légale stricte. Cependant, en cas de contrôle, la CNIL attend que l’éditeur puisse justifier la durée retenue. Une durée de 12 ou 24 mois serait difficile à défendre au regard du principe de minimisation et de la nécessité de s’assurer que le consentement reste à jour.
Il est important de noter que cette durée s’applique aussi bien au consentement qu’au refus. Si l’utilisateur a refusé les cookies il y a 6 mois, il est légitime de lui reproposer le choix — mais sans dark pattern ni harcèlement.
6. Zéro script avant consentement
Aucun cookie non strictement nécessaire ne doit être déposé avant le recueil du consentement. C’est la règle la plus violée : la CNIL a sanctionné Shein en septembre 2025 précisément parce que des cookies publicitaires étaient déposés dès l’arrivée sur le site, avant toute interaction avec la bannière.
La difficulté technique est réelle. De nombreux sites intègrent des scripts tiers dans le <head> de leurs pages HTML : Google Analytics, le pixel Facebook, des scripts de chat en ligne, des outils de A/B testing. Ces scripts déposent des cookies dès leur chargement, avant même que la bannière ne soit affichée.
Pour être conforme, votre CMP (Consent Management Platform) doit bloquer techniquement l’exécution de ces scripts. Pas un blocage cosmétique (afficher la bannière par-dessus) — un blocage réel vérifié par inspection du trafic réseau. C’est exactement ce que la CNIL teste lors de ses contrôles en ligne.
7. La preuve du consentement est obligatoire
L’article 7 du RGPD est explicite : le responsable de traitement doit être en mesure de démontrer que la personne a consenti. Cela implique de conserver une preuve horodatée, identifiable et vérifiable du choix de chaque utilisateur.
Une preuve valide doit contenir au minimum :
- Un identifiant technique permettant de retrouver le choix d’un utilisateur donné (pas nécessairement un nom, mais un identifiant unique)
- Un horodatage précis du moment où le consentement a été recueilli
- Le détail des finalités acceptées et refusées par l’utilisateur
- La version de la bannière présentée au moment du choix (le contenu informatif affiché)
Un cookie local contenant consent=true ne constitue pas une preuve recevable. L’utilisateur peut l’effacer, un script peut le modifier, et surtout l’éditeur ne peut pas le présenter à la CNIL comme preuve fiable. La preuve doit être stockée côté serveur.
Les dark patterns interdits par la CNIL
En décembre 2024, la CNIL a mis en demeure plusieurs éditeurs pour utilisation de dark patterns dans leurs bannières cookies. Les dark patterns sont des techniques de design qui manipulent l’utilisateur pour l’orienter vers un choix qui n’est pas dans son intérêt. Voici les pratiques qui constituent des violations caractérisées.
Le bouton “Accepter” surdimensionné
Présenter le bouton d’acceptation dans une couleur vive, une taille de police importante, tandis que le bouton de refus est un simple lien textuel peu visible. La CNIL considère que cette asymétrie visuelle biaise le choix de l’utilisateur et invalide le caractère “libre” du consentement.
Par exemple, un bouton “Tout accepter” en vert avec une police de 16px et un padding généreux, à côté d’un lien “Paramétrer mes choix” en gris clair avec une police de 12px, constitue un dark pattern. Les deux options doivent avoir un traitement visuel équivalent.
Le refus enfoui dans les paramètres
Obliger l’utilisateur à naviguer dans des sous-menus ou des pages successives pour refuser les cookies, alors qu’un seul clic suffit pour accepter. C’est exactement le reproche fait à Google et Facebook en janvier 2022, qui leur a valu 150 et 60 millions d’euros d’amendes respectivement.
Le schéma classique : un premier écran avec “Tout accepter” et “Personnaliser”, puis un deuxième écran de paramétrage avec des catégories à décocher une par une, puis un bouton “Enregistrer mes choix”. Trois clics pour refuser, un seul pour accepter. C’est interdit.
Le langage ambigu
Formuler le refus en termes complexes comme “Je décline les finalités non essentielles” au lieu d’un simple “Tout refuser”. L’ambiguïté du langage est un dark pattern identifié par la CNIL. Le vocabulaire doit être simple, direct et compréhensible par tous.
D’autres formulations problématiques incluent “Continuer sans accepter” (qui suggère une forme de renonciation), “Plus tard” (qui ne constitue pas un refus), ou “Fermer” (qui n’exprime pas de choix clair). La CNIL attend des formulations explicites et sans ambiguïté.
Les boutons “Accepter” multiples
Présenter plusieurs boutons d’acceptation tandis que le bouton de refus n’apparaît qu’une seule fois, noyé dans le texte. Par exemple, un bouton “Tout accepter” en haut de la bannière et un autre “Accepter et continuer” en bas, mais un seul “Refuser” en petit caractère au milieu. Cette multiplication déséquilibre visuellement les options.
La pré-cochade des cases
Toute case pré-cochée pour un cookie non essentiel invalide le consentement. Le consentement doit être un acte positif, pas un défaut que l’utilisateur doit activement annuler. Cette règle est directement issue de l’arrêt Planet49 de la Cour de justice de l’Union européenne (1er octobre 2019), confirmé et repris par la CNIL dans ses lignes directrices.
La bannière récurrente après refus
Représenter la bannière à chaque page ou après quelques secondes lorsque l’utilisateur a refusé les cookies constitue une forme de harcèlement. Le choix de l’utilisateur doit être respecté pendant toute la durée de conservation prévue (6 mois recommandés). Redemander le consentement de manière insistante après un refus revient à exercer une pression qui invalide le caractère “libre” du consentement.
Les erreurs les plus fréquentes
Au-delà des dark patterns délibérés, de nombreux sites commettent des erreurs de bonne foi qui les exposent néanmoins à des sanctions.
Erreur 1 : les scripts tiers chargés avant consentement
Un tag Google Analytics, un pixel Facebook ou un script de chat en ligne chargés dans le <head> de la page, avant que la bannière ne soit affichée. Même si la bannière est présente, le mal est fait : les cookies sont déjà déposés.
Cette erreur est la plus courante et la plus sévèrement sanctionnée. Elle résulte souvent d’une intégration technique défaillante : le CMP est installé, mais les scripts tiers ne sont pas conditionnés au consentement. Pour vérifier, ouvrez les outils de développement de votre navigateur (onglet “Réseau”), effacez tous les cookies, rechargez la page et observez les requêtes réseau avant d’interagir avec la bannière. Si vous voyez des appels vers des domaines tiers, votre site n’est pas conforme.
Erreur 2 : le consentement non renouvelable
L’utilisateur a accepté les cookies, mais ne peut pas changer d’avis facilement. La CNIL exige que le mécanisme de retrait du consentement soit accessible à tout moment et aussi simple que le consentement initial.
En pratique, cela signifie qu’un lien ou un bouton permettant de rouvrir la bannière de consentement doit être accessible en permanence — typiquement via une icône flottante, un lien en pied de page, ou une entrée dans la politique de confidentialité. L’utilisateur ne devrait pas avoir à effacer manuellement ses cookies pour pouvoir refaire son choix.
Erreur 3 : l’absence de preuve
Beaucoup de CMP (Consent Management Platforms) enregistrent le choix de l’utilisateur dans un cookie local, mais ne conservent aucune preuve côté serveur. En cas de contrôle CNIL, l’éditeur ne peut pas démontrer que le consentement a été recueilli conformément aux exigences.
C’est un angle mort fréquent : l’éditeur a investi dans une bannière conforme visuellement, mais n’a aucun moyen de prouver que les consentements ont réellement été recueillis. L’article 7 du RGPD est pourtant sans ambiguïté sur ce point.
Erreur 4 : les cookies “strictement nécessaires” trop généreux
Certains éditeurs classifient des cookies de mesure d’audience ou de personnalisation comme “strictement nécessaires” pour éviter de demander le consentement. La CNIL a des critères stricts : seuls les cookies indispensables au fonctionnement technique du service sont exemptés.
Les cookies de session, les cookies d’authentification, les cookies de panier d’achat et les cookies de sécurité (CSRF) sont considérés comme strictement nécessaires. En revanche, un cookie Google Analytics, un cookie de personnalisation du contenu, ou un cookie de chatbot ne le sont pas — même si vous considérez que ces fonctionnalités sont “nécessaires” à votre activité.
Erreur 5 : l’absence de mise à jour
Les recommandations évoluent. La mise à jour de décembre 2025 sur le consentement multi-terminaux (cross-device) ajoute de nouvelles obligations pour les sites avec authentification. Une bannière configurée en 2021 n’est probablement plus conforme en 2026.
Au-delà des évolutions réglementaires, votre propre site évolue : vous ajoutez de nouveaux scripts, de nouveaux partenaires publicitaires, de nouvelles fonctionnalités qui déposent des cookies. Chaque modification technique doit être reflétée dans votre bannière de consentement et dans votre politique cookies.
Erreur 6 : la politique cookies obsolète ou absente
La bannière de consentement renvoie vers une politique cookies qui n’a pas été mise à jour depuis des années, qui ne liste pas les cookies réellement utilisés, ou qui ne mentionne pas les tiers qui déposent des traceurs. Cette politique doit être un document vivant, mis à jour à chaque modification de votre architecture technique.
Le tableau des sanctions récentes
Les chiffres parlent d’eux-mêmes :
| Entreprise | Montant | Date | Motif principal |
|---|---|---|---|
| 325 M EUR | Septembre 2025 | Cookies déposés sans consentement à la création de comptes | |
| Shein | 150 M EUR | Septembre 2025 | Cookies publicitaires déposés avant interaction avec la bannière |
| 150 M EUR | Janvier 2022 | Refus de cookies plus complexe que l’acceptation | |
| 60 M EUR | Janvier 2022 | Refus de cookies plus complexe que l’acceptation | |
| American Express | 1,5 M EUR | Novembre 2025 | Non-respect des règles cookies |
| Condé Nast (Vanity Fair) | 750 000 EUR | Novembre 2025 | Cookies déposés malgré le refus de l’utilisateur |
Ces sanctions montrent une tendance claire : la CNIL ne se contente plus de sanctionner les géants du numérique. Les entreprises de toutes tailles sont concernées. La CNIL a explicitement invité tous les organismes privés et publics à auditer leurs sites web et applications mobiles.
Comment Cookilio répond à chaque exigence
Chez DPLIANCE, nous pensons que le consentement n’est pas un obstacle à contourner. C’est un engagement à tenir. Cookilio a été conçu pour répondre spécifiquement à chaque exigence de la CNIL.
Consentement explicite : la bannière multi-étapes (wizard) guide l’utilisateur dans un parcours clair, sans manipulation. Chaque étape présente les informations de manière lisible et compréhensible.
Symétrie acceptation/refus : le bouton “Tout refuser” est toujours présent au même niveau et avec la même visibilité que “Tout accepter”. Aucun dark pattern, aucune asymétrie visuelle.
Zéro script avant consentement : Cookilio bloque techniquement l’exécution de tout script tiers tant que l’utilisateur n’a pas fait son choix. Pas de dépôt de cookie par défaut — un blocage réel vérifiable par inspection réseau.
Preuve de consentement server-side : chaque choix est enregistré côté serveur avec un correlation ID unique et un horodatage. En cas de contrôle, vous avez la preuve complète : identifiant, date, détail des finalités, version de la bannière.
Auto-hébergement : les données de consentement restent sur vos propres serveurs. Aucun transit par un service tiers. Souveraineté totale sur vos données.
Widget ultra-léger : construit en Preact, le widget Cookilio minimise l’impact sur les performances de votre site. Vos Core Web Vitals restent au vert — un critère SEO que beaucoup de CMP dégradent.
Retrait du consentement accessible : un widget flottant permet à l’utilisateur de modifier ses choix à tout moment, en un clic.
Découvrir Cookilio — à partir de 9 EUR HT/mois.
FAQ
Une bannière cookie est-elle obligatoire pour tous les sites ?
Oui, dès lors que vous déposez des cookies non strictement nécessaires au fonctionnement du service. Cela inclut les cookies de mesure d’audience (sauf ceux exemptés par la CNIL sous conditions strictes), les cookies publicitaires, les cookies de réseaux sociaux et les cookies de personnalisation. Même un simple bouton de partage Facebook ou un widget YouTube intégré dépose des traceurs qui nécessitent un consentement préalable.
Que risque-t-on en cas de non-conformité ?
La CNIL peut prononcer des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial. Les sanctions récentes montrent que la CNIL n’hésite pas à frapper fort : 325 millions pour Google, 150 millions pour Shein. Les PME ne sont pas épargnées : la CNIL a annoncé en 2024 qu’elle incitait tous les organismes privés et publics à auditer leurs sites. Au-delà de l’amende, une sanction publique de la CNIL a un impact réputationnel significatif — les décisions sont publiées sur le site de la CNIL et reprises par la presse.
Le consentement par la poursuite de la navigation est-il valide ?
Non. La CNIL a explicitement écarté cette pratique dans sa recommandation de septembre 2020. Le consentement doit résulter d’un acte positif clair, typiquement un clic sur un bouton dédié. Le scroll, la fermeture de la bannière, ou la navigation vers une autre page ne constituent pas un consentement valide.
Combien de temps le consentement reste-t-il valide ?
La CNIL recommande 6 mois comme bonne pratique pour la conservation des choix de l’utilisateur. Au-delà, la bannière doit être représentée pour renouveler le choix. Cette durée s’applique aussi bien au consentement qu’au refus. Pour les traceurs de mesure d’audience exemptés de consentement, la durée de vie du cookie est limitée à 13 mois maximum.
Peut-on utiliser un cookie wall pour conditionner l’accès au site ?
Sous conditions strictes. Le Conseil d’État a jugé le 19 juin 2020 que la CNIL ne pouvait pas interdire les cookie walls de manière générale. Mais la CNIL a publié des critères stricts : il faut une alternative équivalente (par exemple un accès payant à tarif raisonnable), pas de discrimination dans l’accès au contenu, et une transparence totale sur le mécanisme. Les services publics et les sites en position de monopole ne peuvent pas utiliser de cookie wall.
Comment vérifier si ma bannière est conforme ?
Effectuez un audit en trois étapes. D’abord, vérifiez visuellement que le bouton de refus est aussi visible que le bouton d’acceptation, sur le même écran, avec le même nombre de clics. Ensuite, vérifiez techniquement qu’aucun cookie non essentiel n’est déposé avant interaction avec la bannière (outils de développement du navigateur, onglet Réseau). Enfin, vérifiez que vous conservez une preuve côté serveur de chaque consentement recueilli. Si l’un de ces trois points est défaillant, votre bannière n’est pas conforme.
Sources : CNIL, Recommandation cookies du 17 septembre 2020 — CNIL, Règles cookies — CNIL, Dark patterns in cookie banners — CNIL, Sanction Google 325 M EUR — CNIL, Sanction Shein 150 M EUR — CNIL, Recommandation consentement multi-terminaux