RGPD

Comment savoir si mon site est conforme RGPD (cookies) 2026

Contrôles CNIL renforcés en 2026 : les 3 critères de conformité cookies, la check-list complète et un test de votre site en quelques secondes.

Équipe ConsentLab13 min de lecture

En 2026, la CNIL a renforcé ses contrôles sur les cookies, avec des sanctions désormais systématiques. Savoir comment vérifier si votre site est conforme au RGPD n'est donc plus une précaution, c'est une urgence. Et la mauvaise nouvelle, c'est que la plupart des sites qui affichent un bandeau cookie ne sont pas conformes pour autant.

Afficher un bandeau ne prouve rien. Ce qui compte, c'est ce qui se passe avant que l'internaute ne clique : si des traceurs se déposent dès l'arrivée, votre site est déjà en faute, quel que soit le soin apporté au design du bandeau.

Ce guide vous donne les 3 critères de conformité, une check-list complète de 8 points, et un auto-diagnostic étape par étape.

Testez votre site gratuitement avec notre scanner de cookies.

Qu'est-ce qu'un « site conforme RGPD » concrètement pour les cookies ?

Un site est conforme au RGPD sur les cookies lorsqu'il ne dépose aucun traceur non essentiel avant le consentement libre, éclairé et univoque de l'internaute, qu'il permet de refuser aussi facilement que d'accepter, et qu'il conserve la preuve de ce consentement.

RGPD et directive ePrivacy

Le cadre légal repose sur deux textes : le RGPD, qui définit le consentement, et la directive ePrivacy, qui impose un consentement préalable au dépôt de traceurs non essentiels. En France, cette obligation figure à l'article 82 de la loi Informatique et Libertés.

Le rôle de la CNIL

La CNIL est l'autorité qui contrôle et sanctionne. Ses lignes directrices précisent ce qu'un bandeau cookie doit permettre : accepter, refuser, et paramétrer par finalité, sans que l'un soit plus difficile que l'autre.

Toute la conformité tient à cette distinction. Un cookie essentiel assure une fonction attendue par l'internaute, comme un panier ou une session. Un cookie non essentiel, mesure d'audience, publicité, réseau social, exige un consentement avant d'être déposé.

Un consentement valable

Le consentement doit être libre, spécifique, éclairé et univoque. Un consentement présumé, arraché par un dark pattern ou donné en bloc sans détail par finalité, n'est pas valable, même si un bandeau s'affiche.

Vérifiez ce que votre site dépose vraiment avec le scanner de cookies.

Pourquoi la conformité cookies est urgente en 2026

En 2026, la CNIL a renforcé ses contrôles sur les cookies avec des sanctions systématiques. Une non-conformité expose à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Des contrôles CNIL renforcés

Le dépôt de cookies avant consentement fait partie des axes de contrôle prioritaires de la CNIL. Les vérifications se font en ligne, souvent sans prévenir, et débouchent de plus en plus vite sur une mise en demeure.

Le montant des sanctions

Le plafond du RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En septembre 2025, la CNIL a sanctionné SHEIN à hauteur de 150 millions d'euros et Google de 325 millions d'euros pour des manquements liés aux cookies. Les grands acteurs sont visés en premier, mais les PME suivent.

Le déroulé d'un contrôle

Un contrôle commence souvent par une visite en ligne du site. Si des traceurs se déposent avant consentement, la CNIL peut demander la preuve du consentement recueilli, puis mettre en demeure de corriger sous un délai, avant sanction si rien ne bouge.

Le risque réputationnel

Au-delà de l'amende, une sanction est publique. Elle abîme la confiance des visiteurs et fausse vos propres données de mesure, puisque des cookies déposés sans consentement valable ne devraient pas être exploités.

Vérifiez votre exposition en un scan avec le scanner de cookies.

Exemple concret : un site non conforme et sa correction

Prenons un e-commerçant type. Son site affiche un bandeau cookie, il se croit tranquille. Pourtant, dès l'arrivée d'un visiteur, avant tout clic, Google Analytics et Google Ads déposent déjà leurs cookies.

Un scan révèle le problème en quelques secondes : les cookies _ga et _gid de Google Analytics et les cookies publicitaires de Google Ads sont posés au chargement de la page. Pire, le bandeau met « Tout accepter » en avant et cache le refus derrière un second écran.

Ce site cumule trois manquements : dépôt avant consentement, refus non symétrique, et aucune preuve conservée. Un bandeau visible ne compense aucun des trois.

La correction tient en quelques actions : bloquer les tags tant que le consentement n'est pas donné, remettre « Tout refuser » au même niveau qu'« Tout accepter », installer une CMP configurée avec Google Consent Mode v2, et conserver la preuve de chaque choix. Vous pouvez démarrer avec une CMP gratuite conforme. Une fois ces réglages en place, le même site aborde un contrôle CNIL sereinement.

Voyez ce qui se dépose sur votre site avant consentement avec le scanner de cookies.

Check-list de conformité cookies

Un site conforme sur les cookies coche 8 points : bandeau visible, refus aussi simple qu'accepter, blocage des traceurs avant consentement, aucun cookie pré-coché, durée de consentement limitée à 6 mois, preuve conservée, politique cookies à jour, et Google Consent Mode v2 si vous utilisez des outils Google.

  1. Bandeau cookie visible dès l'arrivée : présent et lisible, non contournable par un simple scroll. Vérifiez qu'il s'affiche à la première visite, sur mobile comme sur ordinateur.
  2. Refuser aussi simple qu'accepter : un bouton « Tout refuser » au même niveau qu'« Tout accepter ». Comptez le nombre de clics de chaque côté, ils doivent être identiques.
  3. Blocage des traceurs avant consentement : aucun cookie non essentiel avant le clic. C'est le point le plus souvent en défaut, et le plus contrôlé.
  4. Aucune case pré-cochée : le consentement n'est jamais présumé. Toutes les finalités non essentielles sont décochées par défaut.
  5. Durée de consentement limitée à 6 mois : re-sollicitez le choix au-delà, selon la recommandation de la CNIL. Vérifiez le paramétrage de votre bandeau.
  6. Preuve du consentement conservée : horodatage, choix par finalité, version du bandeau. Sans preuve, un consentement est réputé non recueilli. Voyez notre guide sur la preuve du consentement.
  7. Politique cookies à jour : la liste des cookies, leurs finalités, durées et destinataires, actualisée à chaque nouvel outil ajouté.
  8. Google Consent Mode v2 si outils Google : GCM v2 transmet les signaux de consentement à Google Ads et GA4. Indispensable si vous les utilisez dans l'Union européenne.

Vous ne savez pas si votre site coche ces 8 points ? Notre scanner les vérifie automatiquement en quelques secondes. Lancez le scan gratuit avec le scanner de cookies.

Auto-diagnostic : vérifier la conformité de votre site étape par étape

Pour vérifier si votre site est conforme, ouvrez l'inspecteur de votre navigateur, lancez un scan de cookies, listez tous les cookies déposés, puis identifiez ceux qui ne sont pas essentiels et se déposent avant consentement.

Étape 1 : Ouvrir l'inspecteur du navigateur

Sur Chrome ou Firefox, ouvrez les outils de développement, onglet Application ou Stockage, section Cookies. Faites-le avant de cliquer sur le bandeau, pour voir ce qui se dépose spontanément.

Étape 2 : Lancer un scan de cookies

Un outil automatisé parcourt votre site et recense les traceurs, sans manipulation technique de votre part. C'est le rôle du scanner ConsentLab, qui simule une première visite.

Étape 3 : Lister tous les cookies déposés

Notez pour chacun son nom, son domaine, sa durée et sa finalité. Vous obtenez une cartographie de ce que votre site pose réellement.

Étape 4 : Identifier les cookies non essentiels

Repérez les cookies de mesure d'audience, de publicité ou de réseaux sociaux. La question clé : lesquels se déposent avant le consentement ?

Étape 5 : Vérifier la symétrie accepter/refuser

Testez votre bandeau. Refuser doit être aussi accessible qu'accepter, au même niveau et en autant de clics.

Étape 6 : Contrôler la preuve et la durée

Vérifiez que chaque choix est enregistré et que le consentement est redemandé sous 6 mois. Sans journal de preuve, ce point n'est pas rempli.

Sautez les étapes manuelles, lancez le scan automatique avec le scanner de cookies.

Site conforme ou non conforme : le comparatif critère par critère

La différence entre un site conforme et un site non conforme tient à sept critères : le moment du dépôt des cookies, la symétrie des choix, les cases pré-cochées, la durée du consentement, la preuve conservée, la politique cookies et l'usage de GCM v2.

| Critère | Site NON conforme | Site conforme | |---|---|---| | Dépôt des cookies non essentiels | Avant consentement | Après consentement uniquement | | Refuser vs accepter | Refus caché ou multi-clics | Symétrique, un clic | | Cases de consentement | Pré-cochées | Décochées par défaut | | Durée du consentement | Indéfinie | 6 mois maximum | | Preuve du consentement | Absente | Horodatée et conservée | | Politique cookies | Absente ou obsolète | À jour et détaillée | | Google Consent Mode v2 | Non implémenté | GCM v2 actif |

Une seule ligne rouge suffit à rendre un site non conforme. Vérifiez laquelle vous concerne avec le scanner de cookies.

Les erreurs courantes qui rendent un site non conforme

Les erreurs les plus fréquentes sont le dépôt de Google Analytics avant consentement, un bouton « Refuser » caché, des cases pré-cochées, l'absence de preuve du consentement et une politique cookies jamais mise à jour.

  • Google Analytics qui se déclenche au chargement : l'erreur numéro un des PME. Le tag se lance avant tout clic, et dépose ses cookies sans consentement.
  • Le refus caché : accepter en un clic, refuser en trois. Ce dark pattern est un motif de sanction récurrent.
  • Le bandeau cosmétique : il s'affiche, mais ne bloque rien en amont. L'apparence de conformité ne vaut rien si les traceurs partent quand même.
  • L'absence de preuve : sans journal de consentement, impossible de démontrer quoi que ce soit lors d'un contrôle.
  • La politique cookies figée : jamais mise à jour après l'ajout d'un nouvel outil, elle ne reflète plus la réalité des traceurs déposés.
  • Croire qu'une CMP installée suffit : mal configurée, sans blocage préalable des traceurs, elle laisse passer les cookies et n'apporte aucune protection.

Questions fréquentes

Un site vitrine est-il concerné par le RGPD cookies ? Oui, dès qu'il dépose un cookie non essentiel : mesure d'audience, carte intégrée, bouton de réseau social. Seul un site strictement statique, sans aucun traceur, échappe à l'obligation.

Google Analytics rend-il mon site non conforme ? Pas en soi, mais oui s'il se déclenche avant consentement ou sans configuration GCM v2. Google Analytics doit être conditionné au consentement de l'internaute.

Combien de temps faut-il pour se mettre en conformité ? De quelques heures à quelques jours selon la complexité de votre site, avec une CMP correctement configurée. Le blocage des traceurs avant consentement est le réglage central.

Une CMP suffit-elle à être conforme ? Seulement si elle est bien configurée : blocage des traceurs avant consentement, symétrie des choix et preuve conservée. Une CMP mal réglée laisse passer les cookies et n'apporte rien. Vous pouvez démarrer avec une CMP gratuite conforme.

Comment tester gratuitement la conformité de mon site ? En lançant un scan de cookies gratuit qui recense les traceurs et surtout leur moment de dépôt, avant ou après consentement.

Que risque-t-on en cas de non-conformité ? Une sanction de la CNIL pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, en plus d'un risque réputationnel et de données de mesure faussées.

Vérifiez la conformité RGPD de votre site en quelques secondes

La conformité tient à 3 critères vérifiables, et un scan les contrôle instantanément. Testez ce que votre site dépose avant consentement, sans engagement, avec résultat immédiat.

Vous avez aimé cet article ?

Recevez les prochains directement par email.