Bandeau cookies CNIL : règles 2026 et exemples conformes

Q: Que risque-t-on en cas de bandeau non conforme ?

Sanction administrative jusqu’à 2% du chiffre d’affaires mondial (article 83 §4 RGPD pour cookies). En procédure simplifiée, sanctions plus modérées (50K-500K€). En 2025, la CNIL a sanctionné 21 entités sur ce fondement pour un cumul d’environ 32 millions d’euros.

En une phrase. Le bandeau cookies conforme à la doctrine CNIL doit (1) afficher un bouton “Refuser” aussi visible que “Accepter”, (2) lister les finalités précises et les destinataires, (3) recueillir un consentement par action positive (case non pré-cochée), (4) permettre le retrait aussi facilement que le don, et (5) ne pas bloquer l’accès au site en cas de refus. La CNIL a sanctionné 21 entités en 2025 sur ces critères pour un cumul d’environ 32 millions d’euros.

La CNIL a fait des bandeaux cookies l’une de ses priorités d’enquête depuis 2021. Sa délibération 2020-091 (cookies et autres traceurs) et ses lignes directrices actualisées en 2022 définissent le standard. Les sanctions 2024-2025 confirment une lecture stricte : tout bandeau qui rend le refus plus difficile que l’acceptation est désormais sanctionné.

Cet article détaille les règles CNIL, fournit 6 exemples de bandeaux conformes, liste les 8 erreurs sanctionnées récemment, et explique l’articulation avec le futur règlement ePrivacy. Pour le cadre général du consentement, voir guide opt-in opt-out.

Points clés

Le bandeau cookies doit présenter “Accepter” et “Refuser” avec une équivalence visuelle (taille, couleur, position).
Les finalités doivent être listées précisément, par catégorie : analytics, publicité, personnalisation, partage social.
Les destinataires (Google, Meta, etc.) doivent être nommés ou accessibles en un clic.
L’accès au site ne peut pas être conditionné à l’acceptation des cookies non essentiels (sauf modèle “cookie wall” avec alternative payante équilibrée).
Le retrait du consentement doit être aussi accessible que son recueil — généralement via un lien permanent dans le footer.

1. Les règles CNIL : ce qui est obligatoire

Tirées de la délibération 2020-091 et des lignes directrices :

Information claire et préalable

Avant tout dépôt de cookie non essentiel, l’utilisateur doit voir :

Quelles catégories de cookies sont déposées (analytique, publicitaire, etc.)
Quelle est la finalité de chacune
Qui sont les destinataires (éditeur seul, ou tiers nommés)
Quelle est la durée de conservation
Comment retirer son consentement

Consentement par action positive

Pas de cases pré-cochées
Pas de “consent by scrolling” (le défilement n’équivaut pas au consentement)
Pas de “consent by continuing” (la simple navigation n’équivaut pas au consentement)
Bouton “Accepter” et bouton “Refuser” présentés ensemble

Symétrie de choix

“Refuser” aussi facile à utiliser que “Accepter”
Même nombre de clics pour les deux options
Même proéminence visuelle (taille, couleur, position)

Retrait facile

Lien permanent (généralement dans le footer) pour modifier les préférences
Le retrait ne doit pas être plus complexe que l’acceptation

Accès au site malgré le refus

L’accès au contenu ne doit pas dépendre de l’acceptation des cookies non essentiels
Le cookie wall (paywall lié au refus) est toléré mais sous conditions strictes (alternative payante à un prix raisonnable)

2. Exemple de bandeau conforme — version simple

┌──────────────────────────────────────────────────────────┐
│ Cookies                                                   │
│                                                           │
│ Notre site utilise des cookies pour deux finalités :     │
│                                                           │
│ • Cookies essentiels — nécessaires au fonctionnement     │
│   du site (toujours actifs).                              │
│                                                           │
│ • Cookies de mesure d'audience (Matomo) — pour analyser  │
│   l'usage du site. Données anonymisées, hébergées en     │
│   France, conservées 13 mois.                             │
│                                                           │
│ Vous pouvez modifier votre choix à tout moment via le    │
│ lien "Cookies" en bas de page.                            │
│                                                           │
│ [    Refuser    ]  [    Personnaliser    ]  [  Accepter ] │
└──────────────────────────────────────────────────────────┘

3. Exemple de bandeau conforme — e-commerce avec publicité

┌──────────────────────────────────────────────────────────┐
│ Vos préférences cookies                                   │
│                                                           │
│ Notre site utilise des cookies pour les finalités        │
│ suivantes (sauf "essentiels", désactivés par défaut) :   │
│                                                           │
│ ☑ Essentiels — fonctionnement du site (toujours actifs)  │
│                                                           │
│ ☐ Mesure d'audience anonyme (Google Analytics 4, US      │
│   sous Data Privacy Framework, 14 mois)                   │
│                                                           │
│ ☐ Publicité personnalisée (Meta Ads, Google Ads, US      │
│   sous Data Privacy Framework, 13 mois)                   │
│                                                           │
│ ☐ Personnalisation (Hotjar, US sous DPF, 12 mois)        │
│                                                           │
│ Lien permanent : footer → "Préférences cookies".          │
│                                                           │
│ [   Tout refuser   ]  [   Confirmer mes choix   ]         │
│ [               Tout accepter                  ]          │
└──────────────────────────────────────────────────────────┘

Note : “Tout accepter” et “Tout refuser” doivent avoir la même taille et la même visibilité.

4. Exemple de bandeau pour blog / site éditorial

┌──────────────────────────────────────────────────────────┐
│ Cookies sur ce site                                       │
│                                                           │
│ Nous utilisons des cookies de mesure d'audience pour     │
│ comprendre comment vous lisez nos articles. Ces données  │
│ sont anonymisées et hébergées en France (Matomo, 13 mois)│
│                                                           │
│ Vous pouvez accepter ou refuser. Votre choix peut être   │
│ modifié à tout moment via le lien "Cookies" du footer.   │
│                                                           │
│ [        Refuser         ]  [       Accepter           ] │
└──────────────────────────────────────────────────────────┘

5. Les 8 erreurs sanctionnées par la CNIL en 2024-2025

Erreur	Sanction type	Fix
Bouton “Refuser” caché ou nécessitant 3+ clics	Sanction CNIL classique	Refuser au même niveau qu’Accepter
“Refuser” en gris/texte vs “Accepter” en couleur	Asymétrie visuelle	Même style graphique
Finalités vagues (“améliorer votre expérience”)	Information insuffisante	Lister chaque finalité
Aucun destinataire nommé	Information insuffisante	Nommer les éditeurs tiers ou un lien direct
Consentement par défilement	Consentement invalide	Bouton explicite
Cases pré-cochées	Consentement invalide	Cases non cochées
Bandeau bloquant tout accès	Cookie wall sans alternative	Permettre le refus avec accès
Pas de mécanisme de retrait	Article 7 §3 RGPD	Lien permanent footer

Le cookie wall (paywall conditionné au refus) est partiellement toléré par la CNIL mais sous conditions :

Une alternative payante équilibrée doit être proposée (souvent moins de 5€/mois)
L’utilisateur doit avoir un choix réel (pas un faux choix)
Le périmètre du contenu accessible doit être identique en mode payant

Plusieurs sites de presse français (Le Monde, Le Figaro, etc.) utilisent ce modèle. La CNIL a confirmé sa tolérance dans ses lignes directrices 2022, en recadrant les abus. Pour la doctrine récente, voir le bilan CNIL 2025.

7. Sanctions CNIL 2024-2025 sur les cookies

La CNIL a sanctionné 21 entités sur les cookies en 2025 pour un cumul d’environ 32 millions d’euros. Sanctions notables :

Une plateforme e-commerce sanctionnée 5M€ pour bouton refuser nécessitant 4 clics
Un éditeur de presse sanctionné 1,5M€ pour cookie wall sans alternative équilibrée
Plusieurs sites sanctionnés 100K-500K€ pour finalités vagues

Pattern : la CNIL utilise la procédure simplifiée pour traiter rapidement les manquements évidents, ce qui lui permet d’enchaîner les sanctions à fréquence soutenue. Voir notre bilan sanctions RGPD 2025.

8. Articulation avec ePrivacy

Le règlement ePrivacy (toujours en discussion en 2026) reprend les mêmes principes mais au niveau européen. Une fois adopté :

Les règles cookies seront harmonisées dans toute l’UE
Application directe sans transposition nationale
Les amendes pourraient atteindre 4% du CA mondial (vs sanctions actuelles plus modestes)

En attendant, la doctrine CNIL fait référence en France et inspire de nombreuses autorités européennes.

9. Méthodologie de mise en conformité

Étape 1 — Audit cookies

Lister tous les cookies déposés via : DevTools → Application → Cookies. Identifier pour chacun : émetteur, finalité, durée. Classer en essentiel / non essentiel.

Solutions courantes : Axeptio, Didomi, OneTrust, Cookiebot. Configurer le bandeau pour respecter les règles CNIL.

Étape 3 — Tester le rendu

Vérifier sur mobile et desktop : symétrie des boutons, accessibilité du refus, lien de retrait permanent.

Étape 4 — Mettre à jour la politique cookies

Page dédiée listant chaque cookie, ses finalités, sa durée, ses destinataires. Mise à jour à chaque ajout d’outil tiers.

Étape 5 — Surveillance continue

Le marketing ajoute régulièrement de nouveaux outils (Hotjar, ads pixels, A/B testing). Audit cookies trimestriel pour maintenir la conformité.

10. Outillage

Legiscope audite automatiquement les bandeaux cookies des sites web : détecte l’asymétrie de boutons, l’absence de destinataires nommés, les finalités vagues, l’absence de retrait facile. Pour une PME avec plusieurs domaines, l’audit prend quelques minutes.

Pour aller plus loin : guide opt-in opt-out, sanctions RGPD 2025 CNIL, base juridique RGPD, exemple registre des traitements.

Conclusion

Le bandeau cookies est devenu en 2024-2026 le manquement RGPD le plus fréquemment sanctionné par la CNIL, parce qu’il est visible publiquement et donc audit-able sans inspection sur place. La conformité repose sur cinq éléments simples : symétrie, finalités précises, destinataires nommés, action positive, retrait facile. Les organisations qui révisent leur bandeau tous les 6 mois sur ces critères évitent la quasi-totalité des risques de sanction.

FAQ

Le bandeau cookies est-il obligatoire ?

Oui, dès lors que votre site dépose des cookies non essentiels (analytics, publicité, personnalisation). Les cookies strictement nécessaires au fonctionnement (session, panier) ne nécessitent pas de consentement mais doivent être mentionnés dans la politique cookies.

Le bouton “Continuer sans accepter” est-il valide ?

Non, sauf si exactement aussi visible et accessible que “Accepter”. La CNIL a sanctionné plusieurs sites pour avoir mis “Continuer sans accepter” en petit en bas, ce qui crée une asymétrie. Si présent, doit avoir le même style visuel que “Accepter”.

Combien de temps un consentement cookies est-il valide ?

La CNIL recommande 6 à 13 mois maximum, après quoi il faut redemander. Au-delà de 13 mois, le consentement est présumé caduc et doit être renouvelé pour conserver la conformité.

Toléré sous conditions strictes : une alternative payante équilibrée doit exister (généralement <5€/mois), l’utilisateur doit avoir un vrai choix, le périmètre du contenu doit être identique en mode payant. La CNIL contrôle les abus.

Que risque-t-on en cas de bandeau non conforme ?