Bandeau cookies conforme CNIL 2026 : exigences, erreurs fréquentes et checklist
La CNIL a publié en 2020 ses lignes directrices sur les cookies et traceurs, complétées par une recommandation pratique précisant les modalités d'un consentement valide. Ces textes, fondés sur l'article 82 de la loi Informatique et Libertés transposant la directive ePrivacy, fixent un cadre exigeant : consentement libre, éclairé, spécifique et univoque, refuser aussi simple qu'accepter, aucun traceur non essentiel avant l'accord de l'utilisateur.
En 2025 et 2026, la CNIL a poursuivi ses contrôles et sanctionné des sites de toutes tailles ne respectant pas ces principes. Cette page fait le tour des exigences actuelles, des erreurs les plus courantes et propose une checklist pour auditer votre bandeau cookies — quelle que soit la plateforme utilisée.
Les exigences fondamentales du bandeau cookies
Un bandeau cookies conforme doit permettre : (1) de consentir ou de refuser en un seul clic, avec des boutons de même niveau visuel et éditorial ; (2) d'accéder à une gestion granulaire par finalité (analytics, marketing, personnalisation) sans que le refus soit plus laborieux que l'acceptation ; (3) de retirer son consentement à tout moment aussi facilement qu'il a été donné. Le consentement obtenu par défaut, par inaction ou par une case pré-cochée est nul.
Le consentement recueilli est valable 13 mois au maximum. Les cookies eux-mêmes ont des durées de vie propres, documentées dans la politique cookies. La CNIL recommande que les cookies de traçage ne dépassent pas 13 mois de durée de vie. La preuve du consentement — horodatage, identifiant de session, version du bandeau, choix effectué — doit être conservée par la CMP pour justifier la conformité en cas de contrôle.
Certains traceurs sont exemptés de consentement et peuvent être déposés sans bandeau : cookies strictement nécessaires au service (authentification, panier, session), cookies de mesure d'audience anonymisée sous conditions strictes (absence de transfert à des tiers, données non recoupées, périmètre limité). Ces exemptions sont étroites — en cas de doute, le consentement reste la voie sûre.
Erreurs fréquentes et pratiques sanctionnées
Les erreurs les plus courantes relevées lors des contrôles CNIL concernent : l'absence de bouton de refus immédiat (accès au refus uniquement via un menu secondaire), le gris ou la typographie réduite sur le bouton de refus pour le rendre moins visible, le refus accessible seulement après plusieurs clics quand l'acceptation s'effectue en un seul, et le chargement de Google Analytics ou de pixels publicitaires dès l'arrivée sur la page sans attendre l'interaction.
D'autres manquements concernent la documentation : politique cookies inexistante ou ne listant pas les traceurs individuellement, absence de mention de la durée de vie de chaque cookie, absence d'information sur les tiers émetteurs. La CNIL a mis en demeure et sanctionné des sites ayant uniquement un bandeau informatif sans possibilité de refus. Sans révéler de montants précis, les sanctions peuvent être substantielles pour les sites à forte audience.
Checklist pour auditer votre bandeau cookies
Voici les points à vérifier : le bandeau s'affiche-t-il à la première visite avant tout dépôt de cookie non essentiel ? Le bouton de refus est-il aussi visible que le bouton d'acceptation (même taille, même niveau hiérarchique) ? L'absence d'interaction (fermeture du bandeau sans clic) est-elle traitée comme un refus ? Les scripts analytiques et publicitaires sont-ils bloqués jusqu'à consentement explicite (vérifiable via les DevTools réseau) ? Le retrait du consentement est-il accessible depuis toutes les pages (pied de page) ?
Vérifiez également : la politique cookies liste-t-elle chaque traceur avec son nom, son émetteur, sa finalité et sa durée de vie ? Le consentement est-il demandé à nouveau après 13 mois ? La preuve du consentement est-elle conservée par la CMP ? Les cookies de mesure d'audience que vous souhaitez exempter répondent-ils strictement aux conditions CNIL (notamment : pas de transfert hors de votre organisation) ? Une vérification de ce dernier point avec votre outil d'analytics est indispensable avant de l'exempter.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique cookies conforme CNILQuestions fréquentes
Un simple bandeau informatif sans choix est-il suffisant ?
Non. Un bandeau qui se contente d'informer l'utilisateur de l'existence de cookies sans lui permettre de les refuser n'est pas conforme. La CNIL et la jurisprudence europénne sont claires : l'utilisateur doit pouvoir accepter ou refuser avant tout dépôt de cookie non essentiel. Un bandeau informatif seul exposait déjà les sites à des mises en demeure de la CNIL.
Quelle différence entre cookies essentiels et cookies analytiques ?
Les cookies essentiels (ou strictement nécessaires) permettent le fonctionnement technique du site : session, panier, authentification, préférences de langue. Ils ne requièrent pas de consentement. Les cookies analytiques mesurent l'audience et le comportement des utilisateurs — ils requièrent le consentement, sauf si la solution retenue respecte les conditions d'exemption CNIL très strictes (anonymisation complète, absence de croisement de données, périmètre mono-éditeur).
Google Analytics peut-il être exempté de consentement ?
Dans sa configuration standard, non. Google Analytics transmet des données vers les serveurs de Google et ne satisfait pas aux conditions d'exemption CNIL (notamment l'absence de transfert à un tiers). Il requiert donc le consentement préalable de l'utilisateur. Des alternatives comme Matomo en mode cookieless, correctement configurées, peuvent en revanche bénéficier de l'exemption.
À quelle fréquence faut-il mettre à jour sa politique cookies ?
À chaque modification substantielle de la liste des traceurs utilisés : ajout d'un nouveau pixel publicitaire, changement d'outil d'analytics, installation d'une app ou d'un plugin qui dépose des cookies. En pratique, un audit de la liste des traceurs tous les six mois est recommandé, notamment car les CMS et les apps tierces mettent régulièrement à jour leurs scripts.