On a vu beaucoup de propriétaires de sites web se perdre dans les règles du RGPD sur les cookies. Comment être sûr que votre site est en règle en 2026 ? On va être direct avec vous : la plupart des sites ne le sont pas complètement, souvent par méconnaissance des détails. Dans ce guide, on vous explique pas à pas comment mettre votre site en conformité, sans jargon et avec des exemples clairs.

RGPD & Cookies : L’essentiel à retenir en 2026 📋

  • Consentement obligatoire : Vous devez obtenir une action positive de l’utilisateur avant de déposer des cookies non essentiels sur son terminal.
  • Refus facile : Les boutons « Tout accepter » et « Tout refuser » doivent être présentés au même niveau et être aussi simples à utiliser l’un que l’autre.
  • Cookies exemptés : Certains traceurs purement techniques (panier d’achat, authentification) n’ont pas besoin de ce consentement.
  • Preuve du consentement : C’est à vous de pouvoir prouver qu’un consentement valide a bien été recueilli pour chaque utilisateur en cas de contrôle de la CNIL.
  • Durée du choix : Le consentement ou le refus de l’utilisateur doit être gardé en mémoire pendant une durée de 6 mois maximum.

Qu’est-ce qu’un « cookie » ou « traceur » selon le RGPD ?

Quand on parle de cookies, on pense souvent à des petits fichiers texte. Mais pour le RGPD et la CNIL, la définition est bien plus large. On parle de « traceurs » pour désigner toute technologie permettant de suivre un utilisateur ou de récupérer des informations depuis son appareil (ordinateur, smartphone, tablette).

Cela inclut plusieurs types de technologies. Il est important de comprendre que tous sont soumis aux mêmes règles de consentement. Voici les principaux traceurs concernés :

  • Les cookies HTTP classiques : Les plus connus, stockés par votre navigateur web.
  • Les cookies « flash » : Utilisés par la technologie Adobe Flash, ils sont plus persistants.
  • Le « fingerprinting » (ou empreinte digitale du terminal) : Une technique qui consiste à identifier un appareil de manière unique en analysant sa configuration (navigateur, polices installées, plugins, etc.).
  • Les pixels invisibles (ou « web bugs ») : De minuscules images transparentes placées sur une page web ou dans un e-mail pour suivre l’activité de l’utilisateur.
  • Les autres identifiants : Tout identifiant généré par un logiciel ou le système d’exploitation, comme une adresse MAC, un numéro de série, etc.

En résumé, dès qu’une technologie dépose ou lit une information sur le terminal d’un utilisateur, elle est considérée comme un traceur et doit respecter la loi, et donc la directive ePrivacy et le RGPD.

Cookies soumis au consentement vs. Cookies exemptés : La distinction clé

C’est le point central de la réglementation. Tous les cookies ne sont pas logés à la même enseigne. La règle de base est simple : le consentement est le principe, l’exemption est l’exception. On vous détaille ici quels cookies sont dans quelle catégorie pour que vous puissiez faire le tri sur votre propre site web.

Les cookies qui nécessitent TOUJOURS votre consentement

Pour ces traceurs, vous n’avez pas le choix : vous devez obtenir un « oui » clair et explicite de l’utilisateur avant de les activer. Il s’agit principalement des cookies qui ont des fins de suivi commercial ou social.

  • Les cookies publicitaires : Ce sont tous les traceurs utilisés pour la publicité ciblée ou personnalisée. S’ils servent à afficher une publicité basée sur la navigation de l’utilisateur, son profil ou ses centres d’intérêt, le consentement est obligatoire.
  • Les cookies de réseaux sociaux : Ils sont générés par les fameux boutons de partage (« J’aime » de Facebook, « Partager » sur X/Twitter, etc.). Ces modules permettent aux réseaux sociaux de suivre votre navigation sur d’autres sites, même si vous ne cliquez pas dessus.

Les cookies qui sont dispensés (exemptés) de consentement

Heureusement, certains traceurs sont considérés comme « strictement nécessaires » au fonctionnement du service que vous proposez. Pour ceux-là, pas besoin de demander l’autorisation. Mais attention, la liste est précise et limitée.

  • Traceurs de choix : Ironiquement, le cookie qui mémorise le choix de l’utilisateur (son « oui » ou son « non ») est exempté. C’est ce qui permet de ne pas afficher la bannière à chaque visite pendant 6 mois.
  • Authentification : Le cookie qui permet à un utilisateur de rester connecté à son espace membre pendant sa visite. Sans lui, il faudrait se reconnecter à chaque page.
  • Panier d’achat : Sur un site e-commerce, c’est le traceur qui garde en mémoire les articles que l’utilisateur a ajoutés à son panier.
  • Personnalisation de l’interface : Si vous proposez de choisir la langue ou le mode d’affichage (sombre/clair), le cookie qui retient ce choix est exempté.
  • Équilibrage de charge (« load balancing ») : Un cookie purement technique qui sert à répartir le trafic entre plusieurs serveurs pour éviter la surcharge. L’utilisateur n’en a pas conscience.
  • Limitation d’accès gratuit : Utilisé par les sites de presse en ligne pour compter le nombre d’articles lus par un visiteur et lui proposer un abonnement une fois la limite atteinte.
  • Mesure d’audience (sous conditions strictes) : C’est le cas le plus complexe. Un traceur de mesure d’audience peut être exempté de consentement uniquement si sa finalité est limitée à la mesure de performance du site, pour les besoins de l’éditeur, et s’il ne permet pas un suivi global de la navigation de la personne sur différents sites web.

Notre expérience terrain 🔍

L’exemption pour la mesure d’audience est le point qui cause le plus de confusion. On voit souvent des sites utiliser Google Analytics sans demander de consentement, en pensant être dans les clous. Or, dans sa configuration par défaut, Google Analytics n’est PAS exempté car les données sont partagées avec Google à d’autres fins. Pour être exempté, vous devez utiliser un outil configuré pour être conforme aux recommandations de la CNIL (anonymisation de l’IP, données non recoupées, etc.).

Comment obtenir un consentement valide ? Les 7 critères obligatoires

Avoir une bannière de cookies ne suffit pas. Pour que le consentement soit valide aux yeux de la loi, il doit respecter sept critères précis. On vous les présente comme une liste de points à vérifier sur votre site.

  1. Le consentement doit être préalable : C’est la base. Aucun cookie non essentiel ne doit être déposé sur l’appareil de l’utilisateur avant qu’il n’ait cliqué sur « Tout accepter » ou fait son choix. C’est une erreur fréquente : beaucoup de sites déposent les traceurs dès l’arrivée sur la page.
  2. Il doit résulter d’une action positive : L’utilisateur doit faire un geste clair pour dire « oui ». Les cases pré-cochées sont interdites. Le silence ou l’inactivité ne valent pas consentement.
  3. Le consentement doit être libre : Le refus doit être une vraie option, sans conséquence négative. C’est pour ça que la CNIL impose qu’un bouton « Tout refuser » soit aussi visible et simple d’accès que le bouton « Tout accepter ». Le « cookie wall », qui bloque l’accès au site en cas de refus, est une pratique très risquée et souvent jugée illégale.
  4. Il doit être spécifique : L’utilisateur doit pouvoir choisir les finalités qu’il accepte. Par exemple, il peut vouloir accepter la mesure d’audience mais refuser la publicité. Votre bannière doit donc proposer un bouton « Personnaliser mes choix » pour permettre ce réglage fin.
  5. Le consentement doit être éclairé : L’information fournie doit être claire, simple et complète. L’utilisateur doit comprendre pourquoi on lui demande son accord. Votre bannière doit lister, au minimum : les finalités des cookies, l’identité du ou des responsables du traitement et un lien vers votre politique de confidentialité pour plus de détails.
  6. Il doit être univoque : Le geste de l’utilisateur ne doit laisser aucune place au doute. Le fameux « en continuant votre navigation, vous acceptez les cookies » n’est plus considéré comme un consentement valide depuis plusieurs années. Le simple fait de faire défiler la page (scroll) ne veut rien dire.
  7. Le retrait doit être aussi simple que le don : L’utilisateur doit pouvoir changer d’avis à tout moment, aussi facilement qu’il a donné son accord. Vous devez donc mettre à sa disposition un lien ou un bouton accessible en permanence (souvent en pied de page, type « Gérer mes cookies ») pour qu’il puisse modifier ses choix.

Pour aller plus loin et consulter le texte de référence complet, vous pouvez télécharger les lignes directrices de la CNIL sur les cookies (PDF). Si vous voulez voir des exemples concrets de bannières conformes, la CNIL propose aussi une recommandation avec des maquettes (PDF).

Prouver le consentement : une obligation pour le responsable du site

Le RGPD repose sur un principe de responsabilité (« accountability »). Cela veut dire que c’est à vous, propriétaire du site web, de prouver que vous respectez les règles. En cas de contrôle de la CNIL, vous devez être capable de démontrer que vous avez bien recueilli un consentement libre, éclairé et valide pour chaque utilisateur qui a accepté les cookies.

Mais comment prouver quelque chose d’aussi volatile qu’un clic ? La CNIL suggère plusieurs méthodes pour conserver une trace fiable du consentement :

  • La conservation des journaux de consentement : Si vous utilisez une Plateforme de Gestion du Consentement (CMP), elle enregistre généralement un journal horodaté de chaque consentement recueilli. C’est la méthode la plus courante et la plus simple.
  • Des audits réguliers : Faire auditer votre site par un tiers indépendant qui vérifiera la conformité de votre mécanisme de recueil et produira un rapport.
  • Des captures d’écran horodatées : Conserver des captures d’écran de votre bannière de consentement à différentes dates pour montrer l’information qui était présentée aux utilisateurs.
  • Le « hash » du code : Une méthode plus technique qui consiste à publier un condensat horodaté du code informatique de votre bannière pour prouver qu’il n’a pas été modifié.

Qui est responsable de la conformité des cookies ?

On nous pose souvent cette question : « Je suis juste l’éditeur du site, est-ce que c’est vraiment ma faute si une régie publicitaire dépose des cookies non conformes ? ». La réponse est oui, en partie. Le droit parle de « responsables conjoints du traitement ».

Cela signifie que la responsabilité est partagée entre plusieurs acteurs. Sont généralement considérés comme responsables :

  • Les éditeurs de sites web et d’applications mobiles, car ils choisissent d’intégrer ces technologies et sont en première ligne pour recueillir le consentement.
  • Les régies publicitaires, qui fournissent les outils de suivi et exploitent les données collectées.
  • Les réseaux sociaux, via leurs modules de partage qui agissent comme des traceurs.

En pratique, même si la responsabilité est partagée, c’est bien l’éditeur du site qui est le premier point de contact pour l’utilisateur et qui est le plus souvent visé par les contrôles de la CNIL. Il est donc essentiel de bien choisir ses partenaires et de s’assurer que leurs outils respectent le choix des utilisateurs.

Et si vous constatez, en tant qu’utilisateur, qu’un site web ne respecte pas ces règles et vos droits, vous pouvez le signaler directement à la CNIL. Pour cela, il suffit de se rendre sur leur site et d’adresser une plainte en ligne.