La CNIL a prononcé des centaines de sanctions liées aux cookies ces dernières années. C’est aujourd’hui l’un des points de contrôle prioritaires de l’autorité française. Voici ce que votre site doit mettre en place — sans exception.
Pourquoi les cookies sont-ils encadrés par le RGPD ?
Les cookies sont des traceurs qui collectent des données sur les visiteurs de votre site — leurs habitudes de navigation, leurs centres d’intérêt, leur localisation. Ces données sont des données personnelles au sens du RGPD. Leur collecte est donc soumise aux mêmes règles que n’importe quel traitement de données.
La CNIL est particulièrement vigilante sur ce point car les infractions sont massives, faciles à détecter automatiquement, et concernent potentiellement des millions d’internautes.
Les trois catégories de cookies
Les cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site — session utilisateur, panier d’achat, préférences de langue. Ils ne nécessitent pas de consentement. Vous pouvez les déposer sans demander d’autorisation.
Les cookies analytiques
Google Analytics, Matomo, Hotjar… Ces outils mesurent l’audience de votre site. Ils nécessitent un consentement préalable, sauf si vous utilisez une configuration exemptée validée par la CNIL — ce qui impose des conditions strictes sur l’anonymisation des données.
Les cookies publicitaires et de tracking
Facebook Pixel, Google Ads, LinkedIn Insight Tag… Ces traceurs permettent de cibler les internautes avec de la publicité. Ils nécessitent systématiquement un consentement explicite et éclairé.
Ce que doit contenir votre bandeau cookies
La CNIL est très précise sur les exigences du bandeau de consentement :
Le refus doit être aussi simple que l’acceptation : un bouton « Tout accepter » sans bouton « Tout refuser » équivalent est illégal
Pas de case pré-cochée : le consentement doit être actif, pas passif
Information claire : le bandeau doit indiquer à quoi servent les cookies
Possibilité de retrait : l’internaute doit pouvoir retirer son consentement aussi facilement qu’il l’a donné
Durée de conservation : le consentement ne peut pas être conservé plus de 13 mois
Les erreurs les plus sanctionnées
La CNIL a prononcé des amendes pour les pratiques suivantes :
Dépôt de cookies avant tout clic sur le bandeau
Absence de bouton « Tout refuser » sur la première couche du bandeau
Consentement obtenu par des cases pré-cochées
Impossibilité de retirer facilement son consentement
Absence totale de bandeau cookies alors que le site dépose des traceurs
Comment se mettre en conformité
La mise en conformité cookies passe par trois étapes :
Audit des cookies déposés : identifier tous les traceurs présents sur votre site grâce à des outils comme Cookiebot ou un audit manuel
Mise en place d’une CMP : une Consent Management Platform (Axeptio, Didomi, Cookiebot…) gère techniquement le recueil et la mémorisation des consentements
Mise à jour de la politique de confidentialité : elle doit détailler précisément les cookies utilisés, leur finalité et leur durée de conservation
Conclusion
Les cookies sont aujourd’hui le premier point de contrôle CNIL pour les sites web. La conformité est techniquement simple à atteindre avec les bons outils — mais elle doit être implémentée correctement pour être juridiquement valide.
Votre site web dépose des cookies sans bandeau conforme ? Le Cabinet Mizrahi peut auditer votre situation en 20 minutes. Diagnostic gratuit →