Conformité

Cookies et RGPD : guide pour une bannière conforme

Types de cookies, consentement valide selon la CNIL, bannière conforme et erreurs courantes à éviter. Tout ce que les PME doivent savoir.

2 avril 20266 min de lectureWarDek Team

Les cookies sont l'un des premiers sujets abordés lors d'un audit RGPD — et l'une des sources les plus fréquentes de mise en demeure par la CNIL. Pourtant, les règles sont claires : un consentement valide, une bannière conforme, et vous êtes en règle. Voici comment y parvenir.

Les trois types de cookies

La première étape est de comprendre ce que vous déposez. Les cookies se divisent en trois grandes catégories selon leur finalité.

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site. Ils ne nécessitent aucun consentement (Article 82 de la Loi Informatique et Libertés) :

Attention : "Strictement nécessaire" signifie que le service ne peut pas fonctionner sans ce cookie. Un cookie d'analytics n'entre jamais dans cette catégorie, même si vous le trouvez utile.

Cookies analytiques et de mesure d'audience

Ces cookies mesurent le trafic et le comportement des visiteurs. Ils requièrent un consentement explicite sauf si vous respectez strictement les conditions d'exemption CNIL :

Les solutions comme Matomo en mode anonymisé ou AT Internet peuvent bénéficier de cette exemption si elles sont correctement configurées. Google Analytics, dans sa version standard, n'est pas éligible à l'exemption.

Cookies marketing et de ciblage

Ces cookies servent à personnaliser les publicités et à suivre les utilisateurs sur plusieurs sites. Ils nécessitent toujours un consentement :

Les critères CNIL pour un consentement valide

La CNIL a précisé ses exigences dans ses lignes directrices de 2020. Un consentement est valide uniquement s'il est :

Libre : L'accès au service ne peut pas être conditionné à l'acceptation des cookies (sauf exception contractuelle justifiée). Le refus doit être aussi simple que l'acceptation.

Éclairé : L'utilisateur doit comprendre exactement à quoi il consent, quels tiers ont accès aux données, et dans quel but.

Spécifique : Le consentement doit être recueilli finalité par finalité. Un consentement global "J'accepte tous les cookies" ne suffit pas si vous mélangez analytics et publicité.

Univoque : Une action positive est requise — cocher une case, cliquer sur "Accepter". La simple navigation sur le site ne constitue pas un consentement.

Durable : La durée de conservation du consentement est limitée à 13 mois par la CNIL. Au-delà, vous devez redemander.

Anatomie d'une bannière conforme

Une bannière de cookies conforme aux recommandations CNIL 2022 doit présenter :

  1. Un bouton "Accepter tout" clairement visible
  2. Un bouton "Refuser tout" avec la même prominance visuelle (taille, couleur, position équivalente)
  3. Un lien "Gérer mes préférences" pour un consentement granulaire
  4. Une brève description des finalités des cookies
  5. Des informations sur les tiers bénéficiant des données

L'interface doit permettre de refuser aussi facilement qu'accepter. Si le bouton "Refuser" est en petits caractères gris en bas de page alors que "Accepter" est un grand bouton vert, c'est une violation.

Durée de vie de la bannière : Le choix de l'utilisateur doit être mémorisé pendant 13 mois maximum (recommandation CNIL). Passé ce délai, la bannière doit réapparaître pour re-solliciter le consentement.

Les erreurs courantes qui exposent aux sanctions

Le mur de cookies ("cookie wall")

Bloquer l'accès au contenu tant que l'utilisateur n'accepte pas les cookies est interdit pour les sites dont le modèle économique ne repose pas exclusivement sur la publicité. La CNIL a sanctionné plusieurs entreprises pour cette pratique.

Exception partielle : Un journal en ligne peut conditionner l'accès à un abonnement payant en alternative à l'acceptation des cookies publicitaires — mais cette alternative doit être clairement proposée et à un prix raisonnable.

Les cases pré-cochées

Pré-cocher des cases dans les préférences de cookies est explicitement interdit par le RGPD (Article 7). Le silence ou l'inaction ne vaut pas consentement.

L'absence de bouton "Refuser tout" en première couche

Depuis 2022, la CNIL exige que le refus soit aussi accessible que l'acceptation. Un bouton "Accepter" en première couche sans équivalent pour le refus est non-conforme.

La non-prise en compte du retrait du consentement

Un utilisateur qui a accepté les cookies doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné. Un lien discret en pied de page est insuffisant — il doit être accessible de manière permanente.

L'absence de registre des consentements

Vous devez être en mesure de prouver que l'utilisateur a consenti. Conserver des preuves de consentement (timestamp, version de la bannière, choix effectué) est obligatoire en cas de contrôle CNIL.

Sanctions récentes : ce que ça coûte vraiment

La CNIL est active sur les cookies. Quelques exemples de sanctions 2023-2024 :

Ces montants concernent des entreprises de taille variable. Les PME ne sont pas immunisées — elles sont simplement moins visibles, mais les plaintes d'utilisateurs ou de concurrents peuvent déclencher un contrôle.

Audit de vos cookies avec WarDek

WarDek analyse automatiquement les cookies déposés par votre site lors d'un scan, en identifiant :

Commencez par un scan gratuit pour obtenir un état des lieux complet de votre conformité cookies.

Pour aller plus loin

#rgpd#cookies#cnil#conformite#consentement

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Retour à Conformité