Le consentement aux cookies est-il obligatoire pour tous les cookies en France ?

Non, le consentement aux cookies n'est pas obligatoire pour tous les cookies. La délibération CNIL n°2020-091 du 17 septembre 2020 distingue deux catégories. Les cookies strictement nécessaires au service expressément demandé par l'utilisateur sont exemptés de consentement : cookies de session (PHPSESSID), cookies d'authentification (remember_me), cookies de panier e-commerce, cookies de sécurité anti-CSRF (Cross-Site Request Forgery), cookie de mémorisation du choix de consentement (consent, CookieConsent), préférences de langue. Ces cookies peuvent être déposés sans consentement préalable car ils sont indispensables au fonctionnement du service demandé par l'utilisateur. Les cookies non strictement nécessaires requièrent le consentement préalable et explicite de l'utilisateur : cookies de mesure d'audience (Google Analytics, Adobe Analytics, Matomo non anonymisé), cookies de réseaux sociaux (Meta Pixel, boutons Like/Share), cookies de publicité ciblée et de retargeting (Google Ads, LinkedIn Insight Tag, TikTok Pixel), cookies de personnalisation non essentiels. La CNIL a précisé que certains outils de mesure d'audience configurés de manière très restrictive (Matomo sans cookie, avec anonymisation IP complète et sans croisement de données) peuvent bénéficier d'une exemption de consentement. Google Analytics ne peut pas bénéficier de cette exemption selon la CNIL en raison des transferts de données vers les États-Unis.

Que risque-t-on si le site n'est pas conforme aux règles CNIL sur les cookies ?

La non-conformité aux règles CNIL sur les cookies expose à des sanctions sévères. La CNIL peut prononcer des avertissements, des mises en demeure avec délai de mise en conformité, des injonctions de mise en conformité sous astreinte (jusqu'à 100 000 euros par jour de retard), et des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de violation des principes fondamentaux du RGPD (art. 83.5 du Règlement UE 2016/679). La CNIL publie ses décisions de sanction (naming and shaming), ce qui peut entraîner une perte de confiance des utilisateurs et une couverture médiatique négative. Amendes prononcées pour non-conformité des bandeaux cookies : Google : 150 millions euros (21 janvier 2022) pour absence de bouton Refuser aussi accessible que Accepter sur google.fr et YouTube ; Facebook : 60 millions euros (21 janvier 2022) pour les mêmes raisons sur facebook.com ; Microsoft : 60 millions euros (16 mars 2023) pour bing.fr ; TikTok : 5 millions euros (29 juin 2023) ; Amazon : 35 millions euros (2021). Outre les sanctions CNIL, des tiers (concurrents, associations de consommateurs comme NOYB ou la Quadrature du Net) peuvent déposer une plainte auprès de la CNIL ou agir en justice pour faire cesser les pratiques non conformes. Les contrôles CNIL en ligne sont réalisés automatiquement par des outils de scan, rendant la détection des non-conformités systématique.

Google Analytics est-il légal en France après les décisions CNIL 2022 ?

L'utilisation de Google Analytics sur un site web en France est possible depuis le 10 juillet 2023 sous certaines conditions, suite à l'adoption par la Commission européenne d'une décision d'adéquation pour les États-Unis (Data Privacy Framework - DPF) reconnaissant un niveau de protection équivalent au RGPD pour les transferts de données vers les entreprises américaines certifiées. Google LLC est certifiée DPF depuis le 10 juillet 2023 (vérifiable sur dataprivacyframework.gov). Cette certification rend les transferts de données de navigation vers les serveurs de Google aux États-Unis licites au titre de l'article 45 du RGPD. Cependant, Google Analytics demeure soumis aux autres règles du RGPD et de la délibération CNIL 2020-091 : le recueil du consentement préalable est obligatoire avant le chargement du script GA4, le bouton Refuser doit être aussi accessible que le bouton Accepter sur le bandeau de consentement, la durée de vie des cookies GA4 doit être paramétrée à 13 mois maximum, et les données de navigation ne doivent pas être croisées avec d'autres sources sans base légale distincte. La CNIL a maintenu ses lignes directrices sur la nécessité du consentement pour GA4, indépendamment de la question des transferts internationaux. Pour éviter ces contraintes, Matomo configuré en mode exempté (sans cookie, anonymisation IP, sans partage de données avec des tiers) reste l'alternative souveraine recommandée par la CNIL.

Quelle est la différence entre un cookie first-party et un cookie third-party ?

La distinction entre cookies first-party (première partie) et cookies third-party (tierce partie) est fondamentale pour la gestion du consentement conformément à la délibération CNIL n°2020-091 du 17 septembre 2020. Un cookie first-party est déposé par le domaine du site visité lui-même : par exemple, le site example.fr dépose un cookie sur le domaine .example.fr ou example.fr. Ces cookies sont généralement utilisés pour les fonctionnalités du site (session, préférences, panier) et pour les outils d'analyse configurés sur le propre domaine (Google Analytics configuré en server-side tagging sur analytics.example.fr). Un cookie third-party est déposé par un domaine différent de celui du site visité : par exemple, le site example.fr intègre un script Google Analytics qui dépose un cookie sur le domaine .google.com, ou intègre un bouton Facebook qui dépose un cookie sur .facebook.com. Ces cookies tiers permettent aux éditeurs tiers (Google, Meta, LinkedIn) de suivre la navigation de l'utilisateur sur tous les sites qui ont intégré leurs scripts, même sans interaction directe de l'utilisateur avec ces éléments. La distinction est importante car : (1) les cookies tiers nécessitent toujours le consentement préalable (pas d'exemption possible) ; (2) les navigateurs modernes bloquent progressivement les cookies tiers (Safari depuis 2017 avec ITP, Firefox avec ETP depuis 2019, Chrome annonce une suppression totale des cookies tiers). La transition vers des architectures sans cookies tiers (server-side tagging, privacy-preserving APIs de Google, topics API) est recommandée pour réduire la dépendance aux consentements.

Un cookie wall est-il légal en France ?

Un cookie wall - système conditionnel l'accès à un site à l'acceptation des cookies - n'est légal en France que sous des conditions très strictes définies par la CNIL dans sa délibération n°2022-092 du 7 juillet 2022 sur les conditions de validité du consentement à l'utilisation des cookies. La CNIL considère qu'un cookie wall viole le caractère libre du consentement (RGPD art. 4.11 et 7 : le consentement ne peut pas être lié à l'exécution d'un contrat dont les cookies ne sont pas nécessaires) si l'utilisateur n'a pas d'alternative réelle à l'acceptation des cookies. Un cookie wall peut être légal si une alternative équitable est offerte : accès payant au site sans cookies (à un prix raisonnable et non dissuasif), accès via un autre service ou canal sans cookies, ou tout autre alternative permettant d'accéder au même contenu sans consentement aux cookies. Le Comité européen de la protection des données (CEPD) a adopté en mai 2023 des lignes directrices 05/2020 (mise à jour 2023) qui précisent que le consentement obtenu sous pression d'un cookie wall n'est pas valide si l'absence d'alternative rend le refus préjudiciable. Pour la France : la CNIL a réalisé des contrôles en ligne et a mis en demeure plusieurs sites de médias et de presse qui utilisaient des cookie walls sans alternative suffisante, notamment des sites de presse régionale qui conditionnaient la lecture des articles à l'acceptation des cookies publicitaires sans proposer d'abonnement payant à un prix raisonnable.

Comment prouver la conformité de mon bandeau cookies lors d'un contrôle CNIL ?

La preuve de la conformité du bandeau de cookies lors d'un contrôle CNIL repose sur plusieurs éléments de documentation. La preuve du consentement : votre CMP (Consent Management Platform) doit enregistrer et conserver les preuves de consentement : horodatage précis, identifiant de session ou de l'utilisateur anonymisé, version du bandeau affiché, choix effectué (accepté, refusé, catégories acceptées). Ces preuves doivent être conservées pendant au moins la durée de validité du consentement (13 mois) et être accessibles sur demande de la CNIL. L'audit des cookies : conservez les rapports de scan de cookies réalisés avant chaque modification significative du site, montrant la liste complète des cookies déposés avant et après consentement. La conformité technique : documentez la configuration de votre CMP (capture d'écrans, paramètres exportés) et la liste des scripts bloqués avant consentement. Des enregistrements de sessions vidéo montrant l'expérience utilisateur lors de la première visite (bandeau affiché, impossibilité de charger des cookies non essentiels avant le choix) constituent des preuves utiles. La CNIL procède à ses contrôles via des outils automatisés (Cookie Inspector disponible sur linc.cnil.fr pour auto-évaluation) et des contrôles manuels avec capture d'écran des bandeaux et inspection des cookies via les DevTools du navigateur. Les CMP certifiées par la CNIL offrent une présomption de conformité : la liste des CMP certifiées est disponible sur cnil.fr/fr/cookies-et-traceurs. Conservez également toutes les versions successives de votre Politique Cookies et les dates de mise à jour pour démontrer votre démarche de conformité continue.

La réglementation cookies s'applique-t-elle aussi aux applications mobiles en France ?

Oui, la réglementation française sur les cookies et traceurs s'applique par analogie aux applications mobiles en France, conformément à la Loi Informatique et Libertés n°78-17 art. 82 et aux recommandations de la CNIL publiées en 2022. La CNIL a publié en 2022 des recommandations spécifiques sur la conformité des applications mobiles au RGPD qui précisent l'application du régime des traceurs aux applications mobiles. Pour les applications iOS, la principale règle est celle d'Apple App Tracking Transparency (ATT framework), imposée depuis iOS 14.5 (avril 2021) : toute application souhaitant accéder à l'IDFA (Identifier for Advertisers) doit afficher une demande de permission via la boîte de dialogue ATT native d'iOS avant de collecter l'IDFA à des fins publicitaires. Pour les applications Android, l'AAID (Android Advertising ID) peut être réinitialisé ou désactivé par l'utilisateur dans les paramètres de l'appareil. Les applications mobiles qui utilisent des SDK d'analyse (Firebase Analytics, Amplitude, Mixpanel) ou publicitaires (Meta Audience Network, Google AdMob) doivent recueillir le consentement préalable des utilisateurs, idéalement via un bandeau de consentement in-app conforme au RGPD. La politique de cookies et de confidentialité de l'application doit être accessible depuis la fiche de l'App Store (iOS) et du Google Play Store (Android) conformément aux règles de ces plateformes. Apple et Google exigent une URL de politique de confidentialité valide pour toute application collectant des données. La CNIL recommande que les applications mobiles soumettent leurs pratiques de traçage à une évaluation d'impact sur la vie privée (DPIA, RGPD art. 35) si elles traitent des données à grande échelle.

Politique Cookies (Consentement) France

Politique Cookies (Consentement)

POLITIQUE COOKIES ET TRACEURS

Conformément au Règlement (UE) 2016/679 (RGPD) art. 5.1, à la Loi n°78-17 du 6 janvier 1978 (Informatique et Libertés) art. 82, et à la délibération de la CNIL n°2020-091 du 17 septembre 2020 portant lignes directrices relatives aux cookies et autres traceurs.

1 — Qu'est-ce qu'un cookie ?

1. QU'EST-CE QU'UN COOKIE OU TRACEUR ?

1.1 Un cookie (ou traceur) est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lorsque vous visitez le site «[Nom Site]». Les cookies permettent de mémoriser des informations sur votre navigation, vos préférences, ou encore de mesurer l'audience du site.

1.2 Conformément à la Loi n°78-17 art. 82 (transposition de la Directive 2002/58/CE dite ePrivacy) et aux lignes directrices de la Commission nationale de l'informatique et des libertés (CNIL) du 17 septembre 2020 (délibération n°2020-091), certains cookies nécessitent votre consentement préalable, libre, spécifique, éclairé et univoque avant d'être déposés sur votre terminal.

1.3 Responsable de traitement : [Editeur Nom] (contact privacy : [Editeur Email]).

2 — Catégories de cookies

2. CATÉGORIES DE COOKIES UTILISÉS SUR «[Nom Site]»

2.1 Cookies strictement nécessaires (exemptés de consentement)

Ces cookies sont indispensables au fonctionnement du site et ne peuvent pas être désactivés. Ils sont utilisés pour : mémoriser votre session et vos préférences de navigation, assurer la sécurité (protection CSRF — Cross-Site Request Forgery), maintenir votre panier d'achat. Ils ne collectent aucune information permettant de vous identifier à des fins publicitaires. Base légale : intérêt légitime de l'éditeur (RGPD art. 6.1.f) — exemptés du recueil du consentement (CNIL délibération n°2020-091). Durée : session ou jusqu'à 13 mois maximum.

2.2 Cookies de mesure d'audience et performance (consentement requis)

Ces cookies permettent de mesurer la fréquentation du site et d'analyser le comportement des visiteurs pour améliorer l'expérience utilisateur. Outils utilisés : [Outil Analytique]. Données collectées : pages visitées, durée de visite, source de trafic, appareil utilisé. Ces données sont agrégées et ne permettent pas d'identifier individuellement les visiteurs. Durée maximum de conservation : [Duree Conservation Cookies] mois (CNIL délibération n°2020-091). Base légale : consentement (RGPD art. 6.1.a).

2.3 Cookies publicitaires et de reciblage (consentement requis)

Ces cookies permettent d'afficher des publicités personnalisées en fonction de votre navigation et de mesurer l'efficacité des campagnes publicitaires. Ils peuvent être déposés par des tiers (régies publicitaires, plateformes sociales). Base légale : consentement (RGPD art. 6.1.a). Durée maximum : [Duree Conservation Cookies] mois.

2.4 Cookies réseaux sociaux (consentement requis)

Les boutons de partage sur les réseaux sociaux présents sur le site peuvent déposer des cookies tiers au moment de leur affichage. Ces cookies permettent aux réseaux sociaux (Facebook, LinkedIn, Twitter/X, Instagram) de suivre votre navigation. Ils ne sont activés qu'avec votre consentement préalable.

3 — Consentement et gestion des préférences

3. OBTENTION ET GESTION DU CONSENTEMENT

3.1 Conformément aux exigences de la CNIL (délibération n°2020-091 et recommandation du 17 septembre 2020), le site «[Nom Site]» affiche un bandeau de consentement (cookie wall) lors de votre première visite, vous permettant de :

— Accepter tous les cookies ;

— Refuser tous les cookies non essentiels en un seul clic (le refus doit être aussi simple que l'acceptation) ;

— Personnaliser vos choix par catégorie de cookies.

3.2 Votre consentement est valable pour une durée de [Validite Consentement] mois, après quoi le bandeau réapparaît pour confirmer vos préférences. Vous pouvez modifier vos préférences à tout moment via le lien «Gérer mes cookies» présent en bas de chaque page du site.

3.3 Outil de gestion du consentement (CMP) utilisé : [Cmp Utilise].

3.4 Le refus des cookies non essentiels ne diminue pas la qualité des services fondamentaux du site. Les cookies walls (accès conditionné à l'acceptation de tous les cookies) sont interdits par la CNIL sauf si une alternative équivalente (payante ou non) est proposée (délibération CNIL n°2022-093 du 5 juillet 2022).

4 — Paramétrage du navigateur

4. PARAMÉTRAGE DES COOKIES DANS VOTRE NAVIGATEUR

En complément du panneau de gestion du consentement du site, vous pouvez paramétrer votre navigateur pour bloquer, accepter ou supprimer les cookies directement :

— Google Chrome : Paramètres > Confidentialité et sécurité > Cookies et autres données de sites

— Mozilla Firefox : Options > Vie privée et sécurité > Cookies et données de sites

— Apple Safari : Préférences > Confidentialité > Cookies et données de sites web

— Microsoft Edge : Paramètres > Cookies et autorisations de site

La désactivation de certains cookies peut affecter le fonctionnement du site ou réduire votre expérience de navigation. Pour la publicité comportementale, vous pouvez également utiliser les outils de désinscription des membres de la Digital Advertising Alliance (DAA) ou de l'Interactive Advertising Bureau (IAB) Europe via youronlinechoices.eu.

5 — Vos droits

5. VOS DROITS SUR LES DONNÉES LIÉES AUX COOKIES

Conformément au RGPD (art. 15 à 22) et à la Loi n°78-17, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur les données collectées via les cookies. Pour exercer ces droits ou pour toute question relative aux cookies : [Editeur Email].

Vous avez également le droit de déposer une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

6 — Mises à jour

6. MISES À JOUR DE LA POLITIQUE COOKIES

La présente politique cookies est susceptible d'être modifiée pour tenir compte des évolutions légales (notamment en cas de modification des délibérations CNIL, de la Directive ePrivacy ou du RGPD) ou des évolutions des outils utilisés sur le site.

Date de dernière mise à jour : [Date Entree Vigueur].

Éditeur : [Editeur Nom] — [Editeur Email]

L'Éditeur

________________

Signature

Maintenu par Vladislav Sergienko, Fondateur·Modèle modifié pour la dernière fois: 2026-06-23·Signaler une erreur

Qu'est-ce qu'un Politique Cookies (Consentement) France ?

La politique de cookies est, en droit français, le document qui informe les internautes des traceurs déposés et recueille leur consentement, régie par l'article 82 de la loi Informatique et Libertés n°78-17 et les lignes directrices de la CNIL.

Un cookie est un fichier texte placé sur le terminal de l'utilisateur (ordinateur, tablette, smartphone) lors de sa navigation sur un site internet, qui permet de reconnaître le terminal lors de visites ultérieures ou de collecter des informations de navigation. La délibération CNIL n°2020-091 distingue deux grandes catégories de traceurs selon leur fonction. Les traceurs strictement nécessaires au service (exemptés de consentement) : cookies de session, identifiants de panier d'achat e-commerce, cookies d'authentification, cookies de préférence linguistique, cookies de sécurité anti-CSRF (Cross-Site Request Forgery), mémorisation du choix de consentement (cookie CMP). Les traceurs non strictement nécessaires (soumis au consentement préalable) : cookies de mesure d'audience (Google Analytics, Matomo non anonymisé, Piano Analytics), cookies de personnalisation, cookies de réseaux sociaux (boutons Like, Share, Tweet), cookies de publicité ciblée et de retargeting (Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel).

La principale évolution introduite par la délibération CNIL 2020-091 concerne le mécanisme de recueil du consentement. Le simple fait de continuer la navigation sur le site ne peut plus valoir consentement (fin du consentement implicite). Les exigences du consentement RGPD (art. 4.11) s'appliquent pleinement : le consentement doit être libre, spécifique, éclairé et univoque. La délibération CNIL 2020-091 impose que le refus du consentement soit aussi simple que son acceptation : un bouton « Refuser » ou « Continuer sans accepter » doit être aussi visible et accessible que le bouton « Accepter » sur le bandeau de consentement (CMP - Consent Management Platform). Les « cookie walls » (accès conditionnel au site à l'acceptation des cookies) sont admis de manière très restrictive, uniquement si une alternative sans cookies est offerte.

La Politique Cookies doit être distincte de la Politique de Confidentialité RGPD principale, bien qu'elles soient complémentaires. La Politique Cookies décrit spécifiquement les traceurs utilisés, leur durée de vie, leurs finalités et les modalités d'exercice des droits en matière de cookies. Elle est matérialisée par le bandeau de consentement (CMP) accessible dès la première visite et par une page dédiée accessible depuis le footer du site. La durée maximale de conservation des données collectées via les cookies soumis à consentement est de 13 mois à compter du dépôt du cookie (délibération CNIL 2020-091). Voir aussi la Politique de Confidentialité RGPD et les Mentions Légales pour un dispositif juridique complet du site web en France.

Quand avez-vous besoin d'un Politique Cookies (Consentement) France ?

La Politique Cookies en France est obligatoire dès lors qu'un site internet utilise des traceurs qui ne sont pas strictement nécessaires au fonctionnement du service, conformément à l'article 82 de la Loi Informatique et Libertés n°78-17 et à la délibération CNIL n°2020-091 du 17 septembre 2020.

Sites utilisant Google Analytics ou des outils de mesure d'audience. Google Analytics (GA4 comme les versions précédentes), Adobe Analytics, Piano Analytics, Matomo non anonymisé, Amplitude et la plupart des outils de mesure d'audience sont des cookies non strictement nécessaires qui requièrent le consentement préalable de l'utilisateur. La CNIL a conclu après analyses en 2022 que Google Analytics transmettait des données vers les États-Unis sans garanties suffisantes (arrêt Schrems II) et a prononcé des mises en demeure contre des sites français utilisant Google Analytics. Une Politique Cookies avec bandeau de consentement conforme est obligatoire pour continuer à utiliser ces outils. Matomo configuré en mode anonymisé (sans cookie et sans adresse IP complète) peut être exempté de consentement selon la délibération CNIL 2020-091.

Sites avec publicité ciblée et retargeting. Tout site internet utilisant des pixels publicitaires (Meta Pixel, Google Ads, LinkedIn Insight Tag, TikTok Pixel, Twitter Pixel) pour le retargeting ou la mesure des conversions publicitaires doit recueillir le consentement préalable de l'utilisateur via un bandeau de cookies conforme. Ces pixels peuvent collecter des données de navigation de l'utilisateur et les transmettre aux régies publicitaires pour cibler les publicités sur d'autres sites et plateformes. La CNIL a sanctionné plusieurs sites en 2022-2024 pour utilisation de Meta Pixel sans consentement valide.

Sites e-commerce avec personnalisation. Les sites e-commerce qui utilisent des cookies de personnalisation (recommandation de produits basée sur l'historique de navigation, personnalisation de la page d'accueil, mémorisation des préférences d'affichage) doivent disposer d'une Politique Cookies et d'un bandeau de consentement. Les cookies de panier d'achat, d'authentification et de session sont en revanche exemptés de consentement car strictement nécessaires à la fourniture du service de commerce électronique.

Sites avec boutons de partage de réseaux sociaux. Les boutons de partage des réseaux sociaux (Like Facebook, Tweet Twitter, Share LinkedIn, +1 Google) intègrent des scripts JavaScript qui déposent des cookies de traçage sur le terminal de l'utilisateur même si celui-ci n'interagit pas avec le bouton. Ces cookies permettent aux réseaux sociaux de suivre la navigation de l'utilisateur sur tous les sites qui ont intégré ces boutons. La CNIL a confirmé en 2021 que ces boutons nécessitent le consentement préalable de l'utilisateur. Pour éviter cela : utilisez des boutons de partage statiques (share2) qui n'activent le script de réseau social que sur clic de l'utilisateur (privacy-by-default).

Applications mobiles collectant des données de localisation ou des identifiants publicitaires. Les applications mobiles qui accèdent à la localisation GPS, aux contacts, à l'IDFA (iOS) ou à l'Android Advertising ID (AAID) pour des finalités publicitaires ou analytiques sont soumises aux obligations de consentement. Apple App Tracking Transparency (ATT framework) impose depuis iOS 14.5 (avril 2021) un consentement explicite pour l'accès à l'IDFA. La CNIL a précisé en 2022 que les exigences de son référentiel cookies s'appliquent par analogie aux applications mobiles.

Que faut-il inclure dans votre Politique Cookies (Consentement) France ?

La Politique Cookies conforme en France doit couvrir plusieurs éléments essentiels pour satisfaire aux exigences du RGPD et de la délibération CNIL n°2020-091 du 17 septembre 2020.

Inventaire complet des cookies et traceurs (délibération CNIL 2020-091). Liste exhaustive de tous les cookies déposés sur le terminal de l'utilisateur : nom du cookie, éditeur (première partie ou tierce partie), finalité (session, préférence, analytique, publicitaire), durée de vie (de session à 13 mois maximum pour les cookies consentis, durée limitée pour les cookies de session). La liste doit être mise à jour à chaque changement de cookies utilisés (ajout d'un nouvel outil d'analyse, intégration d'un nouveau réseau publicitaire). La CNIL recommande d'utiliser un outil de scan de cookies (Cookiebot Scanner, OneTrust CookieScan, CookieFirst Scanner) pour détecter automatiquement tous les cookies déposés. Une liste inexacte ou incomplète est une violation de l'obligation d'information du RGPD.

Catégorisation des cookies (exemptés vs consentement requis). Catégorie 1 - Cookies strictement nécessaires (exemptés de consentement) : cookies de session (PHPSESSID, JSESSIONID), cookies d'authentification, cookies de panier e-commerce, cookie de mémorisation du choix de consentement (consent, CookieConsent, tc_cnil), cookies CSRF, cookies de préférence de langue. Catégorie 2 - Cookies de mesure d'audience (consentement requis ou exemption CNIL si configurés en mode anonymisé) : Google Analytics (_ga, _gid, _gat), Adobe Analytics, Piano Analytics, Matomo, Amplitude, Mixpanel. Catégorie 3 - Cookies de personnalisation (consentement requis) : cookies de recommandation de produits, cookies de personnalisation de l'interface. Catégorie 4 - Cookies de réseaux sociaux (consentement requis) : fbp (Meta Pixel), _fbp, LinkedIn Insight Tag, Twitter Pixel, TikTok Pixel, Snapchat Pixel. Catégorie 5 - Cookies publicitaires (consentement requis) : Google Ads (_gcl_au), DoubleClick, criteo_write_test, Yahoo advertising.

Mécanisme de recueil et de preuve du consentement (RGPD art. 7 et délibération CNIL 2020-091). Bandeau de consentement (CMP) affiché dès la première visite, avant tout dépôt de cookie non essentiel. Bouton « Accepter tout » et bouton « Refuser » ou « Continuer sans accepter » aussi visibles et accessibles l'un que l'autre. Possibilité de consentement granulaire par catégorie (Accepter uniquement les cookies fonctionnels, Accepter les cookies d'analyse, Accepter les cookies publicitaires). Conservez la preuve du consentement : horodatage, version de la CMP, choix effectué, identifiant de session. Les CMP certifiées par la CNIL offrent une présomption de conformité. Solutions CMP certifiées ou conformes : Axeptio (FR), Cookiebot (DK), OneTrust, TrustArc, Didomi (FR), CookieFirst, Quantcast Choice. Le modèle disponible sur forms-legal.com accompagne les utilisateurs dans la rédaction de la politique textuelle complémentaire au bandeau de consentement.

Durée de validité du consentement et renouvellement. La délibération CNIL 2020-091 fixe la durée maximale de validité du consentement à 13 mois. Passé ce délai, le consentement de l'utilisateur doit être recueilli à nouveau. La durée de vie maximale des cookies soumis à consentement est également de 13 mois. Un mécanisme de renouvellement automatique du bandeau de consentement à l'échéance des 13 mois doit être intégré dans la CMP. La durée de conservation du choix de refus est également de 6 mois selon la recommandation CNIL, pour permettre à l'utilisateur de réviser sa décision sans être importuné trop souvent.

Droit de retrait du consentement et d'opposition (RGPD art. 7.3 et 21). Possibilité pour l'utilisateur de retirer son consentement à tout moment aussi facilement qu'il l'a accordé : icône de gestion des cookies en bas de page (généralement représentée par un logo de cookie ou une icône paramètres), accessible depuis toutes les pages du site. Interface de gestion des préférences permettant de désactiver chaque catégorie de cookies indépendamment. Pour les cookies publicitaires : information sur le droit d'opt-out des régies publicitaires (Google Ads : adssettings.google.com ; Meta : facebook.com/ads/settings ; YOC : youronlinechoices.eu). Les instructions pour supprimer les cookies depuis les paramètres du navigateur (Chrome, Firefox, Safari, Edge) doivent être fournies. La Cour administrative d'appel de Paris (CAA Paris, 23 juin 2022) a confirmé que l'impossibilité pratique de retirer son consentement aux cookies constitue une violation du RGPD.

Gestion des cookies tiers (sous-traitants et régies publicitaires). Liste des prestataires tiers qui déposent des cookies via le site (Google, Meta, LinkedIn, TikTok, Criteo, Amazon, etc.) avec liens vers leurs propres politiques de cookies et d'opt-out. Pour chaque prestataire tiers : finalité, durée de vie des cookies, lien vers la politique de confidentialité et l'outil d'opt-out propre au prestataire. Pour les transferts de données vers les États-Unis : mention du mécanisme de transfert applicable (Data Privacy Framework UE-États-Unis depuis le 10 juillet 2023 pour les prestataires certifiés, clauses contractuelles types pour les autres). La CNIL vérifie régulièrement la conformité des CMP et des politiques cookies lors de ses contrôles en ligne.

Politique de cookies pour les applications mobiles. Pour les applications mobiles iOS et Android, la politique de cookies doit être adaptée pour couvrir les identifiants spécifiques aux plateformes mobiles : IDFA (Identifier for Advertisers) sur iOS, Android Advertising ID (AAID) sur Android. Depuis iOS 14.5 (avril 2021), Apple App Tracking Transparency (ATT) impose un consentement explicite pour l'accès à l'IDFA. La politique de cookies de l'application doit être accessible depuis la fiche de l'application sur l'App Store et le Google Play Store, et depuis les paramètres de l'application.

Comment remplir votre Politique Cookies (Consentement) France

Rédiger une Politique Cookies conforme en France nécessite d'auditer d'abord tous les traceurs utilisés, puis de choisir une solution de gestion du consentement (CMP) adaptée.

Étape 1 - Audit complet des cookies utilisés. Utilisez un outil de scan automatisé pour identifier tous les cookies déposés sur votre site (Cookiebot Scanner sur cookiebot.com/fr/scan, OneTrust CookieScan, CookieFirst Scanner, outil CNIL sur linc.cnil.fr). L'audit doit couvrir : le domaine principal, les sous-domaines, les pages dynamiques (après connexion, après ajout au panier). Relevez pour chaque cookie : son nom, son domaine, sa durée de vie, son type (session, persistant), sa finalité, son éditeur (première partie ou tierce partie).

Étape 2 - Catégorisation des cookies identifiés. Classez chaque cookie dans l'une des catégories définies par la délibération CNIL 2020-091 : strictement nécessaires (exemptés de consentement), fonctionnels/préférence, mesure d'audience, réseaux sociaux, publicité/ciblage. Pour les cookies d'analyse : vérifiez si Matomo peut être configuré en mode exempté (configuration sans cookie, anonymisation IP, sans partage de données). Pour Google Analytics GA4 : toujours soumis à consentement.

Étape 3 - Choix et paramétrage d'une CMP (Consent Management Platform). Sélectionnez une CMP conforme aux recommandations CNIL (solutions certifiées CNIL disponibles sur cnil.fr/fr/RGPD-les-outils-cnil). Solutions françaises : Axeptio (axeptio.eu), Didomi (didomi.io). Solutions internationales reconnues : Cookiebot (cookiebot.com), OneTrust, CookieFirst. Paramétrez la CMP avec : le texte du bandeau conforme aux recommandations CNIL (bouton Refuser aussi visible que Accepter, texte informatif, accès aux paramètres avancés), les catégories de cookies, les scripts à déclencher selon le consentement accordé, la durée de validité du consentement (13 mois maximum), la langue (français obligatoire pour les sites ciblant la France).

Étape 4 - Rédaction de la page Politique Cookies. Rédigez une page dédiée à la Politique Cookies accessible depuis le lien dans le bandeau de consentement et depuis le pied de page du site. Cette page doit contenir : l'introduction expliquant ce que sont les cookies et pourquoi vous les utilisez, le tableau des cookies par catégorie (nom, éditeur, finalité, durée), les instructions pour exercer son droit d'opposition (modifier les préférences via la CMP, opt-out des régies publicitaires, paramètres du navigateur), les coordonnées de contact pour toute question sur la gestion des cookies, un lien vers la Politique de Confidentialité RGPD principale.

Étape 5 - Test du bandeau de consentement et vérification de conformité. Testez le bandeau de consentement en mode navigation privée sur différents navigateurs et appareils (desktop, mobile) : vérifiez que les cookies non essentiels ne sont pas déposés avant l'acceptation du consentement (vérification dans l'onglet Application > Cookies des DevTools du navigateur) ; vérifiez que le bouton Refuser est aussi visible et accessible que le bouton Accepter ; vérifiez que le retrait du consentement est possible facilement depuis toutes les pages ; vérifiez que la CMP se rouvre après 13 mois pour recueillir à nouveau le consentement. La CNIL propose sur linc.cnil.fr un outil de contrôle Cookie Inspector pour simuler un contrôle CNIL.

Étape 6 - Mise à jour de la Politique Cookies lors de chaque changement. Mettez à jour la Politique Cookies à chaque ajout ou suppression de script ou plugin tiers sur votre site (ajout d'un pixel Facebook, changement d'outil d'analyse, intégration d'une nouvelle plateforme de chat). Relancez un scan de cookies après chaque modification significative du site. Conservez un historique des versions de la Politique Cookies et du paramétrage de la CMP pour les audits CNIL éventuels.

Exigences juridiques pour Politique Cookies (Consentement) France

La Politique Cookies en France est soumise à un cadre légal strict avec des sanctions significatives pour les violations.

Obligation de consentement préalable (Loi Informatique et Libertés art. 82). L'article 82 de la Loi Informatique et Libertés n°78-17 modifiée transpose l'article 5.3 de la Directive ePrivacy 2002/58/CE et impose que tout dépôt ou lecture de cookie sur le terminal de l'utilisateur, sauf cookies strictement nécessaires, soit subordonné au consentement préalable de l'utilisateur. Ce consentement doit satisfaire aux exigences du RGPD art. 4.11 : libre, spécifique, éclairé et univoque. La délibération CNIL n°2020-091 du 17 septembre 2020 précise les conditions de conformité du mécanisme de recueil du consentement. Le non-respect de l'obligation de consentement préalable expose à des sanctions de la CNIL pouvant atteindre 20 millions d'euros ou 4 % du CA mondial (RGPD art. 83.5).

Conformité du bandeau de consentement (délibération CNIL 2020-091). Le bandeau de consentement (CMP) doit répondre aux critères suivants pour être conforme à la délibération CNIL 2020-091 : (1) le refus doit être aussi simple que l'acceptation (bouton Refuser aussi visible que Accepter) ; (2) le fait de continuer la navigation ne vaut pas consentement ; (3) les finalités des cookies doivent être présentées clairement et de manière accessible (pas de formulations techniques obscures) ; (4) le consentement doit être granulaire par catégorie (l'utilisateur peut accepter certaines catégories et en refuser d'autres) ; (5) la preuve du consentement doit être conservée (horodatage, version de la politique, identifiant de session). La CNIL a publié en 2022 une liste de pratiques non conformes constatées lors de ses contrôles en ligne et a prononcé des amendes importantes : 60 millions contre Microsoft (2023), 150 millions contre Google et 60 millions contre Facebook (2022) pour non-conformité des bandeaux cookies.

Transferts hors UE liés aux cookies (arrêt Schrems II et Data Privacy Framework). Les cookies déposés par des tiers américains (Google Analytics, Meta Pixel, LinkedIn, etc.) entraînent des transferts de données vers les États-Unis, soumis aux règles de transfert hors UE du RGPD (art. 44 à 49). La CJUE a invalidé le Privacy Shield dans l'arrêt Schrems II du 16 juillet 2020. La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d'adéquation pour les États-Unis (Data Privacy Framework - DPF) : les transferts vers des entreprises américaines certifiées DPF sont légaux. Vérifiez pour chaque prestataire américain s'il est certifié DPF sur dataprivacyframework.gov. Pour les prestataires non certifiés : des clauses contractuelles types (CCT) et un transfert impact assessment (TIA) sont nécessaires.

Exemptions de consentement (délibération CNIL 2020-091 art. 2). Certains cookies sont exemptés du consentement préalable car strictement nécessaires au service expressément demandé par l'utilisateur ou à la sécurité de la navigation : cookies de session, cookies d'authentification, cookies de panier e-commerce, cookies de sécurité (CSRF), cookies de mémorisation du choix de consentement, certaines mesures d'audience dans des conditions strictes (Matomo sans cookie, anonymisation IP, sans partage de données). La CNIL a précisé en 2022 les conditions exactes d'exemption pour les outils de mesure d'audience : configuration spécifique requise, pas de collecte d'adresse IP complète, pas de croisement avec d'autres données. Pour Google Analytics : la CNIL a conclu en 2022 qu'il ne peut pas être exempté en raison des transferts vers les États-Unis.

Erreurs courantes à éviter dans votre Politique Cookies (Consentement) France

Les erreurs les plus fréquentes dans la Politique Cookies des sites français exposent aux sanctions de la CNIL et aux mises en demeure.

Erreur 1 - Bandeau cookies avec bouton Refuser absent ou moins visible que Accepter. La délibération CNIL 2020-091 impose que le refus des cookies soit aussi simple que leur acceptation. Un bandeau comportant uniquement un bouton « Accepter » et un lien textuel discret « En savoir plus » pour le refus n'est pas conforme. La CNIL a sanctionné de nombreux sites pour cette pratique : Google 150 millions euros (2022), Facebook 60 millions euros (2022), TikTok 5 millions euros (2023). Ajoutez systématiquement un bouton « Refuser » ou « Continuer sans accepter » aussi visible et accessible que le bouton « Accepter ».

Erreur 2 - Dépôt de cookies avant le consentement. La violation la plus grave et la plus fréquente : déposer des cookies Google Analytics, Meta Pixel ou des cookies publicitaires dès le chargement de la page, avant que l'utilisateur n'ait donné son consentement. Vérifiez en mode navigation privée, avant toute interaction avec le bandeau, que seuls les cookies strictement nécessaires sont présents dans l'onglet Application > Cookies des DevTools du navigateur. Configurez votre CMP pour bloquer tous les scripts non essentiels jusqu'au consentement.

Erreur 3 - Liste des cookies incomplète ou non mise à jour. Une Politique Cookies qui liste uniquement 2-3 cookies « principaux » alors que le site en dépose 20-30 via des scripts tiers (plugins WordPress, boutons réseaux sociaux, outils de chat) est non conforme. Lancez un scan de cookies complet et renouvelez-le après chaque mise à jour du site. La CNIL lors de ses contrôles en ligne vérifie la liste des cookies déposés par rapport à la liste déclarée dans la Politique Cookies.

Erreur 4 - Durée de vie des cookies dépassant 13 mois. La délibération CNIL 2020-091 fixe la durée maximale de validité du consentement et de vie des cookies consentis à 13 mois. Certains cookies publicitaires ou de réseaux sociaux ont par défaut une durée de vie de 24 mois ou plus (exemple : Meta fbp cookie = 90 jours, Google _ga = 2 ans). Configurez votre CMP et vos solutions d'analyse pour limiter la durée de vie des cookies à 13 mois maximum. Pour les cookies de mémorisation du refus : la durée recommandée est de 6 mois.

Erreur 5 - Cookie wall inconditionnels. Les cookie walls (blocage de l'accès au site conditionné à l'acceptation des cookies) ne sont admis par la CNIL que s'ils s'accompagnent d'une alternative réelle (accès payant ou accès via un autre service sans cookies). Un cookie wall conditionnel à l'acceptation de TOUS les cookies, sans alternative d'accès, viole le caractère libre du consentement RGPD (RGPD art. 4.11 : consentement libre). La CNIL a précisé sa doctrine sur les cookie walls dans sa délibération n°2022-092 du 7 juillet 2022.

Erreur 6 - Absence de mécanisme de retrait du consentement facilement accessible. L'article 7.3 du RGPD impose que le retrait du consentement soit aussi simple que son octroi. Une icône de gestion des cookies doit être accessible en permanence depuis toutes les pages du site. L'absence de cette icône ou son placement dans un endroit peu visible oblige l'utilisateur à effacer manuellement ses cookies du navigateur pour retirer son consentement, ce qui n'est pas acceptable. Ajoutez une icône de gestion des cookies en bas de page avec un lien vers les paramètres de la CMP.

Citer cette page

Référencez ce modèle gratuit dans un article, un programme de cours ou une note de recherche :

APA

Forms Legal. (2026). Politique Cookies (Consentement) France (France) [Legal document template]. Forms Legal. https://forms-legal.com/fr/france/business/policies/politique-cookies

MLA

"Politique Cookies (Consentement) France (France)." Forms Legal, 2026, https://forms-legal.com/fr/france/business/policies/politique-cookies.

BibTeX

@misc{formslegal-politique-cookies,
  author       = {{Forms Legal}},
  title        = {Politique Cookies (Consentement) France (France)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/fr/france/business/policies/politique-cookies}},
  note         = {Free legal document template}
}

Questions Fréquentes

Modèle référencé aux textes légaux — Modèle modifié pour la dernière fois en juin 2026

Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète

Une erreur ? Signalez-le-nous

Documents Connexes

Vous pourriez également trouver ces documents utiles :

Politique de Confidentialité RGPD France

Modèle de Politique de Confidentialité RGPD conforme au Règlement UE 2016/679 art. 13-14 et à la Loi Informatique et Libertés n°78-17, sous contrôle CNIL. Bases légales, droits des personnes, délégué à la protection des données, transferts internationaux.

Mentions Légales de Site Web (LCEN) France

Modèle de Mentions Légales de site web français conforme à la Loi n°2004-575 du 21 juin 2004 (LCEN) art. 6-III. Identification de l'éditeur, hébergeur, directeur de publication. Sanctions pénales applicables en cas d'absence.

Conditions Générales de Vente B2C (E-commerce) France

Modèle complet de Conditions Générales de Vente B2C pour site e-commerce français conforme au Code de la consommation art. L221-1 à L221-28, à la LCEN n°2004-575 et au RGPD. Délai de rétractation 14 jours, mentions obligatoires, protection consommateur.