Politique Cookies (Consentement) France
Qu'est-ce qu'un Politique Cookies (Consentement) France ?
La politique de cookies est, en droit français, le document qui informe les internautes des traceurs déposés et recueille leur consentement, régie par l'article 82 de la loi Informatique et Libertés n°78-17 et les lignes directrices de la CNIL.
Un cookie est un fichier texte placé sur le terminal de l'utilisateur (ordinateur, tablette, smartphone) lors de sa navigation sur un site internet, qui permet de reconnaître le terminal lors de visites ultérieures ou de collecter des informations de navigation. La délibération CNIL n°2020-091 distingue deux grandes catégories de traceurs selon leur fonction. Les traceurs strictement nécessaires au service (exemptés de consentement) : cookies de session, identifiants de panier d'achat e-commerce, cookies d'authentification, cookies de préférence linguistique, cookies de sécurité anti-CSRF (Cross-Site Request Forgery), mémorisation du choix de consentement (cookie CMP). Les traceurs non strictement nécessaires (soumis au consentement préalable) : cookies de mesure d'audience (Google Analytics, Matomo non anonymisé, Piano Analytics), cookies de personnalisation, cookies de réseaux sociaux (boutons Like, Share, Tweet), cookies de publicité ciblée et de retargeting (Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel).
La principale évolution introduite par la délibération CNIL 2020-091 concerne le mécanisme de recueil du consentement. Le simple fait de continuer la navigation sur le site ne peut plus valoir consentement (fin du consentement implicite). Les exigences du consentement RGPD (art. 4.11) s'appliquent pleinement : le consentement doit être libre, spécifique, éclairé et univoque. La délibération CNIL 2020-091 impose que le refus du consentement soit aussi simple que son acceptation : un bouton « Refuser » ou « Continuer sans accepter » doit être aussi visible et accessible que le bouton « Accepter » sur le bandeau de consentement (CMP - Consent Management Platform). Les « cookie walls » (accès conditionnel au site à l'acceptation des cookies) sont admis de manière très restrictive, uniquement si une alternative sans cookies est offerte.
La Politique Cookies doit être distincte de la Politique de Confidentialité RGPD principale, bien qu'elles soient complémentaires. La Politique Cookies décrit spécifiquement les traceurs utilisés, leur durée de vie, leurs finalités et les modalités d'exercice des droits en matière de cookies. Elle est matérialisée par le bandeau de consentement (CMP) accessible dès la première visite et par une page dédiée accessible depuis le footer du site. La durée maximale de conservation des données collectées via les cookies soumis à consentement est de 13 mois à compter du dépôt du cookie (délibération CNIL 2020-091). Voir aussi la Politique de Confidentialité RGPD et les Mentions Légales pour un dispositif juridique complet du site web en France.
Quand avez-vous besoin d'un Politique Cookies (Consentement) France ?
La Politique Cookies en France est obligatoire dès lors qu'un site internet utilise des traceurs qui ne sont pas strictement nécessaires au fonctionnement du service, conformément à l'article 82 de la Loi Informatique et Libertés n°78-17 et à la délibération CNIL n°2020-091 du 17 septembre 2020.
Sites utilisant Google Analytics ou des outils de mesure d'audience. Google Analytics (GA4 comme les versions précédentes), Adobe Analytics, Piano Analytics, Matomo non anonymisé, Amplitude et la plupart des outils de mesure d'audience sont des cookies non strictement nécessaires qui requièrent le consentement préalable de l'utilisateur. La CNIL a conclu après analyses en 2022 que Google Analytics transmettait des données vers les États-Unis sans garanties suffisantes (arrêt Schrems II) et a prononcé des mises en demeure contre des sites français utilisant Google Analytics. Une Politique Cookies avec bandeau de consentement conforme est obligatoire pour continuer à utiliser ces outils. Matomo configuré en mode anonymisé (sans cookie et sans adresse IP complète) peut être exempté de consentement selon la délibération CNIL 2020-091.
Sites avec publicité ciblée et retargeting. Tout site internet utilisant des pixels publicitaires (Meta Pixel, Google Ads, LinkedIn Insight Tag, TikTok Pixel, Twitter Pixel) pour le retargeting ou la mesure des conversions publicitaires doit recueillir le consentement préalable de l'utilisateur via un bandeau de cookies conforme. Ces pixels peuvent collecter des données de navigation de l'utilisateur et les transmettre aux régies publicitaires pour cibler les publicités sur d'autres sites et plateformes. La CNIL a sanctionné plusieurs sites en 2022-2024 pour utilisation de Meta Pixel sans consentement valide.
Sites e-commerce avec personnalisation. Les sites e-commerce qui utilisent des cookies de personnalisation (recommandation de produits basée sur l'historique de navigation, personnalisation de la page d'accueil, mémorisation des préférences d'affichage) doivent disposer d'une Politique Cookies et d'un bandeau de consentement. Les cookies de panier d'achat, d'authentification et de session sont en revanche exemptés de consentement car strictement nécessaires à la fourniture du service de commerce électronique.
Sites avec boutons de partage de réseaux sociaux. Les boutons de partage des réseaux sociaux (Like Facebook, Tweet Twitter, Share LinkedIn, +1 Google) intègrent des scripts JavaScript qui déposent des cookies de traçage sur le terminal de l'utilisateur même si celui-ci n'interagit pas avec le bouton. Ces cookies permettent aux réseaux sociaux de suivre la navigation de l'utilisateur sur tous les sites qui ont intégré ces boutons. La CNIL a confirmé en 2021 que ces boutons nécessitent le consentement préalable de l'utilisateur. Pour éviter cela : utilisez des boutons de partage statiques (share2) qui n'activent le script de réseau social que sur clic de l'utilisateur (privacy-by-default).
Applications mobiles collectant des données de localisation ou des identifiants publicitaires. Les applications mobiles qui accèdent à la localisation GPS, aux contacts, à l'IDFA (iOS) ou à l'Android Advertising ID (AAID) pour des finalités publicitaires ou analytiques sont soumises aux obligations de consentement. Apple App Tracking Transparency (ATT framework) impose depuis iOS 14.5 (avril 2021) un consentement explicite pour l'accès à l'IDFA. La CNIL a précisé en 2022 que les exigences de son référentiel cookies s'appliquent par analogie aux applications mobiles.
Que faut-il inclure dans votre Politique Cookies (Consentement) France ?
La Politique Cookies conforme en France doit couvrir plusieurs éléments essentiels pour satisfaire aux exigences du RGPD et de la délibération CNIL n°2020-091 du 17 septembre 2020.
Inventaire complet des cookies et traceurs (délibération CNIL 2020-091). Liste exhaustive de tous les cookies déposés sur le terminal de l'utilisateur : nom du cookie, éditeur (première partie ou tierce partie), finalité (session, préférence, analytique, publicitaire), durée de vie (de session à 13 mois maximum pour les cookies consentis, durée limitée pour les cookies de session). La liste doit être mise à jour à chaque changement de cookies utilisés (ajout d'un nouvel outil d'analyse, intégration d'un nouveau réseau publicitaire). La CNIL recommande d'utiliser un outil de scan de cookies (Cookiebot Scanner, OneTrust CookieScan, CookieFirst Scanner) pour détecter automatiquement tous les cookies déposés. Une liste inexacte ou incomplète est une violation de l'obligation d'information du RGPD.
Catégorisation des cookies (exemptés vs consentement requis). Catégorie 1 - Cookies strictement nécessaires (exemptés de consentement) : cookies de session (PHPSESSID, JSESSIONID), cookies d'authentification, cookies de panier e-commerce, cookie de mémorisation du choix de consentement (consent, CookieConsent, tc_cnil), cookies CSRF, cookies de préférence de langue. Catégorie 2 - Cookies de mesure d'audience (consentement requis ou exemption CNIL si configurés en mode anonymisé) : Google Analytics (_ga, _gid, _gat), Adobe Analytics, Piano Analytics, Matomo, Amplitude, Mixpanel. Catégorie 3 - Cookies de personnalisation (consentement requis) : cookies de recommandation de produits, cookies de personnalisation de l'interface. Catégorie 4 - Cookies de réseaux sociaux (consentement requis) : fbp (Meta Pixel), _fbp, LinkedIn Insight Tag, Twitter Pixel, TikTok Pixel, Snapchat Pixel. Catégorie 5 - Cookies publicitaires (consentement requis) : Google Ads (_gcl_au), DoubleClick, criteo_write_test, Yahoo advertising.
Mécanisme de recueil et de preuve du consentement (RGPD art. 7 et délibération CNIL 2020-091). Bandeau de consentement (CMP) affiché dès la première visite, avant tout dépôt de cookie non essentiel. Bouton « Accepter tout » et bouton « Refuser » ou « Continuer sans accepter » aussi visibles et accessibles l'un que l'autre. Possibilité de consentement granulaire par catégorie (Accepter uniquement les cookies fonctionnels, Accepter les cookies d'analyse, Accepter les cookies publicitaires). Conservez la preuve du consentement : horodatage, version de la CMP, choix effectué, identifiant de session. Les CMP certifiées par la CNIL offrent une présomption de conformité. Solutions CMP certifiées ou conformes : Axeptio (FR), Cookiebot (DK), OneTrust, TrustArc, Didomi (FR), CookieFirst, Quantcast Choice. Le modèle disponible sur forms-legal.com accompagne les utilisateurs dans la rédaction de la politique textuelle complémentaire au bandeau de consentement.
Durée de validité du consentement et renouvellement. La délibération CNIL 2020-091 fixe la durée maximale de validité du consentement à 13 mois. Passé ce délai, le consentement de l'utilisateur doit être recueilli à nouveau. La durée de vie maximale des cookies soumis à consentement est également de 13 mois. Un mécanisme de renouvellement automatique du bandeau de consentement à l'échéance des 13 mois doit être intégré dans la CMP. La durée de conservation du choix de refus est également de 6 mois selon la recommandation CNIL, pour permettre à l'utilisateur de réviser sa décision sans être importuné trop souvent.
Droit de retrait du consentement et d'opposition (RGPD art. 7.3 et 21). Possibilité pour l'utilisateur de retirer son consentement à tout moment aussi facilement qu'il l'a accordé : icône de gestion des cookies en bas de page (généralement représentée par un logo de cookie ou une icône paramètres), accessible depuis toutes les pages du site. Interface de gestion des préférences permettant de désactiver chaque catégorie de cookies indépendamment. Pour les cookies publicitaires : information sur le droit d'opt-out des régies publicitaires (Google Ads : adssettings.google.com ; Meta : facebook.com/ads/settings ; YOC : youronlinechoices.eu). Les instructions pour supprimer les cookies depuis les paramètres du navigateur (Chrome, Firefox, Safari, Edge) doivent être fournies. La Cour administrative d'appel de Paris (CAA Paris, 23 juin 2022) a confirmé que l'impossibilité pratique de retirer son consentement aux cookies constitue une violation du RGPD.
Gestion des cookies tiers (sous-traitants et régies publicitaires). Liste des prestataires tiers qui déposent des cookies via le site (Google, Meta, LinkedIn, TikTok, Criteo, Amazon, etc.) avec liens vers leurs propres politiques de cookies et d'opt-out. Pour chaque prestataire tiers : finalité, durée de vie des cookies, lien vers la politique de confidentialité et l'outil d'opt-out propre au prestataire. Pour les transferts de données vers les États-Unis : mention du mécanisme de transfert applicable (Data Privacy Framework UE-États-Unis depuis le 10 juillet 2023 pour les prestataires certifiés, clauses contractuelles types pour les autres). La CNIL vérifie régulièrement la conformité des CMP et des politiques cookies lors de ses contrôles en ligne.
Politique de cookies pour les applications mobiles. Pour les applications mobiles iOS et Android, la politique de cookies doit être adaptée pour couvrir les identifiants spécifiques aux plateformes mobiles : IDFA (Identifier for Advertisers) sur iOS, Android Advertising ID (AAID) sur Android. Depuis iOS 14.5 (avril 2021), Apple App Tracking Transparency (ATT) impose un consentement explicite pour l'accès à l'IDFA. La politique de cookies de l'application doit être accessible depuis la fiche de l'application sur l'App Store et le Google Play Store, et depuis les paramètres de l'application.
Comment remplir votre Politique Cookies (Consentement) France
Rédiger une Politique Cookies conforme en France nécessite d'auditer d'abord tous les traceurs utilisés, puis de choisir une solution de gestion du consentement (CMP) adaptée.
Étape 1 - Audit complet des cookies utilisés. Utilisez un outil de scan automatisé pour identifier tous les cookies déposés sur votre site (Cookiebot Scanner sur cookiebot.com/fr/scan, OneTrust CookieScan, CookieFirst Scanner, outil CNIL sur linc.cnil.fr). L'audit doit couvrir : le domaine principal, les sous-domaines, les pages dynamiques (après connexion, après ajout au panier). Relevez pour chaque cookie : son nom, son domaine, sa durée de vie, son type (session, persistant), sa finalité, son éditeur (première partie ou tierce partie).
Étape 2 - Catégorisation des cookies identifiés. Classez chaque cookie dans l'une des catégories définies par la délibération CNIL 2020-091 : strictement nécessaires (exemptés de consentement), fonctionnels/préférence, mesure d'audience, réseaux sociaux, publicité/ciblage. Pour les cookies d'analyse : vérifiez si Matomo peut être configuré en mode exempté (configuration sans cookie, anonymisation IP, sans partage de données). Pour Google Analytics GA4 : toujours soumis à consentement.
Étape 3 - Choix et paramétrage d'une CMP (Consent Management Platform). Sélectionnez une CMP conforme aux recommandations CNIL (solutions certifiées CNIL disponibles sur cnil.fr/fr/RGPD-les-outils-cnil). Solutions françaises : Axeptio (axeptio.eu), Didomi (didomi.io). Solutions internationales reconnues : Cookiebot (cookiebot.com), OneTrust, CookieFirst. Paramétrez la CMP avec : le texte du bandeau conforme aux recommandations CNIL (bouton Refuser aussi visible que Accepter, texte informatif, accès aux paramètres avancés), les catégories de cookies, les scripts à déclencher selon le consentement accordé, la durée de validité du consentement (13 mois maximum), la langue (français obligatoire pour les sites ciblant la France).
Étape 4 - Rédaction de la page Politique Cookies. Rédigez une page dédiée à la Politique Cookies accessible depuis le lien dans le bandeau de consentement et depuis le pied de page du site. Cette page doit contenir : l'introduction expliquant ce que sont les cookies et pourquoi vous les utilisez, le tableau des cookies par catégorie (nom, éditeur, finalité, durée), les instructions pour exercer son droit d'opposition (modifier les préférences via la CMP, opt-out des régies publicitaires, paramètres du navigateur), les coordonnées de contact pour toute question sur la gestion des cookies, un lien vers la Politique de Confidentialité RGPD principale.
Étape 5 - Test du bandeau de consentement et vérification de conformité. Testez le bandeau de consentement en mode navigation privée sur différents navigateurs et appareils (desktop, mobile) : vérifiez que les cookies non essentiels ne sont pas déposés avant l'acceptation du consentement (vérification dans l'onglet Application > Cookies des DevTools du navigateur) ; vérifiez que le bouton Refuser est aussi visible et accessible que le bouton Accepter ; vérifiez que le retrait du consentement est possible facilement depuis toutes les pages ; vérifiez que la CMP se rouvre après 13 mois pour recueillir à nouveau le consentement. La CNIL propose sur linc.cnil.fr un outil de contrôle Cookie Inspector pour simuler un contrôle CNIL.
Étape 6 - Mise à jour de la Politique Cookies lors de chaque changement. Mettez à jour la Politique Cookies à chaque ajout ou suppression de script ou plugin tiers sur votre site (ajout d'un pixel Facebook, changement d'outil d'analyse, intégration d'une nouvelle plateforme de chat). Relancez un scan de cookies après chaque modification significative du site. Conservez un historique des versions de la Politique Cookies et du paramétrage de la CMP pour les audits CNIL éventuels.
Exigences juridiques pour Politique Cookies (Consentement) France
La Politique Cookies en France est soumise à un cadre légal strict avec des sanctions significatives pour les violations.
Obligation de consentement préalable (Loi Informatique et Libertés art. 82). L'article 82 de la Loi Informatique et Libertés n°78-17 modifiée transpose l'article 5.3 de la Directive ePrivacy 2002/58/CE et impose que tout dépôt ou lecture de cookie sur le terminal de l'utilisateur, sauf cookies strictement nécessaires, soit subordonné au consentement préalable de l'utilisateur. Ce consentement doit satisfaire aux exigences du RGPD art. 4.11 : libre, spécifique, éclairé et univoque. La délibération CNIL n°2020-091 du 17 septembre 2020 précise les conditions de conformité du mécanisme de recueil du consentement. Le non-respect de l'obligation de consentement préalable expose à des sanctions de la CNIL pouvant atteindre 20 millions d'euros ou 4 % du CA mondial (RGPD art. 83.5).
Conformité du bandeau de consentement (délibération CNIL 2020-091). Le bandeau de consentement (CMP) doit répondre aux critères suivants pour être conforme à la délibération CNIL 2020-091 : (1) le refus doit être aussi simple que l'acceptation (bouton Refuser aussi visible que Accepter) ; (2) le fait de continuer la navigation ne vaut pas consentement ; (3) les finalités des cookies doivent être présentées clairement et de manière accessible (pas de formulations techniques obscures) ; (4) le consentement doit être granulaire par catégorie (l'utilisateur peut accepter certaines catégories et en refuser d'autres) ; (5) la preuve du consentement doit être conservée (horodatage, version de la politique, identifiant de session). La CNIL a publié en 2022 une liste de pratiques non conformes constatées lors de ses contrôles en ligne et a prononcé des amendes importantes : 60 millions contre Microsoft (2023), 150 millions contre Google et 60 millions contre Facebook (2022) pour non-conformité des bandeaux cookies.
Transferts hors UE liés aux cookies (arrêt Schrems II et Data Privacy Framework). Les cookies déposés par des tiers américains (Google Analytics, Meta Pixel, LinkedIn, etc.) entraînent des transferts de données vers les États-Unis, soumis aux règles de transfert hors UE du RGPD (art. 44 à 49). La CJUE a invalidé le Privacy Shield dans l'arrêt Schrems II du 16 juillet 2020. La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d'adéquation pour les États-Unis (Data Privacy Framework - DPF) : les transferts vers des entreprises américaines certifiées DPF sont légaux. Vérifiez pour chaque prestataire américain s'il est certifié DPF sur dataprivacyframework.gov. Pour les prestataires non certifiés : des clauses contractuelles types (CCT) et un transfert impact assessment (TIA) sont nécessaires.
Exemptions de consentement (délibération CNIL 2020-091 art. 2). Certains cookies sont exemptés du consentement préalable car strictement nécessaires au service expressément demandé par l'utilisateur ou à la sécurité de la navigation : cookies de session, cookies d'authentification, cookies de panier e-commerce, cookies de sécurité (CSRF), cookies de mémorisation du choix de consentement, certaines mesures d'audience dans des conditions strictes (Matomo sans cookie, anonymisation IP, sans partage de données). La CNIL a précisé en 2022 les conditions exactes d'exemption pour les outils de mesure d'audience : configuration spécifique requise, pas de collecte d'adresse IP complète, pas de croisement avec d'autres données. Pour Google Analytics : la CNIL a conclu en 2022 qu'il ne peut pas être exempté en raison des transferts vers les États-Unis.
Erreurs courantes à éviter dans votre Politique Cookies (Consentement) France
Les erreurs les plus fréquentes dans la Politique Cookies des sites français exposent aux sanctions de la CNIL et aux mises en demeure.
Erreur 1 - Bandeau cookies avec bouton Refuser absent ou moins visible que Accepter. La délibération CNIL 2020-091 impose que le refus des cookies soit aussi simple que leur acceptation. Un bandeau comportant uniquement un bouton « Accepter » et un lien textuel discret « En savoir plus » pour le refus n'est pas conforme. La CNIL a sanctionné de nombreux sites pour cette pratique : Google 150 millions euros (2022), Facebook 60 millions euros (2022), TikTok 5 millions euros (2023). Ajoutez systématiquement un bouton « Refuser » ou « Continuer sans accepter » aussi visible et accessible que le bouton « Accepter ».
Erreur 2 - Dépôt de cookies avant le consentement. La violation la plus grave et la plus fréquente : déposer des cookies Google Analytics, Meta Pixel ou des cookies publicitaires dès le chargement de la page, avant que l'utilisateur n'ait donné son consentement. Vérifiez en mode navigation privée, avant toute interaction avec le bandeau, que seuls les cookies strictement nécessaires sont présents dans l'onglet Application > Cookies des DevTools du navigateur. Configurez votre CMP pour bloquer tous les scripts non essentiels jusqu'au consentement.
Erreur 3 - Liste des cookies incomplète ou non mise à jour. Une Politique Cookies qui liste uniquement 2-3 cookies « principaux » alors que le site en dépose 20-30 via des scripts tiers (plugins WordPress, boutons réseaux sociaux, outils de chat) est non conforme. Lancez un scan de cookies complet et renouvelez-le après chaque mise à jour du site. La CNIL lors de ses contrôles en ligne vérifie la liste des cookies déposés par rapport à la liste déclarée dans la Politique Cookies.
Erreur 4 - Durée de vie des cookies dépassant 13 mois. La délibération CNIL 2020-091 fixe la durée maximale de validité du consentement et de vie des cookies consentis à 13 mois. Certains cookies publicitaires ou de réseaux sociaux ont par défaut une durée de vie de 24 mois ou plus (exemple : Meta fbp cookie = 90 jours, Google _ga = 2 ans). Configurez votre CMP et vos solutions d'analyse pour limiter la durée de vie des cookies à 13 mois maximum. Pour les cookies de mémorisation du refus : la durée recommandée est de 6 mois.
Erreur 5 - Cookie wall inconditionnels. Les cookie walls (blocage de l'accès au site conditionné à l'acceptation des cookies) ne sont admis par la CNIL que s'ils s'accompagnent d'une alternative réelle (accès payant ou accès via un autre service sans cookies). Un cookie wall conditionnel à l'acceptation de TOUS les cookies, sans alternative d'accès, viole le caractère libre du consentement RGPD (RGPD art. 4.11 : consentement libre). La CNIL a précisé sa doctrine sur les cookie walls dans sa délibération n°2022-092 du 7 juillet 2022.
Erreur 6 - Absence de mécanisme de retrait du consentement facilement accessible. L'article 7.3 du RGPD impose que le retrait du consentement soit aussi simple que son octroi. Une icône de gestion des cookies doit être accessible en permanence depuis toutes les pages du site. L'absence de cette icône ou son placement dans un endroit peu visible oblige l'utilisateur à effacer manuellement ses cookies du navigateur pour retirer son consentement, ce qui n'est pas acceptable. Ajoutez une icône de gestion des cookies en bas de page avec un lien vers les paramètres de la CMP.
Questions Fréquentes
Non, le consentement aux cookies n'est pas obligatoire pour tous les cookies. La délibération CNIL n°2020-091 du 17 septembre 2020 distingue deux catégories. Les cookies strictement nécessaires au service expressément demandé par l'utilisateur sont exemptés de consentement : cookies de session (PHPSESSID), cookies d'authentification (remember_me), cookies de panier e-commerce, cookies de sécurité anti-CSRF (Cross-Site Request Forgery), cookie de mémorisation du choix de consentement (consent, CookieConsent), préférences de langue. Ces cookies peuvent être déposés sans consentement préalable car ils sont indispensables au fonctionnement du service demandé par l'utilisateur. Les cookies non strictement nécessaires requièrent le consentement préalable et explicite de l'utilisateur : cookies de mesure d'audience (Google Analytics, Adobe Analytics, Matomo non anonymisé), cookies de réseaux sociaux (Meta Pixel, boutons Like/Share), cookies de publicité ciblée et de retargeting (Google Ads, LinkedIn Insight Tag, TikTok Pixel), cookies de personnalisation non essentiels. La CNIL a précisé que certains outils de mesure d'audience configurés de manière très restrictive (Matomo sans cookie, avec anonymisation IP complète et sans croisement de données) peuvent bénéficier d'une exemption de consentement. Google Analytics ne peut pas bénéficier de cette exemption selon la CNIL en raison des transferts de données vers les États-Unis.
La non-conformité aux règles CNIL sur les cookies expose à des sanctions sévères. La CNIL peut prononcer des avertissements, des mises en demeure avec délai de mise en conformité, des injonctions de mise en conformité sous astreinte (jusqu'à 100 000 euros par jour de retard), et des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de violation des principes fondamentaux du RGPD (art. 83.5 du Règlement UE 2016/679). La CNIL publie ses décisions de sanction (naming and shaming), ce qui peut entraîner une perte de confiance des utilisateurs et une couverture médiatique négative. Amendes prononcées pour non-conformité des bandeaux cookies : Google : 150 millions euros (21 janvier 2022) pour absence de bouton Refuser aussi accessible que Accepter sur google.fr et YouTube ; Facebook : 60 millions euros (21 janvier 2022) pour les mêmes raisons sur facebook.com ; Microsoft : 60 millions euros (16 mars 2023) pour bing.fr ; TikTok : 5 millions euros (29 juin 2023) ; Amazon : 35 millions euros (2021). Outre les sanctions CNIL, des tiers (concurrents, associations de consommateurs comme NOYB ou la Quadrature du Net) peuvent déposer une plainte auprès de la CNIL ou agir en justice pour faire cesser les pratiques non conformes. Les contrôles CNIL en ligne sont réalisés automatiquement par des outils de scan, rendant la détection des non-conformités systématique.
L'utilisation de Google Analytics sur un site web en France est possible depuis le 10 juillet 2023 sous certaines conditions, suite à l'adoption par la Commission européenne d'une décision d'adéquation pour les États-Unis (Data Privacy Framework - DPF) reconnaissant un niveau de protection équivalent au RGPD pour les transferts de données vers les entreprises américaines certifiées. Google LLC est certifiée DPF depuis le 10 juillet 2023 (vérifiable sur dataprivacyframework.gov). Cette certification rend les transferts de données de navigation vers les serveurs de Google aux États-Unis licites au titre de l'article 45 du RGPD. Cependant, Google Analytics demeure soumis aux autres règles du RGPD et de la délibération CNIL 2020-091 : le recueil du consentement préalable est obligatoire avant le chargement du script GA4, le bouton Refuser doit être aussi accessible que le bouton Accepter sur le bandeau de consentement, la durée de vie des cookies GA4 doit être paramétrée à 13 mois maximum, et les données de navigation ne doivent pas être croisées avec d'autres sources sans base légale distincte. La CNIL a maintenu ses lignes directrices sur la nécessité du consentement pour GA4, indépendamment de la question des transferts internationaux. Pour éviter ces contraintes, Matomo configuré en mode exempté (sans cookie, anonymisation IP, sans partage de données avec des tiers) reste l'alternative souveraine recommandée par la CNIL.
La distinction entre cookies first-party (première partie) et cookies third-party (tierce partie) est fondamentale pour la gestion du consentement conformément à la délibération CNIL n°2020-091 du 17 septembre 2020. Un cookie first-party est déposé par le domaine du site visité lui-même : par exemple, le site example.fr dépose un cookie sur le domaine .example.fr ou example.fr. Ces cookies sont généralement utilisés pour les fonctionnalités du site (session, préférences, panier) et pour les outils d'analyse configurés sur le propre domaine (Google Analytics configuré en server-side tagging sur analytics.example.fr). Un cookie third-party est déposé par un domaine différent de celui du site visité : par exemple, le site example.fr intègre un script Google Analytics qui dépose un cookie sur le domaine .google.com, ou intègre un bouton Facebook qui dépose un cookie sur .facebook.com. Ces cookies tiers permettent aux éditeurs tiers (Google, Meta, LinkedIn) de suivre la navigation de l'utilisateur sur tous les sites qui ont intégré leurs scripts, même sans interaction directe de l'utilisateur avec ces éléments. La distinction est importante car : (1) les cookies tiers nécessitent toujours le consentement préalable (pas d'exemption possible) ; (2) les navigateurs modernes bloquent progressivement les cookies tiers (Safari depuis 2017 avec ITP, Firefox avec ETP depuis 2019, Chrome annonce une suppression totale des cookies tiers). La transition vers des architectures sans cookies tiers (server-side tagging, privacy-preserving APIs de Google, topics API) est recommandée pour réduire la dépendance aux consentements.
Un cookie wall - système conditionnel l'accès à un site à l'acceptation des cookies - n'est légal en France que sous des conditions très strictes définies par la CNIL dans sa délibération n°2022-092 du 7 juillet 2022 sur les conditions de validité du consentement à l'utilisation des cookies. La CNIL considère qu'un cookie wall viole le caractère libre du consentement (RGPD art. 4.11 et 7 : le consentement ne peut pas être lié à l'exécution d'un contrat dont les cookies ne sont pas nécessaires) si l'utilisateur n'a pas d'alternative réelle à l'acceptation des cookies. Un cookie wall peut être légal si une alternative équitable est offerte : accès payant au site sans cookies (à un prix raisonnable et non dissuasif), accès via un autre service ou canal sans cookies, ou tout autre alternative permettant d'accéder au même contenu sans consentement aux cookies. Le Comité européen de la protection des données (CEPD) a adopté en mai 2023 des lignes directrices 05/2020 (mise à jour 2023) qui précisent que le consentement obtenu sous pression d'un cookie wall n'est pas valide si l'absence d'alternative rend le refus préjudiciable. Pour la France : la CNIL a réalisé des contrôles en ligne et a mis en demeure plusieurs sites de médias et de presse qui utilisaient des cookie walls sans alternative suffisante, notamment des sites de presse régionale qui conditionnaient la lecture des articles à l'acceptation des cookies publicitaires sans proposer d'abonnement payant à un prix raisonnable.
La preuve de la conformité du bandeau de cookies lors d'un contrôle CNIL repose sur plusieurs éléments de documentation. La preuve du consentement : votre CMP (Consent Management Platform) doit enregistrer et conserver les preuves de consentement : horodatage précis, identifiant de session ou de l'utilisateur anonymisé, version du bandeau affiché, choix effectué (accepté, refusé, catégories acceptées). Ces preuves doivent être conservées pendant au moins la durée de validité du consentement (13 mois) et être accessibles sur demande de la CNIL. L'audit des cookies : conservez les rapports de scan de cookies réalisés avant chaque modification significative du site, montrant la liste complète des cookies déposés avant et après consentement. La conformité technique : documentez la configuration de votre CMP (capture d'écrans, paramètres exportés) et la liste des scripts bloqués avant consentement. Des enregistrements de sessions vidéo montrant l'expérience utilisateur lors de la première visite (bandeau affiché, impossibilité de charger des cookies non essentiels avant le choix) constituent des preuves utiles. La CNIL procède à ses contrôles via des outils automatisés (Cookie Inspector disponible sur linc.cnil.fr pour auto-évaluation) et des contrôles manuels avec capture d'écran des bandeaux et inspection des cookies via les DevTools du navigateur. Les CMP certifiées par la CNIL offrent une présomption de conformité : la liste des CMP certifiées est disponible sur cnil.fr/fr/cookies-et-traceurs. Conservez également toutes les versions successives de votre Politique Cookies et les dates de mise à jour pour démontrer votre démarche de conformité continue.
Oui, la réglementation française sur les cookies et traceurs s'applique par analogie aux applications mobiles en France, conformément à la Loi Informatique et Libertés n°78-17 art. 82 et aux recommandations de la CNIL publiées en 2022. La CNIL a publié en 2022 des recommandations spécifiques sur la conformité des applications mobiles au RGPD qui précisent l'application du régime des traceurs aux applications mobiles. Pour les applications iOS, la principale règle est celle d'Apple App Tracking Transparency (ATT framework), imposée depuis iOS 14.5 (avril 2021) : toute application souhaitant accéder à l'IDFA (Identifier for Advertisers) doit afficher une demande de permission via la boîte de dialogue ATT native d'iOS avant de collecter l'IDFA à des fins publicitaires. Pour les applications Android, l'AAID (Android Advertising ID) peut être réinitialisé ou désactivé par l'utilisateur dans les paramètres de l'appareil. Les applications mobiles qui utilisent des SDK d'analyse (Firebase Analytics, Amplitude, Mixpanel) ou publicitaires (Meta Audience Network, Google AdMob) doivent recueillir le consentement préalable des utilisateurs, idéalement via un bandeau de consentement in-app conforme au RGPD. La politique de cookies et de confidentialité de l'application doit être accessible depuis la fiche de l'App Store (iOS) et du Google Play Store (Android) conformément aux règles de ces plateformes. Apple et Google exigent une URL de politique de confidentialité valide pour toute application collectant des données. La CNIL recommande que les applications mobiles soumettent leurs pratiques de traçage à une évaluation d'impact sur la vie privée (DPIA, RGPD art. 35) si elles traitent des données à grande échelle.
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Politique de Confidentialité RGPD France
Modèle de Politique de Confidentialité RGPD conforme au Règlement UE 2016/679 art. 13-14 et à la Loi Informatique et Libertés n°78-17, sous contrôle CNIL. Bases légales, droits des personnes, délégué à la protection des données, transferts internationaux.
Mentions Légales de Site Web (LCEN) France
Modèle de Mentions Légales de site web français conforme à la Loi n°2004-575 du 21 juin 2004 (LCEN) art. 6-III. Identification de l'éditeur, hébergeur, directeur de publication. Sanctions pénales applicables en cas d'absence.
Conditions Générales de Vente B2C (E-commerce) France
Modèle complet de Conditions Générales de Vente B2C pour site e-commerce français conforme au Code de la consommation art. L221-1 à L221-28, à la LCEN n°2004-575 et au RGPD. Délai de rétractation 14 jours, mentions obligatoires, protection consommateur.