Sélectionner Une Page

Cookies sans consentement : ce que vous risquez vraiment en France

par | Mar 18, 2026 | Bonnes pratiques, Droit numérique, RGPD | 0 commentaire

Droit numérique · RGPD · Bonnes pratiques

Cookies sans consentement : ce que vous risquez vraiment en France

En 2026, la CNIL a intensifié ses contrôles automatisés et les sanctions pleuvent sur les sites non conformes — des PME autant que les géants du numérique. Voici tout ce qu'il faut savoir pour être en règle.

Mis à jour : mars 2026 Temps de lecture : 8 min Sources : CNIL, RGPD, Loi Informatique et Libertés

Le cadre légal : trois textes, une seule règle

En France, l'utilisation des cookies sur un site internet est encadrée par une combinaison de textes : le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis 2018), la directive ePrivacy transposée à l'article 82 de la loi Informatique et Libertés, et les recommandations de la CNIL publiées en 2020 et mises à jour depuis.

La règle fondamentale est simple : tout cookie ou traceur qui n'est pas strictement nécessaire au fonctionnement technique du site ne peut être déposé sur le terminal d'un visiteur qu'après recueil de son consentement explicite. Cela concerne les cookies publicitaires, les cookies de réseaux sociaux, et la quasi-totalité des outils d'analyse d'audience comme Google Analytics.

À retenir

Le consentement doit être libre, spécifique, éclairé et univoque. Continuer à naviguer sur un site ne constitue pas un consentement. Un simple bandeau informatif sans bouton « Refuser » n'est pas conforme.

Les sanctions encourues

Les conséquences d'un défaut de conformité peuvent être lourdes. La CNIL dispose d'un arsenal répressif complet : mise en demeure, injonction sous astreinte, amende administrative, et publication de la sanction — ce dernier point pouvant causer un sérieux préjudice réputationnel.

20 M€
Amende maximale prévue par le RGPD pour les manquements graves
4 %
Du chiffre d'affaires mondial annuel, si plus élevé que le plafond fixe
486 M€
Montant total des amendes prononcées par la CNIL en 2025
60 %+
Des 83 sanctions de 2025 ont visé des PME, pas seulement les grands groupes
Exemples de sanctions récentes

En décembre 2022, Google, Facebook, TikTok, Apple et Microsoft ont tous été sanctionnés par la CNIL pour des manquements liés aux cookies. En 2025, la thématique des traceurs figurait parmi les trois principaux sujets de sanctions, avec 21 entités sanctionnées pour dépôt sans consentement, information insuffisante ou non-prise en compte du retrait de consentement.

Ce que dit concrètement la loi

L'article 82 de la loi Informatique et Libertés est le texte de référence. Il conditionne le dépôt de cookies au consentement de l'utilisateur et lui confère corrélativement le droit de retirer ce consentement à tout moment. Ce retrait doit être aussi simple que l'acceptation initiale.

Pratiques non conformes

Un bandeau « Nous utilisons des cookies, cliquez ici pour continuer » n'est pas conforme. La seule présence d'un bouton « Paramétrer » en face d'un bouton « Tout accepter » est insuffisante. Un « cookie wall » (accès conditionné à l'acceptation) est présumé non conforme sauf cas très encadrés.

« Un bouton 'Refuser' doit être aussi visible et accessible que le bouton 'Accepter'. »

Cookies exemptés de consentement

Tous les cookies ne nécessitent pas un consentement. La CNIL prévoit des exemptions pour les traceurs strictement nécessaires au fonctionnement du service. Voici les principales catégories :

Exempté

Cookie de session d'authentification (maintien de la connexion utilisateur)

Exempté

Cookie de mémorisation du panier d'achat sur un site e-commerce

Exempté

Cookie de préférences d'interface (langue, accessibilité) sur demande de l'utilisateur

Exempté (sous conditions)

Outil de mesure d'audience strictement anonymisé, sans recoupement, sans partage tiers

Consentement requis

Google Analytics 4 en configuration par défaut (suivi individuel et profilage)

Consentement requis

Cookies publicitaires, de retargeting et boutons de partage sur les réseaux sociaux

Les bonnes pratiques : la checklist complète

Voici ce que vous devez mettre en place pour être conforme aux exigences de la CNIL en 2026. Ces obligations s'appliquent à tout éditeur de site web accessible depuis la France, quelle que soit la taille de la structure.

  • 1
    Afficher un bandeau dès la première visite, avant tout dépôt de cookie non essentiel. Aucun traceur non nécessaire ne doit être activé tant que l'utilisateur n'a pas fait son choix.
  • 2
    Proposer un bouton « Tout refuser » aussi visible que « Tout accepter », sur le même écran, avec le même format graphique. L'accès au refus ne peut pas nécessiter plus d'étapes que l'acceptation.
  • 3
    Informer clairement l'utilisateur sur les finalités des cookies (publicité, audience, partage social…), leur durée de conservation, et l'identité des tiers qui y auront accès.
  • 4
    Permettre un retrait du consentement aussi simple que son octroi. Un lien ou bouton d'accès aux préférences doit rester accessible à tout moment (pied de page, interface dédiée).
  • 5
    Conserver la preuve du consentement pendant 13 mois maximum (durée de validité recommandée). Votre CMP (outil de gestion du consentement) doit horodater et archiver ces consentements en cas de contrôle.
  • 6
    Auditer régulièrement les cookies déposés sur votre site. Des outils comme CookieViz (CNIL), TarteAuCitron ou Axeptio permettent de détecter tous les traceurs actifs, y compris ceux introduits par des plugins tiers.
  • 7
    Configurer Google Analytics pour la conformité : activation de l'anonymisation IP, désactivation des fonctionnalités publicitaires, et intégration dans une CMP qui bloque son déclenchement avant consentement.
  • 8
    Rédiger une politique de cookies accessible et compréhensible, détaillant chaque traceur, sa finalité, son émetteur et sa durée de vie. Cette page peut être intégrée à la politique de confidentialité.
Solution pratique pour les PME

Des CMP (Consent Management Platform) gratuites et conformes existent : TarteAuCitron (open-source, français) est une option solide. L'essentiel est de configurer l'outil correctement et de documenter la conformité. Une CMP mal configurée expose autant qu'une absence de CMP.

En 2026, les contrôles sont automatisés

La CNIL a déployé des robots capables de détecter automatiquement les sites non conformes à grande échelle. Elle analyse périodiquement les 1 000 sites à plus forte audience en France et traite les plaintes d'associations comme NOYB, particulièrement actives sur ce sujet. En 2025, elle a adressé 143 mises en demeure et prononcé 83 sanctions.

La mise en conformité n'est pas une contrainte optionnelle : c'est une obligation légale, un signal de confiance pour vos visiteurs, et une protection contre des risques financiers et réputationnels significatifs. Les outils existent, les ressources de la CNIL sont publiques et gratuites — il n'y a plus d'excuse valable pour ne pas agir.

Ressources officielles

Consultez les lignes directrices et recommandations de la CNIL sur cnil.fr/cookies, le logiciel gratuit CookieViz, et la liste officielle des solutions de mesure d'audience exemptées de consentement.

Envoyer Un Commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *