Données personnelles

Cookies et traceurs RGPD : guide conformité 2026

Guide conformité cookies RGPD 2026 : lignes directrices CNIL, consentement, refus, cookies exemptés, audits et sanctions Amazon (35M) et Google (150M).

TD
Dr. Thiébaut Devergranne
12 avril 20267 min read

Les cookies et traceurs restent le sujet le plus contrôlé et le plus sanctionné par la CNIL. En quatre ans, l’autorité a prononcé plus de 400 millions d’euros d’amendes liées aux cookies, dont 150 millions pour Google et 35 millions pour Amazon. Les lignes directrices CNIL de 2020 et la recommandation de 2023 constituent le référentiel applicable. Ce guide détaille les règles de conformité cookies RGPD pour 2026.

Points Clés

  • Le consentement préalable est obligatoire pour tous les cookies non strictement nécessaires (Art. 82 de la loi Informatique et Libertés, transposant la directive ePrivacy).
  • Le refus doit être aussi simple que l’acceptation : un seul clic dans chaque cas.
  • Les cookies d’audience exemptés de consentement doivent respecter des conditions strictes définies par la CNIL (données non croisées, pas de suivi inter-sites).
  • Les dark patterns (interfaces trompeuses rendant le refus plus difficile) sont spécifiquement ciblés par la CNIL et constituent un manquement sanctionnable.

Cadre juridique : RGPD et directive ePrivacy

La réglementation des cookies repose sur deux textes complémentaires.

La directive ePrivacy 2002/58/CE (transposée en France par l’Art. 82 de la loi Informatique et Libertés) régit spécifiquement le dépôt et la lecture de traceurs sur le terminal de l’utilisateur. C’est ce texte qui fonde l’obligation de consentement préalable.

Le RGPD s’applique dès que les données collectées via les cookies constituent des données personnelles (ce qui est presque toujours le cas : identifiants uniques, adresses IP, données de navigation). Le RGPD encadre alors les conditions de validité du consentement (Art. 7 RGPD), les obligations d’information (Art. 13 RGPD) et les droits des personnes.

En pratique, tout opérateur de site web doit respecter simultanément les deux textes. Les lignes directrices CNIL de septembre 2020 (délibération n° 2020-091) et la recommandation du 17 septembre 2020 (délibération n° 2020-092, modifiée en 2023) constituent le référentiel d’application français.

Consentement cookies : les exigences concrètes

Le consentement pour les cookies doit être conforme aux exigences cumulatives du RGPD et de la directive ePrivacy.

Préalable. Aucun cookie non essentiel ne doit être déposé avant que l’utilisateur ait exprimé son choix. Cela implique que les scripts Google Analytics, Meta Pixel, et autres outils de tracking ne doivent pas s’exécuter au chargement de la page.

Libre. L’accès au site ne doit pas être conditionné à l’acceptation des cookies (sauf “cookie walls” payants, dont la validité est débattue). L’utilisateur doit pouvoir naviguer normalement même en refusant les cookies.

Spécifique. Le consentement doit être recueilli par finalité ou par catégorie de cookies (analytics, publicité, réseaux sociaux, personnalisation). Un bouton “tout accepter” global est admis s’il est accompagné d’un mécanisme de paramétrage fin au même niveau.

Éclairé. L’utilisateur doit être informé de l’identité du responsable de traitement, des finalités de chaque catégorie de cookies, des destinataires des données et des conséquences de l’acceptation ou du refus. Un lien vers la politique de confidentialité complète doit être accessible depuis la bannière.

Univoque. La simple poursuite de la navigation ne vaut pas consentement. Un acte positif clair est requis (clic sur “Accepter” ou paramétrage actif).

Refus : aussi simple que l’acceptation

C’est le point le plus contrôlé par la CNIL et celui qui génère le plus de sanctions.

Principe. Le refus des cookies doit être aussi simple que l’acceptation. Si un bouton “Tout accepter” est proposé au premier niveau de la bannière, un bouton “Tout refuser” doit être proposé au même niveau et avec la même visibilité.

Sanctions de référence. La CNIL a fondé ses plus grosses sanctions cookies sur ce principe :

  • Google : 150 millions d’euros (Délibération n° SAN-2021-023, 31 décembre 2021). Le bouton de refus des cookies sur google.fr et youtube.com nécessitait plusieurs clics alors que l’acceptation se faisait en un clic.
  • Facebook (Meta) : 60 millions d’euros (Délibération n° SAN-2021-024, 31 décembre 2021). Même motif : le refus des cookies était rendu plus complexe que l’acceptation.
  • Amazon : 35 millions d’euros (Délibération n° SAN-2020-012, 7 décembre 2020). Dépôt de cookies publicitaires sans consentement préalable et information insuffisante.
  • Microsoft : 60 millions d’euros (Délibération n° SAN-2022-023, 19 décembre 2022). Bing.com déposait des cookies publicitaires sans consentement.

La CNIL qualifie les interfaces rendant le refus plus difficile de “dark patterns” et les considère comme un manquement à l’obligation de consentement libre.

Cookies exemptés de consentement

Certains cookies sont exemptés de l’obligation de consentement préalable. La liste est strictement limitée.

Cookies strictement nécessaires. Les cookies indispensables à la fourniture du service demandé par l’utilisateur : authentification, panier d’achat, mémorisation de langue, équilibrage de charge, sécurité (CSRF). Ces cookies doivent avoir une durée de vie limitée à la session ou au strict nécessaire.

Cookies d’audience exemptés. La CNIL a défini les conditions sous lesquelles un cookie de mesure d’audience est exempté de consentement (lignes directrices de 2020, mise à jour 2023) :

  • La finalité est strictement limitée à la mesure d’audience pour le compte de l’éditeur du site.
  • Les données ne sont pas croisées avec d’autres traitements ou transmises à des tiers.
  • Le cookie ne permet pas le suivi de la navigation de l’utilisateur sur d’autres sites.
  • L’utilisateur est informé du dépôt du cookie et peut s’y opposer.
  • La durée de vie du cookie est limitée à 13 mois et les données collectées à 25 mois.

Matomo (anciennement Piwik) en configuration conforme et AT Internet (désormais Piano Analytics) sont les principaux outils reconnus comme compatibles avec cette exemption. Google Analytics n’est pas exempté dans sa configuration standard car les données sont transmises à Google et potentiellement croisées.

Audits CNIL : méthodologie de contrôle

La CNIL réalise régulièrement des campagnes d’audit ciblées sur les cookies. Sa méthodologie est désormais bien documentée.

Contrôle en ligne. La CNIL utilise des outils automatisés pour scanner les sites web et détecter les cookies déposés avant consentement. Un robot simule la visite d’un utilisateur, vérifie si des cookies non essentiels sont déposés au chargement, analyse la bannière et teste le parcours de refus.

Campagne 2021. La CNIL a contrôlé environ 100 sites web sur la conformité de leurs bannières cookies, entraînant des mises en demeure et sanctions.

Campagne 2024-2025 : applications mobiles. La CNIL a étendu ses audits aux SDK et traceurs intégrés dans les applications mobiles. Les développeurs d’applications doivent désormais auditer chaque SDK tiers pour vérifier qu’il ne dépose pas de traceurs sans consentement.

Recommandations post-audit. Suite à ses contrôles, la CNIL a publié en 2023 une recommandation actualisée (délibération n° 2023-010) précisant que les “cookie walls” conditionnant l’accès au contenu à l’acceptation des cookies sont contraires au RGPD, sauf si une alternative payante est proposée.

Mise en conformité technique : checklist

Pour mettre en conformité vos cookies et traceurs, voici les actions prioritaires.

  1. Audit des cookies. Identifiez tous les cookies et traceurs déposés par votre site (outils : Cookiebot, Axeptio, audit réseau Chrome DevTools). Classez-les par catégorie (nécessaire, analytics, publicité, réseaux sociaux).

  2. Blocage préalable. Configurez votre CMP (Consent Management Platform) pour bloquer tous les scripts non essentiels avant consentement. Testez avec un navigateur en mode incognito.

  3. Bannière conforme. Premier niveau : information concise + “Tout accepter” + “Tout refuser” + “Paramétrer”. Deuxième niveau : paramétrage par catégorie avec description des finalités.

  4. Preuve de consentement. Conservez la preuve du choix de l’utilisateur (horodatage, identifiant anonyme, version de la bannière). La CNIL peut demander cette preuve lors d’un contrôle.

  5. Durée de vie. Limitez la durée de vie des cookies à 13 mois maximum. Re-sollicitez le consentement à intervalles réguliers (la CNIL recommande 6 mois).

  6. Politique cookies. Documentez dans votre politique de confidentialité la liste des cookies utilisés, leurs finalités, leur durée de vie et les tiers destinataires.

FAQ

Google Analytics est-il conforme au RGPD sans consentement ?

Non. Google Analytics dans sa configuration standard n’est pas exempté de consentement. Les données sont transmises à Google et potentiellement croisées avec d’autres services Google. La CNIL a explicitement exclu Google Analytics de la liste des outils exemptés. L’utilisation de Google Analytics nécessite le consentement préalable de l’utilisateur. Des alternatives comme Matomo en configuration CNIL ou Piano Analytics peuvent être exemptées sous conditions.

Que risque-t-on en cas de non-conformité des cookies ?

Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En pratique, les amendes CNIL pour les cookies ont atteint 150 millions (Google), 60 millions (Meta, Microsoft) et 35 millions (Amazon). Les PME s’exposent à des sanctions de quelques milliers à dizaines de milliers d’euros via la procédure simplifiée. La publicité de la décision constitue un préjudice réputationnel supplémentaire.

Un “cookie wall” est-il autorisé ?

Le “cookie wall” conditionne l’accès au contenu à l’acceptation des cookies. La CNIL et le Conseil d’État (CE, 19 juin 2020, n° 434684) considèrent qu’un cookie wall strict n’est pas conforme car le consentement n’est pas libre. Cependant, un cookie wall proposant une alternative payante raisonnable (accès sans cookies moyennant un abonnement) peut être admis sous conditions strictes, non encore pleinement définies par la jurisprudence.

Comment prouver le consentement cookies en cas de contrôle CNIL ?

La preuve du consentement doit inclure : l’identifiant de l’utilisateur (anonyme), la date et l’heure du choix, la version de la bannière affichée, les catégories acceptées ou refusées. Les CMP professionnelles (Axeptio, Didomi, OneTrust, Cookiebot) génèrent automatiquement ces preuves. La CNIL recommande de les conserver pendant la durée de vie des cookies concernés, soit 13 mois maximum.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →