Les cookies et autres traceurs permettent de suivre la navigation des internautes. Leur dépôt est strictement encadré : la plupart exigent le consentement libre, éclairé et spécifique de l'utilisateur, recueilli avant tout dépôt. La CNIL a précisé ces règles dans ses lignes directrices et sa recommandation « cookies et autres traceurs ». Cette fiche explique quels traceurs sont concernés, comment recueillir un consentement valable, ce que la CNIL exige des bandeaux, et les sanctions encourues, à l'appui de la directive ePrivacy, de la loi Informatique et Libertés et des sources officielles (cnil.fr).
L'essentiel
- Le dépôt de la plupart des cookies exige un consentement préalable de l'internaute : aucun traceur soumis au consentement ne doit être déposé avant son accord.
- Le consentement doit résulter d'une action positive claire ; la poursuite de la navigation ne vaut pas consentement.
- Refuser doit être aussi simple qu'accepter : la CNIL recommande des boutons « tout accepter » et « tout refuser » au même niveau.
- Certains traceurs sont exemptés de consentement (strictement nécessaires au service, mesure d'audience anonymisée encadrée).
- Le manquement peut entraîner les sanctions de la CNIL, jusqu'à plusieurs millions d'euros.
Quels traceurs sont concernés ?
La règle du consentement vise les cookies et traceurs qui ne sont pas strictement nécessaires au fonctionnement du service : publicité ciblée, mesure d'audience non exemptée, réseaux sociaux, personnalisation. À l'inverse, certains traceurs échappent au consentement : ceux qui sont indispensables à la fourniture du service expressément demandé (panier d'achat, authentification, équilibrage de charge) et les solutions de mesure d'audience strictement encadrées et anonymisées.
Tant que l'internaute n'a pas consenti, aucun traceur soumis au consentement ne doit être déposé ni lu sur son terminal. C'est l'inversion de l'ancienne pratique du bandeau purement informatif.
Un consentement valable selon la CNIL
| Exigence | Mise en œuvre |
|---|---|
| Libre | Refuser ne doit pas pénaliser l'accès au service de manière disproportionnée. |
| Éclairé | Information préalable sur les finalités et les conséquences des choix. |
| Spécifique | Le consentement peut être donné finalité par finalité. |
| Non équivoque | Action positive claire ; pas de cases précochées, pas de consentement implicite. |
| Refus aussi simple | Mécanisme de refus au même niveau et aussi accessible que l'acceptation. |
| Retirable | Retirer son consentement doit être aussi facile que de le donner, à tout moment. |
La CNIL admet de présenter, au premier niveau d'information, des boutons globaux « tout accepter » et « tout refuser », accessibles sur le même écran et avec la même facilité. Le bouton de refus ne doit pas être caché derrière des écrans supplémentaires.
Les sanctions
Le non-respect des règles sur les cookies relève du contrôle de la CNIL. Au titre du RGPD, les manquements peuvent être sanctionnés par une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations les plus graves, et 10 millions d'euros ou 2 % pour les autres. Une procédure de sanction simplifiée existe pour les cas de faible gravité, avec une amende plafonnée à 20 000 €. La CNIL a, par le passé, prononcé des amendes de plusieurs dizaines de millions d'euros sur le terrain des cookies.
Les démarches pour se mettre en conformité
- Recenser tous les traceurs déposés par le site et leurs finalités.
- Distinguer les traceurs exemptés de ceux soumis au consentement.
- Bloquer le dépôt des traceurs soumis à consentement jusqu'à l'accord de l'utilisateur.
- Mettre en place un bandeau conforme : information claire, « tout accepter » et « tout refuser » au même niveau.
- Permettre le retrait du consentement à tout moment et conserver la preuve des choix.
- Réinterroger périodiquement les utilisateurs et documenter la conformité.
FAQ
Peut-on déposer des cookies dès l'arrivée sur le site ?
Non, sauf pour les traceurs exemptés. Les autres ne peuvent être déposés qu'après le consentement de l'internaute.
La navigation vaut-elle consentement ?
Non. Le consentement suppose une action positive claire ; continuer à naviguer ne suffit pas.
Le bouton « refuser » est-il obligatoire ?
La CNIL exige que refuser soit aussi simple qu'accepter. En pratique, un bouton « tout refuser » au même niveau que « tout accepter » est attendu.
La mesure d'audience nécessite-t-elle un consentement ?
Pas si elle relève d'une solution strictement encadrée et anonymisée répondant aux conditions de la CNIL. Sinon, le consentement est requis.