Cookies RGPD 2026 : bandeau conforme + checklist
Mettez votre site en conformité cookies : consentement, bandeau CNIL, règle des 13 mois, sanctions. Guide RGPD/ePrivacy 2026 avec checklist et modèle.
- Le cadre juridique applicable aux cookies
- Cookies soumis au consentement et cookies exemptés
- Les recommandations CNIL applicables
- Le bandeau cookies : exigences de conformité
- Durée de conservation des cookies et de la preuve
- Les sanctions : un risque financier majeur
- Choisir sa plateforme de gestion du consentement (CMP)
- Checklist de mise en conformité cookies
- Le cas particulier de la mesure d’audience et de Google Analytics
- L’avenir : le règlement ePrivacy toujours en attente
- FAQ
L’essentiel. Un cookie non essentiel (publicité, mesure d’audience non exemptée, réseaux sociaux) ne peut être déposé qu’après le consentement libre, éclairé, univoque et granulaire de l’internaute. Le bandeau doit offrir un bouton « Tout refuser » aussi accessible que « Tout accepter », ne déposer aucun traceur avant le clic, et conserver la preuve du choix. La durée de vie recommandée est de 13 mois. Les manquements se paient cher : la CNIL a prononcé jusqu’à 150 millions d’euros contre un seul acteur.
La gestion des cookies est l’un des points de conformité les plus visibles — et les plus contrôlés — pour toute organisation qui exploite un site web ou une application mobile. Deux textes se superposent : la directive ePrivacy, qui encadre l’accès au terminal de l’internaute, et le RGPD, qui régit le traitement des données collectées ensuite. Les sanctions prononcées par la CNIL ces dernières années — 150 millions d’euros contre Google, 60 millions contre Meta et Microsoft, 40 millions contre Criteo — témoignent d’un contrôle qui ne faiblit pas.
Ce guide, à jour de 2026, détaille le cadre juridique, les obligations pratiques du bandeau, la règle des 13 mois, le régime des sanctions et une checklist opérationnelle de mise en conformité, avec un modèle de structure de bandeau à adapter.
Le cadre juridique applicable aux cookies
La directive ePrivacy et l’article 82 de la loi Informatique et Libertés
Les cookies sont régis en premier lieu par la directive 2002/58/CE dite « directive ePrivacy », modifiée par la directive 2009/136/CE. En droit français, elle est transposée à l’article 82 de la loi Informatique et Libertés du 6 janvier 1978.
Le principe est clair : toute action tendant à accéder à des informations déjà stockées dans le terminal d’un utilisateur, ou à inscrire des informations dans ce terminal, suppose le consentement préalable de l’utilisateur, après une information claire et complète. Le texte vise les opérations de lecture et d’écriture sur le terminal : il s’applique donc aux cookies, mais aussi aux pixels de tracking, au fingerprinting, au local storage et à toute technologie équivalente.
L’articulation avec le RGPD
Le RGPD intervient dès lors que les cookies permettent de collecter des données personnelles — ce qui est le cas dans l’immense majorité des situations, un identifiant unique stocké dans un cookie étant une donnée personnelle.
L’articulation entre les deux textes est la suivante :
- La directive ePrivacy régit l’accès au terminal (dépôt et lecture de cookies). Elle impose le consentement comme principe, avec des exceptions limitées.
- Le RGPD régit le traitement des données collectées via ces cookies : il impose une base légale au sens de l’article 6, les obligations de transparence (articles 13-14) et le respect des droits des personnes.
En pratique, un cookie de mesure d’audience qui collecte des données personnelles doit satisfaire aux exigences des deux textes simultanément.
Cookies soumis au consentement et cookies exemptés
Les cookies exemptés de consentement
L’article 82 de la loi Informatique et Libertés prévoit une exemption pour les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. La CNIL a précisé les catégories suivantes :
- les cookies d’authentification identifiant l’utilisateur connecté ;
- les cookies de panier d’achat sur un site de commerce électronique ;
- les cookies de personnalisation de l’interface (langue, présentation) ;
- les cookies de session nécessaires au fonctionnement technique ;
- les cookies de répartition de charge (load balancing) ;
- certains cookies de mesure d’audience, sous conditions strictes.
Sur ce dernier point, un cookie de mesure d’audience n’est exempté que si : le traitement se limite à des statistiques anonymes, les données ne sont pas croisées avec d’autres traitements, le périmètre reste limité au site de l’éditeur, et la durée de vie du cookie ne dépasse pas 13 mois.
Les cookies nécessitant un consentement
Tous les autres cookies nécessitent le recueil du consentement préalable :
- les cookies publicitaires et de retargeting ;
- les cookies de réseaux sociaux (boutons de partage, widgets) ;
- les cookies de mesure d’audience non exemptés ;
- les cookies de personnalisation fondés sur le profilage ;
- les cookies de tracking cross-site ;
- les cookies tiers (partenaires publicitaires, régies).
Les recommandations CNIL applicables
Lignes directrices et recommandation « cookies »
La CNIL a adopté le 17 septembre 2020 des lignes directrices modificatives (délibération n° 2020-091) ainsi qu’une recommandation pratique (délibération n° 2020-092), applicables depuis le 31 mars 2021. Ces textes constituent la référence en matière de conformité cookies en France, et n’ont pas été remis en cause depuis.
Les quatre qualités du consentement
Libre. L’utilisateur ne doit subir aucun préjudice en cas de refus. Les « cookie walls » — qui bloquent l’accès au contenu en cas de refus — ne sont pas interdits par principe mais doivent s’apprécier au cas par cas ; le Conseil d’État a validé cette approche nuancée. En pratique, la CNIL recommande de proposer des alternatives (abonnement payant, version dégradée) plutôt qu’un cookie wall pur.
Éclairé. L’utilisateur doit recevoir une information claire et compréhensible sur la finalité de chaque catégorie de cookies avant de donner son consentement : identité du ou des responsables de traitement, finalités, moyens de refuser ou de retirer son choix.
Univoque. Les cases pré-cochées sont interdites. La poursuite de la navigation ne vaut pas consentement. Un acte positif clair est exigé (clic sur « Accepter »). Cette logique d’opt-in est la même que celle qui gouverne la prospection commerciale et se lit à la lumière de la distinction opt-in / opt-out.
Granulaire. L’utilisateur doit pouvoir accepter ou refuser finalité par finalité. Un bouton « Tout accepter » est autorisé, mais il doit être accompagné d’un bouton « Tout refuser » placé au même niveau et avec la même visibilité. Un second niveau de paramétrage doit permettre le choix finalité par finalité.
Le bandeau cookies : exigences de conformité
Les éléments obligatoires du premier niveau
Le bandeau (premier niveau d’information) doit contenir au minimum :
- l’identité du ou des responsables de traitement ;
- la liste des finalités des cookies, rédigée clairement ;
- un bouton « Tout accepter » et un bouton « Tout refuser » équivalents en présentation ;
- un accès au paramétrage fin (second niveau) ;
- l’information sur la possibilité de retirer son consentement à tout moment.
Le second niveau de paramétrage
Le second niveau doit permettre un choix granulaire, avec pour chaque catégorie : une description de la finalité, la liste (ou un lien vers la liste) des cookies concernés, l’identité des tiers déposant des cookies, et un mécanisme d’activation/désactivation par finalité.
Modèle de structure de bandeau cookies
Trame de premier niveau à adapter à votre charte graphique et à votre écosystème de traceurs.
[Titre] — « Nous utilisons des cookies » [Corps] — « [Nom de l’éditeur] et ses partenaires déposent des cookies pour [finalités : mesure d’audience, publicité personnalisée, contenus de réseaux sociaux]. Vous pouvez accepter, refuser ou personnaliser vos choix. Vous pourrez les modifier à tout moment via le lien “Gérer mes cookies” en pied de page. » [Boutons de même niveau] — [ Tout accepter ] [ Tout refuser ] [ Personnaliser ] [Lien] — « En savoir plus : politique de cookies ».
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — mise à jour le 10 juillet 2026.
Erreurs fréquentes à éviter
- recourir à des dark patterns rendant « Refuser » moins visible que « Accepter » ;
- placer « Refuser » dans un sous-menu alors qu’« Accepter » est au premier niveau ;
- utiliser des couleurs contrastées incitant à l’acceptation ;
- déposer des cookies avant le recueil du consentement ;
- ne pas renouveler la demande de consentement dans les délais.
Durée de conservation des cookies et de la preuve
La règle des 13 mois
La CNIL recommande que la durée de vie des cookies ne dépasse pas 13 mois après leur premier dépôt, sans prolongation automatique lors des visites suivantes. À l’expiration, le consentement doit être recueilli à nouveau.
La conservation de la preuve du consentement
Le responsable de traitement doit pouvoir démontrer à tout moment que le consentement a été valablement recueilli. Il faut donc conserver la date et l’heure du consentement, les choix effectués (finalité par finalité), la version du bandeau présentée, et l’identifiant du cookie de consentement. Une conservation de l’ordre de 13 mois, cohérente avec la durée de vie des cookies, est recommandée. Sur la logique probatoire du consentement, voyez le modèle de recueil du consentement RGPD.
Les sanctions : un risque financier majeur
La CNIL a prononcé plusieurs sanctions marquantes en matière de cookies. Les montants et griefs ci-dessous illustrent les manquements les plus lourdement réprimés.
| Organisme | Sanction | Grief principal |
|---|---|---|
| Google (déc. 2021) | 150 M€ | Absence de mécanisme de refus aussi simple que l’acceptation |
| Meta / Facebook (déc. 2021) | 60 M€ | Pas de bouton « Refuser » au premier niveau |
| Microsoft (déc. 2022) | 60 M€ | Cookies publicitaires déposés sur Bing sans consentement |
| Amazon (déc. 2020) | 35 M€ | Cookies déposés sans consentement, information insuffisante |
| Criteo (juin 2023) | 40 M€ | Manquements liés au consentement (retargeting) |
| TikTok (janv. 2023) | 5 M€ | Refus des cookies non aussi simple que l’acceptation |
Le grief récurrent est clair : l’absence de symétrie entre l’acceptation et le refus. Pour apprécier la sanction, la CNIL tient compte de la gravité, du nombre de personnes concernées, de la durée, du caractère intentionnel ou négligent, des mesures correctives et du chiffre d’affaires. Le plafond des amendes est aligné sur celui de la loi Informatique et Libertés et du RGPD ; en valeur absolue, il autorise, comme le montre le tableau, des montants de plusieurs dizaines à plusieurs centaines de millions d’euros. Pour le panorama complet, voyez les sanctions RGPD à connaître.
Choisir sa plateforme de gestion du consentement (CMP)
Le recours à une CMP (Consent Management Platform) est devenu indispensable pour gérer la conformité cookies à l’échelle. Les critères à évaluer :
Critères fonctionnels
- compatibilité TCF v2.2 (Transparency and Consent Framework de l’IAB Europe) ;
- granularité du consentement (par finalité et par fournisseur) ;
- blocage des scripts avant consentement : la CMP doit empêcher le chargement des cookies non essentiels avant le recueil du choix ;
- gestion multi-langues et multi-sites ;
- tableau de bord de reporting (taux de consentement) ;
- intégration Google Consent Mode v2.
Critères de conformité
- respect des recommandations CNIL (boutons équipollents, absence de dark patterns) ;
- conservation de la preuve du consentement ;
- scan automatique des cookies pour détecter les traceurs non déclarés ;
- mise à jour automatique de la liste des cookies.
Parmi les solutions répandues (état du marché constaté en juillet 2026) : Didomi, Axeptio, Cookiebot (Usercentrics), OneTrust, et Tarteaucitron (open source). Chacune présente des arbitrages en termes de coût, de facilité d’implémentation et de couverture fonctionnelle.
Checklist de mise en conformité cookies
- Auditer l’ensemble des cookies déposés : finalité, durée de vie, tiers. Un audit RGPD global situe la conformité cookies dans le cadre plus large de vos obligations.
- Classifier les cookies : strictement nécessaires, mesure d’audience, publicitaires, réseaux sociaux, personnalisation.
- Déployer une CMP conforme : boutons équipollents, paramétrage granulaire, blocage des scripts avant consentement.
- Rédiger une politique cookies détaillée, accessible depuis le bandeau et le site (liste des cookies, finalités, tiers, durées).
- Bloquer les scripts non essentiels tant que le consentement n’est pas recueilli. Aucun cookie non exempté avant un acte positif.
- Vérifier la durée de vie : 13 mois maximum, renouvellement du consentement à l’expiration.
- Tester régulièrement le bandeau, le blocage effectif et la cohérence entre les choix et les cookies réellement déposés.
- Documenter : preuves de consentement, versions du bandeau, audits.
- Former les équipes marketing, en particulier avant toute intégration d’un service tiers (pixel, widget, A/B testing).
- Surveiller les évolutions réglementaires (voir ci-dessous le statut du règlement ePrivacy).
Le cas particulier de la mesure d’audience et de Google Analytics
Les outils de mesure d’audience méritent une attention spécifique. Un cookie analytique n’est exempté de consentement que s’il remplit les conditions strictes de la CNIL (statistiques anonymes, absence de croisement, périmètre limité, durée ≤ 13 mois). En configuration standard, les outils qui transmettent des données à un tiers pouvant les réutiliser pour ses propres finalités ne remplissent pas ces conditions : le consentement est alors requis. C’est notamment le cas des solutions grand public de mesure d’audience configurées par défaut. Une analyse au cas par cas de la base légale — consentement ou, très exceptionnellement, intérêt légitime pour une mesure strictement anonyme — reste indispensable.
L’avenir : le règlement ePrivacy toujours en attente
La directive ePrivacy devait être remplacée par un règlement ePrivacy, en discussion depuis 2017. À la date de juillet 2026, ce règlement n’a toujours pas été adopté : les négociations entre le Conseil, le Parlement et la Commission restent bloquées. Dans l’attente, c’est la directive de 2002 — transposée à l’article 82 de la loi Informatique et Libertés — qui continue de s’appliquer, complétée par les recommandations de la CNIL. La veille reste donc de mise, mais aucun bouleversement du cadre n’est intervenu à ce jour.
Le suivi de la conformité cookies s’inscrit dans une conformité RGPD plus large (registre, durées, sécurité) : un logiciel RGPD permet d’industrialiser la documentation de cette conformité et d’en tracer les preuves. Pour les sites marchands, la conformité cookies se combine avec les autres obligations du RGPD e-commerce.
FAQ
Est-il obligatoire d’afficher un bandeau cookies sur son site web ?
Oui, dès lors que votre site dépose des cookies non strictement nécessaires (publicité, analytics non exemptée, réseaux sociaux). Vous devez recueillir le consentement préalable via un bandeau conforme proposant un bouton « Tout accepter » et un bouton « Tout refuser » placés au même niveau. Un audit RGPD permet de vérifier la conformité de votre bandeau.
Quels cookies sont exemptés de consentement ?
Les cookies strictement nécessaires au fonctionnement du site : authentification, panier d’achat, session, répartition de charge, personnalisation de l’interface. Certains cookies de mesure d’audience peuvent aussi être exemptés, mais uniquement sous conditions strictes (statistiques anonymes, pas de croisement de données, durée de vie ≤ 13 mois).
Google Analytics nécessite-t-il le consentement cookies ?
Oui, dans la très grande majorité des cas, y compris en version GA4. En configuration standard, l’outil ne remplit pas les conditions d’exemption de la CNIL, car des données peuvent être transmises à un tiers susceptible de les réutiliser pour ses propres finalités. Le consentement préalable est alors requis avant tout dépôt.
Quelle est la durée maximale de vie d’un cookie ?
La CNIL recommande une durée maximale de 13 mois, sans prolongation automatique lors des nouvelles visites. À l’expiration, le consentement doit être recueilli à nouveau. La preuve du consentement doit être conservée pendant une durée cohérente, de l’ordre de 13 mois également.
L’utilisateur peut-il refuser tous les cookies aussi facilement qu’il les accepte ?
Oui, et c’est même l’obligation la plus contrôlée. Le bouton « Tout refuser » doit être aussi accessible et visible que « Tout accepter », dès le premier niveau du bandeau. L’absence de mécanisme de refus symétrique est le grief à l’origine des plus lourdes sanctions (150 M€ contre Google, 60 M€ contre Meta et Microsoft).
Quelles sanctions pour un bandeau cookies non conforme ?
Les sanctions sont significatives et publiques : jusqu’à 150 millions d’euros contre Google, 60 millions contre Meta et Microsoft, 40 millions contre Criteo. Le motif dominant est l’absence de mécanisme de refus équivalent au mécanisme d’acceptation, souvent aggravé par le recours à des dark patterns. Le panorama des sanctions RGPD donne d’autres repères.
Vous voulez fiabiliser votre bandeau cookies et suivre les décisions de la CNIL ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les sanctions et les évolutions réglementaires qui touchent directement les responsables marketing et les DPO. C’est la veille que je menais pour mes clients pendant 20 ans, désormais ouverte à tous.