Guide pratique
Le bandeau cookies,
vraiment conforme.
C'est l'un des points les plus contrôlés par la CNIL — et l'un des plus souvent mal implémentés. Quels cookies nécessitent un consentement, ce qu'un bandeau conforme doit respecter, et les pièges à éviter.
Tous les cookies ne demandent pas un consentement.
La directive ePrivacy encadre le dépôt de cookies et traceurs. Les cookies strictement nécessaires au fonctionnement du site — un panier d'achat, l'authentification, la mémorisation d'un consentement déjà donné — sont exemptés de consentement. Vous pouvez les déposer directement.
En revanche, les cookies publicitaires, de mesure d'audience non exemptée, ou déposés par des boutons de réseaux sociaux exigent un consentement préalable — c'est-à-dire recueilli avant leur dépôt, pas après. C'est le point sur lequel la majorité des sites échouent : le traceur part avant même que l'utilisateur ait cliqué. Pour resituer cette obligation dans l'ensemble de vos traitements de données, voir notre page sur le registre des traitements.
Ce qu'un bandeau conforme doit respecter.
Quatre exigences reviennent systématiquement dans les recommandations de la CNIL.
Refus aussi simple
« Tout refuser » doit être aussi accessible que « Tout accepter » : même nombre de clics, mêmes couleurs de mise en avant.
Pas de case pré-cochée
Le consentement doit être libre, spécifique, éclairé et univoque — une case déjà cochée n'est pas un consentement valable.
Consentement préalable
Aucun cookie non essentiel ne doit être déposé avant que l'utilisateur ait fait son choix.
Durée limitée
La CNIL recommande une conservation du consentement de 6 mois maximum, au-delà il faut le redemander.
Les erreurs qui exposent à un risque.
Les « dark patterns » sont la première source de non-conformité constatée : un bouton « Accepter » en couleur vive et un lien « Refuser » discret en gris, un bandeau qui se referme automatiquement au bout de quelques secondes en valant acceptation, ou un choix de refus enfoui dans un sous-menu « Paramétrer » à trois clics — alors que l'acceptation tient en un seul.
Autres pièges fréquents : des scripts publicitaires ou de mesure d'audience qui se chargent dès l'arrivée sur le site, avant tout clic sur le bandeau ; l'absence de lien permettant de revenir modifier ses choix à tout moment ; ou encore un bandeau qui ne mentionne pas les finalités réelles des cookies déposés. Chacun de ces points, pris isolément, peut suffire à qualifier le recueil de consentement d'invalide en cas de contrôle.
Votre bandeau cookies tiendrait-il un contrôle CNIL ?
VIGIL vous aide à vérifier et corriger votre dispositif de consentement, avec un juriste de magistère disponible pour relire les points sensibles. Voir aussi nos formules d'accompagnement.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.