Le bandeau cookies est-il obligatoire ?

L'obligation découle de deux textes qui se complètent :

• Article 82 de la loi Informatique et Libertés (qui transpose la directive ePrivacy 2002/58/CE) : toute action consistant à stocker des informations sur l'appareil d'un utilisateur ou à accéder à des informations déjà stockées (cookies, local storage, identifiants de suivi) suppose en principe un consentement préalable. Exception : l'opération est strictement nécessaire à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur.
• RGPD : pour le traitement des données ainsi collectées (à des fins de mesure d'audience, de marketing ou de publicité), le consentement (article 6.1.a) est en règle générale la seule base légale adaptée. L'« intérêt légitime » (article 6.1.f) ne suffit pas pour des traceurs publicitaires ou de suivi, conformément aux lignes directrices et aux recommandations de la CNIL.

Concrètement : si votre site utilise Google Analytics, le pixel Meta, des vidéos YouTube intégrées, des polices chargées depuis un serveur tiers ou tout autre outil de mesure d'audience ou de marketing, un bandeau de consentement est obligatoire. Et ce, avant même que ces outils ne se chargent.

Aucun bandeau n'est requis si votre site utilise exclusivement des cookies strictement nécessaires et n'intègre aucun service transmettant des données à des tiers. La CNIL considère généralement comme exemptés de consentement :

• les cookies de connexion et de session, pour garder l'utilisateur authentifié ;
• les cookies de panier d'achat sur une boutique en ligne ;
• les cookies de sécurité et de répartition de charge ;
• l'enregistrement du choix de consentement lui-même.

Important : le seuil est élevé. « Nécessaire » signifie que le service ne fonctionne pas pour l'utilisateur sans ce cookie, et non qu'il vous est pratique ou utile pour votre marketing. La mesure d'audience, les tests A/B ou le suivi de conversion ne relèvent quasiment jamais de l'exception. À noter : la CNIL admet, sous conditions strictes, certaines solutions de mesure d'audience exemptées de consentement, mais elles doivent rester limitées à la seule mesure pour votre propre compte.

Une erreur répandue : de nombreux composants en apparence inoffensifs (cartes intégrées, polices externes, vidéos embarquées) chargent eux aussi des données depuis des serveurs tiers et déclenchent ainsi l'obligation de bandeau. Pour savoir si vous en avez besoin, le seul moyen fiable est d'examiner l'ensemble des traceurs réellement chargés.

De la loi et des recommandations de la CNIL se dégagent des exigences minimales claires :

• « Tout refuser » au même niveau que « Tout accepter ». Accepter et refuser doivent être également visibles et aussi simples d'accès dès le premier niveau du bandeau. La CNIL exige que refuser soit aussi aisé qu'accepter ; un bandeau qui ne propose au premier niveau que « Tout accepter » et « Paramétrer », en reléguant le refus à un niveau inférieur, ne respecte pas cette exigence.
• Bloquer les traceurs en amont. Des outils comme Google Tag Manager ne doivent se charger qu'après un consentement valide, et non dès l'ouverture de la page. Si un traceur se charge avant que l'utilisateur n'ait fait son choix, le bandeau n'est que cosmétique et le traitement est illicite.
• Pas de dark patterns. Refuser ne doit pas être plus compliqué qu'accepter. Pas de bouton d'acceptation mis en avant de façon criarde à côté d'un lien de refus en gris pâle.
• Finalités claires et liste complète des destinataires. Les utilisateurs doivent comprendre à quelles fins leurs données sont traitées et quels tiers sont impliqués.
• Retrait aussi simple que le consentement. Le choix doit pouvoir être modifié à tout moment.

S'il manque ne serait-ce qu'un seul de ces points, vous vous exposez à des plaintes, à des mises en demeure et, dans le pire des cas, à des sanctions de la CNIL.

• « Un bandeau suffit, peu importe lequel. » Faux. Un bandeau sans bouton de refus équivalent, ou avec des traceurs qui se chargent en amont, ne vous protège pas : il documente même le manquement.
• « L'intérêt légitime suffit pour la mesure d'audience. » Non. Pour les cookies de marketing et de statistiques, le consentement est la seule base solide.
• « Un bandeau une fois posé reste conforme. » Non. Dès qu'un nouvel outil, plugin ou élément intégré s'ajoute, le paysage des traceurs change. Sans analyse régulière, toute solution de consentement se périme.

Pour les agences web et les indépendants qui gèrent plusieurs sites clients, cela devient vite difficile à suivre : chaque site a sa propre liste de traceurs, et chaque mise à jour de plugin peut introduire de nouveaux cookies.

Vous voulez en avoir le cœur net ? Lancez l'analyse gratuite de votre site avec BlueOcean Privacy AI. En quelques minutes, elle vous montre quels traceurs vos pages chargent réellement et si votre bandeau répond aux exigences, pour tous vos clients depuis un seul tableau de bord. Lancez l'analyse dès maintenant ou réservez un rendez-vous de conseil gratuit.