Bandeau cookies : comment être conforme à la CNIL en 2026

Le bandeau cookies est devenu un point de contrôle prioritaire de la CNIL. En 2025, l'autorité a prononcé 21 sanctions liées aux traceurs pour plus de 475 millions d'euros cumulés. Voici ce que la réglementation impose à votre site en 2026, et les erreurs qui coûtent le plus cher.

Qu'est-ce qu'un cookie, juridiquement parlant ?

Un cookie est un petit fichier déposé sur le terminal de l'utilisateur (ordinateur, smartphone, tablette) lors de la consultation d'un site. La loi vise en réalité tous les « traceurs » : cookies HTTP, pixels invisibles, identifiants stockés en localStorage, empreintes de navigateur (« fingerprinting »), SDK mobiles. Le support technique compte peu, c'est l'opération de lecture ou d'écriture sur le terminal qui déclenche l'obligation de consentement.

La distinction fondamentale oppose deux familles :

• Les cookies dits essentiels ou strictement nécessaires : authentification, panier d'achat, mémorisation de la langue, équilibrage de charge, sécurité contre la fraude. Ils sont exemptés de consentement car indispensables à un service expressément demandé par l'utilisateur.
• Les cookies non essentiels : statistiques (Google Analytics, Matomo en configuration standard), publicité ciblée, mesure d'audience tierce, intégration de réseaux sociaux, tests A/B comportementaux, replays de session. Ceux-ci exigent un consentement libre, spécifique, éclairé et univoque.

Une catégorie intermédiaire mérite l'attention : la mesure d'audience anonymisée. Sous conditions strictes (pas de croisement avec d'autres traitements, pas de transmission à des tiers, finalité limitée à la statistique pour le compte exclusif de l'éditeur), elle peut être exemptée de consentement. Matomo en mode « cookieless », Plausible ou Fathom entrent dans ce cadre. Pour aller plus loin, lisez Google Analytics et RGPD en 2026.

Le fondement juridique : article 82 et directive ePrivacy

Le bandeau cookies ne découle pas directement du RGPD, mais de la directive ePrivacy (2002/58/CE), transposée en droit français par l'article 82 de la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Le texte impose deux obligations cumulatives à toute personne qui souhaite déposer ou lire des informations sur le terminal d'un utilisateur :

1. Délivrer une information claire et complète sur la finalité des opérations, l'identité des responsables et les moyens de s'opposer.
2. Recueillir le consentement préalable de l'utilisateur, au sens du RGPD : libre, spécifique, éclairé, univoque et révocable.

La CNIL, dans ses lignes directrices du 17 septembre 2020 et sa recommandation associée, précise comment ces principes se traduisent concrètement à l'écran. Cette recommandation a été complétée en 2025 sur le volet du consentement multi-terminaux. Tout manquement à l'article 82 peut être sanctionné, indépendamment d'une violation du RGPD. Pour comprendre l'articulation avec le règlement européen, consultez notre guide RGPD pour un site web français.

Les critères d'un bandeau conforme en 2026

La CNIL examine systématiquement les mêmes éléments lors de ses contrôles. Voici les exigences cumulatives.

1. Aucun dépôt de cookie non essentiel avant le choix

Sur la page d'arrivée, tant que l'utilisateur n'a pas cliqué sur « tout accepter » ou exprimé un choix granulaire positif, aucun traceur publicitaire ou statistique non exempté ne doit être déposé. C'est l'erreur la plus fréquente : nombre d'éditeurs chargent leurs scripts de tracking en haut de page, puis affichent un bandeau « informatif » qui n'a aucune valeur juridique. La CNIL considère alors qu'il n'y a tout simplement pas eu de consentement.

2. Refuser doit être aussi simple qu'accepter

C'est le principe directeur depuis 2021 et la jurisprudence du Conseil d'État. Concrètement :

• Un bouton « Tout refuser » doit figurer sur le même écran que le bouton « Tout accepter ».
• Les deux boutons doivent être de taille, couleur et niveau de contraste comparables.
• Aucun ne doit être caché derrière un menu déroulant supplémentaire (« Personnaliser » puis trois clics pour refuser).
• Le bouton « Continuer sans accepter », à condition d'être visible, est admis comme alternative.

3. Choix granulaire et information complète

L'utilisateur doit pouvoir consentir finalité par finalité : statistiques, publicité, réseaux sociaux, personnalisation. Un bouton global est acceptable, à condition que les finalités soient présentées de manière claire dès le premier niveau du bandeau, avec la liste des destinataires (annonceurs, partenaires) ou un lien direct vers cette liste.

4. Acte positif clair

Le silence, la poursuite de la navigation, le défilement, la fermeture du bandeau ou un clic à côté ne valent pas consentement. À l'inverse, ces comportements doivent être traités comme un refus tant que l'utilisateur n'a pas cliqué explicitement sur une option d'acceptation.

5. Retrait du consentement aussi simple que le don

Un lien permanent en pied de page (« Gérer mes cookies », « Préférences cookies ») doit permettre de revenir sur ses choix à tout moment, sans devoir rechercher la fonctionnalité dans les paramètres du navigateur.

La question du cookie wall et du « pay or consent »

Le cookie wall consiste à bloquer l'accès à un site tant que l'utilisateur n'a pas accepté les traceurs. Le pay or consent propose une alternative payante : « acceptez les cookies, ou payez un abonnement sans publicité ».

La CNIL n'a pas posé d'interdiction absolue, mais examine ces dispositifs au cas par cas pour déterminer si le consentement reste réellement libre. Les critères d'appréciation incluent :

• L'existence d'une alternative raisonnable chez le même éditeur ou ailleurs.
• Le caractère proportionné du tarif demandé pour la version payante.
• La transparence sur les traceurs et finalités concernés.

L'EDPB (Comité européen de la protection des données) a publié en avril 2024 un avis indiquant que le modèle « consent or pay » des grandes plateformes ne produisait, dans la plupart des cas, pas un consentement valide. Plusieurs autorités européennes ont engagé des procédures sur ce fondement. En pratique, pour un site français de PME ou de média, un cookie wall pur est très exposé à un risque de sanction.

Durée de conservation du consentement

La CNIL recommande de conserver les choix exprimés (acceptation comme refus) pendant environ 6 mois. L'objectif : ne pas resolliciter l'utilisateur à chaque page, tout en lui permettant de revoir périodiquement sa décision.

Cette durée est une bonne pratique, pas une obligation absolue. Elle peut être ajustée selon la nature du site (un média d'actualité quotidienne pourra raccourcir, un site institutionnel allonger légèrement). En revanche, conserver le consentement 13 mois ou plus sans le rafraîchir devient difficile à justifier.

Point souvent oublié : la durée de vie technique du cookie de consentement et la durée de conservation du choix sont deux choses différentes. Le cookie « TCF » ou « cookie consent » qui mémorise le choix doit lui-même être documenté dans la politique cookies du site.

Exemples de bandeaux non conformes

Voici les configurations les plus fréquemment sanctionnées par la CNIL :

• Le bandeau « OK pour continuer » : un seul bouton, aucune option de refus. Sanction quasi certaine.
• Le « Personnaliser » caché : un bouton « Tout accepter » très visible, et un lien « Paramétrer » discret qui ouvre une interface complexe nécessitant plusieurs clics pour refuser.
• Le bandeau informatif : « En poursuivant votre navigation, vous acceptez les cookies. » Sans choix explicite, c'est un refus.
• Le « X » qui vaut acceptation : fermer le bandeau ne peut pas être interprété comme un consentement.
• Les dark patterns colorés : bouton « Accepter » en vert vif, « Refuser » en gris pâle ou en lien texte.
• Le pré-chargement : Google Analytics, Meta Pixel ou TikTok Pixel chargés avant tout choix.

Exemples de bandeaux conformes

À l'inverse, un bandeau valide présente :

• Un titre clair (« Ce site utilise des cookies »).
• Une description courte des finalités et un lien vers la politique complète.
• Trois boutons de niveau visuel équivalent : « Tout accepter », « Tout refuser », « Personnaliser ».
• Dans le panneau de personnalisation, les cases décochées par défaut, classées par finalité.
• Un lien permanent en pied de page pour modifier ses choix.
• Aucun script de tracking déclenché avant le clic.

Quelle CMP (Consent Management Platform) choisir ?

Une CMP est un outil qui gère l'affichage du bandeau, l'enregistrement des choix et le déclenchement conditionnel des traceurs. Plusieurs solutions sont reconnues sur le marché français comme aptes à respecter les exigences CNIL, à condition d'être configurées correctement :

• Axeptio (français) — interface conviviale, modèles préparamétrés CNIL.
• Didomi (français) — utilisé par de nombreux grands médias et e-commerçants.
• CookieFirst, Cookiebot — solutions européennes répandues, bonne couverture multilingue.
• Tarte au Citron — solution open source française, idéale pour les petits sites.
• Klaro!, Orejime — alternatives open source légères.

Sanctions récentes : ce que risque réellement un site

Le sujet est devenu prioritaire pour la CNIL. Quelques décisions publiques marquantes :

• Septembre 2025 — Google : 325 millions d'euros pour dépôt de cookies sans consentement et défaut de prise en compte du refus.
• Septembre 2025 — Shein (Infinite Styles Services Co. Limited) : 150 millions d'euros pour dépôt de traceurs sans consentement, défaut de respect des choix et information insuffisante sur les finalités.
• Novembre 2024 — Orange (délibération SAN-2024-019) : 50 millions d'euros, notamment pour avoir continué à lire des cookies après le retrait du consentement.

Les PME ne sont pas épargnées : la procédure simplifiée permet à la CNIL de prononcer des amendes jusqu'à 20 000 euros sans débat contradictoire complet, et de nombreuses entreprises de taille intermédiaire ont été sanctionnées dans ce cadre selon les décisions publiques disponibles. Plus de détails dans Sanctions CNIL : ce que risque un site non conforme.

Articulation avec les autres obligations légales

Le bandeau cookies n'est qu'une brique. Pour être conforme, votre site doit également :

• Disposer de mentions légales à jour (voir Mentions légales 2026 : obligations).
• Publier une politique de confidentialité qui détaille les finalités, durées et destinataires des données.
• Encadrer toute collecte d'e-mails par un opt-in spécifique distinct du consentement cookies (voir Newsletter et RGPD : opt-in et prospection en 2026).
• Documenter les transferts éventuels hors UE pour les outils américains, sujet désormais cadré par le Data Privacy Framework (voir Transferts de données hors UE).

Sur WordPress en particulier, plusieurs extensions populaires sont mal configurées par défaut. Notre guide dédié à la conformité juridique d'un site WordPress en 2026 détaille les paramétrages plugin par plugin.

Méthode : auditer son bandeau en 10 minutes

Quelques vérifications rapides pour mesurer l'écart avec les exigences CNIL :

1. Ouvrez votre site en navigation privée et inspectez l'onglet « Application » > « Cookies » des outils développeur avant tout clic. Seuls les cookies techniques devraient apparaître.
2. Vérifiez la présence d'un bouton « Tout refuser » au premier niveau, avec une prégnance visuelle équivalente à « Tout accepter ».
3. Cliquez sur « Refuser » et rechargez : aucun cookie publicitaire ou statistique non exempté ne doit apparaître.
4. Recherchez un lien « Gérer mes cookies » en pied de page.
5. Vérifiez que la politique de confidentialité liste chaque cookie par finalité et durée.

Et au-delà : un règlement ePrivacy en suspens

Le projet de règlement ePrivacy européen, en discussion depuis 2017, n'a toujours pas abouti. En 2026, c'est donc la directive de 2002 et sa transposition nationale qui s'appliquent, avec une position française parmi les plus strictes d'Europe. La distinction entre CGV et CGU ne change rien à ces obligations : qu'il s'agisse d'un site marchand, d'un blog ou d'une plateforme de services, le bandeau cookies s'impose de la même manière.

Ressources officielles

• Article 82 de la loi Informatique et Libertés sur Légifrance.
• Lignes directrices CNIL du 17 septembre 2020 (délibération 2020-091).
• Cookies et traceurs : comment mettre mon site en conformité — guide CNIL.
• Questions-réponses CNIL sur les lignes directrices cookies.

Mettre son bandeau en conformité n'est pas un projet à six chiffres. Pour la majorité des sites, c'est avant tout un travail de configuration de la CMP et de rédaction d'une politique cookies à jour. Un audit annuel suffit ensuite à maintenir le niveau de conformité dans le temps.