RGPD et cookies : ce que dit vraiment la CNIL

Cookies et traceurs : de quoi parle-t-on ?

Un cookie est un petit fichier déposé sur l'appareil d'un utilisateur lors de sa navigation sur un site web. Il permet d'identifier l'utilisateur, de mémoriser ses préférences ou de suivre son comportement. Au sens de la réglementation, la notion de traceur est plus large : elle couvre les cookies, mais aussi les pixels de tracking, les empreintes de navigateur (fingerprinting), les tags et tout autre mécanisme permettant de suivre un utilisateur.

La réglementation applicable en France repose sur deux textes : l'article 82 de la loi Informatique et Libertés, qui encadre le dépôt de traceurs, et le RGPD, qui s'applique dès lors que les traceurs traitent des données personnelles. La CNIL est l'autorité compétente pour contrôler le respect de ces règles.

Ce que dit la CNIL : le principe du consentement préalable

La règle de base est claire : les traceurs non essentiels nécessitent le consentement préalable de l'utilisateur, recueilli avant tout dépôt. Ce consentement doit être libre, éclairé, spécifique et univoque. Il ne peut pas être présumé par l'inaction de l'utilisateur — une bannière cookies que l'utilisateur ferme sans agir n'est pas un consentement valide.

Les traceurs qui nécessitent le consentement

Sont soumis à consentement préalable : les cookies de mesure d'audience (Google Analytics, Matomo en configuration non exemptée), les cookies publicitaires et de retargeting, les cookies de réseaux sociaux (boutons de partage, pixels Facebook, LinkedIn Insight Tag), les cookies de personnalisation de contenu basés sur le profilage.

Les traceurs exemptés de consentement

Certains traceurs peuvent être déposés sans consentement car ils sont strictement nécessaires au fonctionnement du service : cookies de session (panier d'achat, authentification), cookies de sécurité, cookies de mémorisation du choix de langue. Les outils de mesure d'audience peuvent être exemptés sous conditions strictes définies par la CNIL (données non transmises à des tiers, conservation limitée à 13 mois, information des utilisateurs).

Les exigences pour le bandeau cookies

La CNIL est précise sur ce que doit contenir et permettre le bandeau de consentement. Trois exigences sont non négociables.

Le refus doit être aussi simple que l'acceptation. Si un bouton "Tout accepter" est affiché, un bouton "Tout refuser" de même niveau doit l'accompagner. Placer le refus dans un sous-menu ou derrière un lien "Paramétrer" ne suffit pas.

L'utilisateur doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné. Un lien accessible depuis toutes les pages du site (généralement dans le pied de page) permettant de rouvrir le panneau de gestion des cookies est obligatoire.

L'information doit être claire et accessible. Le bandeau doit indiquer les finalités des traceurs et permettre à l'utilisateur de comprendre ce à quoi il consent avant d'accepter.

Les sanctions encourues

La CNIL sanctionne régulièrement les manquements à la réglementation sur les cookies. Les sanctions peuvent atteindre 2 % du chiffre d'affaires mondial pour les personnes morales (article 83 du RGPD). En pratique, la CNIL publie chaque année des dizaines de mises en demeure et de sanctions pour des bandeaux non conformes — y compris à l'encontre de PME et de collectivités.

---

L'audit des traceurs et la mise en conformité de votre bandeau cookies font partie des prestations proposées dans le cadre d'un accompagnement RGPD. Un DPO externe peut également vous accompagner dans la rédaction de votre politique de confidentialité.