Bandeau cookies affiché ? Vous n’êtes peut-être toujours pas conforme !

Vous avez un site internet et un bandeau cookies ?
Cela ne signifie pas automatiquement que votre site est conforme au RGPD.

Beaucoup pensent qu’afficher un bandeau ou utiliser une CMP suffit pour respecter la loi… mais en pratique, de nombreux sites déposent encore des cookies avant consentement ou proposent des choix biaisés.

La conformité repose sur la manière dont les cookies sont utilisés, le recueil réel du consentement et la preuve que ce consentement a été obtenu conformément aux règles de la CNIL et du RGPD.

Afficher un bandeau cookies dès l’arrivée sur le site

Dès qu’un utilisateur arrive sur votre site, un bandeau doit apparaître.

Ce bandeau doit :

• informer de la présence de cookies ;
• expliquer leurs finalités (publicité, statistiques, personnalisation…) ;
• proposer un accès à une information plus détaillée.

L’information doit être claire, simple et compréhensible.

Attention : un bandeau affiché ne suffit pas à lui seul, il doit permettre un choix réel et éclairé.

Cet article pourrait aussi vous intéresser : Cookies et RGPD :  la recette parfaite pour être conforme

Ne déposer AUCUN cookie sans consentement

C’est l’un des principes les plus importants posés par le RGPD et rappelé par la CNIL.

Tant que l’utilisateur n’a pas fait de choix clair, aucun cookie non essentiel ne doit être déposé sur son terminal.

Concrètement, qu’est-ce que cela implique ?

Dès l’arrivée sur votre site :

❌ Vous ne pouvez pas :

• activer des outils de tracking ;
• déposer des cookies publicitaires ;
• lancer des outils d’analyse comportementale ;
• collecter des données à des fins marketing.

Autrement dit : tant que l’utilisateur n’a pas cliqué, rien ne doit se passer.

Erreur fréquente :de nombreux sites déposent des cookies dès le chargement de la page → cela est non conforme.

Existe-t-il des exceptions ?

Oui, mais uniquement pour les cookies strictement nécessaires, par exemple :

• maintien de session ;
• panier d’achat ;
• mémorisation du choix des cookies ;
• préférences essentielles.

Ces cookies sont autorisés sans consentement car indispensables au service.

Qu’est-ce qu’un consentement valide ?

Pour être conforme, le consentement doit être :

Libre → sans contrainte

Éclairé → avec une information claire
Spécifique → par finalité
Univoque → via une action positive (clic)

❌ Ne sont pas valables :

• la poursuite de la navigation ;
• les cases pré-cochées ;
• l’absence d’action.

Sans action = aucun dépôt de cookies.

Proposer un choix simple et équitable

Votre bandeau doit permettre :

• “Tout accepter”
• “Tout refuser”
• “Personnaliser mes choix”

⚠️ Le refus doit être aussi simple que l’acceptation.

Le consentement doit être granulaire, c’est-à-dire séparé par finalité.

Cet article pourrait aussi vous intéresser : Cookies et RGPD : Pourquoi il doit être aussi simple d’accepter que de refuser

Informer sur les acteurs et les finalités

Vous devez indiquer :

• qui dépose les cookies ;
• leurs finalités ;
• les données collectées.

Une politique cookies détaillée complète ces informations et renforce la transparence.

Conserver la preuve du consentement

Il ne suffit pas de recueillir le consentement : il faut pouvoir le prouver.

• Enregistrer les choix de l’utilisateur
• Conserver une preuve technique
• Être capable de répondre à un contrôle

💡 L’utilisation d’une CMP (Axeptio…) est fortement recommandée.

Tenir un registre des consentements (obligation clé)

Au-delà de la preuve technique, vous devez tenir un registre des consentements.

Il s’inscrit dans votre obligation de responsabilité (accountability) imposée par le RGPD.

Ce registre doit contenir :

• l’identité (ou identifiant) de l’utilisateur ;
• la date et le mode de recueil du consentement ;
• les finalités acceptées ou refusées ;
• la version du bandeau ou formulaire présenté ;
• les conditions applicables au moment du choix.

Pourquoi ce registre est indispensable ?

Il permet de :

• prouver votre conformité auprès de la CNIL ;
• vous protéger en cas de plainte ;
• démontrer votre sérieux en matière de protection des données.

⚠️ Sans registre, vous ne pourrez pas prouver que le consentement a été valablement obtenu.

Permettre de retirer son consentement facilement

L’utilisateur doit pouvoir modifier son choix à tout moment.

Prévoyez :

• un lien “Gérer mes cookies” ;
• accessible facilement (footer du site).

Attention aux erreurs fréquentes

❌ Continuer à naviguer ≠ consentement
❌ CGU ≠ cookies
❌ Cases pré-cochées interdites
❌ Refus compliqué = non conforme

Le bon fonctionnement (ce que la CNIL attend réellement)

Voici la logique conforme :

1. L’utilisateur arrive sur le site
2. Aucun cookie non essentiel n’est déposé
3. Le bandeau s’affiche
4. L’utilisateur fait un choix
5. Les cookies s’activent en fonction de ce choix
6. Le consentement est enregistré et conservé

Risques en cas de non-conformité

La CNIL peut sanctionner :

• jusqu’à 20 millions d’euros
• ou 4 % du chiffre d’affaires annuel mondial

Exemple : Google a été sanctionné à hauteur de 150 millions d’euros.

À retenir

✔ Afficher un bandeau ou utiliser une CMP ne suffit pas
✔ Recueillir un consentement valide est obligatoire
✔ Conserver la preuve et tenir un registre est indispensable
✔ Respecter les choix des utilisateurs pour chaque finalité

Principe clé : la conformité aux cookies repose sur le respect effectif des règles, pas seulement sur l’affichage d’un bandeau.