Cookies et RGPD : guide complet de mise en conformité

La gestion des cookies constitue l’un des enjeux majeurs de la conformité numérique pour toute organisation qui exploite un site web ou une application mobile. Entre le Règlement Général sur la Protection des Données (RGPD) et la directive ePrivacy, le cadre juridique applicable est à la fois dense et en constante évolution. Les sanctions prononcées par la CNIL ces dernières années – 150 millions d’euros pour Google, 35 millions pour Amazon, 40 millions pour Criteo – témoignent de la sévérité croissante des autorités de contrôle en la matière.

Ce guide a pour objectif de vous fournir une analyse complète du cadre légal, des obligations pratiques et des bonnes pratiques à mettre en oeuvre pour assurer la conformité de votre politique de cookies.

Le cadre juridique applicable aux cookies

La directive ePrivacy et sa transposition en droit français

Les cookies sont régis en premier lieu par la directive 2002/58/CE dite “directive ePrivacy”, modifiée par la directive 2009/136/CE. En droit français, cette directive a été transposée à l’article 82 de la loi Informatique et Libertés du 6 janvier 1978.

Le principe est clair : toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal d’un utilisateur, ou a inscrire des informations dans cet équipement, ne peut être effectuée qu’à condition que l’utilisateur ait exprimé son consentement préalable, après avoir reçu une information claire et complète.

Ce texte visé spécifiquement les opérations de lecture et d’écriture sur le terminal de l’utilisateur. Il s’applique donc aux cookies, mais également aux pixels de tracking, au fingerprinting, au local storage et à toute technologie équivalente.

L’articulation avec le RGPD

Le RGPD intervient dès lors que les cookies permettent de collecter des données à caractère personnel – ce qui est le cas dans l’immense majorité des situations. Un identifiant unique stocke dans un cookie constitue une donnée personnelle au sens de l’article 4 du RGPD.

L’articulation entre les deux textes est la suivante :

• La directive ePrivacy régit l’accès au terminal de l’utilisateur (dépôt et lecture de cookies). Elle impose le consentement comme principe, avec des exceptions limitées.
• Le RGPD régit le traitement subsequent des données collectées via ces cookies. Il impose le respect d’une base légale (article 6), les obligations de transparence (articles 13-14), les droits des personnes concernées, etc.

En pratique, un cookie de mesure d’audience qui collecté des données personnelles doit satisfaire aux exigences des deux textes simultanément.

Cookies nécessitant un consentement et cookies exemptes

Les cookies exemptes de consentement

L’article 82 de la loi Informatique et Libertés prévoit une exemption pour les cookies strictement nécessaires à la fourniture d’un service expressément demande par l’utilisateur. La CNIL a précisé les catégories suivantes comme exemptées :

• Les cookies d’authentification utilisés pour identifier l’utilisateur connecté à un service
• Les cookies de panier d’achat sur un site de commerce électronique
• Les cookies de personnalisation de l’interface (choix de langue, présentation)
• Les cookies de session nécessaires au fonctionnement technique du site
• Les cookies de load balancing permettant de répartir la charge serveur
• Certains cookies de mesure d’audience, sous conditions très strictes définies par la CNIL

Concernant ce dernier point, la CNIL a publié des lignes directrices précisant qu’un cookie de mesure d’audience peut être exempt de consentement uniquement si : le traitement est limité à la production de statistiques anonymes, les données ne sont pas croisées avec d’autres traitements, le périmètre est limité au site ou à l’application de l’éditeur, et la durée de vie du cookie ne dépasse pas 13 mois.

Les cookies nécessitant un consentement

Tous les autres cookies nécessitent le recueil du consentement préalable de l’utilisateur. Cela inclut notamment :

• Les cookies publicitaires et de retargeting
• Les cookies de réseaux sociaux (boutons de partagé, widgets)
• Les cookies de mesure d’audience non exemptes
• Les cookies de personnalisation de contenu bases sur le profilage
• Les cookies de tracking cross-site
• Les cookies déposés par des tiers (partenaires publicitaires, régies)

Les recommandations CNIL de 2020 actualisées

Les lignes directrices et la recommandation du 1er octobre 2020

La CNIL a adopté le 17 septembre 2020 des lignes directrices modificatives (délibération n 2020-091) ainsi qu’une recommandation pratique (délibération n 2020-092) le 1er octobre 2020, entrées en application le 31 mars 2021. Ces textes constituent aujourd’hui la référence en matière de conformité cookies en France.

Les principes fondamentaux

Le consentement doit être libre. L’utilisateur ne doit subir aucun préjudice en cas de refus. Les “cookie walls” – qui bloquent l’accès au contenu en cas de refus des cookies – ont fait l’objet d’une position nuancée de la CNIL. Celle-ci considéré que le cookie wall n’est pas par principe interdit, mais qu’il doit être analyse au cas par cas. Le Conseil d’État a confirmé cette approche. Néanmoins, en pratique, la CNIL recommandé d’éviter les cookie walls purs et de proposer des alternatives (abonnement payant, version dégradée du service).

Le consentement doit être éclairé. L’utilisateur doit recevoir une information claire, complète et compréhensible sur la finalité de chaque catégorie de cookies avant de donner son consentement. Cette information doit indiquer l’identité du ou des responsables de traitement, la finalité des opérations de lecture/écriture, et les moyens de refuser ou de retirer son consentement.

Le consentement doit être univoque. Les cases pré-cochées sont formellement interdites. La poursuite de la navigation ne vaut pas consentement. L’utilisateur doit effectuer un acte positif clair (clic sur un bouton “Accepter”, par exemple).

Le consentement doit être granulaire. L’utilisateur doit pouvoir accepter ou refuser les cookies finalité par finalité. Un bouton “Tout accepter” est autorisé, mais il doit être accompagné d’un bouton “Tout refuser” place au même niveau et avec la même visibilité. L’utilisateur doit également pouvoir accéder à un second niveau de paramétrage permettant un choix finalité par finalité.

Le bandeau cookies : exigences de conformité

Les éléments obligatoires du premier niveau

Le bandeau cookies (premier niveau d’information) doit contenir au minimum :

1. L’identité du ou des responsables de traitement
2. La listé des finalités des cookies déposés, rédigée de manière claire et compréhensible
3. Un bouton “Tout accepter” et un bouton “Tout refuser” places au même niveau et avec une présentation équivalente
4. Un lien ou bouton permettant d’accéder au paramétrage fin (second niveau)
5. L’information sur la possibilité de retirer son consentement à tout moment

Le second niveau de paramétrage

Le second niveau doit permettre à l’utilisateur d’exercer un choix granulaire, finalité par finalité. Il est recommandé de présenter les différentes catégories de cookies de manière claire, avec pour chacune :

• Une description de la finalité
• La listé des cookies concernés (ou un lien vers cette liste)
• L’identité des tiers déposant des cookies
• Un mécanisme d’activation/désactivation pour chaque finalité

Erreurs fréquentes à éviter

• Utiliser un design trompeur (dark patterns) rendant le bouton “Refuser” moins visible
• Placer le bouton “Refuser” dans un sous-menu alors que “Accepter” est au premier niveau
• Utiliser des couleurs contrastées pour inciter à l’acceptation
• Déposer des cookies avant le recueil du consentement
• Ne pas renouveler la demande de consentement dans les délais requis

Durée de conservation des cookies et du consentement

La règle des 13 mois

La CNIL recommandé que la durée de vie des cookies ne dépasse pas 13 mois après leur premier dépôt dans le terminal de l’utilisateur. Cette durée ne doit pas être prolongée automatiquement lors de nouvelles visites. À l’expiration de ce délai, le consentement doit être recueilli à nouveau.

La conservation de la preuve du consentement

Le responsable de traitement doit être en mesure de démontrer à tout moment que le consentement a été valablement recueilli. Cela implique de conserver :

• La date et l’heure du consentement
• Les choix effectués par l’utilisateur (acceptation ou refus, pour chaque finalité)
• La version du bandeau cookies présentée à l’utilisateur
• L’identifiant de l’utilisateur (cookie de consentement)

La durée de conservation de cette preuve doit être cohérente avec la durée de vie des cookies. En pratique, une conservation de 13 mois est recommandée.

Les sanctions : un risque financier majeur

Les décisions marquantes de la CNIL

La CNIL a prononcé plusieurs sanctions significatives en matière de cookies :

• Google LLC et Google Ireland : 150 millions d’euros (décembre 2021) pour défaut de mécanisme de refus équivalent au mécanisme d’acceptation des cookies
• Amazon Europe Core : 35 millions d’euros (décembre 2020) pour dépôt de cookies sans consentement préalable et information insuffisante
• Criteo : 40 millions d’euros (juin 2023) pour plusieurs manquements lies au consentement dans le cadre du retargeting publicitaire
• Microsoft Ireland : 60 millions d’euros (décembre 2022) pour dépôt de cookies publicitaires sans consentement sur le moteur de recherché Bing
• TikTok : 5 millions d’euros (décembre 2022) pour défaut de mécanisme de refus simple des cookies

Les critères d’appréciation de la sanction

La CNIL prend en compte plusieurs facteurs pour déterminer le montant de la sanction : la gravité du manquement, le nombre de personnes concernées, la durée de l’infraction, le caractère intentionnel ou négligent, les mesures correctives adoptées, et le chiffre d’affaires de l’organisme. Pour les manquements à l’article 82 de la loi Informatique et Libertés, la CNIL peut prononcer des amendes allant jusqu’à 2% du chiffre d’affaires annuel mondial.

Choisir sa plateforme de gestion du consentement (CMP)

Le recours à une CMP (Consent Management Platform) est devenu indispensable pour gérer la conformité cookies de manière efficace. Pour approfondir ce sujet, consultez notre guide complet sur les CMP et la gestion du consentement. Voici les principaux critères à évaluer :

Critères fonctionnels

• Compatibilité TCF v2.2 (Transparency and Consent Framework de l’IAB Europe)
• Granularité du consentement : possibilité de paramétrage par finalité et par fournisseur
• Blocage des scripts avant consentement : la CMP doit empêcher le chargement des cookies non essentiels avant le recueil du consentement
• Gestion multi-langues et multi-sites
• Tableau de bord de reporting avec taux de consentement
• Intégration Google Consent Mode v2 pour la compatibilité avec l’écosystème publicitaire Google

Critères de conformité

• Respect des recommandations CNIL (boutons équipollents, absence de dark patterns)
• Conservation de la preuve du consentement
• Scan automatique des cookies pour détecter les traçeurs non déclarés
• Mise à jour automatique de la liste des cookies

Solutions du marché

Parmi les solutions les plus répandues : Didomi, Axeptio, Cookiebot (Usercentrics), OneTrust, et Tarteaucitron (solution open source). Chaque solution présente des avantages et des inconvénients en termes de facilité d’implémentation, de coût, de couverture fonctionnelle et de conformité aux recommandations CNIL.

Checklist de mise en conformité cookies

Pour sécuriser votre conformité, voici les étapes essentielles à mettre en oeuvre :

1. Réaliser un audit complet des cookies déposés sur votre site. Identifiez chaque cookie, sa finalité, sa durée de vie et le tiers qui le déposé. Un audit RGPD global peut être pertinent pour situer la conformité cookies dans le cadre plus large de vos obligations.

2. Classifier les cookies en catégories : strictement nécessaires, mesure d’audience, publicitaires, réseaux sociaux, personnalisation.

3. Mettre en place une CMP conforme aux recommandations CNIL, avec boutons équipollents, paramétrage granulaire et blocage des scripts avant consentement.

4. Rédiger une politique cookies détaillée, accessible depuis le bandeau et depuis le site. Cette politique doit lister l’ensemble des cookies, leurs finalités, les tiers concernés et les durées de conservation.

5. Configurer le blocage des scripts non essentiels avant le recueil du consentement. Aucun cookie non exempt ne doit être déposé avant un acte positif de l’utilisateur.

6. Vérifier la durée de vie des cookies : 13 mois maximum. Renouveler la demande de consentement à l’expiration.

7. Tester régulièrement le bon fonctionnement du bandeau cookies, le blocage effectif des cookies et la cohérence entre les choix de l’utilisateur et les cookies effectivement déposés.

8. Documenter la conformité : conserver les preuves de consentement, les versions du bandeau, les audits réalisés.

9. Former les équipes marketing aux règles applicables, en particulier avant toute intégration d’un nouveau service tiers (pixel de tracking, widget social, outil d’A/B testing).

10. Surveiller les évolutions réglementaires : la directive ePrivacy fait l’objet d’un projet de règlement européen (le “règlement ePrivacy”) qui, lorsqu’il sera adopté, modifiera sensiblement le cadre applicable.

Le cas spécifique de Google Analytics

L’utilisation de Google Analytics et plus largement des outils de Google Tag Manager mérite une attention particulière en matière de conformité cookies. Depuis les décisions de la CNIL de 2022, le recours à cet outil a suscité de nombreuses interrogations. Les cookies déposés par Google Analytics sont des cookies de mesure d’audience qui nécessitent en principe le consentement de l’utilisateur, sauf configuration très spécifique répondant aux critères d’exemption de la CNIL – critères que Google Analytics ne remplit pas en configuration standard.

Conclusion

La conformité cookies n’est pas une option mais une obligation légale dont le non-respect expose à des sanctions financières considérables. L’articulation entre la directive ePrivacy et le RGPD impose une double vigilance : le respect du consentement pour l’accès au terminal d’une part, et le respect des obligations de protection des données pour les traitements associés d’autre part.

La mise en conformité nécessité une approche structurée, combinant audit technique, choix d’une CMP adaptée, configuration rigoureuse et surveillance continue. Des outils comme Legiscope peuvent faciliter le suivi global de votre conformité RGPD, dont la gestion des cookies est une composante essentielle.

Les organisations qui investissent dans une conformité cookies sérieuse y trouvent également un avantage compétitif : une relation de confiance renforcée avec les utilisateurs, une meilleure image de marque et une sécurité juridique face à un risque réglementaire qui ne cesse de s’intensifier.

FAQ

Est-il obligatoire d’afficher un bandeau cookies sur son site web ?

Oui, dès lors que votre site déposé des cookies non strictement nécessaires (cookies publicitaires, analytics, réseaux sociaux), vous devez recueillir le consentement préalable de l’utilisateur via un bandeau conforme. Ce bandeau doit proposer un bouton “Tout accepter” et un bouton “Tout refuser” places au même niveau. Un audit RGPD permet de vérifier la conformité de votre bandeau.

Quels cookies sont exemptes de consentement ?

Les cookies strictement nécessaires au fonctionnement du site sont exemptes : cookies d’authentification, de panier d’achat, de session, de load balancing et de personnalisation de l’interface. Certains cookies de mesure d’audience peuvent être exemptes sous conditions très strictes (pas de croisement de données, durée de 13 mois maximum, production de statistiques anonymes uniquement).

Google Analytics nécessité-t-il le consentement cookies ?

Oui, Google Analytics déposé des cookies qui nécessitent le consentement préalable de l’utilisateur, y compris dans sa version GA4. Google Analytics ne remplit pas les conditions d’exemption de la CNIL en configuration standard, car les données sont transmises a Google qui peut les utiliser pour ses propres finalités.

Quelle est la durée maximale de vie d’un cookie ?

La CNIL recommandé une durée maximale de 13 mois. À l’expiration de ce délai, le consentement doit être recueilli à nouveau. Cette durée ne doit pas être prolongée automatiquement lors de nouvelles visites. La preuve du consentement doit être conservée pendant la même durée.

Quelles sanctions pour un bandeau cookies non conforme ?

Les sanctions sont significatives : la CNIL a prononcé 150 millions d’euros contre Google, 60 millions contre Microsoft et 40 millions contre Criteo pour des manquements lies aux cookies. Le principal motif de sanction est l’absence de mécanisme de refus équivalent au mécanisme d’acceptation (dark patterns).