Table des matières
TL;DR — Points clés
À retenir de cet article
- Refuser doit être aussi simple qu'accepter
Un bouton « Tout refuser » doit être présent dès le premier écran, à parité visuelle avec « Tout accepter » — c'est le point le plus contrôlé par la CNIL.
- Aucun traceur non exempté avant consentement
Google Analytics, pixels publicitaires et autres traceurs ne doivent se déclencher qu'après un choix explicite de l'internaute.
- La poursuite de la navigation ne vaut pas consentement
Continuer à naviguer, scroller ou une case pré-cochée ne constituent pas un consentement valable au sens du RGPD.
- Durée de vie limitée à 13 mois
La CNIL recommande une durée de vie des traceurs de 13 mois maximum, sans reconduction automatique à la simple revisite.
- Le retrait doit être aussi facile que le recueil
Un lien ou une icône persistant doit permettre de revenir sur son choix à tout moment.
Le bandeau cookies est la partie la plus visible — et la plus contrôlée — de la conformité RGPD d’un site web. C’est aussi celle où les manquements sont les plus faciles à constater : un robot, un navigateur ou un visiteur attentif voient immédiatement si le bouton « Tout refuser » manque ou si un traceur se déclenche avant tout consentement. Voici ce que la CNIL attend réellement en 2026, et comment le vérifier sur votre propre site.
Le cadre : l’article 82 de la loi Informatique et Libertés
Le dépôt et la lecture de traceurs sur le terminal d’un internaute sont encadrés par l’article 82 de la loi Informatique et Libertés, qui transpose la directive « ePrivacy ». La CNIL en a précisé l’application dans ses lignes directrices (délibération 2020-091) et sa recommandation (2020-092). Le principe est simple : sauf exception, aucun traceur ne peut être déposé avant que l’internaute n’ait consenti, et ce consentement doit répondre aux exigences du RGPD — libre, spécifique, éclairé et univoque.
Les cinq règles que la CNIL vérifie en priorité
1. Un vrai « Tout refuser » au premier écran
C’est le point le plus surveillé. Refuser doit être aussi simple qu’accepter. Un bandeau qui affiche un bouton « Tout accepter » bien visible, mais qui oblige à ouvrir un sous-menu pour refuser, déséquilibre le choix et n’est pas conforme. Le bouton « Tout refuser » doit figurer au même niveau que l’acceptation, avec une parité visuelle (taille, contraste, lisibilité comparables).
2. Aucun dépôt avant consentement
Le test est sans appel : si, avant tout clic, votre site charge déjà Google Analytics, un pixel Meta ou un tag publicitaire, vous êtes en infraction. Les traceurs non exemptés doivent être bloqués tant que l’utilisateur n’a pas consenti — par exemple via un Consent Mode strict ou un gestionnaire de balises conditionnel.
3. La navigation n’est pas un consentement
Continuer à naviguer, faire défiler la page ou une case pré-cochée ne valent pas consentement. Le consentement est un acte positif : il faut une action explicite de l’internaute, finalité par finalité.
4. Une durée de vie maîtrisée
La CNIL recommande une durée de vie des traceurs de 13 mois maximum, sans reconduction automatique à la revisite, et une conservation des données associées limitée à 25 mois. Ces durées sont observables dans les en-têtes Set-Cookie (Max-Age / Expires).
5. Un retrait aussi simple que le recueil
L’internaute doit pouvoir revenir sur son choix à tout moment, via un lien ou une icône persistant. Le retrait du consentement doit être aussi facile que son recueil (article 7 du RGPD).
Le cas particulier de la mesure d’audience
Google Analytics, dans sa configuration par défaut, n’est pas exempté de consentement. La CNIL propose une liste de solutions de mesure d’audience exemptées sous conditions strictes (anonymisation, finalité limitée, absence de recoupement). À défaut, la mesure d’audience nécessite le consentement — et pose en plus une question de transfert de données hors-UE, que nous détaillons dans notre article sur Google Analytics, Google Fonts et Meta Pixel.
Que risque-t-on ?
L’article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. La CNIL a sanctionné à plusieurs reprises des manquements aux règles sur les cookies, y compris de très grands acteurs, et publie ses décisions — l’effet dissuasif et réputationnel s’ajoute à la sanction financière.
Comment vérifier votre bandeau
La plupart de ces règles sont observables depuis un navigateur : présence et position du bouton « Tout refuser », parité visuelle, traceurs chargés avant consentement, durée de vie dans les Set-Cookie. C’est précisément ce que mesure notre Audit RGPD : un diagnostic gratuit de la surface web observable de votre site, où chaque constat est sourcé sur une ligne directrice de la CNIL ou un article du RGPD.
⚠️ Un scan évalue la surface web observable, pas le back-office (journaux de consentement, contrats). Cet article est informatif et ne constitue ni un avis juridique ni une certification — seule la CNIL fait foi.
Pour aller plus loin : Politique de confidentialité et mentions légales : ce que la loi exige vraiment et notre page produit Audit RGPD.
Chiffres-clés
Données sourcées
13 mois
durée de vie maximale recommandée par la CNIL pour les traceurs, sans prolongation automatique au revisite.
20 M€ ou 4 %
du chiffre d'affaires annuel mondial : plafond des amendes prévu par l'article 83 du RGPD, le montant le plus élevé étant retenu.
Questions fréquentes
Vos questions sur ce sujet
Un bouton « Tout refuser » est-il obligatoire dès le premier écran ?
Oui. La CNIL considère que refuser les traceurs doit être aussi simple que les accepter. Un bandeau qui propose « Tout accepter » mais cache le refus derrière des réglages supplémentaires n'est pas conforme : le bouton « Tout refuser » doit apparaître au premier niveau, à parité visuelle avec l'acceptation.
La poursuite de la navigation vaut-elle consentement aux cookies ?
Non. Depuis les lignes directrices de la CNIL, continuer à naviguer, faire défiler la page ou cliquer ailleurs ne constitue pas un consentement valable. Le consentement doit être un acte positif, libre, éclairé et spécifique, donné avant tout dépôt de traceur non strictement nécessaire au service.
Quels traceurs peut-on déposer sans consentement ?
Seuls les traceurs strictement nécessaires au fonctionnement du site ou à la fourniture du service sont exemptés : panier d'achat, authentification, ou une mesure d'audience configurée selon les conditions d'exemption de la CNIL. Tout traceur publicitaire ou analytique standard (dont Google Analytics par défaut) nécessite un consentement préalable.
Combien de temps un cookie peut-il être conservé ?
La CNIL recommande une durée de vie des traceurs de 13 mois maximum, et les informations collectées via ces traceurs ne devraient pas être conservées au-delà de 25 mois. La durée ne doit pas être prolongée automatiquement à chaque nouvelle visite de l'internaute.
Sources et références
Les données et affirmations de cet article sont sourcées auprès d'autorités publiques et d'études peer-reviewed.
- CNIL — Site web, cookies et autres traceurs (2026) « Lignes directrices et recommandation de la CNIL sur les cookies et autres traceurs. »
- CNIL — Règlement européen sur la protection des données — Article 7 du RGPD — Conditions applicables au consentement
- CNIL — Règlement européen sur la protection des données — Article 83 du RGPD — Conditions générales pour imposer des amendes administratives
Prêt à initier vos équipes à l'IA ?
Le Passeport IA est un workshop de 7 heures qui rend vos collaborateurs autonomes avec les outils d'IA.