La protection des données personnelles : les règles en matière de cookies
1. Les fondements juridiques en matière de cookies à l’origine du traitement des données personnelles
Les règles régissant l’utilisation, par un service de communications électroniques, des cookies et autres traceurs sur les équipements terminaux utilisés dans l’Union européenne sont fixées à l’article 5, paragraphe 3, de la directive ePrivacy du 12 juillet 2002 modifiée par la directive 2009/136/CE du 25 novembre 2009.
Ces règles ont été transposées en droit français à l’article 32, paragraphe II, de la loi Informatique et Libertés, devenu l’article 82 depuis la réécriture de cette loi par l’ordonnance n° 2018-1125 du 12 décembre 2018.
Il en résulte qu’en matière de cookies, le responsable du traitement des données personnelles ou son représentant doit satisfaire à deux obligations :
- L’obligation d’information, d’une part ;
- Et l’obligation de recueillir le consentement des internautes, d’autre part.
2. L’obligation d’information en matière de cookies
S’agissant de l'obligation d'information, le responsable du traitement ou son représentant doit informer, de manière claire et complète, tout abonné ou utilisateur d’un service de communications électroniques :
- De la finalité de toute action tendant à accéder à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement. En clair, cela concerne la finalité du dépôt des cookies qui collectent des données et celle de l’exploitation de ces données ;
- Des moyens dont dispose l’utilisateur pour s’opposer aux cookies.
3. L’obligation de recueillir le consentement des internautes avant d’activer les cookies
3.1 La nécessité du consentement
L’accès à des informations déjà stockées dans un équipement terminal de communications électroniques et l’inscription des informations dans cet équipement par l’intermédiaire des cookies ne peuvent avoir lieu qu’à condition que l’internaute ait exprimé son consentement.
3.2 Les exceptions au consentement pour les cookies nécessaires
L’exigence du consentement n’est pas applicable aux cookies nécessaires.
Bénéficient des exceptions au consentement :
- Les cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- Ou les cookies strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l’utilisateur.
Les cookies publicitaires ne sont pas des cookies nécessaires.
Selon la jurisprudence constante du Conseil d’Etat (CE, 14 mai 2024, n° 472221 point 5 ; CE, 27 juin 2022, n° 451423, points 26 et 27 ; CE, 28 janvier 2022, n° 449209 points 18 et 19), des cookies publicitaires ne sont pas des traceurs ayant pour finalité de permettre ou faciliter la communication par voie électronique, et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Ceux-ci ne peuvent être déposés ou lus sur le terminal de la personne, conformément à l’article 82 de la loi Informatique et Libertés, tant qu’elle n’a pas fourni son consentement.
Les cookies de plafonnement de l’affichage publicitaire ne sont pas des cookies nécessaires.
Ces cookies ont pour objectif de limiter le nombre de présentation d’un contenu publicitaire à un même utilisateur (cet objectif est souvent décrit comme du " capping " publicitaire ou " plafonnement publicitaire "). Ils ne rentrent dès lors pas dans les exceptions au consentement (CNIL, SAN-2025-005, 1 septembre 2025 : affaire Shein).
Les cookies de mesure d’audience peuvent être parfois des cookies nécessaires.
Il peut s’agir des cookies de type A/B testing servant à présenter deux versions d’un site web variant légèrement à deux groupes d’utilisateurs pour évaluer les impacts de cette variation.
La CNIL a déjà rappelé que les cookies A/B testing peuvent être exemptés du recueil du consentement lorsqu’ils ont pour finalité exclusive de réaliser des statistiques sur l’utilisation du site. Ces mesures sont dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service.
Cependant, afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la CNIL souligne que ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web.
Par ailleurs, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation en matière de cookies, la CNIL recommande que « la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois ».
3.3 Les critères de validité du consentement des internautes
En matière des cookies, lorsque le consentement des internautes est requis, il doit être recueilli conformément à l’article 82 de la loi Informatique et Libertés qui renvoie à la définition et aux conditions prévues à l’article 4, paragraphe 11 et à l’article 7 du RGPD.
L’article 4, paragraphe 11 du RGPD définit le consentement comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ".
Donc, pour être valable, le consentement des personnes concernées doit satisfaire à quatre critères cumulatifs :
- Le consentement univoque
- Le consentement spécifique
- Le consentement éclairé
- Le consentement libre.
Le focus sur le consentement libre en matière de cookies
Le considérant 42 du RGPDL indique que le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
L’enjeu pratique pour les professionnels est d’offrir aux internautes la possibilité d’accepter ou de refuser le dépôt et la lecture des cookies.
La conception de la bannière de cookies doit permettre aux internautes de voir ces deux possibilités, de manière claire et compréhensible.
Par une délibération du 17 septembre 2020, la CNIL a publié des recommandations proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ». La CNIL a alors proposé dans ses recommandations la figure n°4, présentée comme suit :

Ci-dessous, la bannière de cookies d’Amazon qui correspond à la figure n°4 des recommandations de la CNIL.

Dans cet exemple, l’acceptation et le refus sont présentés dans le même format, à savoir sous forme de bouton au même niveau.
Un internaute moyen est tout à fait capable de comprendre facilement qu’il peut accepter ou refuser les cookies.
La CNIL a précisé que « l’expression du refus de consentir peut toutefois découler d’autres types d’actions que celle consistant à cliquer sur l’un des boutons décrits ci-dessus ».
Dans la figure n°5 des recommandations, la CNIL a proposé un autre modèle de bannière présenté comme suit :

Le modèle de la figure n°5 a fait l’objet d’une contestation présentée par une association. Celle-ci a demandé à la CNIL de supprimer cette figure. Mais la CNIL y a refusé. L’affaire s’est terminée devant la justice administrative. Finalement, le Conseil d’Etat, saisi à la suite d’un jugement du tribunal administratif, a rendu sa décision datant du 19 juin 2026 (N° 501417).
Cette association a prétendu que la figure n°5 des recommandations de la CNIL méconnaîtrait le principe selon lequel le refus des cookies doit être aussi facile que l’acceptation.
Alors, qu’en pensez-vous ?
En observant la figure n°5, nous constatons que la possibilité d’accepter les cookies est présentée sous forme de bouton placé en bas de la bannière, alors que la possibilité de refuser les cookies est placée en haut de la bannière, sous forme de texte cliquable, sans bouton apparent.
Cela étant, le Conseil d’Etat a rejeté la demande de l’association formulée à l’encontre de la CNIL.
En effet, la plus haute juridiction administrative a constaté que la figure n°5 « présente un cas dans lequel la possibilité de refuser est accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer le consentement et avec une taille comparable, que les termes figurant sur le lien sont clairs et explicites et que le lien est placé en haut à droite dans un espace immédiatement accessible ».
Il en résulte que le Conseil d’Etat a retenu plusieurs critères cumulatifs pour approuver la figure n°5 proposée par la CNIL.
- Premièrement, « tout accepter » et « continuer sans accepter » doivent être présents sur le même écran.
- Deuxièmement, la facilité d’accès à ces deux possibilités doit être équivalente.
- Troisièmement, le texte présenté avec le lien cliquable doit avoir un sens clair et explicite indiquant que l’internaute peut exprimer son refus.
- Quatrièmement, le texte présenté avec le lien cliquable doit être immédiatement accessible.
Ainsi, il ne conviendrait pas de considérer que cette décision du Conseil d’Etat du 16 juin 2026 est une porte ouverture à toutes les pratiques en matière des bannières de cookies.
La règle à méditer est la suivante : La conception de la bannière de cookies doit permettre aux internautes de voir la possibilité d’accepter et celle de refuser, de manière claire et compréhensible.
Passons maintenant à la pratique. Pensez-vous que les deux bannières ci-dessous sont conformes aux recommandations de la CNIL ?


L’obligation d’assurer l’effectivité du retrait du consentement de l’utilisateur au dépôt et à la lecture de cookies sur son terminal
Le 3 de l’article 7 du RGPD dispose que : " La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.”
Dans une décision du 29 décembre 2023, la CNIL a expressément rappelé que, " si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal " (CNIL, SAN-2023-024, 29 décembre 2023).
Le focus sur le consentement éclairé en matière de cookies
S’agissant du caractère éclairé du consentement, le considérant 42 du RGPD précise que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel ».
Par sa délibération n° 2020-092 du 17 septembre 2020, la CNIL recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée.
Il est proposé que " chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif ".
La CNIL recommande de faire figurer, en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement.
Cette information peut, par exemple, être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information.
La CNIL indique que " le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité. […] Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d'exprimer un consentement ".