La dénommée « fatigue du consentement » est devenue un phénomène bien connu sur internet.
Chaque visite de site web est accompagnée d’une bannière intrusive qui nous demande d’accepter ou de refuser des cookies et traceurs publicitaires.
Face à cette lassitude, de nombreux internautes utilisent des extensions de navigateur ou des paramètres de blocage pour masquer purement et simplement ces bandeaux.
Est-ce une pratique légale ? La réponse est oui, et elle repose sur une analyse juridique précise et convergente des positions des autorités européennes et françaises.
Bloquer l’affichage d’une bannière de cookies équivaut à un refus effectif du consentement, sans qu’il y ait besoin de refuser en cliquant sur un bandeau. Aucun dépôt de traceurs non essentiels n’est alors autorisé.
Peut-on déposer une plainte en cas de dépôt de cookies non-essentiels dans une telle situation, sans avoir cliqué sur « refuser » ou « continuer sans accepter » ? La réponse est aussi oui.
I) Sur le consentement au sens du RGPD : un acte positif clair et univoque, pas un silence :
Le Règlement Général sur la Protection des Données (RGPD) définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4(11) du RGPD).
L’article 7(1) du RGPD précise que le responsable de traitement doit être en mesure de démontrer que le consentement a été donné. Le consentement doit donc résulter d’une action positive et délibérée de la personne concernée.
Ne suffisent ainsi jamais :
- Le silence ;
- L’inactivité ;
- La simple poursuite de la navigation ;
- La fermeture d’un bandeau sans cliquer sur « Accepter ».
Ces principes ne sont pas nouveaux, mais ils ont été clarifiés de manière très explicite par les autorités compétentes.
II) Sur les lignes directrices de l'EDPB et de la CNIL :
Le Comité Européen de la Protection des Données (CEPD/EDPB) a adopté le 4 mai 2020 la version 1.1 de ses lignes directrices 5/2020 portant sur le consentement au sens du RGPD.
Ces lignes directrices, qui font autorité dans toute l’Union européenne, sont sans ambiguïté :
- « Le silence ou l’inactivité de la personne concernée, ainsi que le simple fait de poursuivre l’utilisation d’un service, ne peuvent être considérés comme une indication active de choix » (§ 79).
- « La simple poursuite de l’utilisation ordinaire d’un site Internet n’est-elle pas un comportement qui permet de supposer une manifestation de volonté de la part de la personne concernée visant à donner son accord à une opération de traitement envisagée. » (§ 84).
- Les actions comme faire défiler la page en ou balayer l’écran ne constituent « dans aucune circonstance » un acte positif clair tel qu’un consentement univoque (§ 86).
Dans le contexte précis des cookies, l’EDPB rappelle également que le consentement ne peut être libre s’il est conditionné à l’accès au site (les fameux « cookie walls », § 39 et suivants).
À l’inverse, l’absence totale d’action positive, parce que le bandeau est bloqué par l’internaute, ne peut jamais être interprétée comme une acceptation.
La Commission Nationale de l’Informatique et des Libertés (CNIL) confirme et applique ces principes de manière pédagogique et contraignante, en s’alignant parfaitement sur l’EDPB à ce sujet.
Dans ses lignes directrices modificatives relatives aux cookies et autres traceurs du 17 septembre 2020 et sa recommandation du même jour, elle explicite les règles applicables en droit français au titre notamment de l’article 82 de la loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés, qui transpose l’article 5§3 de la directive ePrivacy.
La CNIL affirme dans ces lignes directrices que :
- « La Commission souligne que, conformément à l’article 4(11) du RGPD, le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exprimer. (§ 26) ;
- « Elle considère donc que continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. La Commission rappelle que la Cour de justice de l’Union européenne (CJUE) a jugé dans sa décision Planet 49 du 1er octobre 2019 (CJUE, 1er oct. 2019, C-673/17) que l’utilisation de cases pré-cochées ne peut être considérée comme un acte positif clair visant à donner son consentement. En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier. » (§ 27).
- « La Commission observe que si le consentement doit se traduire par une action positive de l’utilisateur, le refus de ce dernier peut se déduire de son silence. » (§ 30) ;
Le masquage complet du bandeau, via une extension ou un paramétrage du navigateur web, est une forme radicale d’inaction : il n’y a aucun acte positif possible dans un tel cas.
La CNIL et l’EDPB considèrent donc logiquement qu’il n’y a alors jamais consentement valide. Le site ne peut pas déposer de cookies publicitaires non nécessaires, de mesures d’audience croisée ou de réseaux sociaux.
Ces règles sont tardivement entrées en vigueur après une période de transition, et s’appliquent pleinement en théorie depuis avril 2021.
III) Sur la politique répressive de la CNIL : annonces volontaristes de 2020 et application contrastée en 2026 :
Lors de la publication de ses lignes directrices modificatives et de sa recommandation en date du 29 septembre 2020, la CNIL a communiqué de manière très ferme sur sa politique répressive, en titrant précisement sur « une mise en conformité des acteurs concernés » :
« La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy.
Comme elle l’avait annoncé, elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
Si la CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). »
La CNIL a ajouté qu’elle continuerait à sanctionner les violations des règles antérieures au RGPD.
Sa FAQ publiée le même jour est tout aussi claire sur le fond :
- Quelle sera la politique répressive de la CNIL ? Quel calendrier ?
« Les sites utilisant des cookies et autres traceurs feront l’objet d’actions de mise en conformité au cours de l’année 2021. Le plan d’action de la CNIL comporte deux phases :
La première phase, entamée en octobre 2020 lors de la publication des lignes directrices et de la recommandation, a concentré les actions de la CNIL sur le respect des principes précédemment exposés dans la recommandation de 2013. Des mesures correctrices, y compris des sanctions, pourront être adoptées en cas de non-respect des obligations dont le périmètre est précisé depuis 2013 et qui perdurent dans les nouvelles lignes directrices.
Dans la seconde phase, à partir d’avril 2021, des missions de contrôle sur l’application de l’ensemble du cadre juridique en vigueur, éclairé par les nouvelles lignes directrices, seront réalisées. »
- La poursuite de la navigation peut-elle valoir acceptation des traceurs ?
« Non.
Si, sous le régime antérieur au RGPD, la CNIL considérait que la poursuite de la navigation permettait aux internautes, sous certaines conditions, d’exprimer leur consentement au dépôt de traceurs, elle doit aujourd’hui s’interpréter comme un refus de consentir. Dans ce cas, aucun traceur nécessitant le consentement de l’utilisateur ne peut être déposé ou lu sur son terminal.
En effet, le consentement de l’utilisateur doit se matérialiser par un acte positif clair comme, par exemple, un clic sur un bouton « tout accepter ». L’absence de manifestation claire de volonté d’accepter le dépôt de doit s’entendre comme un refus.
Cette évolution notable découle de l’entrée en application du RGPD, qui impose désormais un consentement univoque de l’internaute. »
On pouvait donc s'attendre à une mise en conformité effective dès l'année 2021.
Cependant, l’applicabilité réelle de ces règles reste encore grandement nuancée.
Si connaître une règle de droit est utile, connaître son applicabilité réelle est indispensable.
L’association PURR (Pour Un RGPD Respecté) a publié en février 2026 un bilan intermédiaire édifiant, portant sur une campagne audacieuse de plaintes menée en 2025.
Cette campagne vient de donner lieu à une importante salve de mises en demeure émises par la CNIL.
Or, dans 2/3 des plaintes traitées (précisément six sur neuf), la CNIL n’a pris aucune mesure spécifique relative au grief précis de dépôts de cookies avant l’expression du consentement, qui avait été formellement identifiés par les plaignants.
Ce grief est pourtant visé dans les décisions de mise en demeure adressées par la CNIL, mais celle-ci n’enjoint pas aux responsables de traitement de prendre des mesures mettant fin à cette violation, sans motiver cette absence de prise en compte.
Cette réalité contrastée ne change absolument rien au droit applicable : le dépôt de traceurs non essentiels avant tout acte positif clair reste une violation objective du RGPD et de l’article 82 de la loi Informatique et Libertés.
Les personnes concernées sont donc pleinement fondées à déposer plainte de manière étayée et justifiée pour de tels faits.
IV) Sur les conséquences pratiques dans une telle situation :
- Pour l’internaute : Bloquer les bannières de cookies est une modalité d’exercice légitime de votre refus de consentement au titre de la législation en matière de protection des données. Si son site dépose malgré tout des traceurs non essentiels, le responsable de traitement commet une violation du RGPD et de l’article 82 de la loi Informatique et Libertés.
Une telle violation est invisible pour une personne non avertie. Cela explique très probablement la persistance de cette violation du RGPD encore régulièrement constatée à ce jour. Mais il est à savoir qu’un dépôt de cookies non nécessaires sans consentement est très facile à remarquer, et à constater.
Comme je le fais régulièrement, vous pouvez alors déposer une plainte motivée auprès de la CNIL après une prise de contact infructueuse avec le DPO du responsable de traitement concerné.
Certains DPO contactés sont parfois surpris que la personne concernée n’ait pas cliqué sur « Refuser », ou sur « Continuer sans accepter » et ait totalement ignoré la bannière mise en place. Cela peut certes surprendre, mais en cas de dépôt de cookies non-essentiels dans une telle situation, une plainte est bel et bien la voie de droit adaptée.
- Pour les éditeurs de sites web (responsables de traitement) : Vous devez concevoir votre bandeau de manière à ce que le refus soit aussi simple que l’acceptation. Vous ne pouvez pas supposer qu’il y ait eu consentement si l’internaute utilise un bloqueur. En cas de blocage de votre bandeau, la seule solution conforme est alors de ne déposer aucun traceur non essentiel. Le respect du refus de consentement doit être technique et automatique.
V) Une solution radicale, mais parfaitement légale et efficace :
En conséquence des développements précédents, je ne peux que vivement recommander de bloquer automatiquement les bandeaux des sites web.
Bloquer les bannières de cookies constitue donc une réponse parfaitement légale mais aussi efficace à la surcharge informationnelle, et donc à la « fatigue du consentement ».
L'usage d'un bloqueur a d'autres vertus, notamment contre les malwares et le flicage en ligne. L'usage d'un bloqueur est devenu une véritable nécessité, et est désormais recommandé par les autorités américaines.
Nul besoin d'être un « hacker » ou un expert en OPSEC (sécurité opérationnelle) pour vous protéger efficacement.
Il vous suffit d’utiliser :
- le navigateur Brave, qui bloque par défaut tous les bandeaux de cookies depuis juin 2023 (pour être exhaustif, via la liste « Cookie notice blocker » de EasyList Cookies),
- l’extension uBlock Origin (sur navigateur web moteur Gecko) ou l'extension uBlock Origin Lite (sous navigateur web moteur Chromium), et d’activer les listes de blocage « Cookie notices », qui se trouvent sous la catégorie « Bannières de cookies » dans les listes de filtres.
Vous êtes éditeur d’un site web et souhaitez vérifier la conformité de votre bannière de cookies ?
Vous êtes internaute et vous souhaitez déposer une plainte argumentée ?
N’hésitez pas à consulter un avocat exerçant en droit de la protection des données personnelles.
La protection de votre vie privée sur internet n’est pas une option : c’est un droit fondamental qu’il est essentiel de faire respecter.
Protégez vos données, et exercez vos droits.
Me Jérémy ROCHE
Avocat au barreau de BEZIERS
https://jeremyroche-avocat.fr/
Sources :
1) Article 4 du RGPD ;
2) Article 7 du RGPD ;
Crédits photo : Unsplash - Tamas Pap ; Pexels - Cottonbro Studio.
Pas de contribution, soyez le premier