ConsentLabConsentLab
Commencer gratuitement
FonctionnalitésTarifsFAQDocumentationBlogConnexion

Recommandations CNIL sur les cookies

Derniere mise a jour : 14 avril 2026

La CNIL (Commission Nationale de l'Informatique et des Libertes) a publie des lignes directrices (deliberation n° 2020-091 du 17 septembre 2020) et une recommandation pratique (1er octobre 2020) qui definissent les regles a respecter pour les cookies et traceurs en France.

Ce document resume les points essentiels pour les TPE/PME. Il ne remplace pas la lecture des textes officiels mais vous donne une vision claire de ce que vous devez faire.

1. Consentement : les regles fondamentales

1.1 Le consentement doit etre prealable

Aucun cookie non essentiel ne doit etre depose ou lu avant que l'utilisateur ait donne son consentement. Cela concerne :

  • Google Analytics / GA4
  • Google Tag Manager (si utilise pour charger des traceurs)
  • Facebook Pixel / Meta Pixel
  • Hotjar, Clarity, Crazy Egg
  • Tout outil de publicite ciblee
  • Tout outil de A/B testing deposant des cookies

1.2 Le consentement doit etre libre

La CNIL interdit les pratiques suivantes :

  • Cookie walls : conditionner l'acces au site a l'acceptation des cookies (sauf exceptions limitees)
  • Cases pre-cochees : les options doivent etre desactivees par defaut
  • Dark patterns : le bouton "Refuser" doit etre aussi visible et accessible que "Accepter"
  • Scroll = consentement : la poursuite de la navigation ne vaut pas consentement

1.3 Le consentement doit etre eclaire

L'utilisateur doit savoir :

  • Qui depose les cookies (editeur du site et/ou tiers)
  • Pourquoi (finalite precise : analytics, publicite, personnalisation)
  • Comment retirer son consentement

La CNIL recommande une information en deux niveaux :

  1. Niveau 1 (bandeau) : resume des finalites + boutons accepter/refuser/personnaliser
  2. Niveau 2 (page detaillee) : liste complete des cookies, finalites, durees, editeurs

1.4 Le consentement doit etre specifique

L'utilisateur doit pouvoir accepter ou refuser les cookies par finalite (analytics, publicite, etc.), pas seulement un "tout accepter" ou "tout refuser" global. Les categories proposees doivent etre claires et comprehensibles.

2. Cookies exemptes de consentement

Certains cookies ne necessitent pas de consentement car ils sont strictement necessaires au fonctionnement du site ou expressement demandes par l'utilisateur :

  • Cookies de session (authentification, panier)
  • Cookies de preference (langue, accessibilite)
  • Cookies de securite (CSRF, anti-fraude)
  • Cookies de load balancing
  • Cookies de consentement eux-memes (memoriser le choix de l'utilisateur)

Cas particulier : mesure d'audience

La CNIL accorde une exemption pour certains outils de mesure d'audience s'ils respectent des conditions strictes :

  • Finalite limitee a la mesure d'audience
  • Donnees non recoupees avec d'autres traitements
  • Donnees non transmises a des tiers
  • Cookie limite a 13 mois
  • Informations collectees anonymisees

Google Analytics n'est PAS exempt, meme avec l'anonymisation IP. Seuls des outils comme Matomo (avec configuration specifique) ou AT Internet beneficient de cette exemption.

3. Durees de conservation

ElementDuree maximale CNIL
Duree de vie d'un cookie13 mois
Validite du consentement25 mois (puis re-sollicitation)
Conservation des preuves de consentement5 ans (prescription de droit commun, Art. 2224 Code civil)
Donnees collectees par les traceurs25 mois maximum

4. Obligations de preuve

Le responsable de traitement (vous) doit pouvoir demontrer que le consentement a ete valablement recueilli. Cela implique :

  • Enregistrer la date et l'heure du consentement
  • Identifier l'utilisateur de maniere anonyme (hash ou identifiant unique)
  • Conserver les choix effectues (categories acceptees/refusees)
  • Pouvoir produire ces preuves en cas de controle CNIL

ConsentLab enregistre automatiquement toutes ces informations et permet leur export en CSV a tout moment.

5. Controles CNIL : comment ca se passe

La CNIL effectue regulierement des controles en ligne. Elle dispose d'outils automatises qui detectent :

  • Les cookies deposes avant consentement
  • L'absence de bandeau de consentement
  • Les bandeaux non conformes (pas de bouton refuser, dark patterns)
  • Les scripts tiers charges avant consentement

En cas de manquement, la CNIL peut :

  1. Avertir — rappel a l'ordre sans sanction
  2. Mettre en demeure — obligation de se conformer sous delai
  3. Sanctionner — amende pouvant aller jusqu'a 2% du CA annuel

6. Recapitulatif : les 10 regles a retenir

  1. Pas de cookie non essentiel avant consentement
  2. Accepter et refuser doivent etre aussi faciles l'un que l'autre
  3. Pas de cases pre-cochees
  4. Information claire sur les finalites
  5. Consentement par categorie (analytics, marketing, etc.)
  6. Possibilite de retirer son consentement a tout moment
  7. Cookies limites a 13 mois de duree de vie
  8. Re-solliciter le consentement tous les 25 mois
  9. Conserver les preuves de consentement 5 ans
  10. Google Analytics necessite toujours le consentement

7. Mise en conformite avec ConsentLab

ConsentLab applique automatiquement l'ensemble de ces recommandations :

  • Blocage des scripts avant consentement
  • Boutons accepter/refuser de meme importance visuelle
  • Personnalisation par categorie
  • Conservation des preuves avec horodatage
  • Duree de consentement configurable (365 jours par defaut, CNIL recommande 25 mois max)
  • Google Consent Mode v2 natif
  • Export CSV pour les controles

Mettre mon site en conformite — gratuit, 2 minutes

8. Sources officielles