Tous les articles du blog

Bandeau de cookies : le guide complet pour être conforme CNIL

Close
Temps de lecture
7 min
Publié
Mar 24, 2026
Partager

En 2025, 21 organismes ont été sanctionnés par la CNIL pour des manquements aux règles sur les cookies et traceurs, pour un montant cumulé de 475 millions d'euros. Les infractions les plus fréquentes : dépôt de cookies sans consentement préalable, absence de bouton « Refuser » visible, et non-respect du retrait de consentement. La non-conformité du bandeau de consentement est devenue le premier vecteur de sanctions.

Un bandeau de cookies n'est pas un élément de décoration. C'est un composant juridique obligatoire dont la mise en œuvre est encadrée par l'article 82 de la loi Informatique et Libertés, les lignes directrices CNIL de 2020 (mises à jour en 2024) et le RGPD. Chaque détail compte : la taille des boutons, leur position, le contenu de l'information, le mécanisme de retrait, la durée de conservation du consentement.

Cet article détaille les exigences CNIL, les erreurs qui déclenchent des sanctions, et la mise en place d'un bandeau conforme avec Cookiebot sur WordPress, Shopify, Wix et Google Tag Manager.

En bref

  • Le bandeau de cookies est une obligation légale en France, fondée sur l'article 82 de la loi Informatique et Libertés + les lignes directrices CNIL (septembre 2020, mises à jour 2024).
  • La CNIL impose 8 exigences précises : consentement préalable, bouton Refuser visible, pas de dark patterns, granularité par catégorie, retrait simple, identification des traceurs, pas de cookie wall, renouvellement du consentement tous les 13 mois maximum.
  • En 2025, Shein (150 M€) et Google (325 M€) ont été sanctionnés pour des bandeaux non conformes — dépôt de cookies avant consentement, information incomplète, non-respect du refus.
  • Les règles s'appliquent à tous les sites ciblant des visiteurs en France, quelle que soit la taille de l'entreprise ou son lieu d'établissement.
  • Cookiebot permet de déployer un bandeau CNIL-conforme en quelques minutes sur WordPress, Shopify, Wix ou via GTM, avec scan automatique, blocage préalable et registre de preuves.

Qu'est-ce qu'un bandeau de cookies et pourquoi est-il obligatoire en France ?

Un bandeau de cookies (ou bannière de consentement) est l'interface qui s'affiche lors de la première visite d'un utilisateur sur un site web. Son rôle : informer l'utilisateur des traceurs utilisés et recueillir son consentement avant tout dépôt de cookies non essentiels.

En France, cette obligation repose sur l'article 82 de la loi Informatique et Libertés, qui transpose l'article 5.3 de la directive ePrivacy (2002/58/CE). Le principe est simple : aucun cookie non strictement nécessaire au fonctionnement du service ne peut être lu ou écrit sur le terminal de l'utilisateur sans son consentement préalable.

Les lignes directrices et la recommandation de la CNIL, publiées le 17 septembre 2020 et consolidées en 2024, précisent les modalités concrètes de ce recueil de consentement. C'est ce texte qui définit les règles que votre bandeau doit respecter.

La base légale : RGPD + article 82 + recommandations CNIL (septembre 2020, mise à jour 2024)

Le cadre juridique du bandeau de cookies en France repose sur trois couches complémentaires.

L'article 82 de la loi Informatique et Libertés est le texte spécifique aux cookies. Il impose le consentement préalable à toute opération de lecture ou d'écriture sur le terminal de l'utilisateur, sauf pour les traceurs strictement nécessaires.

Le RGPD encadre le consentement (articles 4(11) et 7) et le traitement des données personnelles collectées via les cookies. Le consentement doit être libre, spécifique, éclairé et univoque. Le RGPD fonde également les droits des personnes sur leurs données.

Les lignes directrices et la recommandation CNIL de 2020 (consolidées en 2024) détaillent les exigences pratiques : format du bandeau, information à fournir, mécanismes de refus, durée de conservation du consentement, preuve de consentement. C'est le référentiel opérationnel que la CNIL utilise lors de ses contrôles.

Les 8 exigences CNIL pour votre bandeau de cookies

La CNIL définit un cadre précis. Chaque exigence correspond à un point de contrôle lors d'une inspection.

Bouton « Refuser » aussi visible que le bouton « Accepter »

Même taille, même poids visuel, même niveau d'affichage. La présence d'un simple bouton « Paramétrer » à côté de « Tout accepter » ne suffit pas. La CNIL a explicitement sanctionné cette pratique à plusieurs reprises.

Aucun dark pattern

Autrement dit, pas de design trompeur ni de cases pré-cochées. Choix de couleurs déséquilibré, formulation ambiguë, bouton de refus moins visible, cases pré-cochées : toutes ces pratiques sont considérées comme des obstacles au libre choix de l'utilisateur et sont sanctionnées.

Pas de cases pré-cochées pour les cookies non essentiels

Le consentement doit résulter d'un acte positif clair. Aucune catégorie de cookies non essentiels ne peut être activée par défaut.

Consentement granulaire par finalité

L'utilisateur doit pouvoir accepter ou refuser les cookies par catégorie : analytics, publicité, personnalisation. Un consentement global unique, sans possibilité de choix par finalité, n'est pas conforme.

Consentement préalable au dépôt de tout traceur non essentiel

Aucun cookie d'analytics, de publicité ou de personnalisation ne peut être déposé avant que l'utilisateur ait fait son choix. La poursuite de la navigation, le scroll ou la fermeture du bandeau ne valent pas consentement.

Identification claire de tous les traceurs et de leurs finalités

Au deuxième niveau d'information. Le premier niveau du bandeau doit indiquer les grandes finalités. Le deuxième niveau (accessible via un bouton « Personnaliser » ou « En savoir plus ») doit lister l'ensemble des responsables de traitement et des tiers déposant des cookies.

Retrait du consentement accessible à tout moment

Et aussi facilement qu'il a été donné. La CNIL recommande un lien en pied de page, une icône « cookies » en bas de page, ou un module de gestion accessible en permanence. Le retrait doit produire un effet immédiat.

Renouvellement du consentement tous les 13 mois maximum

La CNIL recommande de conserver le choix de l'utilisateur pendant une durée raisonnable pour ne pas le solliciter à chaque visite. Elle estime que 13 mois constitue le maximum au-delà duquel le consentement doit être redemandé.

Un cookie wall consiste à bloquer l'accès au contenu du site tant que l'utilisateur n'a pas accepté les cookies. Ce mécanisme conditionne la navigation à l'acceptation, ce qui peut porter atteinte à la liberté du consentement.

Après une décision du Conseil d'État en juin 2020, la CNIL évalue la licéité des cookie walls au cas par cas. Elle vérifie notamment l'existence d'alternatives réelles et satisfaisantes pour l'utilisateur. En pratique, la mise en place d'un cookie wall expose à un risque de non-conformité significatif.

La différence avec un bandeau de cookies conforme est nette : le bandeau informe et recueille un choix. Le cookie wall impose un choix en conditionnant l'accès. L'un est conforme, l'autre est problématique.

Ce qui se passe si votre bandeau n'est pas conforme : les sanctions CNIL

La CNIL a intensifié ses contrôles et ses sanctions sur les bandeaux de consentement depuis 2020.

Shein — 150 M€ (1er septembre 2025). Cookies publicitaires déposés avant interaction avec le bandeau. Deux interfaces de consentement incomplètes. Cookies continuant à être déposés après que l'utilisateur avait cliqué sur « Tout refuser ». Absence d'information sur les tiers au deuxième niveau.

Google — 325 M€ (1er septembre 2025). Publicités insérées dans Gmail sans consentement. Refus des cookies publicitaires rendu plus difficile que leur acceptation.

11 organismes sanctionnés en 2024 pour n'avoir pas permis à l'utilisateur de refuser les cookies aussi simplement que de les accepter.

21 sanctions cookies en 2025 au total, ciblant le dépôt sans consentement, l'information insuffisante et le non-respect du refus ou du retrait de consentement.

Ces sanctions ne concernent pas uniquement les grandes entreprises. La procédure simplifiée de la CNIL (amendes jusqu'à 20 000 €) permet de sanctionner rapidement les sites de toute taille.

Configurer un bandeau de cookies CNIL-conforme avec Cookiebot en moins de 10 minutes

Cookiebot automatise la conformité CNIL pour le bandeau de consentement. Le déploiement se fait en quelques étapes selon votre plateforme.

WordPressShopifyGoogle Tag Manager. Wix / Squarespace
Installez le plugin Cookiebot depuis le répertoire WordPress.

Entrez votre identifiant Cookiebot (Cookiebot ID) dans les réglages du plugin.

Le bandeau s'affiche automatiquement, le blocage préalable des cookies non essentiels est activé, et le consentement est enregistré dans le registre de preuves.

Le scan automatique identifie et catégorise tous les cookies actifs sur votre site.		Ajoutez l'application Cookiebot depuis l'App Store Shopify.

Configurez les paramètres de consentement depuis l'interface de l'application.

Le bandeau s'intègre dans le thème et le blocage automatique est activé.		Ajoutez le tag Cookiebot CMP dans votre conteneur GTM. Configurez les déclencheurs de consentement par catégorie.

Le bandeau gère le blocage des tags non essentiels et transmet les signaux de consentement à Google Consent Mode v2.		Ajoutez le script Cookiebot dans les paramètres de code personnalisé.

Le bandeau s'affiche automatiquement et le blocage des cookies non essentiels est activé.

Sur chaque plateforme, Cookiebot assure automatiquement : le scan mensuel de tous les cookies, le blocage préalable, le bandeau conforme aux 8 exigences CNIL, le module de retrait permanent, et le registre de preuves horodaté.

Voici ce que ça signifie pour votre site, et comment Cookiebot vous aide à le gérer.

Votre bandeau de cookies est un composant juridique. S'il ne respecte pas les 8 exigences CNIL, votre site est en infraction — quel que soit sa taille ou son secteur. Les sanctions de 2025 montrent que la CNIL contrôle activement et sanctionne lourdement. Cookiebot vous permet de déployer un bandeau conforme en quelques minutes, avec scan automatique, blocage préalable et registre de preuves, sur toutes les plateformes CMS courantes.

Cookiebot bg shield

Déployez un bandeau cookies conforme CNIL en quelques minutes

Scannez votre site gratuitement pour identifier tous les cookies actifs, puis installez un bandeau conforme aux 8 exigences CNIL avec Cookiebot — sur WordPress, Shopify, Wix ou GTM.

Scanner mon site gratuitement

Questions fréquemment posées

Mon site a peu de visiteurs, ai-je quand même besoin d'un bandeau ?

Oui. Les obligations CNIL s'appliquent à tout site qui dépose des cookies non essentiels sur le terminal d'utilisateurs situés en France, quel que soit le volume de trafic. Il n'existe pas de seuil de visiteurs en dessous duquel le bandeau de consentement serait optionnel. La procédure simplifiée de la CNIL permet de sanctionner rapidement les sites de toute taille, avec des amendes pouvant atteindre 20 000 €.

Les cookies strictement nécessaires nécessitent-ils un bandeau ?

Non. Les cookies strictement nécessaires au fonctionnement du service demandé par l'utilisateur (authentification, panier d'achat, préférence de langue, équilibrage de charge) sont exemptés de consentement. Cependant, la CNIL recommande d'informer les utilisateurs de l'existence de ces cookies, par exemple dans la politique de confidentialité. Un bandeau n'est obligatoire que si votre site utilise des cookies non essentiels (analytics, publicité, personnalisation), ce qui est le cas de la quasi-totalité des sites.