Bannière cookies : ce qu'exigent réellement le RGPD et la CNIL

Illustration de l'article : Bannière cookies : ce qu'exigent réellement le RGPD et la CNIL

La bannière cookies est souvent traitée comme une formalité que l'on expédie à la fin d'un projet. C'est pourtant l'un des points les plus contrôlés par la CNIL, et l'un des plus visibles pour vos visiteurs. Voici ce que le droit exige réellement d'une bannière de consentement en France — ni plus, ni moins.

D'où viennent les règles

Deux textes se combinent. La directive européenne ePrivacy, transposée en France à l'article 82 de la loi Informatique et Libertés, pose le principe : aucun accès ou dépôt d'information sur le terminal de l'utilisateur (cookie ou autre traceur) sans son consentement préalable, sauf exceptions strictes. Le RGPD, lui, définit ce qu'est un consentement valide (article 4.11 : libre, spécifique, éclairé et univoque) et impose de pouvoir le prouver (article 7).

La CNIL a précisé l'application de ces textes dans ses lignes directrices et sa recommandation « cookies et autres traceurs » du 17 septembre 2020, qui restent la référence opérationnelle pour tout site s'adressant à un public français.

Les six exigences concrètes

1. Aucun traceur avant le consentement

Tant que le visiteur n'a pas fait de choix, aucun cookie soumis à consentement ne doit être déposé et aucun script de mesure ou de publicité ne doit s'exécuter. C'est le point le plus fréquemment en défaut : la bannière s'affiche, mais les tags analytics sont déjà partis. Un blocage automatique des scripts tiers, en amont du choix, est la manière la plus fiable de tenir cette exigence.

2. Un consentement actif

Poursuivre sa navigation, faire défiler la page ou ignorer la bannière ne vaut pas consentement. Seul un acte positif clair — un clic sur « Accepter » — est valable. À l'inverse, l'absence de choix doit être traitée comme un refus.

3. Refuser doit être aussi simple qu'accepter

Si accepter tient en un clic, refuser doit tenir en un clic au même niveau. C'est sur ce fondement que la CNIL a prononcé fin 2021 des amendes de 150 millions d'euros contre Google et 60 millions contre Facebook : leurs bannières permettaient d'accepter en un clic mais exigeaient plusieurs actions pour refuser. L'ordre et la présentation des boutons comptent : un bouton « Refuser » visible, non grisé, présenté avant ou au même rang que « Tout accepter ».

4. Une information claire et complète

Avant de choisir, le visiteur doit savoir à quoi il consent : les finalités des traceurs (mesure d'audience, publicité personnalisée, réseaux sociaux…), rédigées en langage simple, et l'identité des responsables de traitement qui exploitent ces traceurs. Un écran de personnalisation doit permettre d'accepter ou refuser finalité par finalité.

5. Un choix révocable à tout moment

Retirer son consentement doit être aussi facile que le donner (article 7.3 du RGPD). En pratique : un lien ou une pastille accessible en permanence sur le site, qui rouvre le panneau de préférences. La CNIL recommande également de ne pas re-solliciter le visiteur trop souvent et de conserver son choix — refus compris — pendant une durée de l'ordre de six mois.

6. Une preuve conservée

En cas de contrôle, c'est à l'éditeur du site de démontrer que le consentement a été valablement recueilli. Il faut donc journaliser chaque consentement : quand, pour quelles finalités, avec quelle version de la bannière. Nous détaillons ce point dans un article dédié à la preuve du consentement.

Ce qui est exempté de consentement

Tous les cookies ne déclenchent pas l'obligation. Sont exemptés les traceurs strictement nécessaires au service demandé par l'utilisateur : cookies de session, panier d'achat, choix de langue, authentification, équilibrage de charge — et le cookie qui mémorise… le refus des autres cookies.

La mesure d'audience peut aussi être exemptée, mais sous conditions strictes définies par la CNIL : finalité limitée à la production de statistiques anonymes pour le compte exclusif de l'éditeur, pas de recoupement avec d'autres traitements, pas de suivi de la personne entre plusieurs sites. Les outils d'analytics grand public dans leur configuration standard ne remplissent généralement pas ces conditions.

La liste de contrôle

  • Aucun cookie soumis à consentement déposé avant le choix du visiteur.
  • Boutons « Refuser » et « Accepter » au même niveau, en un clic chacun.
  • Finalités et responsables de traitement listés, personnalisation possible finalité par finalité.
  • Choix conservé (refus compris) et modifiable à tout moment via un accès permanent.
  • Journal des consentements exportable, avec horodatage et version de la bannière.
  • Inventaire des cookies tenu à jour — un scanner automatique évite les oublis au fil des évolutions du site.

Consenteer applique ces exigences par construction : blocage automatique des scripts avant consentement, ordre des boutons conforme aux recommandations de la CNIL, journal exportable et scanner de cookies. Voir les fonctionnalités ou créer un compte gratuit.