Consentement aux cookies : toutes les réponses (RGPD/CNIL)
Le consentement aux cookies concentre à lui seul le plus de questions, et le plus de sanctions, de tout le RGPD. Un cookie non essentiel déposé avant le consentement de l’internaute suffit à rendre un site non conforme. Cette page regroupe 15 questions parmi les plus posées, chacune avec une réponse directe et chiffrée en tête, fondée sur les recommandations de la CNIL et sur le RGPD.
Elle couvre quatre thèmes : les obligations, la durée et la preuve, les cookies techniques, et Google Consent Mode v2. Nous la mettons à jour au fil des recommandations de la CNIL.
Obligations liées au consentement
Le consentement aux cookies est-il obligatoire ?
Le consentement est obligatoire pour tout cookie non strictement nécessaire. Seuls les traceurs indispensables au fonctionnement du site en sont dispensés.
La règle découle de la directive ePrivacy et du RGPD, appliqués en France par la CNIL. Un cookie « strictement nécessaire » assure une fonction attendue par l’internaute, comme garder un panier ou une session ouverte. Tout le reste, mesure d’audience non exemptée, publicité, réseaux sociaux, exige un consentement préalable.
Une CMP est-elle obligatoire ?
Aucune loi n’impose nommément une CMP, mais une plateforme de gestion du consentement (CMP) est en pratique indispensable pour recueillir, tracer et prouver le consentement conformément au RGPD.
La loi impose un résultat, pas un outil. Recueillir le consentement à la main, sans journal ni granularité par finalité, rend la preuve quasi impossible à produire lors d’un contrôle. C’est pourquoi la plupart des sites installent une CMP, y compris via une CMP gratuite.
Un site vitrine doit-il afficher un bandeau cookies ?
Un site vitrine doit afficher un bandeau cookie dès qu’il dépose des traceurs non essentiels : analytics, réseaux sociaux, publicité, vidéos ou cartes intégrées.
Beaucoup de sites vitrines se croient dispensés parce qu’ils ne vendent rien. Or un simple Google Analytics, un pixel Meta ou une carte Google Maps dépose des cookies soumis à consentement. Seul un site strictement statique, sans aucun traceur, échappe à l’obligation.
Refuser doit-il être aussi simple qu’accepter ?
Refuser les cookies doit être aussi simple que les accepter. La CNIL recommande un bouton « Tout refuser » au même niveau que « Tout accepter », dès le premier écran.
Cette symétrie est une recommandation de la CNIL depuis 2020, et l’un des motifs de sanction les plus fréquents. Un bandeau qui met « Tout accepter » en avant et cache le refus derrière plusieurs clics relève du dark pattern, et expose à une mise en demeure.
Un site peut-il redemander le consentement après un refus ?
Après un refus, un site ne peut pas redemander immédiatement le consentement. Il doit respecter un délai raisonnable avant de réafficher le bandeau, que la CNIL situe autour de 6 mois.
Réafficher le bandeau à chaque visite pour forcer l’acceptation est une forme de harcèlement de consentement, contraire aux recommandations. Le choix de l’internaute, refus comme acceptation, doit être mémorisé pendant cette période.
Pour vérifier que votre bandeau respecte ces obligations, notre scanner de cookies analyse votre site en quelques secondes.
Durée de conservation et preuve du consentement
Combien de temps conserver le consentement aux cookies ?
La CNIL recommande de conserver le choix de l’internaute, refus comme acceptation, pendant 6 mois avant de le redemander.
Ces 6 mois sont une recommandation, pas une obligation absolue : vous pouvez retenir une durée plus courte. La preuve du consentement, elle, se conserve plus longtemps, car c’est à vous de démontrer qu’il a bien été recueilli.
Comment prouver le consentement aux cookies ?
Le consentement se prouve en conservant un journal horodaté : date, choix, finalités et version du bandeau. L’article 7 du RGPD fait peser la charge de la preuve sur le responsable de traitement.
Une capture d’écran du bandeau ne suffit pas : il faut un enregistrement par internaute et par visite. Une CMP journalise ces preuves automatiquement. Nous détaillons ce que doit contenir une preuve opposable dans notre guide sur la preuve du consentement.
Que risque-t-on à déposer des cookies sans consentement ?
Déposer des cookies sans consentement expose à une sanction pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. En septembre 2025, la CNIL a sanctionné SHEIN à hauteur de 150 millions d’euros et Google de 325 millions d’euros pour des manquements liés aux cookies.
Dans le cas de SHEIN, des cookies publicitaires étaient déposés dès l’arrivée sur le site et maintenus après un clic sur « Tout refuser ». Les plus gros acteurs sont visés en premier, mais les contrôles descendent vers les PME. Les cookies relèvent aussi de l’article 82 de la loi Informatique et Libertés, qui fonde le pouvoir de sanction de la CNIL.
Cookies techniques et exemptions
Qu’est-ce qu’un cookie tiers ?
Un cookie tiers est déposé par un domaine différent de celui du site visité : régie publicitaire, réseau social, outil d’analyse externe. Il s’oppose au cookie interne, déposé par le site lui-même.
Les cookies tiers servent surtout au suivi entre sites et au retargeting publicitaire. Les navigateurs les bloquent de plus en plus par défaut, mais ils restent présents sur de nombreux sites et exigent presque toujours un consentement.
Quels cookies sont exemptés de consentement ?
Les cookies exemptés de consentement forment une liste fermée : panier d’achat, identifiant de session, authentification, préférences de langue, sécurité, et mesure d’audience configurée selon les conditions strictes de la CNIL.
« Liste fermée » signifie qu’aucune interprétation extensive n’est admise. La mesure d’audience n’est exemptée que si elle sert la seule statistique du site, sans recoupement avec d’autres traitements ni transfert à un tiers. Tout ce qui sort de cette liste réclame un consentement.
Google Analytics nécessite-t-il un consentement ?
Google Analytics nécessite le consentement de l’internaute. Il ne remplit pas les conditions strictes de l’exemption de mesure d’audience de la CNIL, notamment à cause du recoupement de données et des transferts hors Union européenne.
La CNIL a déjà mis en demeure des sites utilisant Google Analytics sur la question des transferts de données. En l’état, GA4 ne peut pas être configuré en mode exempté : il doit être conditionné au consentement, idéalement via une CMP compatible GCM v2.
Faut-il un consentement pour Matomo ou Plausible ?
Matomo et Plausible peuvent être utilisés sans consentement s’ils sont configurés en mode exempté conforme aux conditions de la CNIL : mesure d’audience anonyme, sans cookie tiers ni recoupement.
Concrètement, Matomo doit tourner en mode sans cookie, avec anonymisation de l’adresse IP et respect de l’opt-out. Plausible est cookieless par défaut. La configuration exemptée doit être respectée à la lettre, sinon le consentement redevient obligatoire.
Pour savoir quels cookies exigent un consentement sur votre site, lancez notre scanner de cookies.
Google Consent Mode v2 et outils
Le Google Consent Mode v2 est-il obligatoire ?
Le Google Consent Mode v2 (GCM v2) est obligatoire depuis mars 2024 pour utiliser Google Ads et GA4 avec des données d’internautes de l’Espace économique européen. Sans lui, les fonctions publicitaires et de remarketing sont limitées.
Cette obligation vient de Google, pas de la CNIL. GCM v2 transmet à Google les signaux de consentement recueillis par votre bandeau. Il se met en place via une CMP compatible, qui gère la transmission des états de consentement en mode basic ou advanced.
Quelle amende pour des cookies non conformes ?
Les cookies non conformes exposent à des sanctions de la CNIL allant de quelques dizaines de milliers d’euros à plusieurs centaines de millions, selon la taille de l’organisation et la gravité du manquement.
Deux régimes se combinent : l’article 83 du RGPD plafonne à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, et la loi Informatique et Libertés donne à la CNIL un pouvoir de sanction propre sur les cookies. Les montants réels vont bien au-delà des cas théoriques, comme le montrent les sanctions SHEIN et Google de 2025.
Comment savoir si mon site est conforme ?
Un site est conforme si aucun cookie non essentiel ne se dépose avant le consentement de l’internaute. Un scan du site suffit à lister les traceurs déclenchés avant tout clic sur le bandeau.
Vous pouvez le vérifier à la main via l’inspecteur de votre navigateur, ou de façon automatisée. Trois points de contrôle résument la conformité : aucun dépôt avant consentement, un refus aussi simple que l’acceptation, et une preuve conservée. Notre guide détaille comment rendre votre site conforme au RGPD.
Vérifiez la conformité de votre site en quelques secondes
Ces réponses posent le cadre. Pour passer à la vérification concrète, scannez vos cookies gratuitement, puis installez une CMP conforme aux exigences de la CNIL.