Un bandeau cookies est-il obligatoire sur tous les sites ?

Non. Un bandeau cookies n'est obligatoire que si votre site dépose des cookies non essentiels (analytics, marketing, réseaux sociaux). Si vous n'utilisez que des cookies strictement nécessaires au fonctionnement du site (session, panier, préférences), aucun bandeau n'est requis.

Le bouton Refuser doit-il être aussi visible que le bouton Accepter ?

Oui. Depuis les recommandations CNIL de 2020, le refus doit être aussi simple que l'acceptation. Un bouton 'Refuser' doit être présent au premier niveau, avec une taille et un contraste équivalents au bouton 'Accepter'. Les dark patterns (bouton refuser grisé, plus petit ou caché) sont sanctionnés.

Google Analytics nécessite-t-il un consentement cookies ?

Oui, dans sa configuration standard. Google Analytics 4 dépose des cookies et envoie des données à Google aux États-Unis. Le consentement préalable est obligatoire. La CNIL a mis en demeure plusieurs organismes pour utilisation de GA sans consentement. Matomo en mode exempté est une alternative sans consentement.

Bandeau cookies conforme CNIL : guide pratique 2026

Name: Rapport de conformité ConformCheck
Brand: ConformCheck
Price: 29 EUR
Availability: InStock

Le bandeau cookies est devenu le premier point de contrôle de la CNIL. En 2025, 87 mises en demeure ont été adressées à des sites pour non-conformité de leur gestion des cookies. Ce guide vous explique exactement ce que la CNIL attend de votre bandeau de consentement en 2026, avec des exemples concrets et les erreurs à éviter absolument.

Pourquoi un bandeau cookies est-il obligatoire ?

La directive ePrivacy (2002/58/CE), transposée en France par l’article 82 de la loi Informatique et Libertés, impose le consentement préalable avant tout dépôt de cookies non essentiels. Les lignes directrices CNIL du 17 septembre 2020 (délibération n° 2020-091) précisent les modalités pratiques de ce consentement.

En résumé : si votre site dépose des cookies de mesure d’audience (Google Analytics), de publicité (Meta Pixel, Google Ads), de réseaux sociaux (boutons de partage) ou de personnalisation, un bandeau de consentement est obligatoire. Seuls les cookies strictement nécessaires au fonctionnement du site (session, panier, authentification, préférence de langue) sont exemptés.

Les 7 règles d’un bandeau conforme

1. Un bouton « Refuser » au premier niveau

C’est la règle n° 1 de la CNIL : le refus doit être aussi simple que l’acceptation. Le bouton « Tout refuser » doit être visible au premier écran du bandeau, avec la même taille, la même couleur de fond et le même contraste que le bouton « Tout accepter ». Un bouton grisé ou un lien texte ne suffisent pas.

2. Pas de cookies avant le clic

Aucun cookie non essentiel ne doit être déposé avant que l’utilisateur ait fait son choix. Cela signifie que les scripts Google Analytics, Meta Pixel, Hotjar, etc. ne doivent pas se charger au chargement de la page. Ils ne doivent s’activer qu’après le clic sur « Accepter ».

3. Information claire sur les finalités

Le bandeau doit informer clairement l’utilisateur des finalités des cookies : mesure d’audience, publicité ciblée, personnalisation, réseaux sociaux. Un texte générique comme « Ce site utilise des cookies pour améliorer votre expérience » n’est pas suffisant.

4. Consentement granulaire possible

L’utilisateur doit pouvoir accepter certaines catégories et en refuser d’autres (par exemple, accepter les cookies analytics mais refuser les cookies publicitaires). Cette option peut être proposée via un bouton « Personnaliser » au premier niveau.

5. Continuer la navigation ≠ consentement

Le fait de continuer à naviguer sur le site, de scroller ou de cliquer sur un lien ne constitue pas un consentement valide. Seul un acte positif clair (clic sur un bouton dédié) vaut consentement. La CNIL l’a rappelé explicitement dans ses lignes directrices.

6. Renouvellement tous les 13 mois

Le consentement doit être redemandé au maximum tous les 13 mois. Votre CMP (Consent Management Platform) doit stocker la date du consentement et le représenter automatiquement à expiration. La durée de vie du cookie de consentement ne doit pas dépasser 13 mois.

7. Preuve du consentement

Le RGPD impose au responsable de traitement de prouver le consentement (article 7). Conservez un registre des consentements : date, heure, choix effectué, version du bandeau. La plupart des CMP gèrent cela automatiquement.

Les dark patterns sanctionnés par la CNIL

La CNIL a identifié et sanctionné plusieurs pratiques trompeuses :

Bouton « Refuser » moins visible — couleur plus claire, taille inférieure, positionné en retrait
Refus caché dans les paramètres — obliger l’utilisateur à ouvrir un sous-menu pour refuser
Cases pré-cochées — toutes les catégories de cookies activées par défaut dans les paramètres
Cookie wall — bloquer l’accès au site sans acceptation (la CNIL l’autorise dans certains cas, mais sous conditions très strictes)
Bandeau récurrent — redemander le consentement à chaque visite pour pousser l’utilisateur à accepter par lassitude

Solutions techniques pour un bandeau conforme

Utiliser une CMP (Consent Management Platform)

Plutôt que de coder votre propre bandeau, utilisez une CMP certifiée. Les principales options pour les PME françaises :

Tarteaucitron — gratuit, open source, français, conforme CNIL
Axeptio — français, interface soignée, à partir de 19 €/mois
Cookiebot — scan automatique des cookies, à partir de 12 €/mois
Didomi — solution entreprise, certification TCF v2.2

L’alternative : Matomo en mode exempté

Matomo est le seul outil d’analytics reconnu par la CNIL comme pouvant fonctionner sans consentement, à condition d’être configuré en mode « exempté » : pas de suivi cross-site, données anonymisées, durée de cookie limitée à 13 mois. Si vous ne souhaitez pas de bandeau cookies, passer à Matomo est une option viable.

Attention : même avec Matomo en mode exempté, si vous utilisez d’autres cookies non essentiels (boutons de partage social, vidéos YouTube, chat en ligne), un bandeau de consentement reste nécessaire pour ces cookies-là.

Risques en cas de non-conformité

Les sanctions pour non-conformité des cookies sont de plus en plus fréquentes et touchent toutes les tailles d’entreprise :

Procédure simplifiée : jusqu’à 20 000 € d’amende
Formation restreinte : jusqu’à 2 % du CA annuel
Mise en demeure publique : atteinte à la réputation
En 2025 : amendes record de 150 millions € (Google) et 60 millions € (Facebook) pour des manquements cookies

Vérifiez votre bandeau avec ConformCheck

ConformCheck analyse automatiquement le comportement de votre site en matière de cookies. Notre scanner détecte les cookies déposés avant consentement, vérifie la présence d’un bandeau, et identifie les traceurs tiers. L’audit est gratuit et prend 30 secondes.