Votre navigateur ne supporte pas le stockage local. Les données de session ne seront pas conservées entre les pages.
Guide de conformité Mis à jour le 19 février 2026

Politique Cookies CNIL : Guide de Conformité 2026

Tout savoir sur les règles CNIL en matière de cookies et traceurs. Consentement, exemptions, durée de vie, CMP et sanctions. Conformité basée sur la délibération 2020-091.

Qu'est-ce qu'un cookie et un traceur ?

Un cookie est un petit fichier texte déposé sur le terminal de l'utilisateur (ordinateur, smartphone, tablette) par le serveur du site visité. Les traceurs englobent les cookies mais aussi d'autres technologies de suivi : pixels invisibles, identifiants d'appareil, empreintes numériques (fingerprinting), stockage local (localStorage, sessionStorage), etc.

La CNIL ne distingue pas entre ces technologies : toute opération de lecture ou d'écriture sur le terminal de l'utilisateur est soumise aux mêmes règles de consentement, sauf exceptions listées dans ses lignes directrices.

Délibération n 2020-091 du 17 septembre 2020 - La CNIL a adopté ses lignes directrices modifiées et une recommandation portant sur l'usage de cookies et autres traceurs. Ces textes précisent les modalités pratiques de recueil du consentement, en application de l'article 82 de la loi Informatique et Libertés.

Le consentement : principe central

Le dépôt de cookies non essentiels est interdit tant que l'utilisateur n'a pas donné son consentement explicite. Le consentement doit être :

  • Libre - l'accès au site ne doit pas être conditionné à l'acceptation des cookies (pas de "cookie wall" sauf exception)
  • Spécifique - l'utilisateur doit pouvoir consentir finalité par finalité
  • Éclairé - l'information doit être claire, complète et accessible
  • Univoque - le consentement résulte d'un acte positif clair (clic sur "Accepter")

Règle d'égale prominence - Le bouton "Refuser" (ou "Tout refuser") doit être présenté au même niveau et avec la même mise en évidence que le bouton "Accepter" (ou "Tout accepter"). Un bouton "Accepter" visible et un lien discret "Paramétrer" en petits caractères n'est PAS conforme.

La poursuite de navigation ne vaut pas consentement

Depuis les lignes directrices de 2020, le simple fait de continuer à naviguer sur un site ne constitue plus un consentement valide. L'utilisateur doit effectuer un acte positif et spécifique. De même, les cases pré-cochées ne sont pas admises.

Cookies exemptés de consentement

Certains cookies, strictement nécessaires au fonctionnement du service demandé par l'utilisateur, sont exemptés du recueil de consentement :

Cookies de session et d'authentification Exempt

Maintien de la connexion de l'utilisateur, panier d'achat, identifiant de session. Indispensables au fonctionnement de base du site.

Cookies de préférence d'interface Exempt

Choix de langue, thème clair/sombre, accessibilité. Directement demandés par l'utilisateur pour personnaliser l'interface.

Cookies de mesure d'audience (sous conditions) Exempt sous conditions

Uniquement si l'outil est configuré pour produire des données statistiques anonymes, avec une durée limitée et sans recoupement de données. La CNIL a publié une liste d'outils exemptables (Matomo, AT Internet sous certaines configurations).

Cookies de consentement Exempt

Le cookie qui enregistre le choix de l'utilisateur (acceptation ou refus) n'a pas besoin de consentement - c'est un paradoxe qui serait absurde autrement.

Catégories de cookies soumis au consentement

Cookies analytiques et de performance Consentement requis

Google Analytics, Hotjar, Mixpanel, et tout outil de mesure d'audience non configuré pour l'exemption. Collectent des données sur le comportement de navigation.

Cookies publicitaires et de ciblage Consentement requis

Google Ads, Facebook Pixel, retargeting, DSP. Permettent d'afficher des publicités personnalisées et de mesurer les campagnes.

Cookies de réseaux sociaux Consentement requis

Boutons de partage Facebook, Twitter, LinkedIn, vidéos YouTube embarquées. Déposent des traceurs même sans interaction de l'utilisateur.

Cookies fonctionnels non essentiels Consentement requis

Chat en ligne, personnalisation avancée, recommandations de contenu, A/B testing. Améliorent l'expérience mais ne sont pas strictement nécessaires.

Durée de vie et re-consentement

Durée maximale de 13 mois

La CNIL recommande que la durée de vie des cookies ne dépasse pas 13 mois après leur dépôt. Au-delà, le consentement doit être renouvelé. Cette durée s'applique au cookie lui-même et aux données collectées via ce cookie.

Re-demande de consentement tous les 6 mois

Le consentement de l'utilisateur n'est pas éternel. La CNIL recommande de re-solliciter le consentement à intervalles réguliers, au maximum tous les 6 mois, pour les utilisateurs qui ont refusé les cookies. Pour ceux qui ont accepté, le consentement reste valide pendant la durée de vie du cookie de consentement (13 mois max).

Bonne pratique - Conservez la preuve du consentement (horodatage, version des CGU/politique cookies en vigueur, choix effectué par finalité). En cas de contrôle CNIL, vous devez pouvoir démontrer que le consentement a été valablement recueilli.

CMP - Consent Management Platform

Un CMP (ou bandeau cookies) est l'interface qui permet de recueillir et gérer le consentement des utilisateurs. Pour être conforme, votre CMP doit respecter les exigences suivantes :

  • Affichage au premier accès, avant tout dépôt de cookies non essentiels
  • Premier niveau : information succincte + boutons "Tout accepter" et "Tout refuser" de même prominence
  • Deuxième niveau : paramétrage finalité par finalité avec description claire
  • Possibilité de revenir sur son choix à tout moment (lien persistant dans le footer ou widget flottant)
  • Aucun dépôt de cookie non essentiel tant que le choix n'est pas fait (pas de "soft opt-in")
  • Pas de design trompeur (dark patterns) : couleurs trompeuses, options cachées, parcours de refus plus complexe

Dark patterns interdits - La CNIL sanctionne les interfaces qui rendent le refus plus difficile que l'acceptation. En 2022, Google et Facebook ont été sanctionnés pour des boutons "Refuser" moins visibles que "Accepter" (amendes de 150 M EUR et 60 M EUR respectivement).

Sanctions CNIL

La CNIL dispose d'un pouvoir de contrôle et de sanction en matière de cookies. Les sanctions prononcées ces dernières années montrent que le sujet est une priorité :

  • Amende maximale : 4% du chiffre d'affaires mondial annuel (au titre du RGPD)
  • Ou 150 000 EUR pour une personne physique, 2% du CA pour les manquements à la loi Informatique et Libertés
  • Mise en demeure publique avec délai de mise en conformité
  • Injonction de cesser le traitement ou de supprimer les données collectées illicitement
  • Publication de la décision de sanction sur le site de la CNIL (atteinte à la réputation)

Générez votre politique cookies conforme

Notre générateur produit une politique cookies détaillée et conforme aux exigences de la CNIL. Listez vos cookies par catégorie, informez vos utilisateurs et facilitez la mise en conformité.

Générez votre politique cookies

Gratuit, sans inscription. Conforme à la délibération CNIL 2020-091.

Créer ma politique cookies

Questions fréquentes

Tous les cookies non essentiels nécessitent un consentement préalable : cookies analytiques, publicitaires, de réseaux sociaux, de personnalisation. Seuls les cookies strictement nécessaires au fonctionnement du site en sont exemptés.
La CNIL recommande une durée maximale de 13 mois pour les cookies. Le consentement doit être re-demandé tous les 6 mois. Au-delà, le cookie doit expirer et le consentement être renouvelé.
Oui, dans sa configuration par défaut, Google Analytics dépose des cookies de mesure d'audience non exemptés de consentement. Seules certaines configurations anonymisées et conformes aux critères CNIL peuvent être exemptées.
La CNIL peut prononcer des amendes pouvant atteindre 2% du chiffre d'affaires annuel mondial ou 10 millions d'euros. En 2022, Google et Facebook ont été sanctionnés respectivement à 150M EUR et 60M EUR pour des manquements liés aux cookies.
Oui. La CNIL exige que le refus soit aussi simple que l'acceptation. Le bouton "Tout refuser" doit avoir la même importance visuelle que "Tout accepter". Les dark patterns (bouton refuser caché ou grisé) sont sanctionnés.
Un simple bandeau informatif ne suffit pas. Il faut un mécanisme de consentement actif (pas de cases pré-cochées), la possibilité de choisir par catégorie, et un lien vers la politique cookies détaillée.