Guides Guide pratique
Bandeau cookies conforme au RGPD : comment éviter les mises en demeure
Un bandeau cookies ne suffit pas à lui seul à vous protéger d'une mise en demeure de la CNIL — c'est la mise en œuvre qui compte. Ce guide montre ce qu'un bandeau juridiquement fiable doit savoir faire en 2026.
Un bandeau cookies est-il obligatoire ?
Un bandeau cookies est obligatoire dès qu'un site web dépose des cookies ou des traceurs non essentiels — par exemple à des fins de mesure d'audience ou de marketing. Le fondement juridique est l'article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy), complété par le RGPD.
Sans consentement, seuls les traceurs strictement nécessaires au fonctionnement du service peuvent être déposés. Tout le reste — Google Analytics, le pixel Meta, Maps, YouTube — requiert le consentement actif du visiteur avant tout chargement.
Les recommandations de la CNIL sont claires sur ce point : le dépôt et la lecture de traceurs non essentiels avant le recueil du consentement constituent un manquement, exposant le responsable du site à une mise en demeure puis, le cas échéant, à une sanction de la CNIL.
À quoi doit ressembler le bandeau ?
Un bandeau juridiquement fiable doit présenter, dès le premier niveau, des boutons équivalents pour « Tout accepter » et « Tout refuser ». La CNIL l'exige dans ses lignes directrices et recommandations : refuser les traceurs doit être aussi simple qu'accepter.
Concrètement, cela signifie :
- « Tout refuser » dès le niveau 1 — même taille, même couleur, même effort de clic que « Accepter ».
- Pas de dark patterns — pas de bouton vert « Accepter » à côté d'un simple lien gris « Refuser ».
- Choix granulaire — le visiteur doit pouvoir accepter ou refuser des finalités par catégorie.
- Retrait à tout moment — la décision doit pouvoir être modifiée aussi facilement qu'elle a été donnée.
Les erreurs les plus sanctionnées
Les manquements les plus coûteux sont : des traceurs qui se déclenchent avant le consentement, un bouton « Refuser » dissimulé, et une politique de confidentialité qui ne reflète pas la réalité du site.
- Les traceurs se déclenchent trop tôt. Si Google Analytics se charge dès l'ouverture de la page, il s'agit d'un manquement caractérisé à l'article 82 de la loi Informatique et Libertés — quel que soit le message affiché par le bandeau.
- Le bandeau apparaît après le chargement. De nombreux outils interviennent trop tard ; à ce moment-là, les traceurs ont déjà transmis des données.
- Politique de confidentialité obsolète. Un nouvel outil, un nouveau pixel — et le texte n'est plus à jour ni conforme à l'obligation d'information du RGPD.
Comment bien faire les choses
Déployez un bandeau qui bloque techniquement les traceurs avant leur chargement — et maintenez la politique de confidentialité automatiquement synchronisée avec le suivi réellement présent sur le site.
C'est précisément ce que prend en charge BlueOcean Privacy AI : les traceurs attendent le consentement, le texte de confidentialité se met à jour de lui-même, et une analyse vous indique la note RGPD réelle de votre site.
Vous n'êtes pas certain que vos pages sont conformes ? Lancez un scan gratuit de votre site, ou réservez un bref rendez-vous : nous examinons cela ensemble.
Jetons un œil à vos sites
En 15 minutes, voyez où en sont les sites de vos clients — et comment les sécuriser sans effort.
Questions fréquentes
« Tout refuser » doit-il figurer dès le premier niveau ?
Oui. Selon les lignes directrices et recommandations de la CNIL, refuser les traceurs doit être aussi simple qu'accepter : un bouton « Tout refuser » équivalent doit donc apparaître directement au premier niveau du bandeau, avec une mise en évidence visuelle comparable à celle du bouton « Accepter ».
Un plug-in cookies gratuit suffit-il ?
Uniquement s'il bloque réellement les traceurs avant le consentement et couvre l'obligation d'information. De nombreux plug-ins gratuits se contentent d'afficher un bandeau sans rien bloquer — ce qui reste un manquement à l'article 82 de la loi Informatique et Libertés et peut être sanctionné par la CNIL.
Que risque-t-on en cas de bandeau non conforme ?
La CNIL peut adresser une mise en demeure puis, en l'absence de mise en conformité, prononcer une sanction au titre de l'article 82 de la loi Informatique et Libertés et du RGPD. Le montant dépend de la gravité et du contexte ; au-delà de l'amende, le risque concerne aussi la réputation et la confiance des visiteurs.