Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Article 95 RGPD : articulation avec la directive ePrivacy

Article 95 RGPD : pourquoi la directive ePrivacy prime sur le RGPD pour les cookies et la prospection. Lex specialis et compétence directe CNIL.

Quand la CNIL a infligé 150 millions d’euros à Google et 35 millions à Amazon en décembre 2021 pour des manquements relatifs aux cookies, beaucoup de juristes se sont étonnés : comment l’autorité française a-t-elle pu sanctionner directement des géants américains établis en Irlande, sans passer par le guichet unique du RGPD ? La réponse tient en un article que presque personne ne lit : l’article 95 du RGPD. C’est lui qui organise la coexistence entre le règlement et la directive « ePrivacy » de 2002, et qui fait des cookies un terrain juridique à part. Voici ce qu’il faut comprendre, et les conséquences très concrètes pour votre conformité.

Ce que dit l’article 95 du RGPD

L’Art. 95 RGPD s’intitule « Relation avec la directive 2002/58/CE ». Son texte est bref mais lourd de conséquences :

« Le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE. »

Traduit en langage opérationnel : lorsqu’une question est déjà réglée par la directive ePrivacy, le RGPD ne vient pas ajouter une couche d’obligations par-dessus. La directive sectorielle s’applique en priorité. C’est le principe classique du lex specialis derogat legi generali — la règle spéciale l’emporte sur la règle générale.

Le considérant 173 du RGPD confirme cette lecture : le règlement a vocation à s’appliquer à toutes les questions de protection des données « sauf lorsque des obligations spécifiques ayant le même objectif » figurent dans la directive 2002/58/CE. Le considérant ajoutait d’ailleurs que la directive devait être révisée pour assurer la cohérence avec le RGPD — une révision qui, comme nous le verrons, n’a jamais abouti.

La directive ePrivacy, règle spéciale des communications électroniques

La directive 2002/58/CE, dite « ePrivacy » ou « vie privée et communications électroniques », encadre des sujets que le RGPD ne traite pas spécifiquement : la confidentialité des communications, les données de trafic et de localisation, les annuaires, la prospection électronique et — surtout — l’accès aux informations stockées dans le terminal de l’utilisateur, c’est-à-dire les cookies et autres traceurs.

En France, cette directive a été transposée dans deux textes principaux. L’article 82 de la loi Informatique et Libertés (loi n° 78-17) reprend l’article 5(3) de la directive et impose le consentement préalable au dépôt et à la lecture de traceurs. L’article L. 34-5 du Code des postes et des communications électroniques (CPCE) encadre la prospection commerciale par voie électronique, en reprenant l’article 13 de la directive.

C’est cette articulation que l’Art. 95 RGPD verrouille : pour ces sujets précis, ce sont l’article 82 de la loi de 1978 et l’article L. 34-5 du CPCE qui fixent la règle, pas directement le RGPD.

La conséquence n° 1 : les cookies relèvent d’un régime à deux étages

L’erreur la plus fréquente que je rencontre en accompagnement consiste à raisonner « tout cookie = RGPD ». La réalité est plus subtile : un traceur fait intervenir deux régimes successifs.

Le premier étage est le dépôt ou la lecture d’informations sur le terminal de l’internaute. Cette opération relève de l’article 82 de la loi Informatique et Libertés, donc de la directive ePrivacy. Elle suppose en principe un consentement préalable, sauf pour les traceurs strictement nécessaires au service ou ceux de mesure d’audience exemptés sous conditions par la CNIL.

Le second étage est le traitement ultérieur des données ainsi collectées (profilage, ciblage publicitaire, recoupement). Là, le RGPD reprend pleinement la main : il faut une base légale au sens de l’article 6, respecter les durées de conservation, garantir les droits des personnes, encadrer les éventuels transferts hors UE.

Cette distinction n’est pas théorique. Elle détermine quel texte invoquer, quel raisonnement tenir, et — point crucial — quelle autorité est compétente pour sanctionner. Pour la mise en œuvre concrète du premier étage, voir notre guide de mise en conformité des cookies et notre modèle de bandeau cookies conforme à la CNIL.

La conséquence n° 2 : la CNIL est compétente sans guichet unique

Voici le point le plus stratégique de l’article 95, et la réponse à l’énigme des sanctions Google et Amazon. Le mécanisme du « guichet unique » (one-stop-shop) prévu aux articles 56 et 60 du RGPD ne s’applique qu’aux traitements transfrontaliers relevant du RGPD. Or les cookies relèvent de la directive ePrivacy, c’est-à-dire d’un texte transposé au niveau national.

Conséquence directe : pour les manquements relatifs aux traceurs déposés sur les terminaux d’internautes situés en France, la CNIL est compétente directement, sans avoir à désigner ou à solliciter une autorité chef de file (en l’occurrence l’autorité irlandaise pour Google et Amazon). Le Conseil d’État l’a confirmé sans ambiguïté dans ses décisions du 28 janvier 2022 (Google, n° 449209 ; Amazon), en validant la compétence territoriale de la CNIL et l’inapplicabilité du mécanisme de coopération du RGPD aux opérations de lecture/écriture sur les terminaux.

Le Comité européen de la protection des données avait d’ailleurs anticipé cette analyse dans son avis 5/2019 sur l’articulation entre la directive ePrivacy et le RGPD : lorsqu’un traitement déclenche l’application de la directive, les autorités nationales conservent leur compétence de contrôle sur ce volet, indépendamment du guichet unique. C’est ce qui a permis à la CNIL de mener une politique répressive autonome et très active sur les cookies, avec des sanctions cumulées dépassant le quart de milliard d’euros depuis 2020 (Google, Amazon, mais aussi Facebook pour 60 millions d’euros). Pour un panorama actualisé, voir notre analyse des sanctions CNIL 2026.

La conséquence n° 3 : la notion de consentement reste celle du RGPD

L’article 95 organise une primauté de la directive ePrivacy, mais il ne crée pas une bulle hermétique. Lorsque la directive exige un « consentement » sans en définir précisément les contours — c’est le cas pour les cookies comme pour la prospection — c’est la définition du RGPD qui s’applique par renvoi.

La Cour de justice de l’Union européenne l’a tranché dans l’arrêt Planet49 du 1er octobre 2019 (C-673/17) : le consentement au dépôt de cookies doit répondre aux exigences de l’article 4(11) et de l’article 7 du RGPD. Une case pré-cochée ne vaut pas consentement, qui doit être libre, spécifique, éclairé et univoque. Autrement dit, l’ePrivacy fixe le principe (il faut consentir avant de déposer un traceur), mais le RGPD fixe le standard de qualité de ce consentement.

C’est cette combinaison qui explique pourquoi la recommandation cookies de la CNIL du 17 septembre 2020 exige un bouton « Tout refuser » aussi visible que le bouton « Tout accepter » : le consentement ne peut être libre si refuser est plus coûteux qu’accepter. Sur la mécanique du recueil, voir aussi notre comparatif opt-in / opt-out et notre guide pour choisir et configurer une CMP.

La conséquence n° 4 : la prospection électronique suit la même logique

L’article 95 ne concerne pas que les cookies. La prospection commerciale par e-mail, SMS ou message automatisé relève de l’article L. 34-5 du CPCE, transposition de l’article 13 de la directive ePrivacy. C’est donc lui — et non directement le RGPD — qui fixe la règle de l’opt-in pour la prospection B2C et l’exception du « soft opt-in » pour les clients existants sur des produits analogues.

Là encore, le RGPD reprend la main sur tout le reste : licéité de la constitution du fichier, information des personnes, droit d’opposition, durée de conservation des adresses. Cette superposition est détaillée dans notre guide prospection commerciale RGPD : règles B2B/B2C et dans nos articles sur la conformité de la newsletter.

Où en est le règlement ePrivacy en 2026 ?

L’article 95 et le considérant 173 annonçaient une révision de la directive de 2002 pour la mettre en cohérence avec le RGPD. Cette révision devait prendre la forme d’un règlement ePrivacy, proposé par la Commission européenne le 10 janvier 2017, destiné à remplacer la directive et à entrer en vigueur en même temps que le RGPD.

Il n’en a rien été. Après huit ans de blocage entre le Parlement, le Conseil et la Commission, la Commission a acté le retrait pur et simple de la proposition dans son programme de travail 2025, au motif qu’aucun accord n’était prévisible entre les colégislateurs et que le texte était devenu obsolète au regard des évolutions technologiques et législatives. En pratique, cela signifie que la directive 2002/58/CE reste pleinement applicable en 2026, et avec elle l’article 82 de la loi Informatique et Libertés. Le régime à deux étages décrit plus haut n’est pas près de disparaître.

Pour les entreprises, c’est une bonne nouvelle de stabilité : le cadre des cookies et de la prospection ne sera pas bouleversé à court terme. C’est aussi le signe que la fragmentation entre les 27 transpositions nationales de la directive perdurera, ce qui complique la mise en conformité des acteurs paneuropéens.

Ce qu’il faut retenir

  • L’article 95 RGPD pose un principe de lex specialis : pour les sujets traités spécifiquement par la directive ePrivacy (cookies, confidentialité des communications, prospection électronique), le RGPD n’ajoute pas d’obligations supplémentaires.
  • Les cookies relèvent d’un régime à deux étages : le dépôt/lecture sur le terminal relève de l’article 82 de la loi Informatique et Libertés (ePrivacy), le traitement ultérieur des données relève du RGPD.
  • La CNIL est compétente sans guichet unique sur les traceurs, ce qui lui a permis de sanctionner directement Google (150 M€) et Amazon (35 M€) en décembre 2021, comme l’a confirmé le Conseil d’État le 28 janvier 2022.
  • Le standard du consentement reste celui du RGPD (Art. 4(11) et 7) : la directive exige le consentement, le RGPD en définit la qualité (arrêt Planet49, C-673/17).
  • Le règlement ePrivacy a été retiré en 2025 : la directive de 2002 et l’article 82 de la loi de 1978 restent applicables en 2026.

FAQ

Pourquoi les cookies ne relèvent-ils pas directement du RGPD ?

Parce que l’article 95 du RGPD donne priorité à la directive ePrivacy de 2002 pour les questions qu’elle traite spécifiquement, dont l’accès aux informations stockées dans le terminal. En France, le dépôt et la lecture de cookies relèvent donc de l’article 82 de la loi Informatique et Libertés. Le RGPD ne s’applique qu’au traitement ultérieur des données collectées.

Pourquoi la CNIL a-t-elle pu sanctionner Google et Amazon sans l’autorité irlandaise ?

Parce que le mécanisme du guichet unique (articles 56 et 60 du RGPD) ne s’applique qu’aux traitements relevant du RGPD. Les cookies relevant de la directive ePrivacy, transposée au niveau national, la CNIL est directement compétente pour les traceurs déposés sur les terminaux d’internautes en France. Le Conseil d’État l’a confirmé le 28 janvier 2022.

La directive ePrivacy va-t-elle être remplacée par un règlement ?

Pas dans un avenir proche. Le projet de règlement ePrivacy, proposé en 2017, a été officiellement retiré par la Commission européenne dans son programme de travail 2025, faute d’accord entre les colégislateurs. La directive 2002/58/CE et l’article 82 de la loi Informatique et Libertés restent donc applicables en 2026.

Quelle est la différence entre ePrivacy et RGPD pour le consentement aux cookies ?

La directive ePrivacy pose le principe : il faut un consentement avant de déposer un traceur non essentiel. Le RGPD fixe le standard de ce consentement : libre, spécifique, éclairé et univoque (Art. 4(11) et 7). C’est pourquoi une case pré-cochée est invalide et pourquoi le bouton « Tout refuser » doit être aussi accessible que « Tout accepter ».


Vous souhaitez sécuriser votre stratégie cookies et prospection ? Recevez nos analyses de conformité chaque semaine — décryptages de la jurisprudence CNIL, modèles à jour et veille réglementaire, directement dans votre boîte mail.