Données personnelles

Modèle de politique cookies 2026 : règles CNIL, consentement + template complet

Modèle de politique cookies conforme CNIL 2026 : article 82 LIL, consentement, durées de conservation, tableau des traceurs et template complet à adapter.

Aussi disponible en :Italiano·Português·Nederlands·Deutsch·Español

La politique cookies est le document qui décrit les traceurs déposés par votre site, leurs finalités, leurs durées et les moyens de les refuser. Elle est exigée par la combinaison de l’article 82 de la loi Informatique et Libertés (transposant l’article 5(3) de la directive ePrivacy 2002/58/CE) et des obligations de transparence du RGPD. La CNIL en a fait un axe majeur de sanction : Google a écopé de 150 millions d’euros et Facebook de 60 millions d’euros (délibérations SAN-2021-023 et SAN-2021-024 du 31 décembre 2021) pour des mécanismes de refus plus complexes que l’acceptation — après les 100 millions d’euros de Google et 35 millions d’Amazon en décembre 2020.

Voici un modèle complet de politique cookies, puis les règles d’or issues des lignes directrices et de la recommandation CNIL du 17 septembre 2020 (délibérations n° 2020-091 et 2020-092). Pour le volet bandeau/CMP, voir notre guide du bandeau cookies conforme CNIL.

Les règles CNIL à connaître avant de rédiger

  • Consentement préalable pour tous les traceurs non strictement nécessaires (publicité, mesure d’audience non exemptée, réseaux sociaux, personnalisation).
  • Refuser doit être aussi simple qu’accepter : bouton « Tout refuser » au même niveau que « Tout accepter » (voir les règles d’opt-in et opt-out).
  • Exemptions : traceurs strictement nécessaires (panier, session, équilibrage de charge, choix de consentement) et mesure d’audience exemptée dans les conditions strictes de l’article 82 (statistiques anonymes, pas de recoupement).
  • Durées : durée de vie du cookie de consentement et validité du choix recommandées à 6 mois ; durée de vie des traceurs limitée à 13 mois maximum pour les cookies de mesure d’audience, données conservées 25 mois maximum.
  • Preuve : le responsable doit pouvoir démontrer le consentement à tout moment (article 7(1) RGPD).

Modèle complet de politique cookies

POLITIQUE COOKIES — [Société / Site] Dernière mise à jour : [date]

1. Qu’est-ce qu’un cookie ? Un cookie est un petit fichier déposé sur votre terminal (ordinateur, mobile) lors de la consultation du site [exemple.fr]. La présente politique couvre les cookies et toute technologie de traçage équivalente (pixels, local storage, SDK), ci-après les « traceurs ».

2. Qui dépose des traceurs sur ce site ? Les traceurs sont déposés par [Société], éditrice du site, et par des tiers listés à l’article 4 (ex. : régies publicitaires, outils de mesure d’audience, réseaux sociaux). Lorsque des tiers déposent des traceurs soumis à consentement, ils agissent en qualité de [responsables distincts / responsables conjoints] de traitement.

3. Traceurs exemptés de consentement Ces traceurs, strictement nécessaires au fonctionnement du site, ne peuvent pas être désactivés :

Nom Finalité Durée
session_id Maintien de la session Session
cart Panier d’achat 7 jours
consent_choices Mémorisation de vos choix de consentement 6 mois
lb_route Équilibrage de charge Session

4. Traceurs soumis à votre consentement Ces traceurs ne sont déposés que si vous les acceptez via notre module de gestion du consentement :

Catégorie Nom / fournisseur Finalité Durée Politique du tiers
Mesure d’audience [_ga / Google Analytics] Statistiques de fréquentation 13 mois [lien]
Publicité [ads_id / régie] Publicité personnalisée, plafonnement 13 mois [lien]
Réseaux sociaux [pixel Meta] Partage, mesure des campagnes 13 mois [lien]
Personnalisation [prefs] Mémorisation de vos préférences 6 mois [lien]

5. Comment exercer vos choix ? Vous pouvez accepter, refuser ou paramétrer les traceurs :

  • lors de votre première visite, via le bandeau de consentement (les boutons « Tout accepter » et « Tout refuser » sont présentés au même niveau) ;
  • à tout moment, via le lien « Gérer mes cookies » présent en bas de chaque page ;
  • via les paramètres de votre navigateur (la suppression des cookies peut altérer certaines fonctionnalités). La poursuite de la navigation sans choix ne vaut pas consentement : en l’absence de choix, seuls les traceurs exemptés sont déposés. Votre choix (acceptation ou refus) est conservé [6 mois], après quoi il vous sera à nouveau demandé.

6. Données personnelles associées Les données collectées via les traceurs soumis à consentement sont traitées sur la base de votre consentement (article 6(1)(a) RGPD et article 82 de la loi Informatique et Libertés). Certains partenaires peuvent transférer des données hors de l’Union européenne ; ces transferts sont encadrés par les garanties décrites dans notre Politique de confidentialité. Vous disposez des droits d’accès, de rectification, d’effacement, d’opposition et de retrait du consentement, exerçables auprès de [dpo@exemple.fr]. Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Mise à jour La liste des traceurs est revue [trimestriellement]. Toute évolution substantielle donne lieu à un recueil de consentement actualisé.

Comment adapter ce modèle

Auditez les traceurs réellement déposés. Utilisez les outils développeur du navigateur ou un scanner de cookies, en navigant connecté et non connecté : la politique doit refléter la réalité technique, pas la documentation marketing de vos prestataires. Un tableau faux est pire qu’un tableau absent — c’est une information trompeuse.

Classez correctement la mesure d’audience. Google Analytics en configuration standard n’est pas exempté de consentement. Seuls les outils configurés selon l’exemption CNIL (statistiques anonymes, pas de recoupement ni de suivi cross-site) peuvent basculer dans le tableau des exemptés.

Synchronisez la politique avec la CMP. Les catégories du bandeau, celles de la politique et celles réellement câblées techniquement doivent correspondre. Le consentement recueilli pour la « mesure d’audience » ne couvre pas la publicité. Conservez la preuve des consentements (horodatage, version du bandeau).

Documentez le traitement. Les traceurs alimentent des traitements qui doivent figurer dans votre registre des traitements, avec base légale et durées — Legiscope permet de documenter ces traitements et de garder politique et registre alignés. Sur le cadre général, voir notre guide cookies et traceurs RGPD.

Erreurs courantes

  • Bouton « Continuer sans accepter » caché ou refus en deux clics quand l’acceptation en demande un : c’est précisément le grief des sanctions Google et Facebook de décembre 2021.
  • Cookie walls non justifiés : la CNIL admet certains murs de traceurs sous conditions strictes (alternative réelle, tarif raisonnable) ; un blocage pur et simple sans alternative reste risqué.
  • Redemander le consentement à chaque visite après un refus : le refus doit être mémorisé pendant la même durée que l’acceptation (6 mois recommandés).
  • Traceurs déposés avant le choix : testez techniquement ; c’est la première vérification de la CNIL en contrôle en ligne.
  • Politique orpheline : politique cookies sans lien vers la politique de confidentialité, sans contact DPO, sans mention du droit de réclamation.

FAQ

La politique cookies est-elle obligatoire en plus du bandeau ?

Oui, fonctionnellement : le bandeau fournit l’information de premier niveau, mais le consentement n’est éclairé que si une information complète (finalités détaillées, durées, identité des tiers, retrait) est accessible — c’est le rôle de la politique cookies, exigée par les lignes directrices CNIL 2020-091.

Quelle durée de validité pour le consentement cookies ?

La CNIL recommande 6 mois, pour l’acceptation comme pour le refus. Au-delà, redemandez le choix. La durée de vie des cookies de mesure d’audience est plafonnée à 13 mois, et les données collectées à 25 mois.

Les cookies « strictement nécessaires » nécessitent-ils une information ?

Ils sont dispensés de consentement, pas d’information : ils doivent figurer dans la politique cookies avec leur finalité et leur durée. C’est le sens de l’article 82 de la loi Informatique et Libertés.

Que risque un site non conforme ?

L’article 83 du RGPD ne s’applique pas directement (le fondement est l’article 82 LIL), mais la CNIL peut prononcer des amendes sur le fondement de l’article 20 de la LIL — les montants réels parlent d’eux-mêmes : 150 M€ (Google), 60 M€ (Facebook), 100 M€ (Google, 2020), 35 M€ (Amazon, 2020). Les contrôles en ligne ne nécessitent aucun déplacement : n’importe quel site français peut être vérifié en quelques minutes.

Conclusion

Une politique cookies conforme repose sur trois piliers : un inventaire technique exact des traceurs, un tableau clair (nom, finalité, durée, tiers) séparant exemptés et soumis à consentement, et un mécanisme de choix symétrique accessible en permanence. Le modèle ci-dessus fournit la structure ; l’audit technique de vos traceurs fait le reste. Compte tenu des montants de sanctions dans ce domaine, c’est l’un des chantiers de conformité au meilleur ratio effort/risque.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →