Les cookies sont l'un des premiers sujets abordés lors d'un audit RGPD — et l'une des sources les plus fréquentes de mise en demeure par la CNIL. Pourtant, les règles sont claires : un consentement valide, une bannière conforme, et vous êtes en règle. Voici comment y parvenir.
Les trois types de cookies
La première étape est de comprendre ce que vous déposez. Les cookies se divisent en trois grandes catégories selon leur finalité.
Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site. Ils ne nécessitent aucun consentement (Article 82 de la Loi Informatique et Libertés) :
- Session de connexion (maintien de l'authentification)
- Panier d'achat en e-commerce
- Mémorisation des préférences linguistiques
- Protection CSRF (tokens de sécurité)
- Équilibrage de charge serveur
Attention : "Strictement nécessaire" signifie que le service ne peut pas fonctionner sans ce cookie. Un cookie d'analytics n'entre jamais dans cette catégorie, même si vous le trouvez utile.
Cookies analytiques et de mesure d'audience
Ces cookies mesurent le trafic et le comportement des visiteurs. Ils requièrent un consentement explicite sauf si vous respectez strictement les conditions d'exemption CNIL :
- Anonymisation complète de l'IP
- Absence de partage des données avec des tiers
- Finalité limitée à la mesure d'audience
- Information claire dans la politique de confidentialité
Les solutions comme Matomo en mode anonymisé ou AT Internet peuvent bénéficier de cette exemption si elles sont correctement configurées. Google Analytics, dans sa version standard, n'est pas éligible à l'exemption.
Cookies marketing et de ciblage
Ces cookies servent à personnaliser les publicités et à suivre les utilisateurs sur plusieurs sites. Ils nécessitent toujours un consentement :
- Pixels de conversion (Facebook Pixel, Google Ads)
- Remarketing et retargeting
- Partage de données avec des régies publicitaires
- Cookies de réseaux sociaux (boutons de partage avec suivi)
Les critères CNIL pour un consentement valide
La CNIL a précisé ses exigences dans ses lignes directrices de 2020. Un consentement est valide uniquement s'il est :
Libre : L'accès au service ne peut pas être conditionné à l'acceptation des cookies (sauf exception contractuelle justifiée). Le refus doit être aussi simple que l'acceptation.
Éclairé : L'utilisateur doit comprendre exactement à quoi il consent, quels tiers ont accès aux données, et dans quel but.
Spécifique : Le consentement doit être recueilli finalité par finalité. Un consentement global "J'accepte tous les cookies" ne suffit pas si vous mélangez analytics et publicité.
Univoque : Une action positive est requise — cocher une case, cliquer sur "Accepter". La simple navigation sur le site ne constitue pas un consentement.
Durable : La durée de conservation du consentement est limitée à 13 mois par la CNIL. Au-delà, vous devez redemander.
Anatomie d'une bannière conforme
Une bannière de cookies conforme aux recommandations CNIL 2022 doit présenter :
- Un bouton "Accepter tout" clairement visible
- Un bouton "Refuser tout" avec la même prominance visuelle (taille, couleur, position équivalente)
- Un lien "Gérer mes préférences" pour un consentement granulaire
- Une brève description des finalités des cookies
- Des informations sur les tiers bénéficiant des données
L'interface doit permettre de refuser aussi facilement qu'accepter. Si le bouton "Refuser" est en petits caractères gris en bas de page alors que "Accepter" est un grand bouton vert, c'est une violation.
Durée de vie de la bannière : Le choix de l'utilisateur doit être mémorisé pendant 13 mois maximum (recommandation CNIL). Passé ce délai, la bannière doit réapparaître pour re-solliciter le consentement.
Les erreurs courantes qui exposent aux sanctions
Le mur de cookies ("cookie wall")
Bloquer l'accès au contenu tant que l'utilisateur n'accepte pas les cookies est interdit pour les sites dont le modèle économique ne repose pas exclusivement sur la publicité. La CNIL a sanctionné plusieurs entreprises pour cette pratique.
Exception partielle : Un journal en ligne peut conditionner l'accès à un abonnement payant en alternative à l'acceptation des cookies publicitaires — mais cette alternative doit être clairement proposée et à un prix raisonnable.
Les cases pré-cochées
Pré-cocher des cases dans les préférences de cookies est explicitement interdit par le RGPD (Article 7). Le silence ou l'inaction ne vaut pas consentement.
L'absence de bouton "Refuser tout" en première couche
Depuis 2022, la CNIL exige que le refus soit aussi accessible que l'acceptation. Un bouton "Accepter" en première couche sans équivalent pour le refus est non-conforme.
La non-prise en compte du retrait du consentement
Un utilisateur qui a accepté les cookies doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné. Un lien discret en pied de page est insuffisant — il doit être accessible de manière permanente.
L'absence de registre des consentements
Vous devez être en mesure de prouver que l'utilisateur a consenti. Conserver des preuves de consentement (timestamp, version de la bannière, choix effectué) est obligatoire en cas de contrôle CNIL.
Sanctions récentes : ce que ça coûte vraiment
La CNIL est active sur les cookies. Quelques exemples de sanctions 2023-2024 :
- 90 millions d'euros contre Google et Facebook pour avoir rendu le refus des cookies plus difficile que l'acceptation
- 125 000 euros contre un éditeur de presse pour absence de bouton "Refuser tout" équivalent
- 250 000 euros contre un site e-commerce pour dépôt de cookies avant consentement
Ces montants concernent des entreprises de taille variable. Les PME ne sont pas immunisées — elles sont simplement moins visibles, mais les plaintes d'utilisateurs ou de concurrents peuvent déclencher un contrôle.
Audit de vos cookies avec WarDek
WarDek analyse automatiquement les cookies déposés par votre site lors d'un scan, en identifiant :
- Les cookies présents avant tout clic sur la bannière
- Les cookies tiers non déclarés dans votre politique
- L'équivalence visuelle des boutons Accepter/Refuser
- La présence des mentions obligatoires
Commencez par un scan gratuit pour obtenir un état des lieux complet de votre conformité cookies.
Pour aller plus loin
- Registre des traitements RGPD : comment documenter vos activités de traitement
- Guide DPIA : quand et comment réaliser une analyse d'impact
- Les recommandations officielles CNIL sur les cookies sont disponibles sur cnil.fr