Retour aux articles
Consentement
Consentement RGPD Cookies CMP

Gestion du consentement cookies : guide RGPD 2026

3 décembre 2025 16 min de lecture DPLIANCE

La gestion du consentement cookies n’est pas un sujet technique accessoire. C’est le point de contact entre votre site web, le droit européen et la confiance de vos utilisateurs. En 2025, la CNIL a prononcé 83 sanctions pour un montant total de près de 487 millions d’euros. La grande majorité des manquements portent sur le consentement : cookies déposés avant accord, preuve inexistante, refus mal implémenté.

Ce guide couvre tout ce qu’un éditeur de site doit savoir pour mettre en place une gestion du consentement conforme au RGPD en 2026.

Pourquoi la gestion du consentement est cruciale

Un risque financier réel

Les montants des sanctions CNIL ne sont plus symboliques. En septembre 2025, Google a écopé de 325 millions d’euros et Shein de 150 millions pour des manquements liés aux cookies. En novembre 2025, Condé Nast (Vanity Fair) a été sanctionné à hauteur de 750 000 euros, American Express de 1,5 million d’euros. Les PME et ETI ne sont pas épargnées : la CNIL a explicitement invité tous les organismes privés et publics à auditer leurs sites.

Le calcul est simple : le coût d’une mise en conformité sérieuse se chiffre en centaines ou milliers d’euros. Le coût d’une sanction CNIL peut atteindre 4 % du chiffre d’affaires annuel mondial. Sans compter les frais juridiques, le temps mobilisé par les équipes, et la publicité négative associée à une décision publiée sur le site de la CNIL.

Un risque réputationnel

Une bannière cookie non conforme est visible par chaque visiteur. C’est souvent le premier point de contact avec votre marque. Un dark pattern — bouton de refus caché, design manipulatif, cases pré-cochées — envoie un signal clair : vous ne respectez pas les choix de vos utilisateurs. Dans un contexte où la sensibilité aux questions de vie privée ne cesse de croître, cette première impression peut être déterminante.

Les sanctions CNIL sont publiques. Elles sont reprises par la presse spécialisée et généraliste. Une condamnation pour non-respect des règles cookies est un signal de mauvaise gouvernance des données qui peut affecter la confiance des clients, des partenaires et des investisseurs.

Une obligation légale sans ambiguïté

L’article 82 de la loi Informatique et Libertés, l’article 7 du RGPD et la recommandation CNIL du 17 septembre 2020 ne laissent pas de place à l’interprétation. Le consentement doit être libre, spécifique, éclairé et univoque. La preuve doit être conservée. Le retrait doit être aussi simple que l’accord. Ces exigences ne sont pas des recommandations optionnelles — ce sont des obligations dont le non-respect est sanctionné.

Comment la CNIL contrôle

La CNIL ne se contente plus de traiter les plaintes. Elle mène des contrôles techniques proactifs, de plus en plus sophistiqués, qui vont bien au-delà de la simple vérification visuelle d’une bannière.

Contrôles en ligne automatisés

La CNIL analyse le trafic réseau généré par les sites web. Elle utilise des outils automatisés qui reproduisent le comportement d’un utilisateur : chargement de la page, inspection des cookies déposés avant toute interaction, vérification des requêtes réseau sortantes. Elle vérifie si des cookies non essentiels sont déposés avant l’interaction de l’utilisateur avec la bannière.

C’est ainsi que Shein a été prise en défaut : des cookies publicitaires étaient actifs dès le chargement de la page, avant toute action de l’utilisateur. La CNIL peut effectuer ces vérifications sur n’importe quel site, sans préavis et sans déplacement physique. Le volume de sites contrôlables est donc considérablement plus élevé qu’avec des contrôles sur place traditionnels.

Vérification de l’effectivité des choix

La CNIL ne se limite pas à vérifier la présence d’une bannière. Elle teste si le refus est effectivement respecté dans l’implémentation technique. Dans l’affaire Condé Nast / Vanity Fair (novembre 2025), la CNIL a constaté que des cookies étaient encore déposés et lus après que l’utilisateur avait cliqué sur “Tout refuser”. L’amende de 750 000 euros sanctionnait spécifiquement ce décalage entre l’apparence de conformité et la réalité technique.

Ce type de contrôle est particulièrement redoutable : il met en lumière les situations où l’éditeur a installé une bannière conforme visuellement, mais où l’implémentation technique est défaillante. Un CMP mal configuré, un script tiers oublié, une mise à jour qui réintroduit un cookie non conditionné au consentement — autant de failles que la CNIL détecte par inspection réseau.

Approche technique renforcée

Les sanctions de 2025 contre Orange, Shein, Condé Nast et American Express marquent un changement d’approche fondamental : surveillance systématique du trafic réseau, vérification stricte de l’effectivité des choix utilisateur, et responsabilisation accrue des éditeurs sur leur architecture technique. Le message est clair : une bannière décorative ne suffit plus. La conformité doit être vérifiable au niveau du code et du réseau.

La CNIL a également investi dans des compétences techniques internes. Les agents qui effectuent les contrôles sont formés à l’analyse du trafic réseau, à l’inspection des cookies via les outils de développement des navigateurs, et à la vérification du comportement des scripts JavaScript. Le niveau d’expertise technique des contrôles a considérablement augmenté.

Mises en demeure pour dark patterns

En décembre 2024, la CNIL a mis en demeure plusieurs éditeurs pour dark patterns dans leurs bannières. Les violations identifiées : bouton d’acceptation surdimensionné par rapport au refus, langage ambigu pour le refus (“Paramétrer mes choix” au lieu de “Tout refuser”), refus nécessitant plusieurs clics alors qu’un seul suffit pour accepter. Délai de mise en conformité : un mois, sous peine de sanctions financières.

Ces mises en demeure constituent un signal d’alerte pour l’ensemble du marché : la CNIL ne tolère plus les designs manipulatifs, même subtils. L’asymétrie entre acceptation et refus est devenue un critère de contrôle prioritaire.

TCF 2.2 vs recommandations CNIL

Le Transparency and Consent Framework (TCF) de l’IAB Europe est un standard technique largement utilisé par l’industrie publicitaire. La version 2.2 est le standard actuel. Mais être conforme au TCF ne signifie pas être conforme aux exigences CNIL — et cette distinction est cruciale.

Ce que le TCF apporte

Le TCF standardise la manière dont le consentement est recueilli, stocké et transmis entre éditeurs, CMP et fournisseurs de technologies publicitaires. Il définit des finalités de traitement, des bases légales, et un format technique (TC String) pour encoder les choix de l’utilisateur.

Le TCF 2.2 a amélioré la transparence par rapport aux versions précédentes : obligation d’afficher le nombre total de partenaires sur le premier écran, descriptions plus accessibles des finalités, possibilité pour l’utilisateur de modifier ses choix à tout moment, et suppression de certaines bases légales contestées.

Les limites face aux exigences CNIL

L’intérêt légitime. Le TCF permet aux fournisseurs de technologies publicitaires d’invoquer l’intérêt légitime comme base légale pour certaines finalités. La CNIL ne l’accepte pas pour le dépôt de cookies : seul le consentement est valable. C’est une divergence fondamentale entre le standard industriel et l’exigence réglementaire française.

La granularité. Le TCF liste des dizaines, voire des centaines de partenaires. La CNIL exige que l’information soit claire et compréhensible. Une liste de 500 partenaires ne remplit pas nécessairement ce critère — elle peut même rendre le consentement non “éclairé” au sens du RGPD, car l’utilisateur ne peut raisonnablement pas évaluer les implications de chaque partenaire.

La preuve. Le TCF encode les choix dans une chaîne technique (TC String) stockée côté client dans un cookie. La CNIL exige une preuve démontrable côté serveur. Un cookie local, modifiable et supprimable, ne constitue pas une preuve au sens de l’article 7 du RGPD.

Le blocage effectif. Le TCF signale aux partenaires publicitaires les choix de l’utilisateur, mais ne bloque pas techniquement l’exécution des scripts. C’est aux partenaires de respecter les préférences transmises. La CNIL attend un blocage technique réel, vérifié au niveau du trafic réseau, pas une simple signalisation.

La position pragmatique

Le TCF est un outil utile si vous travaillez avec l’écosystème publicitaire programmatique. Mais il ne remplace pas les obligations CNIL. Un CMP conforme doit aller au-delà du TCF : blocage réel des scripts, preuve server-side, respect de la symétrie acceptation/refus dans le design. Considérez le TCF comme un complément à la conformité CNIL, pas comme un substitut.

Choisir un CMP : les critères qui comptent

Un CMP (Consent Management Platform) est l’outil qui implémente concrètement votre gestion du consentement. Le choix est structurant : il détermine votre niveau de conformité réel, pas seulement votre conformité apparente. Voici les critères à évaluer, par ordre de priorité.

1. Blocage effectif des scripts

Le CMP doit bloquer techniquement l’exécution des scripts tiers tant que l’utilisateur n’a pas consenti. Pas un blocage symbolique — un blocage réel, vérifiable par inspection du trafic réseau. C’est le point de contrôle numéro un de la CNIL.

Comment vérifier : ouvrez les outils de développement de votre navigateur (onglet “Réseau”), effacez tous les cookies, rechargez la page et observez les requêtes réseau avant d’interagir avec la bannière. Si vous voyez des appels vers des domaines tiers (Google Analytics, Facebook, services publicitaires), votre CMP ne bloque pas effectivement les scripts.

2. Preuve de consentement server-side

La preuve du consentement (article 7 RGPD) doit être stockée côté serveur, avec un identifiant unique et un horodatage. Un cookie local contenant “consent=true” ne constitue pas une preuve. En cas de contrôle, vous devez pouvoir fournir la preuve que tel utilisateur a consenti à telles finalités à telle date, avec la version de la bannière qui lui a été présentée.

3. Localisation des données

Où sont stockées les données de consentement ? Chez un fournisseur américain soumis au Cloud Act ? Sur des serveurs européens ? Sur vos propres serveurs ? La question n’est pas théorique : les données de consentement sont elles-mêmes des données personnelles (elles sont liées à un identifiant utilisateur). Leur hébergement chez un tiers non européen soulève des questions de conformité au chapitre V du RGPD sur les transferts internationaux de données.

4. Performance

Le widget de consentement est chargé sur chaque page, pour chaque visiteur. Un script lourd dégrade les Core Web Vitals (LCP, FID, CLS), pénalise votre SEO et détériore l’expérience utilisateur. Le poids du widget et son impact sur le rendu initial sont des critères techniques non négligeables. Un CMP qui ajoute 200 Ko de JavaScript et retarde l’affichage de la page de 500 ms a un coût réel en termes de trafic organique et de taux de conversion.

5. Conformité réglementaire réelle

Un CMP peut être certifié IAB TCF et néanmoins non conforme aux exigences CNIL. Vérifiez : le bouton “Tout refuser” est-il présent par défaut sur le premier écran ? Le design respecte-t-il la symétrie ? Les cookies sont-ils réellement bloqués avant consentement, ou seulement signalés comme devant l’être ? La distinction entre conformité apparente et conformité réelle est exactement ce que la CNIL teste lors de ses contrôles.

6. Autonomie et maintenabilité

Le CMP est-il configurable sans dépendance à un prestataire ? Les mises à jour réglementaires sont-elles intégrées rapidement ? Pouvez-vous adapter le design à votre charte graphique sans contrevenir aux exigences légales ? Un CMP qui nécessite l’intervention d’un consultant à chaque modification est un coût récurrent et un risque de retard dans les mises en conformité.

Comparatif des solutions du marché

Tarteaucitron

Solution open source française, gratuite. Points forts : gratuité, communauté active, blocage des scripts par tags, maîtrise totale du code. Points faibles : pas de preuve de consentement server-side native, design par défaut basique qui nécessite un travail d’intégration, configuration technique nécessaire (pas d’interface d’administration), maintenance entièrement à votre charge, pas de support en cas de contrôle CNIL. Adapté aux équipes techniques autonomes avec des budgets limités.

Axeptio

Solution française, interface soignée. Points forts : UX travaillée et originale (format conversationnel), bonne intégration avec les principaux CMS (WordPress, Shopify). Points faibles : hébergement des données chez Axeptio (pas d’auto-hébergement possible), tarification qui monte vite avec le trafic (modèle au nombre de visiteurs), pas de preuve server-side avec correlation IDs. Adapté aux sites de taille moyenne cherchant une solution clé en main avec un bon design.

Didomi

Solution orientée grands comptes et écosystème publicitaire. Points forts : compatible TCF 2.2, interface de reporting avancée, support multi-pays et multi-langues, gestion centralisée pour les groupes multi-sites. Points faibles : complexité de configuration qui nécessite souvent un accompagnement, coût élevé (plusieurs milliers d’euros par an), données hébergées chez Didomi, approche centrée sur l’écosystème publicitaire plutôt que sur la conformité stricte CNIL. Adapté aux grandes entreprises avec des besoins publicitaires complexes.

CookieBot (Usercentrics)

Solution danoise, très répandue en Europe. Points forts : scan automatique des cookies, large base de données de scripts connus, interface d’administration intuitive. Points faibles : données hébergées hors de France (serveurs Microsoft Azure), widget parfois lourd qui impacte les performances, personnalisation limitée du design, tarification au nombre de pages. Adapté aux sites qui cherchent une solution standardisée avec un scan automatique.

Cookilio (DPLIANCE)

Solution française, conçue spécifiquement pour la conformité CNIL. Points forts :

  • Zéro script avant consentement : blocage technique réel, vérifié par inspection réseau
  • Preuve server-side : chaque choix est enregistré côté serveur avec un correlation ID unique, un horodatage et le détail des finalités
  • Auto-hébergement : les données de consentement restent sur vos propres serveurs. Souveraineté totale — aucun transit par un service tiers
  • Widget ultra-léger : construit en Preact, impact minimal sur les performances et les Core Web Vitals
  • Bannière multi-étapes : wizard qui guide l’utilisateur sans dark pattern, avec symétrie parfaite entre acceptation et refus
  • Tarification simple : 9 EUR HT/mois + 250 EUR HT d’installation. Pas de coût au trafic, pas de surprise

Découvrir Cookilio

L’obligation de preuve : ce que la CNIL attend concrètement

L’article 7 du RGPD dispose que “lorsque le traitement est fondé sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement.” Ce n’est pas une recommandation — c’est une obligation légale dont le non-respect expose à des sanctions.

Ce que la preuve doit contenir

  • Un identifiant : qui a consenti ? Pas nécessairement un nom, mais un identifiant technique permettant de retrouver le choix d’un utilisateur donné (cookie ID, session ID pseudonymisé).
  • Un horodatage : quand le consentement a-t-il été recueilli ? La précision doit être suffisante (date, heure, minute, seconde).
  • Le détail des choix : quelles finalités ont été acceptées, quelles finalités ont été refusées ? Le détail par catégorie est nécessaire.
  • La version de la bannière : quelle information était présentée à l’utilisateur au moment du choix ? Les textes, les catégories proposées, la liste des partenaires.
  • Le contexte technique : sur quelle page l’utilisateur se trouvait-il ? Quel terminal utilisait-il ? (Particulièrement pertinent depuis la mise à jour cross-device de décembre 2025.)

Ce que la preuve ne doit pas être

Un cookie local contenant “consent=accepted” n’est pas une preuve. L’utilisateur peut l’effacer, un script peut le modifier, et surtout l’éditeur ne peut pas le présenter à la CNIL comme preuve de quoi que ce soit. De même, un log serveur qui enregistre simplement “l’utilisateur a cliqué sur Accepter” sans identifiant unique ni détail des finalités est insuffisant.

L’implémentation concrète

Chez DPLIANCE, Cookilio génère un correlation ID unique pour chaque interaction de consentement. Ce correlation ID est enregistré côté serveur avec l’horodatage, le détail des choix par finalité et la version de la bannière. En cas de contrôle, vous pouvez fournir à la CNIL l’historique complet des consentements recueillis, avec la certitude que les données n’ont pas été altérées.

Le consentement n’est pas un obstacle à contourner. C’est un engagement à tenir.

Découvrir Cookilio — à partir de 9 EUR HT/mois.

FAQ

Un CMP est-il obligatoire ?

Techniquement, non. Le RGPD et la CNIL n’imposent pas l’utilisation d’un CMP en tant que tel. Ils imposent le recueil d’un consentement conforme, le blocage des scripts avant consentement, et la conservation d’une preuve. En pratique, ces obligations sont quasi impossibles à remplir sans un outil dédié. L’implémentation manuelle est risquée, coûteuse à maintenir, et difficile à auditer.

Le TCF 2.2 est-il obligatoire ?

Non. Le TCF est un standard de l’industrie publicitaire (IAB Europe), pas une obligation légale. Il est pertinent si vous travaillez avec des partenaires publicitaires programmatiques. Mais être conforme TCF ne signifie pas être conforme CNIL. Les exigences CNIL vont plus loin, notamment sur le blocage effectif des scripts et la preuve server-side.

À quelle fréquence la CNIL contrôle-t-elle les sites ?

La CNIL a intensifié ses contrôles en ligne depuis 2021. Elle utilise des outils automatisés pour analyser le trafic réseau des sites. En 2024, elle a mis en demeure plusieurs éditeurs pour dark patterns. En 2025, elle a prononcé des sanctions majeures (Google, Shein, Condé Nast, American Express). Il n’y a pas de fréquence fixe, mais le risque de contrôle augmente, surtout pour les sites à fort trafic et ceux qui font l’objet de plaintes d’utilisateurs.

Peut-on utiliser l’intérêt légitime pour les cookies analytics ?

La CNIL ne reconnaît pas l’intérêt légitime comme base légale pour le dépôt de cookies. Pour les cookies de mesure d’audience, une exemption de consentement existe, mais sous conditions strictes : données strictement anonymes, usage exclusif par l’éditeur, pas de transfert à des tiers, durée de vie limitée à 13 mois. Si ces conditions ne sont pas toutes remplies, le consentement est obligatoire.

Comment vérifier que mon CMP bloque réellement les scripts ?

Ouvrez les outils de développement de votre navigateur (onglet “Réseau”), effacez tous les cookies, rechargez la page et observez les requêtes réseau avant d’interagir avec la bannière. Si vous voyez des appels vers des domaines tiers (Google Analytics, Facebook, services publicitaires), votre CMP ne bloque pas effectivement les scripts. C’est exactement ce que fait la CNIL lors de ses contrôles. Vous pouvez également utiliser des outils spécialisés comme l’extension “CNIL cookie checker” ou des scanners en ligne dédiés.

Un cookie banner (bannière cookie) est l’interface visuelle présentée à l’utilisateur pour recueillir son consentement. Un CMP (Consent Management Platform) est l’outil complet qui gère le cycle de vie du consentement : affichage de la bannière, blocage des scripts, enregistrement des choix, preuve du consentement, retrait du consentement. Un simple cookie banner sans CMP ne remplit pas les obligations légales — il affiche un message mais ne bloque pas techniquement les cookies et ne conserve pas de preuve.

Sources : CNIL, Recommandation cookies du 17 septembre 2020 — CNIL, Dark patterns in cookie banners — CNIL, Sanction Google 325 M EUR — CNIL, Sanction Shein 150 M EUR — CNIL, Sanction Vanity Fair 750 000 EUR — CNIL, Sanction American Express 1,5 M EUR — CNIL, Actions 2025

Écrivez-nous

contact@dpliance.com
Nous contacter