Retour aux articles
Consentement
Consentement RGPD Cookies ePrivacy

Cookies et RGPD : tout ce qu'il faut savoir en 2026

22 octobre 2025 16 min de lecture DPLIANCE

Cookies et RGPD : deux termes que tout éditeur de site web croise quotidiennement, mais que peu maîtrisent réellement. Entre le règlement européen, la directive ePrivacy, les recommandations de la CNIL et les sanctions qui s’accumulent, le cadre juridique est dense. Ce guide fait le point sur tout ce qu’il faut savoir en 2026 pour être en conformité.

Un cookie est un petit fichier texte déposé sur le terminal de l’utilisateur (ordinateur, smartphone, tablette) par le serveur du site visité ou par un tiers. Il permet de stocker des informations : préférences de langue, identifiant de session, historique de navigation, données de ciblage publicitaire.

Les cookies ne sont pas tous égaux. Certains sont indispensables au fonctionnement du site. D’autres servent à tracer le comportement de l’utilisateur à des fins commerciales. C’est cette distinction qui fonde tout le cadre juridique.

Il est important de comprendre que le terme “cookie” dans le contexte réglementaire couvre un périmètre plus large que les seuls cookies HTTP. La CNIL utilise le terme “traceurs” qui englobe également le fingerprinting (empreinte numérique du navigateur), les pixels espions, le stockage local (localStorage, sessionStorage), les identifiants publicitaires mobiles et toute autre technologie permettant de suivre l’activité d’un utilisateur. Les règles décrites dans ce guide s’appliquent à l’ensemble de ces technologies.

Les trois catégories de cookies

Cookies strictement nécessaires

Ils permettent le fonctionnement de base du site : authentification, mémorisation du panier d’achat, équilibrage de charge serveur, conservation des préférences de sécurité, protection contre la fraude (tokens CSRF). Ces cookies sont exemptés de consentement au titre de l’article 82 de la loi Informatique et Libertés.

Le critère déterminant est la nécessité technique : sans ces cookies, le service demandé par l’utilisateur ne pourrait pas fonctionner. Par exemple, un cookie de session qui maintient l’authentification de l’utilisateur est strictement nécessaire. En revanche, un cookie qui mémorise les préférences de personnalisation du contenu (thème sombre, langue préférée) fait l’objet d’un débat — la CNIL tend à considérer que les cookies de préférences non essentielles nécessitent un consentement, sauf s’ils sont indispensables à la fourniture du service explicitement demandé.

Cookies de mesure d’audience

Ils mesurent la fréquentation du site : nombre de visiteurs, pages vues, temps passé, taux de rebond, parcours de navigation. La CNIL prévoit une exemption de consentement sous conditions strictes :

  • Les données doivent être anonymes (pas de croisement avec d’autres traitements permettant l’identification)
  • Les données doivent être utilisées exclusivement par l’éditeur du site (pas de transmission à des tiers)
  • Les données ne doivent pas être croisées avec d’autres traitements (CRM, base clients, publicité)
  • La durée de vie du traceur doit être limitée à 13 mois maximum
  • La portée du traceur doit être limitée à un seul site ou une seule application

Seuls certains outils bénéficient de cette exemption. La CNIL maintient une liste de solutions conformes sur son site, qui inclut notamment Matomo (dans certaines configurations) et quelques autres outils respectueux de la vie privée. La majorité des configurations standards de Google Analytics, par exemple, ne remplissent pas ces critères — notamment parce que les données transitent par les serveurs de Google et peuvent être croisées avec d’autres services.

Cookies marketing et publicitaires

Ciblage comportemental, retargeting, mesure de campagnes publicitaires, boutons de partage social qui déposent des traceurs, scripts de chatbots marketing, outils de A/B testing qui collectent des données personnelles : tous ces cookies nécessitent un consentement explicite et préalable. C’est la catégorie la plus encadrée et la plus sanctionnée.

Ces cookies sont souvent les plus nombreux sur un site. Un audit technique révèle fréquemment que des dizaines de cookies tiers sont déposés par les scripts publicitaires, les réseaux sociaux et les outils marketing — souvent à l’insu de l’éditeur lui-même, via des chaînes de sous-traitance publicitaire opaques.

Que dit le RGPD exactement ?

Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis mai 2018, encadre le traitement des données personnelles. Il ne mentionne pas les cookies nommément, mais s’applique dès lors qu’un cookie permet d’identifier directement ou indirectement une personne — ce qui est le cas de la quasi-totalité des cookies marketing et de mesure d’audience.

Article 4(11) : la définition du consentement

Le consentement est défini comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.”

Quatre conditions cumulatives : libre, spécifique, éclairée, univoque. Si l’une manque, le consentement est invalide.

  • Libre : l’utilisateur ne doit subir aucune pression, aucune conséquence négative en cas de refus. Un cookie wall sans alternative contrevient potentiellement à cette exigence.
  • Spécifique : le consentement doit porter sur une finalité précise. Regrouper publicité et mesure d’audience sous un même consentement n’est pas spécifique.
  • Éclairée : l’utilisateur doit disposer de toutes les informations nécessaires pour comprendre ce à quoi il consent. Un jargon technique incompréhensible n’éclaire personne.
  • Univoque : le consentement doit résulter d’un acte positif, pas d’une inaction. Le silence, les cases pré-cochées ou l’inactivité ne constituent pas un consentement.

Article 7 : les conditions du consentement

L’article 7 impose trois obligations supplémentaires :

  1. Preuve du consentement : le responsable de traitement doit être en mesure de démontrer que la personne a consenti. Un cookie local ne suffit pas — il faut une trace vérifiable, horodatée, stockée côté serveur.

  2. Séparation des finalités : si le consentement est demandé dans le cadre d’une déclaration écrite qui concerne aussi d’autres questions, la demande de consentement doit être présentée de manière distincte, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.

  3. Droit de retrait : la personne doit pouvoir retirer son consentement à tout moment, et il doit être aussi simple de retirer son consentement que de le donner. Un bouton “Accepter” en un clic mais un retrait qui nécessite d’envoyer un email au DPO n’est pas conforme.

Article 6 : la base légale du traitement

Pour les cookies non essentiels, la seule base légale applicable est le consentement (article 6.1.a). L’intérêt légitime ne peut pas être invoqué pour justifier le dépôt de cookies publicitaires ou de traçage. La CNIL a été très claire sur ce point, en opposition avec certaines interprétations du TCF (Transparency and Consent Framework) de l’IAB qui permettent l’invocation de l’intérêt légitime pour certaines finalités.

Que dit la directive ePrivacy ?

La directive 2002/58/CE (directive “vie privée et communications électroniques”), dite directive ePrivacy, est le texte spécifique aux cookies. Son article 5(3) pose le principe : toute action visant à stocker des informations ou à accéder à des informations déjà stockées dans le terminal d’un utilisateur nécessite le consentement préalable de celui-ci, sauf si le stockage est strictement nécessaire à la fourniture du service.

En France, cet article est transposé par l’article 82 de la loi Informatique et Libertés.

La directive ePrivacy est un texte de 2002, mis à jour en 2009. Un projet de règlement ePrivacy est en discussion au niveau européen depuis 2017 pour la remplacer, mais il n’a toujours pas abouti en 2026. Ce retard crée une situation paradoxale : les règles applicables aux cookies reposent sur un texte de plus de 20 ans, complété par le RGPD et les interprétations des autorités nationales. Les règles actuelles restent donc en vigueur, et la CNIL les applique avec une rigueur croissante.

La relation entre la directive ePrivacy et le RGPD est celle de la lex specialis : la directive ePrivacy est le texte spécial qui s’applique en priorité pour tout ce qui concerne l’accès au terminal de l’utilisateur (dépôt et lecture de cookies). Le RGPD s’applique ensuite pour tout ce qui concerne le traitement des données collectées via ces cookies.

Que dit la CNIL ?

La CNIL est l’autorité nationale en charge de l’application de ces textes en France. Ses lignes directrices et sa recommandation du 17 septembre 2020 (délibération n° 2020-091 et n° 2020-092) constituent le cadre de référence pour les éditeurs français.

Les points clés de la recommandation CNIL

Pas de dépôt avant consentement. Aucun cookie non essentiel ne peut être déposé ou lu avant que l’utilisateur n’ait exprimé son choix. La CNIL a sanctionné Shein de 150 millions d’euros en septembre 2025 précisément pour cette violation : des cookies publicitaires étaient déposés dès l’arrivée sur le site.

Symétrie des choix. Le mécanisme de refus doit être présent au même niveau et avec la même facilité que l’acceptation. Un bouton “Tout refuser” doit être aussi visible que “Tout accepter”. Cette exigence porte sur la taille, la couleur, la position et le nombre de clics nécessaires.

Information préalable. L’utilisateur doit connaître l’identité des responsables de traitement, les finalités des cookies et la manière de retirer son consentement, avant de faire son choix. Cette information doit être claire, concise et compréhensible.

Consentement granulaire. L’utilisateur doit pouvoir consentir finalité par finalité. Un bouton “Tout accepter” est autorisé, mais le détail par catégorie doit rester accessible. L’utilisateur doit pouvoir accepter les cookies d’audience tout en refusant les cookies publicitaires.

Retrait du consentement. Un mécanisme de retrait doit être accessible à tout moment, aussi simplement que le consentement a été donné. Un widget flottant, un lien en pied de page ou un bouton permanent sont des solutions acceptables.

Preuve du consentement. L’éditeur doit pouvoir démontrer à tout moment qu’il a recueilli un consentement valide, avec un identifiant, un horodatage et le détail des choix.

La mise à jour de décembre 2025

La délibération n° 2025-131, publiée au Journal officiel le 18 janvier 2026, ajoute un volet sur le consentement multi-terminaux (cross-device). Un éditeur peut désormais collecter un consentement unique pour tous les terminaux connectés au même compte utilisateur, sous conditions strictes :

  • Univers authentifié uniquement : le consentement cross-device ne s’applique qu’aux utilisateurs connectés à un compte
  • Symétrie parfaite entre acceptation et refus sur tous les terminaux
  • Information préalable de l’utilisateur sur le caractère cross-device du consentement
  • Pseudonymisation des identifiants techniques utilisés pour lier les terminaux
  • Possibilité de retrait sur chaque terminal individuellement

Cette mise à jour répond à un besoin pratique des éditeurs (éviter de redemander le consentement sur chaque appareil) tout en maintenant un haut niveau de protection des utilisateurs.

Checklist de conformité cookies 2026

Voici les points à vérifier pour être en règle. Cette checklist peut servir de base à un audit interne.

Avant le dépôt de cookies

  • Aucun cookie non essentiel n’est déposé avant le recueil du consentement
  • Les scripts tiers (analytics, publicité, social) sont bloqués techniquement tant que l’utilisateur n’a pas consenti
  • Les cookies “strictement nécessaires” sont réellement indispensables au fonctionnement du service
  • Un inventaire complet des cookies déposés par le site est maintenu à jour
  • Chaque cookie est classifié dans la bonne catégorie (nécessaire, audience, marketing, personnalisation)

La bannière de consentement

  • Un bouton “Tout accepter” et un bouton “Tout refuser” sont présents au même niveau
  • Les deux boutons ont la même taille, la même visibilité, le même poids visuel
  • L’information sur les finalités et les responsables de traitement est accessible avant le choix
  • Le consentement par finalité (granulaire) est disponible
  • Aucun dark pattern n’est utilisé (pas de pré-cochage, pas de langage ambigu, pas de bouton de refus caché)
  • La bannière est rédigée dans un langage clair et compréhensible

Après le consentement

  • Un mécanisme de retrait du consentement est accessible à tout moment (icône flottante, lien en pied de page)
  • Les choix de l’utilisateur sont conservés pendant 6 mois maximum
  • La bannière est représentée à l’expiration de cette durée
  • En cas de refus, aucun cookie non essentiel n’est déposé ni lu
  • Le refus est effectivement respecté (vérifié par inspection du trafic réseau)

La preuve

  • Chaque choix est enregistré avec un horodatage et un identifiant unique
  • La preuve est stockée côté serveur (pas uniquement dans un cookie local)
  • Les preuves sont conservées et accessibles en cas de contrôle CNIL
  • La version de la bannière présentée au moment du choix est archivée

La documentation

  • La politique cookies est à jour et accessible depuis chaque page
  • La liste des cookies utilisés, leurs finalités et leur durée de vie est documentée
  • Les sous-traitants déposant des cookies sont identifiés
  • Le registre des traitements inclut les traitements liés aux cookies

Les sanctions qui s’accumulent

L’année 2025 marque un tournant dans l’application. La CNIL a prononcé 83 sanctions pour un total de 486 839 500 euros. Parmi les cas liés aux cookies :

  • Google : 325 millions d’euros (septembre 2025) pour cookies déposés sans consentement lors de la création de comptes et publicités insérées dans Gmail.
  • Shein : 150 millions d’euros (septembre 2025) pour cookies publicitaires déposés avant toute interaction avec la bannière.
  • American Express : 1,5 million d’euros (novembre 2025) pour non-respect des règles cookies.
  • Condé Nast / Vanity Fair : 750 000 euros (novembre 2025) pour cookies déposés malgré le refus de l’utilisateur.

Ces sanctions ne visent plus seulement les géants. La CNIL a explicitement invité tous les organismes privés et publics à auditer leurs sites web et applications mobiles. Les contrôles en ligne automatisés permettent à la CNIL de vérifier la conformité de n’importe quel site, sans déplacement ni préavis. Le risque est réel pour toutes les tailles d’entreprise.

Choisir le bon outil

Un CMP (Consent Management Platform) est l’outil technique qui implémente votre bannière de consentement. Mais tous les CMP ne se valent pas. Le choix de votre CMP a un impact direct sur votre conformité réelle — pas seulement sur l’apparence de conformité.

Les critères essentiels :

  • Blocage réel des scripts : le CMP doit bloquer techniquement l’exécution des scripts tiers, pas seulement afficher une bannière décorative. Vérifiez par inspection du trafic réseau.
  • Preuve server-side : la preuve du consentement doit être stockée côté serveur, pas uniquement dans un cookie local. Un cookie consent=true n’est pas une preuve.
  • Hébergement des données : où sont stockées les données de consentement ? Chez un tiers américain soumis au Cloud Act, ou sur vos propres serveurs ? Les données de consentement sont elles-mêmes des données personnelles.
  • Performance : le widget ne doit pas dégrader les Core Web Vitals de votre site. Un script lourd pénalise votre SEO et l’expérience utilisateur.
  • Conformité CNIL : le CMP doit respecter les recommandations de la CNIL, pas seulement le standard IAB TCF. Être conforme TCF ne signifie pas être conforme CNIL.
  • Autonomie : pouvez-vous configurer et mettre à jour le CMP sans dépendance à un prestataire externe ?

Cookilio a été conçu par DPLIANCE exactement pour répondre à ces critères. Widget Preact ultra-léger, zéro script exécuté avant consentement, preuve de consentement server-side avec correlation IDs, et auto-hébergement sur vos propres serveurs pour une souveraineté totale.

Le consentement n’est pas un obstacle à contourner. C’est un engagement à tenir.

Découvrir Cookilio — à partir de 9 EUR HT/mois.

FAQ

Les cookies sont-ils couverts par le RGPD ou par la directive ePrivacy ?

Les deux textes s’appliquent de manière complémentaire. La directive ePrivacy (transposée en France par l’article 82 de la loi Informatique et Libertés) régit spécifiquement le dépôt et la lecture de cookies sur le terminal de l’utilisateur. Le RGPD s’applique dès lors que les données collectées via les cookies permettent d’identifier une personne, et il définit les conditions de validité du consentement. La directive ePrivacy est la lex specialis (loi spéciale) qui prime sur le RGPD pour les aspects spécifiques aux cookies.

Google Analytics nécessite-t-il le consentement ?

Oui, dans la majorité des configurations. La CNIL prévoit une exemption de consentement pour les outils de mesure d’audience, mais sous conditions strictes : données anonymes, usage exclusif par l’éditeur, pas de croisement avec d’autres traitements, durée de vie des traceurs limitée à 13 mois. Les configurations standards de Google Analytics ne remplissent généralement pas ces critères, notamment parce que les données transitent par les serveurs de Google et peuvent être croisées avec d’autres services Google.

Que faire si un utilisateur refuse tous les cookies ?

Vous devez respecter son choix intégralement. Aucun cookie non essentiel ne doit être déposé ni lu. Le site doit rester pleinement fonctionnel (hors fonctionnalités qui nécessitent par nature des cookies, comme la personnalisation). Vous ne pouvez pas bloquer l’accès au contenu en raison du refus, sauf dans le cadre strict d’un cookie wall conforme. En pratique, cela signifie que votre site doit être conçu pour fonctionner correctement sans aucun cookie non essentiel.

Combien de temps conserver la preuve du consentement ?

La CNIL ne fixe pas de durée précise, mais la preuve doit être disponible aussi longtemps que le traitement basé sur ce consentement est en cours. En pratique, conservez les preuves pendant la durée de validité du consentement (6 mois recommandés) plus un délai raisonnable pour les contrôles — un an supplémentaire est une pratique courante. Au-delà, les preuves peuvent être supprimées conformément au principe de minimisation.

Le règlement ePrivacy va-t-il remplacer la directive ?

Un projet de règlement ePrivacy est en discussion au niveau européen depuis 2017. En mars 2026, il n’a toujours pas été adopté. Les négociations achoppent sur plusieurs points, notamment le périmètre de l’exemption de consentement pour les cookies de mesure d’audience et le traitement des métadonnées de communication. Les règles actuelles de la directive ePrivacy et les recommandations de la CNIL restent donc pleinement applicables pour une durée indéterminée.

Le fingerprinting est-il soumis aux mêmes règles que les cookies ?

Oui. La CNIL utilise le terme “traceurs” pour englober toutes les technologies de suivi, y compris le fingerprinting (empreinte numérique du navigateur). L’article 82 de la loi Informatique et Libertés s’applique à toute opération d’accès ou d’inscription d’informations dans le terminal de l’utilisateur. Le fingerprinting, qui consiste à collecter les caractéristiques techniques du navigateur pour créer un identifiant unique, est soumis au même régime de consentement que les cookies.

Sources : CNIL, Cookies : que dit la loi ? — CNIL, Lignes directrices et recommandation du 17 septembre 2020 — CNIL, Solutions pour les outils de mesure d’audience — CNIL, Actions 2025 — GDPR.eu, Cookies, the GDPR, and the ePrivacy Directive — CNIL, Recommandation consentement multi-terminaux

Écrivez-nous

contact@dpliance.com
Nous contacter