Retour aux articles
Consentement
Consentement RGPD Cookies Cookie Wall CNIL

Cookie wall : légal ou non en France en 2026 ?

17 décembre 2025 17 min de lecture DPLIANCE

Le cookie wall — conditionner l’accès à un site à l’acceptation des cookies — est l’un des sujets les plus débattus du droit numérique européen. Légal ? Illégal ? La réponse, en 2026, est : ça dépend. Et les conditions sont strictes.

Ce guide retrace l’historique juridique du cookie wall en France, détaille les critères posés par la CNIL et le CEPD, analyse les pratiques sanctionnées et propose des alternatives conformes pour les éditeurs de sites.

Un cookie wall (ou “mur de cookies”) est un mécanisme qui bloque l’accès au contenu d’un site web si l’utilisateur refuse les cookies non essentiels. Concrètement : la bannière s’affiche, l’utilisateur clique sur “Tout refuser”, et au lieu d’accéder au site, il se retrouve face à un écran bloquant.

Le cookie wall pose une question fondamentale : le consentement est-il vraiment “libre” quand l’alternative est de ne pas accéder au service ? Cette question est au coeur du débat juridique depuis plusieurs années, et la réponse varie selon les juridictions, le type de service et les alternatives proposées.

Le cookie wall se distingue du simple “banner wall” (une bannière qui s’affiche en superposition mais laisse le contenu accessible en arrière-plan) et du “paywall” (qui conditionne l’accès au contenu à un paiement). Dans la pratique, ces mécanismes sont souvent combinés : le modèle “Pay or Okay” propose à l’utilisateur de choisir entre accepter les cookies ou payer un abonnement.

L’historique juridique : de l’interdiction à l’encadrement

2019 : la CNIL interdit les cookie walls

Dans ses premières lignes directrices relatives aux cookies (délibération n° 2019-093 du 4 juillet 2019), la CNIL avait posé une interdiction de principe. L’accès à un site ne devait pas être conditionné à l’acceptation des cookies, car cela invalidait le caractère “libre” du consentement au sens du RGPD.

Le raisonnement de la CNIL était logique : si l’utilisateur n’a d’autre choix que d’accepter les cookies pour accéder au service, son consentement n’est pas véritablement libre. Il est contraint par la nécessité d’accéder au contenu. Cette position s’appuyait sur le considérant 42 du RGPD qui précise que le consentement ne devrait pas être considéré comme ayant été donné librement si la personne n’est pas en mesure de refuser sans subir de préjudice.

19 juin 2020 : le Conseil d’État annule partiellement

Des associations professionnelles — notamment des syndicats de la presse en ligne qui dépendent des revenus publicitaires — ont contesté cette position devant le Conseil d’État. Par sa décision du 19 juin 2020 (n° 434684), la plus haute juridiction administrative française a annulé partiellement les lignes directrices de la CNIL.

Le Conseil d’État a jugé que la CNIL ne pouvait pas interdire les cookie walls de manière générale et absolue dans un instrument de droit souple (soft law). Une telle interdiction généraliste dépassait ce que la CNIL était habilitée à faire dans le cadre de ses lignes directrices. L’argumentation du Conseil d’État reposait sur le fait qu’une interdiction totale des cookie walls constituait une règle nouvelle qui aurait dû passer par la voie législative ou réglementaire.

Le Conseil d’État a néanmoins confirmé que la légalité des cookie walls devait être appréciée au cas par cas, en tenant notamment compte de l’existence d’alternatives réelles et satisfaisantes proposées à l’utilisateur en cas de refus des traceurs. Cette décision a ouvert la voie à un encadrement plutôt qu’à une interdiction.

17 septembre 2020 : la CNIL reformule

Dans ses lignes directrices révisées et sa recommandation du 17 septembre 2020, la CNIL a pris acte de la décision du Conseil d’État. Elle ne prohibe plus les cookie walls de manière absolue, mais rappelle que leur légalité doit être évaluée au regard du caractère libre du consentement. La CNIL indique que la pratique des cookie walls “est susceptible de porter atteinte, dans certains cas, à la liberté du consentement”.

Cette formulation prudente reflète l’équilibre délicat entre la protection de la vie privée des utilisateurs et la liberté économique des éditeurs de contenus, notamment ceux qui dépendent des revenus publicitaires pour financer leur activité.

16 mai 2022 : la CNIL publie ses critères

Face aux nombreuses plaintes et interrogations des professionnels, la CNIL a publié le 16 mai 2022 ses premiers critères d’évaluation des cookie walls. Ce document est le texte de référence en 2026 pour apprécier la légalité d’un cookie wall. Il constitue une grille d’analyse concrète que les éditeurs peuvent utiliser pour évaluer leur propre pratique.

Les critères de légalité posés par la CNIL

La CNIL ne dit pas que les cookie walls sont légaux. Elle dit qu’ils peuvent l’être, si certaines conditions sont réunies. Voici les critères clés, détaillés avec leurs implications pratiques.

1. L’alternative équivalente

C’est le critère central et le plus déterminant. L’utilisateur qui refuse les cookies doit avoir accès à une alternative réelle et satisfaisante. La CNIL admet que cette alternative puisse prendre la forme d’un paiement (le “paywall” ou “pay-or-okay”) : l’utilisateur choisit entre accepter les cookies ou payer pour accéder au contenu sans traçage.

Mais l’alternative doit être véritable. Un paywall dont le prix serait dissuasif ne constitue pas une alternative réelle — il reviendrait à un cookie wall déguisé. De même, une version gratuite tellement dégradée qu’elle est inutilisable ne constitue pas une alternative satisfaisante.

La CNIL insiste sur le fait que l’alternative ne doit pas être purement théorique. Elle doit être effectivement accessible, clairement présentée et fonctionnellement équivalente. Un lien vers une offre payante caché en bas de page ne remplit pas cette exigence.

2. Le tarif raisonnable

La CNIL n’a pas fixé de seuil chiffré au-delà duquel un tarif serait déraisonnable. Elle impose une analyse au cas par cas. Le critère est la proportionnalité : le tarif doit être raisonnable au regard du service proposé, des habitudes de consommation du public visé et du modèle économique de l’éditeur.

Concrètement, pour un site de presse en ligne, un abonnement mensuel de quelques euros (2 à 5 euros) pour un accès sans cookies publicitaires peut être considéré comme raisonnable. Un abonnement de 50 euros par mois pour accéder à un blog généraliste ne le serait probablement pas.

La CNIL suggère que l’alternative ne doit pas forcément prendre la forme d’un abonnement mensuel. Des micropaiements à l’article, des portefeuilles virtuels prépayés, un accès journalier à tarif réduit ou un pass hebdomadaire pourraient constituer des alternatives acceptables et plus accessibles. L’idée est de proposer un éventail d’options qui permet à l’utilisateur de ne pas être enfermé dans un choix binaire “accepter tous les cookies ou payer un abonnement annuel”.

3. L’absence de discrimination dans l’accès

L’utilisateur qui paie doit avoir un accès au moins équivalent à celui qui accepte les cookies. Pas de version dégradée, pas de contenu restreint, pas de fonctionnalités retirées. Si un article est accessible gratuitement avec cookies, il doit être accessible de la même manière avec le paiement.

Ce critère a des implications techniques : le site doit fonctionner parfaitement sans aucun cookie non essentiel. Les fonctionnalités qui dépendent de cookies tiers (recommandations personnalisées, boutons de partage social, commentaires via des plateformes tierces) doivent être remplacées par des alternatives ou simplement absentes — mais le contenu principal doit rester intégralement accessible.

4. La transparence

L’éditeur doit informer clairement l’utilisateur de la nature du choix : quels cookies seront déposés, à quelles fins, quels tiers y auront accès, et quelle est l’alternative proposée. La CNIL encourage les éditeurs à publier leur analyse de la proportionnalité du tarif — une démarche de transparence qui renforce la légitimité du cookie wall.

L’information doit être accessible dès le premier écran de la bannière, pas enfouie dans des conditions générales. L’utilisateur doit comprendre immédiatement les termes du choix qui lui est proposé, sans avoir à cliquer sur plusieurs liens ou à lire des pages de texte juridique.

La CNIL rappelle que pour les services publics ou les services auxquels l’utilisateur n’a pas d’alternative raisonnable (monopoles de fait, services essentiels), le cookie wall est beaucoup plus difficile à justifier. Le consentement n’est pas libre quand il n’y a pas de choix réel.

Ce critère est particulièrement pertinent pour :

  • Les services publics (sites d’administrations, services en ligne de l’État, collectivités territoriales) : l’usager n’a pas d’alternative pour effectuer ses démarches administratives.
  • Les monopoles de fait : un service sans concurrent réel ne peut pas imposer un cookie wall, car l’utilisateur n’a pas d’autre option.
  • Les services à vocation universelle : éducation en ligne, santé, accès à l’information d’intérêt général — le cookie wall pose des problèmes éthiques majeurs sur ces services.

La position du CEPD (European Data Protection Board)

Le Comité Européen de la Protection des Données (CEPD/EDPB) a une position historiquement plus stricte que la CNIL sur les cookie walls. Cette divergence est importante pour les éditeurs qui opèrent à l’échelle européenne.

Le principe général : contre les cookie walls

Dans ses lignes directrices sur le consentement (05/2020), le CEPD affirme que “l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au stockage d’informations, ou à l’accès à des informations déjà stockées, dans son terminal (ce qu’on appelle un cookie wall).”

Cette position est plus tranchée que celle de la CNIL post-décision du Conseil d’État. Le CEPD considère en principe que le cookie wall invalide le caractère libre du consentement, sans la nuance apportée par le Conseil d’État français sur l’appréciation au cas par cas.

Le CEPD a coordonné une task force sur les bannières cookies, dont les conclusions ont été adoptées en janvier 2023. La grande majorité des autorités participantes considèrent que l’absence de toute option de refus au même niveau que l’acceptation constitue une violation de la législation. La CNIL a co-piloté ces travaux avec l’autorité autrichienne.

Les conclusions de la task force couvrent un large éventail de pratiques : l’absence de bouton de refus sur le premier écran, les designs manipulatifs, les catégories de cookies trompeuses, et le non-respect effectif des choix de l’utilisateur. Ces conclusions, bien que non juridiquement contraignantes en elles-mêmes, constituent une référence forte pour l’interprétation harmonisée du droit européen.

L’avis sur le “Pay or Okay”

En 2024, saisi par les autorités de protection des données de Norvège, des Pays-Bas et de Hambourg, le CEPD a rendu un avis sur les modèles “Pay or Okay” utilisés par les grandes plateformes. Cet avis fait suite à la décision de Meta d’imposer un abonnement payant aux utilisateurs européens qui refusent la publicité ciblée.

Le CEPD insiste sur la nécessité de proposer aux utilisateurs des alternatives qui préservent réellement leur vie privée, et recommande que les responsables de traitement envisagent une alternative “équivalente” ne nécessitant pas de paiement — par exemple, une version avec publicité moins intrusive, sans publicité comportementale mais avec de la publicité contextuelle.

Cette recommandation d’une “troisième voie” (ni cookies ni paiement) va au-delà de ce que la CNIL exige actuellement. Elle suggère que le modèle binaire “accepter ou payer” pourrait ne pas suffire à garantir la liberté du consentement, et qu’une option intermédiaire préservant la vie privée devrait être proposée.

Ce que cela signifie en pratique

La position du CEPD est plus contraignante que celle de la CNIL. Un cookie wall avec paywall pourrait être toléré par la CNIL mais questionné par le CEPD. Les éditeurs opérant à l’échelle européenne doivent prendre en compte les deux niveaux de lecture. En cas de plainte transfrontalière, c’est le mécanisme de cohérence du RGPD qui s’applique, et l’avis du CEPD pèse lourd dans la balance.

Les pratiques sanctionnées

Condé Nast / Vanity Fair : le cookie wall qui ne respectait pas le refus

En novembre 2025, la CNIL a sanctionné les Publications Condé Nast de 750 000 euros. Au-delà du cookie wall lui-même, la CNIL a constaté que même quand l’utilisateur refusait les cookies, des traceurs étaient encore déposés et lus. Le non-respect effectif du choix de l’utilisateur est le point le plus grave.

Ce cas illustre un problème fréquent : l’éditeur met en place un mécanisme de consentement en façade, mais l’architecture technique sous-jacente ne respecte pas réellement les choix. Les scripts tiers continuent de s’exécuter, les cookies continuent d’être déposés, et le consentement n’est qu’une formalité sans effet. C’est précisément ce type de décalage que la CNIL détecte lors de ses contrôles réseau.

Google et Facebook : la symétrie bafouée

En janvier 2022, Google (150 millions d’euros) et Facebook (60 millions d’euros) ont été sanctionnés parce que refuser les cookies nécessitait plusieurs clics alors qu’un seul suffisait pour accepter. Ce n’était pas un cookie wall au sens strict, mais le mécanisme aboutissait au même résultat : décourager l’utilisateur de refuser.

Le raisonnement de la CNIL est éclairant : quand l’architecture du choix est conçue pour rendre le refus significativement plus difficile que l’acceptation, l’effet produit est équivalent à un cookie wall. L’utilisateur, par fatigue ou par incompréhension, finit par accepter. Le consentement ainsi obtenu n’est ni libre ni univoque.

Les mises en demeure de décembre 2024

La CNIL a mis en demeure plusieurs éditeurs pour dark patterns dans leurs bannières. Parmi les pratiques visées : des bannières où le seul choix visible était “Accepter”, avec un lien de refus quasi invisible. Quand le seul moyen de continuer à naviguer est d’accepter — parce que le refus est trop difficile à trouver — on est dans une forme de cookie wall implicite.

Ces mises en demeure montrent que la CNIL ne limite pas son analyse au cookie wall explicite (écran bloquant). Elle sanctionne également les cookie walls déguisés : des mécanismes qui, sans bloquer formellement l’accès, rendent le refus si difficile qu’il en devient pratiquement impossible.

Les implications concrètes pour les éditeurs

Si vous êtes un média ou un site de contenu

Le modèle “Pay or Okay” est aujourd’hui le plus répandu dans la presse en ligne française et européenne. Il peut être conforme, à condition que le tarif soit raisonnable et que l’accès soit équivalent. Les micropaiements et les accès à l’article sont des pistes à explorer pour maintenir la proportionnalité.

Les grands groupes de presse (Le Monde, Le Figaro, Les Échos) utilisent déjà ce modèle avec des tarifs d’abonnement de quelques euros par mois. Pour les médias plus petits, les solutions de micropaiement à l’article ou les passes journaliers peuvent offrir une alternative plus accessible à leurs lecteurs.

Attention cependant : la recommandation du CEPD d’envisager une “troisième voie” (publicité contextuelle sans traçage) pourrait devenir une exigence à moyen terme. Les éditeurs ont intérêt à anticiper cette évolution.

Si vous êtes un site e-commerce

Un cookie wall sur un site e-commerce est très difficile à justifier. L’utilisateur vient acheter un produit, pas consommer du contenu éditorial. Bloquer l’accès aux fiches produit en cas de refus des cookies pose un problème évident de proportionnalité.

La solution pour les sites e-commerce est de respecter le choix de l’utilisateur et d’adapter leur stratégie marketing en conséquence : mesure d’audience avec un outil exempté de consentement, publicité contextuelle plutôt que comportementale, et respect intégral du refus des cookies.

Si vous êtes un service SaaS

Pour un service logiciel, le cookie wall est presque toujours disproportionné. L’utilisateur paie déjà un abonnement pour accéder au service. Lui imposer en plus l’acceptation de cookies publicitaires n’est pas justifiable. Le consentement ne serait pas libre car l’utilisateur dépend du service pour son activité professionnelle.

Si vous êtes un service public

Le cookie wall est incompatible avec la mission de service public. L’utilisateur n’a pas d’alternative : il doit accéder au service pour effectuer ses démarches administratives. Le consentement ne peut pas être libre dans ces conditions. C’est le cas le plus clair : tout cookie wall sur un service public est contraire au RGPD.

La bonne approche : le consentement sans contrainte

Plutôt que de chercher à forcer le consentement par un cookie wall, investissez dans un recueil du consentement respectueux et conforme. Les chiffres montrent que des bannières honnêtes, avec un vrai bouton “Tout refuser” au même niveau que “Tout accepter”, obtiennent des taux de consentement certes plus bas, mais un consentement de meilleure qualité — et zéro risque de sanction.

Un consentement obtenu librement a plus de valeur qu’un consentement extorqué. Les données collectées avec un consentement éclairé sont plus fiables, les profils publicitaires plus pertinents, et la relation de confiance avec l’utilisateur est préservée. C’est un argument que les annonceurs commencent à intégrer : la qualité des données prime sur leur quantité.

Chez DPLIANCE, nous pensons que le consentement n’est pas un obstacle à contourner. C’est un engagement à tenir. Cookilio a été conçu avec cette conviction :

  • Zéro dark pattern : bannière multi-étapes (wizard) avec symétrie parfaite entre acceptation et refus
  • Zéro script avant consentement : blocage technique réel, pas cosmétique — vérifiable par inspection réseau
  • Preuve server-side : chaque choix est enregistré avec un correlation ID unique, côté serveur, avec horodatage et détail des finalités
  • Auto-hébergement : les données de consentement restent sur vos propres serveurs — souveraineté totale

Le respect du choix de l’utilisateur n’est pas un handicap. C’est un avantage concurrentiel.

Découvrir Cookilio — à partir de 9 EUR HT/mois.

FAQ

Pas interdit en soi, mais soumis à des conditions strictes. Le Conseil d’État a jugé le 19 juin 2020 que la CNIL ne pouvait pas les interdire de manière générale. La CNIL a publié le 16 mai 2022 des critères d’évaluation : alternative équivalente obligatoire (paywall à tarif raisonnable, par exemple), absence de discrimination dans l’accès, transparence totale. En pratique, la conformité d’un cookie wall s’apprécie au cas par cas, en fonction du type de service, du public visé et des alternatives proposées.

Le modèle “Pay or Okay” est-il conforme au RGPD ?

Le CEPD et la CNIL l’acceptent sous conditions. Le tarif doit être raisonnable et proportionnel au service. L’accès doit être équivalent, qu’on accepte les cookies ou qu’on paie. Le CEPD recommande en outre qu’une alternative ne nécessitant pas de paiement soit envisagée, comme une version avec publicité contextuelle (non comportementale). Les grandes plateformes sont scrutées de près sur ce sujet — l’évolution de la jurisprudence européenne est à surveiller attentivement.

Puis-je bloquer l’accès à mon site si l’utilisateur refuse les cookies ?

C’est risqué. Si vous n’offrez pas d’alternative réelle et satisfaisante, le consentement n’est pas libre et donc invalide au sens du RGPD. La CNIL pourrait considérer que vous violez l’article 82 de la loi Informatique et Libertés. Les services publics et les sites sans alternative (monopoles de fait) ne peuvent en aucun cas utiliser de cookie wall. Pour les autres sites, l’analyse au cas par cas est obligatoire.

Quel tarif est “raisonnable” pour un paywall alternatif ?

La CNIL n’a pas fixé de montant. Elle exige une analyse au cas par cas, en fonction du service proposé, des habitudes de consommation du public et du modèle économique de l’éditeur. Un abonnement mensuel de quelques euros pour un média d’information peut être considéré comme raisonnable. Un tarif de 50 euros par mois pour accéder à un blog probablement pas. Les micropaiements à l’article ou les passes journaliers sont des alternatives à explorer pour améliorer la proportionnalité.

Le CEPD a une position historiquement plus stricte que la CNIL. Il considère en principe que l’accès aux services ne doit pas être conditionné au consentement aux cookies. Son avis de 2024 sur les modèles “Pay or Okay” insiste sur la nécessité d’offrir des alternatives qui préservent réellement la vie privée, au-delà du simple choix binaire “accepter ou payer.” La recommandation d’une “troisième voie” (publicité contextuelle sans traçage) pourrait devenir un standard à moyen terme.

Le TCF 2.2 de l’IAB Europe ne traite pas directement des cookie walls. Le standard se concentre sur la manière dont le consentement est recueilli et transmis entre les acteurs de l’écosystème publicitaire. Un cookie wall peut être implémenté techniquement dans le cadre du TCF, mais sa légalité reste soumise aux critères de la CNIL et du CEPD. La conformité TCF ne garantit en rien la légalité du cookie wall.

Sources : Conseil d’État, Décision du 19 juin 2020, n° 434684 — CNIL, Cookie walls : critères d’évaluation — CNIL, Lignes directrices et recommandation du 17 septembre 2020 — CNIL, Sanction Vanity Fair 750 000 EUR — CEPD, Cookie banner task force report — CNIL, Sanction Google 150 M EUR (janvier 2022)

Écrivez-nous

contact@dpliance.com
Nous contacter