RGPD et Cookies Tiers : Les nouvelles directives et sanctions CNIL en 2026

Contexte réglementaire

Le cadre réglementaire régissant les cookies, et particulièrement les cookies tiers, est en constante évolution, sous l'impulsion du Règlement Général sur la Protection des Données (RGPD) et des directives subséquentes de la CNIL et du Comité Européen de la Protection des Données (EDPB). L'Article 6 du RGPD dispose que tout traitement de données personnelles doit reposer sur une base légale, et concernant les cookies tiers à des fins marketing ou d'analyse, le consentement de la personne concernée est la base légale la plus fréquemment requise. L'Article 4, paragraphe 11, du RGPD définit le consentement comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement".

Au-delà du RGPD, la directive ePrivacy (2002/58/CE amendée par 2009/136/CE), transposée en droit français par l'Article 82 de la Loi Informatique et Libertés, constitue le socle spécifique à l'utilisation des traceurs. Cet article confirme l'obligation de recueillir le consentement préalable de l'utilisateur avant le dépôt ou la lecture de cookies, sauf pour ceux "strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur" (Article 82 de la Loi Informatique et Libertés).

La CNIL, en sa qualité d'autorité de contrôle française, a publié plusieurs lignes directrices et recommandations, dont les plus récentes datent de 2020 et 2021, précisant les modalités de recueil du consentement. Le 1er octobre 2020, la CNIL a adopté sa délibération n° 2020-091, complétée par ses lignes directrices n° 2020-092 du 17 septembre 2020 portant sur l'application de l'article 82 de la loi Informatique et Libertés. Ces textes ont réaffirmé plusieurs principes clés : interdiction du 'scroll', du 'click' continu ou de la simple poursuite de navigation comme mode de recueil du consentement, obligation d'informer l'utilisateur des finalités précises des cookies et des identités des émetteurs, et la nécessité pour l'utilisateur de pouvoir refuser les cookies aussi facilement qu'il peut les accepter. Ces mises à jour font suite à plusieurs décisions du Conseil d'État et de la Cour de Justice de l'Union Européenne (CJUE), notamment l'arrêt Planet49 du 1er octobre 2019 (CJUE, C-673/17), qui a clarifié que le consentement ne peut être présumé et doit être actif, clair et granulaire. La CJUE a également précisé que le fait que les informations soient stockées ou que l'accès aux informations déjà stockées n'entraîne pas de coûts supplémentaires pour l'utilisateur n'a aucune incidence sur la conclusion selon laquelle un consentement exprès est nécessaire.

La justification de ce renforcement réglementaire réside dans la volonté de garantir un contrôle effectif des internautes sur leurs données personnelles et de prévenir les usages abusifs de ces informations à des fins de profilage, de ciblage comportemental ou de revente. Les cookies tiers, par leur nature inter-sites, posent des défis significatifs en matière de traçabilité et de transparence, rendant d'autant plus urgente une régulation stricte. L'EDPB a également émis des lignes directrices sur l'utilisation des cookies et autres traceurs, insistant sur le rôle des Consent Management Platforms (CMP) et la nécessité de l'équivalence entre l'acceptation et le refus, renforçant la position de la CNIL et des autres autorités européennes. Les entreprises, en particulier les PME et SaaS, sont directement concernées par ces directives, car elles opèrent souvent un suivi du comportement utilisateur via des cookies tiers pour l'analyse d'audience, le marketing ou la personnalisation de services.

Analyse des obligations et des sanctions

L'obligation principale pour les éditeurs de sites web et d'applications mobiles est d'obtenir un consentement valide et traçable pour tout dépôt ou lecture de cookies non essentiels. Un consentement valide implique qu'il soit libre, spécifique, éclairé et univoque (Article 4.11 du RGPD). La CNIL s'est montrée particulièrement vigilante sur la mise en œuvre de ces principes. Le bandeau de consentement ("Consent Management Platform" ou CMP) doit offrir des options claires, et il est essentiel que le refus soit aussi simple et accessible que l'acceptation. L'absence de bouton 'Tout refuser' ou sa complexité par rapport à 'Tout accepter' est une pratique désormais sanctionnée.

Les sanctions imposées par la CNIL sont de plus en plus lourdes et visent à créer un effet dissuasif. L'Article 83 du RGPD prévoit des amendes administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. La CNIL utilise ces leviers pour faire respecter les règles. Par exemple, en décembre 2020, la CNIL a infligé à Google LLC et Google Ireland Limited une amende de 100 millions d'euros pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs français sans recueil de consentement préalable et pour avoir complexifié la procédure de refus. Plus tard, en janvier 2022, la CNIL a sanctionné META (Facebook Ireland Limited) d'une amende de 60 millions d'euros pour avoir rendu le parcours de refus des cookies plus difficile que celui de leur acceptation sur son site facebook.com. Ces montants illustrent la sévérité croissante de l'autorité. Un autre exemple notable est la sanction de 50 millions d'euros contre Amazon Europe Core en 2020 pour des manquements similaires.

Le raisonnement de la CNIL et des juridictions européennes repose sur plusieurs piliers : la transparence vis-à-vis de l'utilisateur concernant la finalité des traitements, la licéité de la collecte des données, et le respect des droits des personnes concernées. Pour les cookies, cela se traduit par : 1. Information claire et compréhensible : L'utilisateur doit être informé des finalités des cookies, de l'identité de tous les émetteurs de cookies, et des implications de son choix (Article 13 et 14 du RGPD). 2. Consentement actif et granulaire : Le consentement ne peut être déduit d'un comportement passif. L'utilisateur doit poser un acte positif. Il doit pouvoir accepter ou refuser chaque catégorie de cookies (publicité, analyse, etc.) et même, idéalement, chaque cookie individuel. Le défilement ("scrolling") n'est pas considéré comme un acte positif clair par la CNIL, suivant l'arrêt Planet49. Toute pratique de "dark patterns", qui manipule l'utilisateur vers un choix, est prohibée. 3. Facilité de retrait du consentement : Le retrait du consentement doit être aussi simple que son octroi. Un mécanisme simple et permanent (bouton, lien dans le footer) doit être mis à disposition. Ces choix doivent être conservés au moins 6 mois mais idéalement 13 mois conformément aux recommandations de la CNIL. 4. Preuve du consentement : Les entreprises doivent être en mesure de prouver qu'elles ont obtenu un consentement valide. Cela implique de conserver des journaux de consentement horodatés et détaillés, indiquant la version de la politique de confidentialité, le choix de l'utilisateur, etc. (Article 7.1 du RGPD).

Pour les entreprises SaaS, cela signifie une refonte potentielle de leur stratégie de collecte de données et de leurs outils. L'utilisation de services tiers (publicitaires, analytiques, CRM) qui déposent des cookies tiers doit être impérativement revue pour s'assurer que le consentement est obtenu en amont et correctement partagé avec ces partenaires. Les audits réguliers des sites web et applications pour identifier et documenter tous les cookies présents, leur finalité et leur provenance, deviennent une nécessité. Les transferts de données hors de l'UE via ces cookies tiers doivent également être encadrés par des clauses contractuelles types (CCT) et des évaluations d'impact (AIPD), conformément aux arrêts "Schrems II" de la CJUE, qui a invalidé le Privacy Shield (CJUE, C-311/18).

Actions recommandées pour les DPO, DSI et PME

La mise en conformité avec les directives sur les cookies tiers nécessite une approche structurée et continue. Voici une checklist d'actions prioritaires :

1. Auditer l'ensemble des traceurs : Identifier exhaustivement tous les cookies et autres traceurs (pixels, identifiants) présents sur votre site web et applications mobiles. Cela inclut les traceurs intégrés via des services tiers (Google Analytics, Hotjar, Facebook Pixel, outils de retargeting, balises publicitaires, etc.). Documenter la finalité de chaque traceur (analyse, publicité, session), son émetteur (cookie propriétaire ou tiers) et la durée de conservation des données. Références: Article 30 du RGPD (Registre des activités de traitement).
2. Mettre en place une Consent Management Platform (CMP) conforme : La CMP doit répondre aux exigences de la CNIL et de l'EDPB. Elle doit présenter un bandeau clair, informatif, et permettre le refus des cookies non essentiels aussi facilement que leur acceptation, sans 'dark patterns'. Le bouton "Tout refuser" doit être au même niveau de lecture que "Tout accepter". La personnalisation des choix doit être accessible en un ou deux clics. Références: Lignes directrices de la CNIL du 1er octobre 2020.
3. Obtenir un consentement préalable et granulaire : Aucun cookie ou traceur non essentiel ne doit être déposé ni lu avant que l'utilisateur n'ait exprimé un consentement positif. Le consentement doit être donné pour chaque finalité (ex: publicité ciblée, mesure d'audience). Les options par défaut ne doivent jamais être pré-cochées. Références: Article 4, paragraphe 11 et Article 7 du RGPD.
4. Assurer la preuve du consentement : Conserver un journal précis des consentements (et refus) recueillis : date, heure, choix de l'utilisateur, version de la CMP et de la politique de confidentialité. Ces preuves sont essentielles en cas de contrôle de la CNIL. La durée de conservation des choix doit être d'au moins six mois, ou la durée de vie du cookie, la plus longue étant pertinente, mais les recommandations CNIL inclinent sur le cycle de vie complet du traceur (typ. 13 mois pour les cookies analytiques). Références: Article 7, paragraphe 1 du RGPD.
5. Mettre à jour la politique de confidentialité : Inclure une section dédiée aux cookies, détaillant les types de cookies utilisés, leurs finalités, leur durée de vie, et l'identité des tiers qui les déposent. Expliquer clairement comment l'utilisateur peut gérer ses préférences de cookies et retirer son consentement. Un lien constant vers la gestion des cookies doit être présent sur toutes les pages du site (ex: en footer). Références: Articles 13 et 14 du RGPD.
6. Encadrer les transferts de données hors UE : Pour les cookies tiers qui transfèrent des données hors de l'Espace Économique Européen (EEE) (ex: prestataires américains via Google Analytics), s'assurer que ces transferts sont encadrés par des garanties appropriées (Clauses Contractuelles Types, BCR) et effectuer une Évaluation d'Impact relative à la Protection des Données (EIPD ou DPIA) pour évaluer les risques. Références: Article 44 et suivants du RGPD, arrêts Schrems II de la CJUE.
7. Sensibiliser et former les équipes : Informer les équipes marketing, techniques et juridiques des obligations en matière de cookies et de protection des données. La conformité est une responsabilité partagée.
8. Réévaluer et maintenir à jour la documentation RGPD : Le registre des activités de traitement (Article 30 du RGPD) et les analyses d'impact (Article 35 du RGPD) doivent refléter ces nouvelles pratiques concernant les cookies.

Calendrier et échéances

• 2026-06-05 : Date de mise à jour des directives CNIL et réaffirmation des contrôles en cours.
• 2026-12-31 : Période estimée de conformité complète pour les entreprises n'ayant pas encore mis à jour leur CMP et processus de consentement.
• Régulièrement : Audits internes des cookies et des pratiques de recueil du consentement.

Sources

• CNIL — Délibérations et sanctions
• EDPB — Comité européen de la protection des données
• Règlement UE 2016/679 (RGPD)
• CNIL — Guides pratiques
• CNIL — Cookies et traceurs : que dit la loi ?
• CJUE – Arrêt Planet49 du 1er octobre 2019 (C-673/17)
• CJUE – Arrêt Schrems II du 16 juillet 2020 (C-311/18)

La conformité aux règles relatives aux cookies tiers n'est pas une simple formalité, mais un pilier de la protection des données personnelles et de la confiance numérique. La CNIL et l'EDPB renforcent leur vigilance, et les entreprises qui négligent ces obligations s'exposent à des risques significatifs, tant sur le plan financier que réputationnel. Une approche proactive, basée sur des audits réguliers, une CMP conforme et une documentation rigoureuse, est essentielle pour naviguer dans ce paysage réglementaire complexe et en constante évolution. La conformité n'est plus une option, mais une exigence fondamentale pour opérer en ligne.

Auteur : Maître Julie Marchetti · Expert en protection des données et RGPD · Mis à jour le 05/06/2026