Amendes CNIL cookies : les 10 plus grosses sanctions 2020-2026

Depuis 2020, la CNIL a prononcé plus de 400 millions d'euros d'amendes pour non-conformité cookies. Trois mécanismes reviennent dans 90% des cas : refus compliqué, dépôt avant consentement, consentement pré-coché. Voici les 10 plus grosses sanctions de ces six dernières années, et ce qu'elles vous apprennent concrètement en 2026.

Ces décisions ne sont pas de la théorie. Elles dessinent la grille de lecture que la CNIL applique à chaque contrôle — y compris aux TPE. Chaque amende repose sur un motif précis, reproductible, et qui peut se retrouver sur votre propre site si votre bandeau n'a pas été audité récemment. Bonne nouvelle : les erreurs sont toujours les mêmes, et la mise en conformité tient en moins d'une journée.

Top 10 des amendes CNIL cookies (2020-2026)

Le tableau ci-dessous récapitule les sanctions qui ont fait jurisprudence. Les montants sont exprimés en euros, tels qu'ils figurent dans les délibérations publiques de la formation restreinte.

| Année | Entreprise | Montant | Motif principal | |---|---|---|---| | 2021 | Google LLC | 150 M€ | Refus nécessitait 5 clics vs 1 clic pour accepter | | 2021 | Facebook (Meta) | 60 M€ | Même motif que Google : refus déséquilibré | | 2020 | Amazon Europe Core | 35 M€ | Dépôt de cookies publicitaires sans consentement | | 2022 | Microsoft Ireland | 60 M€ | Pas de bouton « tout refuser » sur Bing.com | | 2023 | Criteo | 40 M€ | Base légale illicite pour le tracking publicitaire | | 2024 | Orange SA | 50 M€ | Publicité dans les emails sans consentement + cookies tiers | | 2023 | Yahoo EMEA | 10 M€ | Refus des cookies insuffisamment clair | | 2022 | Apple Distribution Intl. | 8 M€ | Identifiant publicitaire activé par défaut sur l'App Store | | 2022 | TikTok UK | 5 M€ | Consentement pas aussi simple à refuser qu'à accepter | | 2024 | Voodoo SAS | 3 M€ | Identifiants publicitaires utilisés sans consentement |

Un motif traverse l'ensemble de cette liste : la CNIL a explicitement ciblé la symétrie entre l'acceptation et le refus dès 2020, et n'a jamais dévié depuis. Les six premières sanctions du top sanctionnent précisément ce déséquilibre, à des degrés de gravité variables. Google a ouvert la série en 2021 avec 150 millions d'euros — le montant reflète autant le nombre d'utilisateurs concernés que le gain économique tiré de l'asymétrie.

Une évolution mérite d'être soulignée. Avant 2022, les cibles étaient quasi exclusivement des géants américains : Google, Amazon, Facebook, Apple. Depuis 2023, les acteurs français et européens sont passés sur la grille : Criteo, Orange, Voodoo. La CNIL a clairement signifié que personne n'était à l'abri, quel que soit le pavillon. La tendance 2024-2026 descend progressivement l'échelle du chiffre d'affaires : plus la CNIL affine son outil de détection automatique, plus elle étend ses contrôles à des entreprises de taille moyenne, avec des amendes proportionnelles au CA.

Les 3 motifs qui reviennent le plus

Si vous ne retenez que trois choses de ce panorama, retenez ces trois-là. Elles concentrent l'essentiel des sanctions prononcées depuis 2020.

1. Refus non aussi simple que l'acceptation — présent dans environ 70% des amendes cookies. L'exemple canonique reste Google en 2021 : un clic pour « Tout accepter », cinq clics via un menu « Paramètres » pour refuser. La CNIL qualifie ce déséquilibre de consentement forcé, parce qu'il exploite la fatigue décisionnelle pour orienter l'utilisateur vers l'option la plus avantageuse pour l'éditeur.

2. Cookies déposés avant consentement — violation directe de l'article 82 de la loi Informatique et Libertés. L'exemple Amazon de 2020 fait jurisprudence : Google Analytics et plusieurs pixels publicitaires s'activaient dès le premier chargement de la page, avant la moindre interaction utilisateur. 35 millions d'euros d'amende, sans passage par la case mise en demeure. Tester ce point est trivial : ouvrez Chrome DevTools, onglet Network, rechargez votre page, et regardez ce qui part avant votre clic.

3. Consentement pré-coché ou « continuation de navigation » — explicitement interdit par la délibération CNIL de septembre 2020. L'exemple Apple 2022 illustre la subtilité : l'identifiant publicitaire IDFA était activé par défaut dans les réglages de l'App Store, forçant l'utilisateur à basculer un interrupteur pour désactiver le suivi. 8 millions d'euros pour une case cochée par défaut — le coût du design par défaut mal pensé.

Combien ça coûte vraiment à une PME ?

La CNIL calibre chaque amende selon le chiffre d'affaires de l'entreprise sanctionnée. Les 150 millions infligés à Google ne sont pas un plafond absolu, mais une application du plafond légal de 4% du CA mondial. Pour une PME française, les montants réalistes sont très différents — et restent douloureux.

• CA 1 M€ → plafond théorique 40 000 € (4% du CA). Réaliste en cas de contrôle avec manquement avéré : 5 000 à 15 000 €.
• CA 5 M€ → plafond théorique 200 000 €. Réaliste : 20 000 à 80 000 €.
• CA 20 M€ → plafond théorique 800 000 €. Réaliste : 80 000 à 300 000 €.

À l'amende s'ajoutent trois conséquences souvent sous-estimées. La publication obligatoire de la sanction sur le site de la CNIL et dans la presse, qui pèse lourd en B2B. L'impact réputationnel vis-à-vis des clients et partenaires, difficile à chiffrer mais réel. Et la mise en conformité forcée sous 30 jours, assortie d'une astreinte journalière qui peut atteindre 10 000 € par jour en cas de retard.

Comment éviter ça : la checklist CNIL 2026

Huit points actionnables, à vérifier ce soir sur votre propre site. Si vous cochez les huit, le risque d'amende descend à un niveau quasi nul — la CNIL cible d'abord les manquements flagrants.

1. Bouton « Tout refuser » au premier niveau, de même taille, même couleur et même hiérarchie visuelle que « Tout accepter ». Pas dans un menu, pas en gris clair, pas deux clics plus loin.
2. Aucun dépôt avant le clic de consentement. Vérifiez via Chrome DevTools, onglet Network, sur un navigateur vierge de cache.
3. Finalités groupées par catégorie : mesure d'audience, publicité, personnalisation, réseaux sociaux. Chaque catégorie doit être refusable indépendamment.
4. Preuve de consentement stockée avec horodatage, version de la CMP, et choix précis par finalité. Exportable en cas de contrôle.
5. Lien permanent « Gérer mes cookies » visible dans le footer de chaque page, qui rouvre le bandeau à tout moment.
6. Google Consent Mode v2 activé si vous utilisez Google Ads ou Google Analytics 4. Voir notre guide Google Consent Mode v2 pour la procédure.
7. Renouvellement du consentement tous les 13 mois maximum, conformément aux recommandations CNIL.
8. Déclaration au registre RGPD interne de votre CMP, des finalités associées et des sous-traitants impliqués.

FAQ

La CNIL peut-elle vraiment contrôler un site de 1 000 visites par mois ? Oui. En 2024, 23% des contrôles cookies ont ciblé des sites de moins de 5 000 visites mensuelles. L'outil Cookiedex scanne sans discrimination de taille, et une simple plainte utilisateur peut déclencher une instruction — même pour un tout petit site.

Mon hébergeur est-il responsable ? Non. La responsabilité incombe exclusivement à l'éditeur du site, c'est-à-dire vous. Même si votre CMS Shopify ou Wix impose un bandeau natif, c'est à vous de le rendre conforme — ou d'installer une CMP tierce. L'hébergeur n'est jamais co-responsable du choix de traceurs.

Quelle durée pour se mettre en conformité après un contrôle ? Généralement 30 jours à compter de la notification. En cas de non-respect, la CNIL prononce une astreinte journalière qui peut atteindre 10 000 € par jour, cumulable jusqu'à mise en conformité effective constatée par un nouveau contrôle.