Tous les articles du blog

CNIL et cookies : le guide pratique de conformité pour votre site

Close
Temps de lecture
8 min
Publié
Mar 24, 2026
Partager

En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de près de 487 millions d'euros. Sur ce total, 475 millions proviennent de deux sanctions liées aux cookies : Google (325 M€) et Shein (150 M€), prononcées le 1er septembre 2025. Vingt et un organismes au total ont été sanctionnés pour des manquements aux règles sur les traceurs.

Le message est clair : la CNIL ne se contente plus d'accompagner. Elle sanctionne, fortement, et cible en priorité les sites à forte audience qui ne respectent pas les règles de consentement.

Si votre site utilise des cookies non essentiels — analytics, publicité, personnalisation — et s'adresse à des visiteurs situés en France, cet article détaille les exigences de la CNIL, les erreurs qui déclenchent des sanctions, et la marche à suivre pour être conforme.

En bref

  • La CNIL a infligé près de 487 M€ d'amendes en 2025, dont 475 M€ pour des infractions liées aux cookies (Google 325 M€, Shein 150 M€).
  • L'article 82 de la loi Informatique et Libertés est la base légale spécifique pour les cookies en France, en complément du RGPD.
  • La CNIL impose 8 exigences précises pour votre bandeau de consentement : consentement préalable, bouton Refuser visible, pas de dark patterns, granularité, retrait simple, identification des traceurs, pas de cookie wall, preuve de consentement.
  • Les règles CNIL s'appliquent à tout site ciblant des visiteurs en France, y compris les entreprises établies hors de France.
  • Cookiebot automatise la conformité à ces 8 exigences via un bandeau conforme CNIL, déployable sur WordPress, Shopify, Wix et GTM.

Qu'est-ce que la CNIL et pourquoi est-elle incontournable pour votre site ?

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française de protection des données personnelles. Créée en 1978, elle veille à l'application de la loi Informatique et Libertés et du RGPD sur le territoire français.

En matière de cookies, la CNIL dispose d'un pouvoir de contrôle et de sanction direct. Elle peut effectuer des inspections en ligne, vérifier le comportement d'un site en temps réel et prononcer des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial de l'entreprise concernée.

La CNIL a publié en 2020 des lignes directrices et une recommandation sur les cookies et traceurs, complétées par de nouvelles recommandations en 2024. Ces textes précisent les conditions dans lesquelles le consentement doit être recueilli, les informations à fournir aux utilisateurs et les pratiques considérées comme non conformes.

Pour tout propriétaire de site web ciblant un public français, la conformité CNIL n'est pas un objectif théorique. C'est une obligation opérationnelle, dont le non-respect est activement contrôlé et sanctionné.

La base légale : article 82 de la Loi Informatique et Libertés + RGPD

Les obligations relatives aux cookies en France reposent sur deux textes complémentaires.

L'article 82 de la loi Informatique et Libertés transpose en droit français l'article 5.3 de la directive ePrivacy (2002/58/CE). Il impose le recueil du consentement préalable de l'utilisateur avant toute opération de lecture ou d'écriture de cookies sur son terminal, sauf pour les traceurs strictement nécessaires au fonctionnement du service.

Le RGPD vient compléter ce cadre en encadrant le traitement des données personnelles collectées via les cookies. Les conditions de validité du consentement (libre, spécifique, éclairé, univoque) sont définies aux articles 4(11) et 7 du RGPD. Le RGPD fonde également les droits des utilisateurs sur leurs données (accès, rectification, effacement, opposition, portabilité).

La CNIL est compétente pour contrôler et sanctionner les manquements à l'article 82, y compris lorsque l'entreprise responsable est établie hors de France. C'est précisément sur cette base que Shein (filiale irlandaise) a été sanctionnée de 150 M€ en septembre 2025 : le mécanisme de guichet unique du RGPD ne s'applique pas aux cookies, qui relèvent de la directive ePrivacy.

Ce que la CNIL exige de votre bandeau de consentement : les 8 exigences

Les lignes directrices et la recommandation de la CNIL définissent un cadre précis pour le recueil du consentement via cookies. Voici les 8 exigences essentielles.

8 exigences CNIL

1
Consentement préalable

Aucun cookie non essentiel ne peut être déposé avant que l'utilisateur ait donné son accord. La poursuite de la navigation, le scroll ou la fermeture du bandeau ne constituent pas un consentement valide.

2
Bouton « Refuser » aussi visible que le bouton « Accepter »

La CNIL exige que le mécanisme de refus soit présenté au même niveau et dans le même format que le mécanisme d'acceptation. Un bouton « Tout refuser » doit être aussi facilement accessible qu'un bouton « Tout accepter ». La présence d'un simple bouton « Paramétrer » à côté de « Tout accepter » ne suffit pas.

3
Pas de dark patterns ni de cases pré-cochées

Aucun design trompeur ne doit orienter l'utilisateur vers l'acceptation : choix de couleurs déséquilibré, formulation ambiguë, boutons de taille inégale, cases pré-cochées. La CNIL sanctionne activement ces pratiques.

4
Consentement granulaire par catégorie

L'utilisateur doit pouvoir accepter ou refuser les cookies par finalité : analytics, publicité, personnalisation. Un consentement global sans possibilité de choix par catégorie n'est pas conforme.

5
Retrait du consentement simple et accessible

L'utilisateur doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné. La CNIL recommande un lien en pied de page, une icône « cookies » ou un module de gestion accessible en permanence.

6
Identification claire de tous les traceurs et de leurs finalités

Le bandeau doit informer l'utilisateur des finalités des cookies dès le premier niveau d'information. La liste des responsables de traitement et des tiers déposant des cookies doit être accessible depuis l'interface de consentement.

7
Pas de cookie wall bloquant l'accès au site

La CNIL considère que les pratiques de cookie wall — conditionner l'accès au contenu à l'acceptation des cookies — peuvent porter atteinte à la liberté du consentement. Elle examine leur licéité au cas par cas et porte une attention particulière à l'existence d'alternatives réelles.

8
Registre de preuves de consentement (consent logs)

Les organismes utilisant des cookies doivent être en mesure de fournir à tout moment la preuve du recueil d'un consentement valide : libre, éclairé, spécifique et univoque. Cette traçabilité est indispensable en cas de contrôle.

La CNIL en action : les sanctions marquantes

La CNIL a considérablement durci son action répressive sur les cookies depuis 2020. Voici les sanctions les plus significatives.

Google — 325 M€ (septembre 2025). La CNIL a sanctionné Google Ireland Limited et Google LLC pour avoir inséré des publicités parmi les emails des utilisateurs de Gmail sans consentement, et pour avoir recueilli un consentement non éclairé lors de la création de comptes Google, les utilisateurs n'étant pas informés que le dépôt de cookies publicitaires conditionnait l'accès aux services.

Shein — 150 M€ (septembre 2025). La filiale irlandaise du groupe Shein a été sanctionnée pour avoir déposé des cookies publicitaires avant même que l'utilisateur n'interagisse avec le bandeau, pour des interfaces d'information incomplètes, et pour avoir continué à déposer des traceurs après que l'utilisateur avait cliqué sur « Tout refuser ».

Apple — 8 M€ (décembre 2022). Sanctionnée pour avoir utilisé des identifiants publicitaires sur l'App Store sans recueillir le consentement préalable des utilisateurs français d'iPhone.

Voodoo — 3 M€ (décembre 2022). L'éditeur de jeux mobiles a été sanctionné pour avoir utilisé un identifiant technique (IDFV) à des fins publicitaires sans recueillir le consentement valide des utilisateurs.

Société de vente à distance — 3 000 € (procédure simplifiée). Même les petits montants illustrent le fait que la CNIL contrôle aussi les acteurs de taille réduite.

Ces sanctions confirment une tendance : la CNIL ne se limite pas aux géants du numérique. Elle cible tout site ou service qui ne respecte pas les règles, quelle que soit sa taille.

Les 4 catégories de cookies selon la CNIL

La CNIL distingue quatre catégories de cookies, dont le régime de consentement diffère.

4 catégories de cookies

1
Cookies strictement nécessaires

Indispensables au fonctionnement du service demandé par l'utilisateur : authentification, panier d'achat, préférence de langue. Ces cookies sont exemptés de consentement mais l'utilisateur doit en être informé.

2
Cookies d'analyse (analytics)

Utilisés pour mesurer l'audience du site. La CNIL a défini des conditions d'exemption strictes pour certains outils de mesure d'audience, à condition que les données soient anonymisées et que la finalité se limite à la mesure de performance. En dehors de ces conditions, le consentement est requis.

3
Cookies de personnalisation

Permettent d'adapter le contenu ou les fonctionnalités du site aux préférences de l'utilisateur. Soumis au consentement.

4
Cookies publicitaires

Permettent l'affichage de publicité ciblée, le suivi inter-sites et la mesure de performance des campagnes. Soumis au consentement. C'est la catégorie la plus contrôlée par la CNIL.

Comment Cookiebot vous met en conformité avec les 8 exigences CNIL

Cookiebot automatise la mise en conformité de votre site avec les règles CNIL sur les cookies. Voici comment chaque exigence est couverte.

Le scanner Cookiebot analyse automatiquement votre site chaque mois pour détecter et catégoriser tous les cookies et traceurs actifs — y compris ceux déposés par des scripts tiers. Le bandeau de consentement bloque les cookies non essentiels avant l'obtention du consentement (consentement préalable). Les boutons « Accepter » et « Refuser » sont présentés avec le même poids visuel, sans dark pattern. Le consentement est recueilli par catégorie (analytics, publicité, personnalisation), conformément à l'exigence de granularité. Un module de gestion des cookies reste accessible en permanence sur le site, permettant le retrait du consentement à tout moment. L'ensemble des traceurs et de leurs finalités est documenté et présenté dans l'interface de consentement. Chaque consentement est horodaté et stocké dans un registre de preuves (consent log), consultable en cas de contrôle CNIL.

Mise en place : configurer un bandeau CNIL-conforme avec Cookiebot

La mise en place d'un bandeau conforme CNIL avec Cookiebot ne nécessite pas de compétences techniques avancées. Le déploiement se fait en quelques étapes selon votre plateforme.

WordPressShopifyGoogle Tag ManagerWix / Squarespace
Installez le plugin Cookiebot depuis le répertoire WordPress.

Entrez votre identifiant Cookiebot dans les réglages du plugin.

Le bandeau et le blocage automatique des cookies sont activés dès la sauvegarde.		Ajoutez l'application Cookiebot depuis l'App Store Shopify.

Configurez les paramètres de consentement depuis l'interface de l'application.

Le bandeau s'intègre automatiquement dans le thème du site.		Ajoutez le tag Cookiebot dans votre conteneur GTM.

Configurez les déclencheurs de consentement pour chaque catégorie de cookies.

Le mode consentement de Cookiebot s'intègre avec Google Consent Mode v2.		Ajoutez le script Cookiebot dans les paramètres de code personnalisé de votre site.

Le bandeau s'affiche automatiquement et le blocage des cookies non essentiels est activé.

Ce que cela signifie pour votre site, et comment Cookiebot simplifie votre mise en conformité

Les règles CNIL sur les cookies ne sont ni floues ni optionnelles. Elles sont précises, contrôlées et sanctionnées. Si votre site utilise des cookies non essentiels et s'adresse à des visiteurs en France, chaque exigence décrite dans cet article s'applique à vous. Cookiebot automatise la conformité à ces 8 exigences, du scan initial au registre de preuves, sur toutes les plateformes CMS courantes.

Cookiebot bg shield

Mettez votre site en conformité CNIL en quelques minutes

Scannez gratuitement votre site pour identifier tous les cookies actifs, puis déployez un bandeau conforme aux exigences CNIL avec Cookiebot.

Scanner mon site gratuitement

Questions fréquemment posées

La CNIL s'applique-t-elle aux entreprises non françaises avec des visiteurs français ?

Oui. La CNIL est compétente pour contrôler les opérations de cookies effectuées sur le terminal d'utilisateurs situés en France, quel que soit le lieu d'établissement de l'entreprise. Le mécanisme de guichet unique du RGPD ne s'applique pas aux cookies, qui relèvent de la directive ePrivacy transposée par l'article 82 de la loi Informatique et Libertés. C'est sur cette base que la CNIL a sanctionné Shein (filiale irlandaise) de 150 M€ en 2025.