Cookies et RGPD : guide complet de mise en conformite

La gestion des cookies constitue l’un des enjeux majeurs de la conformite numerique pour toute organisation qui exploite un site web ou une application mobile. Entre le Reglement General sur la Protection des Donnees (RGPD) et la directive ePrivacy, le cadre juridique applicable est a la fois dense et en constante evolution. Les sanctions prononcees par la CNIL ces dernieres annees – 150 millions d’euros pour Google, 35 millions pour Amazon, 40 millions pour Criteo – temoignent de la severite croissante des autorites de controle en la matiere.

Ce guide a pour objectif de vous fournir une analyse complete du cadre legal, des obligations pratiques et des bonnes pratiques a mettre en oeuvre pour assurer la conformite de votre politique de cookies.

Le cadre juridique applicable aux cookies

La directive ePrivacy et sa transposition en droit francais

Les cookies sont regis en premier lieu par la directive 2002/58/CE dite “directive ePrivacy”, modifiee par la directive 2009/136/CE. En droit francais, cette directive a ete transposee a l’article 82 de la loi Informatique et Libertes du 6 janvier 1978.

Le principe est clair : toute action tendant a acceder, par voie de transmission electronique, a des informations deja stockees dans l’equipement terminal d’un utilisateur, ou a inscrire des informations dans cet equipement, ne peut etre effectuee qu’a condition que l’utilisateur ait exprime son consentement prealable, apres avoir recu une information claire et complete.

Ce texte vise specifiquement les operations de lecture et d’ecriture sur le terminal de l’utilisateur. Il s’applique donc aux cookies, mais egalement aux pixels de tracking, au fingerprinting, au local storage et a toute technologie equivalente.

L’articulation avec le RGPD

Le RGPD intervient des lors que les cookies permettent de collecter des donnees a caractere personnel – ce qui est le cas dans l’immense majorite des situations. Un identifiant unique stocke dans un cookie constitue une donnee personnelle au sens de l’article 4 du RGPD.

L’articulation entre les deux textes est la suivante :

• La directive ePrivacy regit l’acces au terminal de l’utilisateur (depot et lecture de cookies). Elle impose le consentement comme principe, avec des exceptions limitees.
• Le RGPD regit le traitement subsequent des donnees collectees via ces cookies. Il impose le respect d’une base legale (article 6), les obligations de transparence (articles 13-14), les droits des personnes concernees, etc.

En pratique, un cookie de mesure d’audience qui collecte des donnees personnelles doit satisfaire aux exigences des deux textes simultanement.

Cookies necessitant un consentement et cookies exemptes

Les cookies exemptes de consentement

L’article 82 de la loi Informatique et Libertes prevoit une exemption pour les cookies strictement necessaires a la fourniture d’un service expressement demande par l’utilisateur. La CNIL a precise les categories suivantes comme exemptees :

• Les cookies d’authentification utilises pour identifier l’utilisateur connecte a un service
• Les cookies de panier d’achat sur un site de commerce electronique
• Les cookies de personnalisation de l’interface (choix de langue, presentation)
• Les cookies de session necessaires au fonctionnement technique du site
• Les cookies de load balancing permettant de repartir la charge serveur
• Certains cookies de mesure d’audience, sous conditions tres strictes definies par la CNIL

Concernant ce dernier point, la CNIL a publie des lignes directrices precisiant qu’un cookie de mesure d’audience peut etre exempt de consentement uniquement si : le traitement est limite a la production de statistiques anonymes, les donnees ne sont pas croisees avec d’autres traitements, le perimetre est limite au site ou a l’application de l’editeur, et la duree de vie du cookie ne depasse pas 13 mois.

Les cookies necessitant un consentement

Tous les autres cookies necessitent le recueil du consentement prealable de l’utilisateur. Cela inclut notamment :

• Les cookies publicitaires et de retargeting
• Les cookies de reseaux sociaux (boutons de partage, widgets)
• Les cookies de mesure d’audience non exemptes
• Les cookies de personnalisation de contenu bases sur le profilage
• Les cookies de tracking cross-site
• Les cookies deposes par des tiers (partenaires publicitaires, regies)

Les recommandations CNIL de 2020 actualisees

Les lignes directrices et la recommandation du 1er octobre 2020

La CNIL a adopte le 17 septembre 2020 des lignes directrices modificatives (deliberation n 2020-091) ainsi qu’une recommandation pratique (deliberation n 2020-092) le 1er octobre 2020, entrees en application le 31 mars 2021. Ces textes constituent aujourd’hui la reference en matiere de conformite cookies en France.

Les principes fondamentaux

Le consentement doit etre libre. L’utilisateur ne doit subir aucun prejudice en cas de refus. Les “cookie walls” – qui bloquent l’acces au contenu en cas de refus des cookies – ont fait l’objet d’une position nuancee de la CNIL. Celle-ci considere que le cookie wall n’est pas par principe interdit, mais qu’il doit etre analyse au cas par cas. Le Conseil d’Etat a confirme cette approche. Neanmoins, en pratique, la CNIL recommande d’eviter les cookie walls purs et de proposer des alternatives (abonnement payant, version degradee du service).

Le consentement doit etre eclaire. L’utilisateur doit recevoir une information claire, complete et comprehensible sur la finalite de chaque categorie de cookies avant de donner son consentement. Cette information doit indiquer l’identite du ou des responsables de traitement, la finalite des operations de lecture/ecriture, et les moyens de refuser ou de retirer son consentement.

Le consentement doit etre univoque. Les cases pre-cochees sont formellement interdites. La poursuite de la navigation ne vaut pas consentement. L’utilisateur doit effectuer un acte positif clair (clic sur un bouton “Accepter”, par exemple).

Le consentement doit etre granulaire. L’utilisateur doit pouvoir accepter ou refuser les cookies finalite par finalite. Un bouton “Tout accepter” est autorise, mais il doit etre accompagne d’un bouton “Tout refuser” place au meme niveau et avec la meme visibilite. L’utilisateur doit egalement pouvoir acceder a un second niveau de parametrage permettant un choix finalite par finalite.

Le bandeau cookies : exigences de conformite

Les elements obligatoires du premier niveau

Le bandeau cookies (premier niveau d’information) doit contenir au minimum :

1. L’identite du ou des responsables de traitement
2. La liste des finalites des cookies deposes, redigee de maniere claire et comprehensible
3. Un bouton “Tout accepter” et un bouton “Tout refuser” places au meme niveau et avec une presentation equivalente
4. Un lien ou bouton permettant d’acceder au parametrage fin (second niveau)
5. L’information sur la possibilite de retirer son consentement a tout moment

Le second niveau de parametrage

Le second niveau doit permettre a l’utilisateur d’exercer un choix granulaire, finalite par finalite. Il est recommande de presenter les differentes categories de cookies de maniere claire, avec pour chacune :

• Une description de la finalite
• La liste des cookies concernes (ou un lien vers cette liste)
• L’identite des tiers deposant des cookies
• Un mecanisme d’activation/desactivation pour chaque finalite

Erreurs frequentes a eviter

• Utiliser un design trompeur (dark patterns) rendant le bouton “Refuser” moins visible
• Placer le bouton “Refuser” dans un sous-menu alors que “Accepter” est au premier niveau
• Utiliser des couleurs contrastees pour inciter a l’acceptation
• Deposer des cookies avant le recueil du consentement
• Ne pas renouveler la demande de consentement dans les delais requis

Duree de conservation des cookies et du consentement

La regle des 13 mois

La CNIL recommande que la duree de vie des cookies ne depasse pas 13 mois apres leur premier depot dans le terminal de l’utilisateur. Cette duree ne doit pas etre prolongee automatiquement lors de nouvelles visites. A l’expiration de ce delai, le consentement doit etre recueilli a nouveau.

La conservation de la preuve du consentement

Le responsable de traitement doit etre en mesure de demontrer a tout moment que le consentement a ete valablement recueilli. Cela implique de conserver :

• La date et l’heure du consentement
• Les choix effectues par l’utilisateur (acceptation ou refus, pour chaque finalite)
• La version du bandeau cookies presentee a l’utilisateur
• L’identifiant de l’utilisateur (cookie de consentement)

La duree de conservation de cette preuve doit etre coherente avec la duree de vie des cookies. En pratique, une conservation de 13 mois est recommandee.

Les sanctions : un risque financier majeur

Les decisions marquantes de la CNIL

La CNIL a prononce plusieurs sanctions significatives en matiere de cookies :

• Google LLC et Google Ireland : 150 millions d’euros (decembre 2021) pour defaut de mecanisme de refus equivalent au mecanisme d’acceptation des cookies
• Amazon Europe Core : 35 millions d’euros (decembre 2020) pour depot de cookies sans consentement prealable et information insuffisante
• Criteo : 40 millions d’euros (juin 2023) pour plusieurs manquements lies au consentement dans le cadre du retargeting publicitaire
• Microsoft Ireland : 60 millions d’euros (decembre 2022) pour depot de cookies publicitaires sans consentement sur le moteur de recherche Bing
• TikTok : 5 millions d’euros (decembre 2022) pour defaut de mecanisme de refus simple des cookies

Les criteres d’appreciation de la sanction

La CNIL prend en compte plusieurs facteurs pour determiner le montant de la sanction : la gravite du manquement, le nombre de personnes concernees, la duree de l’infraction, le caractere intentionnel ou negligent, les mesures correctives adoptees, et le chiffre d’affaires de l’organisme. Pour les manquements a l’article 82 de la loi Informatique et Libertes, la CNIL peut prononcer des amendes allant jusqu’a 2% du chiffre d’affaires annuel mondial.

Choisir sa plateforme de gestion du consentement (CMP)

Le recours a une CMP (Consent Management Platform) est devenu indispensable pour gerer la conformite cookies de maniere efficace. Pour approfondir ce sujet, consultez notre guide complet sur les CMP et la gestion du consentement. Voici les principaux criteres a evaluer :

Criteres fonctionnels

• Compatibilite TCF v2.2 (Transparency and Consent Framework de l’IAB Europe)
• Granularite du consentement : possibilite de parametrage par finalite et par fournisseur
• Blocage des scripts avant consentement : la CMP doit empecher le chargement des cookies non essentiels avant le recueil du consentement
• Gestion multi-langues et multi-sites
• Tableau de bord de reporting avec taux de consentement
• Integration Google Consent Mode v2 pour la compatibilite avec l’ecosysteme publicitaire Google

Criteres de conformite

• Respect des recommandations CNIL (boutons equipollents, absence de dark patterns)
• Conservation de la preuve du consentement
• Scan automatique des cookies pour detecter les traceurs non declares
• Mise a jour automatique de la liste des cookies

Solutions du marche

Parmi les solutions les plus repandues : Didomi, Axeptio, Cookiebot (Usercentrics), OneTrust, et Tarteaucitron (solution open source). Chaque solution presente des avantages et des inconvenients en termes de facilite d’implementation, de cout, de couverture fonctionnelle et de conformite aux recommandations CNIL.

Checklist de mise en conformite cookies

Pour securiser votre conformite, voici les etapes essentielles a mettre en oeuvre :

1. Realiser un audit complet des cookies deposes sur votre site. Identifiez chaque cookie, sa finalite, sa duree de vie et le tiers qui le depose. Un audit RGPD global peut etre pertinent pour situer la conformite cookies dans le cadre plus large de vos obligations.

2. Classifier les cookies en categories : strictement necessaires, mesure d’audience, publicitaires, reseaux sociaux, personnalisation.

3. Mettre en place une CMP conforme aux recommandations CNIL, avec boutons equipollents, parametrage granulaire et blocage des scripts avant consentement.

4. Rediger une politique cookies detaillee, accessible depuis le bandeau et depuis le site. Cette politique doit lister l’ensemble des cookies, leurs finalites, les tiers concernes et les durees de conservation.

5. Configurer le blocage des scripts non essentiels avant le recueil du consentement. Aucun cookie non exempt ne doit etre depose avant un acte positif de l’utilisateur.

6. Verifier la duree de vie des cookies : 13 mois maximum. Renouveler la demande de consentement a l’expiration.

7. Tester regulierement le bon fonctionnement du bandeau cookies, le blocage effectif des cookies et la coherence entre les choix de l’utilisateur et les cookies effectivement deposes.

8. Documenter la conformite : conserver les preuves de consentement, les versions du bandeau, les audits realises.

9. Former les equipes marketing aux regles applicables, en particulier avant toute integration d’un nouveau service tiers (pixel de tracking, widget social, outil d’A/B testing).

10. Surveiller les evolutions reglementaires : la directive ePrivacy fait l’objet d’un projet de reglement europeen (le “reglement ePrivacy”) qui, lorsqu’il sera adopte, modifiera sensiblement le cadre applicable.

Le cas specifique de Google Analytics

L’utilisation de Google Analytics merite une attention particuliere en matiere de conformite cookies. Depuis les decisions de la CNIL de 2022, le recours a cet outil a suscite de nombreuses interrogations. Les cookies deposes par Google Analytics sont des cookies de mesure d’audience qui necessitent en principe le consentement de l’utilisateur, sauf configuration tres specifique repondant aux criteres d’exemption de la CNIL – criteres que Google Analytics ne remplit pas en configuration standard.

Conclusion

La conformite cookies n’est pas une option mais une obligation legale dont le non-respect expose a des sanctions financieres considerables. L’articulation entre la directive ePrivacy et le RGPD impose une double vigilance : le respect du consentement pour l’acces au terminal d’une part, et le respect des obligations de protection des donnees pour les traitements associes d’autre part.

La mise en conformite necessite une approche structuree, combinant audit technique, choix d’une CMP adaptee, configuration rigoureuse et surveillance continue. Des outils comme Legiscope peuvent faciliter le suivi global de votre conformite RGPD, dont la gestion des cookies est une composante essentielle.

Les organisations qui investissent dans une conformite cookies serieuse y trouvent egalement un avantage competitif : une relation de confiance renforcee avec les utilisateurs, une meilleure image de marque et une securite juridique face a un risque reglementaire qui ne cesse de s’intensifier.

FAQ

Est-il obligatoire d’afficher un bandeau cookies sur son site web ?

Oui, des lors que votre site depose des cookies non strictement necessaires (cookies publicitaires, analytics, reseaux sociaux), vous devez recueillir le consentement prealable de l’utilisateur via un bandeau conforme. Ce bandeau doit proposer un bouton “Tout accepter” et un bouton “Tout refuser” places au meme niveau. Un audit RGPD permet de verifier la conformite de votre bandeau.

Quels cookies sont exemptes de consentement ?

Les cookies strictement necessaires au fonctionnement du site sont exemptes : cookies d’authentification, de panier d’achat, de session, de load balancing et de personnalisation de l’interface. Certains cookies de mesure d’audience peuvent etre exemptes sous conditions tres strictes (pas de croisement de donnees, duree de 13 mois maximum, production de statistiques anonymes uniquement).

Google Analytics necessite-t-il le consentement cookies ?

Oui, Google Analytics depose des cookies qui necessitent le consentement prealable de l’utilisateur, y compris dans sa version GA4. Google Analytics ne remplit pas les conditions d’exemption de la CNIL en configuration standard, car les donnees sont transmises a Google qui peut les utiliser pour ses propres finalites.

Quelle est la duree maximale de vie d’un cookie ?

La CNIL recommande une duree maximale de 13 mois. A l’expiration de ce delai, le consentement doit etre recueilli a nouveau. Cette duree ne doit pas etre prolongee automatiquement lors de nouvelles visites. La preuve du consentement doit etre conservee pendant la meme duree.

Quelles sanctions pour un bandeau cookies non conforme ?

Les sanctions sont significatives : la CNIL a prononce 150 millions d’euros contre Google, 60 millions contre Microsoft et 40 millions contre Criteo pour des manquements lies aux cookies. Le principal motif de sanction est l’absence de mecanisme de refus equivalent au mecanisme d’acceptation (dark patterns).