Le 20 novembre 2025, la CNIL a infligé une amende de 750 000 euros à l’éditeur du site vanityfair pour avoir déposé des cookies sans le consentement des utilisateurs, rappelant que les contrôles et sanctions sur le sujet restent réguliers.
À l’ère du numérique, les cookies jouent un rôle essentiel dans la gestion et l’optimisation des sites internet. Toutefois, leur utilisation est soumise à un cadre légal strict, défini notamment par l’article 82 de la loi Informatique et Libertés, le RGPD et la directive ePrivacy. Pour tout éditeur de site, respecter ses obligations en matière de cookies n’est plus une simple option, mais une véritable nécessité.
Qu’est-ce qu’un cookie ?
Un cookie est un petit fichier déposé sur le terminal (ordinateur, smartphone, etc.) lors de la visite d’un site, l’utilisation d’une application ou la lecture d’un email. Il sert à mémoriser les préférences de l’utilisateur, suivre sa navigation à des fins statistiques ou publicitaires, ou faciliter l’accès à certains services. Les cookies peuvent collecter des données personnelles comme le nom, l’email, l’adresse IP ou des données bancaires.
Cookies indispensables et cookies nécessitant le consentement : comment les distinguer ?
L’utilisation de cookies requiert le consentement explicite et informé de l’utilisateur via une option « accepter, refuser ou personnaliser ». Il est toutefois important de distinguer les cookies selon leur finalité :
- Cookies strictement nécessaires au fonctionnement du site (exemptés de consentement
Exemple : Traceurs conservent le choix exprimé par les utilisateurs sur le dépôt, authentification auprès du service, panier d’achat, personnalisation de l’interface utilisateur, mesure d’audience si anonymisation des données (comme avec Matomo)
- Cookies soumis au consentement préalable avant tout dépôt
Exemple : mesure d’audience non anonymisée, publicité, réseaux sociaux.
Attention : lorsqu’un cookie poursuit une finalité mixte, par exemple à la fois nécessaire au service et publicitaire, il ne peut bénéficier d’aucune exemption et le consentement de l’utilisateur doit obligatoirement être recueilli.
Quelles sont les obligations en matière de cookies ?
Lorsque vous utilisez des cookies sur votre site, plusieurs règles s’appliquent.
On distingue généralement :
Les obligations générales :
- Informer l’utilisateur sur les raisons de la collecte de ses données, qui pourra y accéder, la durée de conservation, le responsable du traitement.
- Utiliser un langage simple, compréhensible par tous.
- Expliquer les conséquences des choix
- Eviter les interfaces trompeuses (« dark patterns ») et ne pas favoriser un choix par rapport à un autre (pas de bouton “Accepter” plus visible que “Refuser”).
- Mettre à disposition une liste claire et à jour des cookies utilisés, avec leur but et leur durée.
- Rendre la politique “Cookies ” accessible sur toutes les pages du site.
Les obligations liées au consentement
- Obtenir un consentement libre, éclairé et spécifique avant de déposer des cookies (sauf pour ceux strictement nécessaires).
- Permettre à l’utilisateur de retirer son consentement aussi facilement qu’il l’a donné.
- Conserver une preuve du consentement obtenu.
Quelles sont les sanctions encourues ?
Le non-respect des obligations sur les cookies peut entraîner des sanctions administratives sévères (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial)
Au-delà de l’aspect financier, ces manquements peuvent entraîner une perte de confiance des clients, porter atteinte à la réputation de l’entreprise et engendrer des conséquences juridiques telles que des litiges et le versement de compensations.
Conseils pratiques pour se mettre en conformité :
- Réalisez un audit régulier des cookies et autres traceurs présents sur votre site afin d’identifier précisément lesquels sont utilisés, leur finalité et leur durée de conservation.
- Mettez en place un bandeau informatif dès l’arrivée de l’utilisateur sur le site, expliquant clairement l’utilisation des cookies et permettant de recueillir un consentement libre, éclairé et spécifique.
- Expliquez la finalité de chaque cookie ou traceur à l’aide d’un descriptif simple, compréhensible par tous les visiteurs.
- Proposez plusieurs niveaux d’information : une présentation synthétique via le bandeau, complétée par des détails accessibles par un lien ou dans une politique dédiée.
- Recueillez le consentement par une action positive (par exemple, un bouton “Accepter”), sans privilégier ce choix par rapport au refus (évitez de rendre le bouton “Accepter” plus visible que “Refuser”).
- Documentez et conservez la preuve du consentement obtenu, afin de pouvoir la présenter en cas de contrôle par l’autorité compétente.
- Offrez à l’utilisateur une interface claire et accessible pour modifier ou retirer son consentement à tout moment, facilement.
- Rédigez une politique “Cookies” claire, concise et régulièrement mise à jour, disponible depuis toutes les pages du site, notamment via le bandeau ou un lien dédié.
Il convient de souligner que les règles applicables pourraient être prochainement assouplies si la proposition dite « omnibus numérique » de la Commission européenne est adoptée. Ce texte prévoit notamment la possibilité pour les utilisateurs de donner leur consentement aux cookies en un seul clic et de sauvegarder leurs préférences directement dans leur navigateur ou système d’exploitation, pour une durée de six mois. Par ailleurs, le recueil du consentement ne serait plus exigé pour les cookies poursuivant des finalités jugées inoffensives.
Votre avocat vous accompagne dans l’analyse juridique personnalisée des traceurs utilisés, la rédaction ou la mise à jour de la politique cookies et de la politique relative aux données personnelles adaptées à votre site et à votre application, ainsi que dans la formation de vos équipes aux obligations légales et aux bonnes pratiques.
* * *
Public concerné par cet article : Dirigeants/DSI/Editeurs Sites marchands Marketplace/développeurs/Agences Web
contact : aoffroy@avocats.deloitte.fr
Pas de contribution, soyez le premier