Données personnelles

Comparatif CMP 2026 : gestion du consentement

Comparatif 2026 des CMP (Axeptio, Didomi, Cookiebot, OneTrust) : recueil valide, preuve du consentement, TCF et prix, selon les règles cookies de la CNIL.

Quelle CMP (Consent Management Platform) choisir en 2026 pour gérer le consentement aux cookies ? Le bon choix dépend de trois critères que la CNIL sanctionne activement : un recueil de consentement valide (refuser aussi facilement qu’accepter), la conservation d’une preuve horodatée, et la compatibilité avec le TCF si vous faites de la publicité programmatique. Voici le comparatif des principales CMP — Axeptio, Didomi, Cookiebot, OneTrust — sur ces critères et sur le prix, avec les règles CNIL comme grille de lecture.

Points clés

  • Une CMP conforme doit permettre de refuser les cookies aussi facilement que de les accepter (recommandation cookies de la CNIL de 2020).
  • Elle doit conserver une preuve du consentement horodatée et opposable.
  • La CNIL a sanctionné le défaut de bouton « refuser » : Google 150 M€ et Facebook 60 M€ (délibérations du 31 décembre 2021).
  • Le choix se fait sur le volume de visites, le besoin de TCF et l’hébergement des données.
  • Une CMP ne dispense pas du reste de la conformité : elle s’articule avec le bandeau cookies et la politique de cookies.

Ce qu’une CMP conforme doit garantir

La CNIL a fixé des exigences précises sur le recueil du consentement aux traceurs, au-delà du simple bandeau. Une CMP doit techniquement les respecter.

  • Symétrie accepter/refuser : le refus doit être aussi simple que l’acceptation, dès le premier écran. Un bandeau sans bouton « tout refuser » est non conforme.
  • Consentement préalable : aucun traceur non essentiel ne doit être déposé avant le choix de l’utilisateur.
  • Granularité : possibilité de consentir finalité par finalité.
  • Preuve : conservation horodatée du consentement, réutilisable en cas de contrôle.
  • Retrait aussi simple que le don : un moyen permanent de modifier son choix.

Ces exigences ne sont pas théoriques. Le 31 décembre 2021, la CNIL a infligé 150 millions d’euros à Google (délibération SAN-2021-023) et 60 millions d’euros à Facebook (délibération SAN-2021-024) précisément parce que refuser les cookies était plus difficile que les accepter. Le sujet est l’un des plus contrôlés en France, comme le montre notre analyse de la conformité du bandeau cookies CNIL et les règles officielles de la CNIL sur les cookies et traceurs.

Au-delà des sanctions spectaculaires visant les géants, la CNIL adresse régulièrement des mises en demeure à des sites de toute taille pour des bandeaux non conformes. Le motif est presque toujours le même : un bouton « tout accepter » bien visible et un refus dissimulé derrière plusieurs clics, ou des traceurs déposés avant tout choix. Une CMP correctement configurée neutralise ce risque à la racine — mais une CMP mal réglée le reproduit fidèlement. L’outil ne garantit rien par lui-même ; c’est le paramétrage, aligné sur la doctrine de la CNIL, qui fait la conformité.

Comparatif des principales CMP

CMP Origine TCF / publicité Preuve du consentement Prix indicatif
Axeptio France Oui Oui Freemium, puis à partir de quelques dizaines d’€/mois
Didomi France Oui, très complet Oui Sur devis (orienté volume)
Cookiebot (Usercentrics) Danemark/Allemagne Oui Oui À partir d’env. 10-50 €/mois selon domaines
OneTrust (CMP) États-Unis Oui Oui Sur devis (segment enterprise)

Trois repères pour lire ce tableau. D’abord, les CMP françaises (Axeptio, Didomi) sont pensées d’emblée pour les exigences de la CNIL et le TCF, ce qui réduit le risque de non-conformité par défaut. Ensuite, Cookiebot offre un bon rapport simplicité/prix pour les sites de taille moyenne. Enfin, OneTrust cible les grands comptes internationaux, avec une puissance et un prix calibrés pour eux. Le critère décisif reste le volume de visites : la plupart des CMP facturent au trafic, et une même solution peut être économique à petit volume et onéreuse à grande échelle.

Bien choisir selon votre profil

Site vitrine ou petit e-commerce. Une CMP freemium ou à bas coût (Axeptio, Cookiebot) suffit, à condition qu’elle propose nativement le bouton « tout refuser » et la preuve du consentement.

Média ou site à fort trafic avec publicité. Le support du TCF (Transparency and Consent Framework de l’IAB) devient central pour la publicité programmatique. Didomi est fortement positionné sur ce segment.

Groupe international multi-domaines. La gestion centralisée de dizaines de sites et de plusieurs cadres juridiques oriente vers les CMP enterprise (OneTrust, Didomi). Ces solutions permettent d’appliquer une politique de consentement homogène tout en respectant les particularités locales, mais leur coût et leur complexité de paramétrage les réservent aux organisations qui gèrent réellement un parc de sites important.

Pour une boutique en ligne, la CMP n’est qu’une brique : elle s’intègre à un dispositif plus large de conformité e-commerce couvrant aussi le registre et les demandes clients. Et le consentement aux cookies s’inscrit dans la logique plus générale de l’opt-in / opt-out et des cookies et traceurs RGPD.

Les pièges de configuration, CMP par CMP

Le choix de la CMP compte moins que son paramétrage. Voici les pièges les plus fréquents, qui reviennent quel que soit l’éditeur.

Le design du bandeau. Beaucoup d’intégrateurs conservent le modèle par défaut, qui met en avant « Tout accepter » et relègue le refus dans un lien secondaire. C’est exactement le motif des sanctions Google et Facebook. Toutes les CMP citées permettent d’afficher un bouton « Tout refuser » au premier niveau : encore faut-il l’activer, ce qui n’est presque jamais le cas par défaut.

Le déclenchement des tags. Le piège technique le plus courant est le dépôt de traceurs avant le choix de l’utilisateur, souvent parce que des scripts (Google Analytics, pixel Meta, chat, cartes) sont chargés en dur dans le code plutôt que conditionnés au consentement. Une CMP ne bloque que ce qu’on lui confie : les tags doivent passer par le gestionnaire de consentement (mode consentement, blocage automatique des scripts), sans quoi la preuve recueillie ne couvre rien.

La durée de conservation du choix. Redemander le consentement à chaque visite est irritant et pousse à l’acceptation par lassitude ; le conserver trop longtemps (au-delà de six mois, durée recommandée par la CNIL) n’est pas conforme. Ce réglage est souvent laissé à sa valeur par défaut, rarement alignée sur la doctrine.

La cohérence des finalités. Les libellés proposés par la CMP (mesure d’audience, publicité, personnalisation) doivent correspondre aux finalités réellement déclarées dans votre registre des traitements. Une finalité affichée à l’utilisateur mais absente du registre, ou l’inverse, crée une incohérence qu’un contrôle relève immédiatement.

Le scan des cookies. Cookiebot et OneTrust proposent un scan automatique du site ; il doit être relancé après chaque évolution, faute de quoi de nouveaux traceurs échappent au consentement. Un scan figé à l’installation devient vite obsolète.

CMP et conformité globale

Une CMP gère le consentement aux traceurs, pas l’ensemble du RGPD. Le consentement recueilli doit s’articuler avec votre politique de cookies, votre registre des traitements et vos finalités déclarées. Une CMP mal configurée — finalités floues, dépôt avant consentement — produit une preuve de non-conformité plutôt qu’une preuve de consentement. C’est pourquoi la configuration de la CMP doit être pilotée depuis votre dispositif de conformité d’ensemble. Legiscope aide à faire le lien entre le consentement recueilli côté CMP et le registre des traitements, pour que les finalités déclarées aux utilisateurs correspondent à celles documentées.

FAQ

Une CMP est-elle obligatoire ?

Aucune loi n’impose une CMP en tant que telle, mais dès qu’un site dépose des traceurs non essentiels, il doit recueillir un consentement valide, préalable, granulaire et prouvable. Une CMP est le moyen technique le plus fiable d’y parvenir ; un bandeau maison mal conçu expose au risque de sanction.

Quelle CMP est la plus conforme à la CNIL ?

Les CMP françaises (Axeptio, Didomi) intègrent nativement les exigences de la CNIL, notamment le bouton « tout refuser » et la preuve du consentement. Mais la conformité dépend surtout de la configuration : n’importe quelle CMP mal paramétrée (dépôt avant consentement, refus caché) devient non conforme.

Combien coûte une CMP ?

De la gratuité (offres freemium pour petits sites) à plusieurs milliers d’euros par an pour les grands comptes. La facturation suit généralement le volume de visites. Une solution économique à faible trafic peut devenir coûteuse à grande échelle : projetez votre coût sur votre volume réel.

Qu’est-ce que le TCF et me concerne-t-il ?

Le Transparency and Consent Framework est le standard de l’IAB pour transmettre le consentement dans la chaîne publicitaire programmatique. Il concerne les médias et sites monétisant leur audience par la publicité ciblée. Un site sans publicité programmatique n’en a pas besoin.

Conclusion

Le comparatif des CMP se joue sur trois critères que la CNIL sanctionne réellement : symétrie du refus et de l’acceptation, preuve horodatée du consentement, et compatibilité TCF pour ceux qui en ont besoin. Les amendes de 150 M€ à Google et 60 M€ à Facebook rappellent que le sujet n’est pas cosmétique. Axeptio et Cookiebot conviennent aux petits et moyens sites, Didomi aux médias à fort trafic, OneTrust aux groupes internationaux — mais aucune CMP n’est conforme par défaut : c’est sa configuration, alignée sur votre registre des traitements, qui fait la différence. Choisissez sur votre volume réel de visites et sur votre besoin de publicité programmatique.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →