Data Privacy

Bandeau cookies CNIL : conformité 2026 et sanctions

Bandeau cookies CNIL 2026 : règles, design conforme, sanctions 2024-2025, refus aussi simple qu'accepter. Modèles et erreurs à éviter.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. La CNIL impose depuis ses lignes directrices du 17 septembre 2020 et leur recommandation associée que le refus des cookies soit aussi simple que l’acceptation — un bouton “Refuser tout” doit figurer dès le premier niveau du bandeau. Le non-respect a coûté 150 M€ à Google et 60 M€ à Facebook (décisions CNIL du 31 décembre 2021), avec une nouvelle vague de sanctions en 2024-2025 contre des acteurs plus petits. La conformité 2026 repose sur trois exigences : refus aussi simple, granularité par finalité, preuve du consentement.

Les cookies non strictement nécessaires (publicité, mesure d’audience non exemptée, partage social) requièrent le consentement préalable (article 82 loi Informatique et Libertés, transposition ePrivacy). Le bandeau de cookies est devenu l’objet d’inspection prioritaire de la CNIL — plus de 100 mises en demeure émises depuis 2021 et plusieurs dizaines de sanctions publiques. Ce guide détaille la doctrine 2026.

Pour le contexte : guide opt-in opt-out, exemples de formulations consentement, article 6 RGPD bases légales.

Points clés

  • Le refus doit être aussi simple que l’acceptation : un clic, dès le 1er niveau.
  • La poursuite de navigation ne vaut PAS consentement (CJUE Planet49, oct. 2019).
  • Le bouton “Tout accepter” sans “Tout refuser” équivalent = sanction quasi-systématique.
  • Sanctions cumulées CNIL pour cookies 2021-2025 : plus de 300 millions d’euros.
  • Preuve du consentement à conserver (Consent Management Platform recommandée).

1. Cadre légal : article 82 LIL et ePrivacy

L’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy 2002/58/CE) impose le consentement préalable pour tout dépôt ou lecture de traceurs sur le terminal de l’utilisateur, sauf exceptions :

  • Traceurs strictement nécessaires à la fourniture du service
  • Mesure d’audience anonymisée (sous conditions strictes, voir lignes directrices CNIL)

Le règlement ePrivacy devait remplacer la directive depuis 2018 — il est toujours en négociation au Conseil de l’UE en 2026.

2. Lignes directrices CNIL : la doctrine de référence

Deux textes structurent la doctrine française :

  • Délibération 2020-091 du 17 septembre 2020 : lignes directrices sur les cookies
  • Délibération 2020-092 du 17 septembre 2020 : recommandation sur les modalités pratiques

Application obligatoire depuis le 1er avril 2021 (date de fin de tolérance CNIL).

3. Les 7 règles d’or du bandeau conforme

  1. Information préalable claire sur les finalités de chaque catégorie
  2. Bouton “Tout accepter” présent au 1er niveau (optionnel mais usuel)
  3. Bouton “Tout refuser” visible au 1er niveau, même graphisme que “Accepter”
  4. Pas de cases pré-cochées (CJUE Planet49)
  5. Granularité par finalité (publicité, statistiques, réseaux sociaux, etc.)
  6. Retrait du consentement aussi simple que son recueil
  7. Preuve du consentement conservée (date, version, choix)

4. Le test du “double symétrie”

La CNIL applique un test simple en contrôle :

  • Symétrie visuelle : les boutons Accepter et Refuser ont le même format, même couleur, même taille
  • Symétrie d’effort : un clic suffit dans les deux cas

Un bouton “Accepter” coloré et “Refuser” en lien texte gris = sanction quasi-certaine.

5. Mesure d’audience : l’exemption stricte

La CNIL autorise certains outils de mesure d’audience sans consentement, sous 5 conditions cumulatives :

  • Finalité strictement limitée à la mesure d’audience du site
  • Données non recoupées avec d’autres traitements
  • Données non transmises à des tiers
  • Pas de suivi de l’utilisateur sur plusieurs sites/applications
  • Durée de vie du cookie ≤ 13 mois, données ≤ 25 mois

Matomo (sans piège pixel tiers) et Google Analytics 4 en mode “consent mode advanced” ne sont pas exemptés. Seuls quelques outils français (AT Internet/Piano Analytics en configuration spécifique, Matomo bien configuré) le sont.

6. Sanctions CNIL marquantes (2021-2025)

Date Entité Montant Motif
Déc. 2021 Google LLC + Google Ireland 150 M€ Refus complexe, pas de bouton Refuser
Déc. 2021 Facebook Ireland (Meta) 60 M€ Refus complexe
Janv. 2022 Google 90 M€ (rappel) Confirmation
Avril 2022 Amazon Europe Core 35 M€ Cookies sans consentement
Janv. 2023 TikTok UK + Ireland 5 M€ Refus complexe
Sept. 2024 Cdiscount 1,5 M€ Mauvaise gestion consentement cookies
2024-2025 ~15 PME ETI 50 k€ à 600 k€ chacune Bandeau non conforme

Total cumulé : plus de 350 M€ depuis 2021.

Une CMP (Consent Management Platform) gère :

  • Affichage du bandeau
  • Catégorisation des cookies (essentiels, statistiques, marketing, réseaux sociaux)
  • Recueil et stockage du consentement
  • Conditionnement du chargement des tags (via Google Tag Manager, Tealium, etc.)
  • Preuve du consentement (logs)

CMP majeures en 2026 : OneTrust, Didomi (français, certifié IAB TCF v2.2), Cookiebot, Axeptio, Tarteaucitron.js (libre, recommandé pour petits sites).

8. Préférence “Global Privacy Control” et signaux navigateur

Le signal GPC (Global Privacy Control) émis par certains navigateurs (Firefox, Brave, DuckDuckGo) signale un refus généralisé. La CNIL n’impose pas encore son respect, mais le California CCPA l’impose. Anticipation recommandée.

9. Durée de validité du consentement

Recommandation CNIL : 13 mois maximum entre deux demandes de consentement. Au-delà, il faut redemander. La durée des cookies eux-mêmes ne doit pas excéder 13 mois (sauf consentement explicite pour plus).

Le refus n’a pas de durée prédéfinie — la CNIL recommande de respecter le refus pour la durée raisonnable de la session ou plus.

10. Cas particuliers

Sites publics et institutionnels : mêmes règles, plus forte exposition au contrôle. La CNIL a sanctionné le Ministère de l’Intérieur en 2023 pour cookies non conformes.

Sites de presse : les “cookie walls” (refus = paiement obligatoire) sont autorisés par la CNIL depuis 2020 sous conditions strictes — alternative payante raisonnable et clairement présentée.

Applications mobiles : mêmes règles que le web. Les SDK publicitaires non conformes (Facebook SDK, AdMob) sont la principale source de sanctions mobiles.

Cookies tiers et IAB TCF v2.2 : l’IAB Europe a été sanctionnée 250 000 € par l’APD belge en 2022 pour vices structurels du TCF. La v2.2 corrige partiellement.

11. Procédure de contrôle CNIL cookies

La CNIL utilise majoritairement le contrôle en ligne :

  • Navigation automatisée du site
  • Captures d’écran du bandeau
  • Inspection des cookies déposés avant tout clic
  • Inspection des cookies déposés après “Refuser tout”

Le contrôle en ligne ne nécessite pas de visite physique — il représente ~70 % des contrôles cookies. Procédure rapide (4-6 mois entre constat et sanction).

12. Check-list de conformité 2026

  • [ ] Bandeau au chargement du site, avant tout dépôt de cookie non essentiel
  • [ ] Bouton “Tout accepter” et “Tout refuser” même niveau, même format
  • [ ] Lien vers paramétrage détaillé par finalité
  • [ ] Cases pré-cochées : aucune (sauf cookies strictement nécessaires)
  • [ ] Liste des cookies avec finalité, durée, émetteur
  • [ ] Conservation des preuves de consentement
  • [ ] Mécanisme de retrait du consentement aussi accessible (lien permanent en footer)
  • [ ] Re-demande de consentement après 13 mois maximum
  • [ ] Cookies non essentiels désactivés tant que pas de consentement
  • [ ] Test de la conformité (par CMP ou audit externe)

FAQ

Le bouton “Tout refuser” doit-il vraiment être au 1er niveau du bandeau ?

Oui. Depuis les sanctions Google et Facebook de décembre 2021, la CNIL exige qu’un mécanisme de refus simple soit présent dès le premier niveau du bandeau. Renvoyer vers un “panneau de paramétrage” pour refuser n’est pas conforme — le refus serait alors plus complexe que l’acceptation.

Google Analytics 4 nécessite-t-il un consentement cookies ?

Oui, dans la configuration standard. GA4 dépose des cookies (_ga, _gid) qui ne bénéficient pas de l’exemption de mesure d’audience de la CNIL. Sauf à mettre en place une configuration spécifique anonymisée (proxy serveur côté serveur, anonymisation IP renforcée, désactivation des transferts US), le consentement est requis.

Quelle est la sanction maximale pour un bandeau cookies non conforme ?

L’article 20 de la loi Informatique et Libertés prévoit jusqu’à 2 % du chiffre d’affaires annuel mondial (4 % pour les manquements RGPD connexes). En pratique, les sanctions CNIL 2022-2025 vont de 50 k€ pour une PME à 150 M€ pour Google.

Combien de temps conserver la preuve du consentement cookies ?

Recommandation CNIL : durée du traitement + délai de prescription. En pratique : 3 à 5 ans. Les CMP conservent typiquement les preuves 24 à 36 mois. La preuve doit inclure : identifiant utilisateur, date, version des informations, choix par catégorie.

Le “cookie wall” (refus = paiement) est-il légal en France ?

Oui, depuis l’évolution de la position CNIL en 2020. Conditions : alternative payante à prix raisonnable, information claire sur le choix, pas de tracking caché côté payant. Plusieurs sites de presse (Le Monde, L’Équipe) utilisent ce modèle depuis 2021. L’EDPB conteste partiellement, contentieux en cours.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →