En bref
Tout dépôt de cookie non essentiel nécessite le consentement préalable, libre et éclairé de l'internaute. Les sanctions CNIL peuvent atteindre 4 % du chiffre d'affaires mondial de l'éditeur.
Fondement juridique européen et français du consentement aux cookies
Art. 82, loi n° 78-17 du 6 janv. 1978
« Toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans l'équipement terminal d'un utilisateur, ou à inscrire des informations dans cet équipement, nécessite le consentement préalable de l'utilisateur, sauf exceptions limitativement prévues par le texte. »
Art. 7, règlement (UE) 2016/679 (RGPD)
« Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de ses données. Le consentement doit pouvoir être retiré à tout moment, aussi aisément qu'il a été donné. »
Source : Règlement général sur la protection des données — EUR-Lex
Cookies soumis au consentement et exemptions légales
Cookies analytiques présumés exemptés à tort
De nombreux éditeurs considèrent que les cookies Google Analytics sont automatiquement exemptés de consentement. Or, la CNIL exige une configuration spécifique et restrictive pour bénéficier de l'exemption de mesure d'audience. Google Analytics, en configuration standard, ne satisfait pas ces critères et nécessite un consentement.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Conditions de validité du consentement de l'internaute
Cass. crim., 14 mars 2006, n° 05-83.423
« Est déloyal le fait de recueillir, à l'insu de leurs titulaires, les adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition. Ce principe de collecte loyale fonde l'exigence de consentement applicable aux cookies. »
Source : JUDILIBRE — Cour de cassation
Conserver la preuve du consentement recueilli
Conformément au principe de responsabilité du RGPD, l'éditeur doit pouvoir démontrer que le consentement a été valablement obtenu. Horodatez et archivez chaque recueil de consentement avec la version de l'information présentée et le choix effectué.
Mise en conformité pratique : le bandeau cookies conforme
Le piège des dark patterns dans le bandeau
Un bouton « Refuser » moins visible, plus petit ou nécessitant des clics supplémentaires par rapport au bouton « Accepter » est qualifié de dark pattern par la CNIL. Ce déséquilibre constitue un motif direct de sanction administrative.
Auditer régulièrement le dépôt de cookies
Vérifiez que votre bandeau ne dépose aucun traceur non essentiel avant le clic de consentement. Les outils de développement du navigateur et les scanners spécialisés permettent de détecter tout cookie déposé prématurément.
Sanctions encourues, contrôle de la CNIL et perspectives normatives
Art. 83, règlement (UE) 2016/679 (RGPD)
« Les violations des dispositions relatives au consentement sont passibles d'amendes administratives pouvant s'élever jusqu'à vingt millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : Règlement général sur la protection des données — EUR-Lex
Amendes CNIL liées aux cookies (2021-2023)
Montant cumulé des sanctions prononcées par la CNIL entre 2021 et 2023 pour des manquements aux règles de consentement applicables aux traceurs.
Source : CNIL — décisions publiques 2021-2023
Questions fréquentes
Quels cookies peuvent être déposés sans le consentement de l'utilisateur ?
Seuls les cookies strictement nécessaires au fonctionnement du service demandé par l'utilisateur sont exemptés : cookies d'authentification de session, de panier d'achat, de choix de langue et de mémorisation du consentement. Les cookies publicitaires, les traceurs de réseaux sociaux et les cookies de mesure d'audience non configurés pour une anonymisation complète requièrent toujours un consentement préalable explicite.
Quelle est la durée maximale de validité du consentement aux cookies ?
Selon la recommandation de la CNIL du 17 septembre 2020, le consentement recueilli est valable treize mois au maximum. Passé ce délai, l'éditeur du site web doit renouveler la demande de consentement auprès de l'internaute. La durée de vie des cookies eux-mêmes ne devrait pas dépasser vingt-cinq mois.
Quelles sanctions risque un site web non conforme aux règles cookies ?
La CNIL peut prononcer des amendes administratives allant jusqu'à 2 % du chiffre d'affaires annuel mondial pour un manquement à l'article 82 de la loi Informatique et Libertés, et jusqu'à 4 % ou vingt millions d'euros en cas de violation concomitante du RGPD. La sanction peut être rendue publique, entraînant un préjudice réputationnel considérable pour l'éditeur.
Le simple fait de poursuivre la navigation vaut-il consentement aux cookies ?
Non. Depuis les lignes directrices de la CNIL du 17 septembre 2020, la poursuite de la navigation sur un site web ne constitue plus une expression valide du consentement aux cookies. Seul un acte positif et univoque de l'utilisateur, tel que le clic sur un bouton dédié « Accepter », est juridiquement reconnu comme manifestation du consentement.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Calais
- Procédure à Chambery
- Procédure à Niort
- Procédure à Levallois Perret
- Procédure à Hyeres
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours