Lois sur le consentement aux cookies par pays : guide complet (2026)

Le droit du consentement aux cookies suit trois modèles dans le monde : la norme d'opt-in de l'UE en vertu de la directive ePrivacy, l'approche d'opt-out des États-Unis fondée sur les lois étatiques sur la protection des données, et un modèle de simple information utilisé dans des pays comme l'Australie. Appliquer un consentement d'opt-in de niveau européen à tous les visiteurs satisfait aux exigences de pratiquement toutes les autres juridictions.
Les exigences en matière de consentement aux cookies diffèrent selon pratiquement toutes les juridictions majeures. Un site web accessible dans le monde entier fait face à une mosaïque de lois allant du régime strict d'opt-in de l'UE à des pays sans règle spécifique aux cookies. Les mesures d'application et les amendes ont atteint des centaines de millions d'euros dans la seule UE, et le paysage réglementaire a considérablement évolué entre 2024 et 2026, avec une vague de nouvelles lois et de décisions d'application.
Ce guide passe en revue les règles de consentement aux cookies dans plus de 30 pays et régions, en mettant particulièrement l'accent sur ce qui a changé entre 2024 et 2026 et sur ce qu'il faut attendre ensuite.
Réponse rapide : comment le consentement aux cookies varie selon les pays
Le droit du consentement aux cookies ne fonctionne pas de la même manière partout. Trois modèles distincts existent :
Modèle d'opt-in : les cookies ne peuvent être déposés tant que l'utilisateur n'a pas donné son accord actif. L'UE, le Royaume-Uni, la Corée du Sud et un nombre croissant de pays en Asie et en Afrique utilisent cette approche.
Modèle d'opt-out : les cookies sont autorisés par défaut ; les utilisateurs doivent agir pour les arrêter. Il s'agit du modèle dominant des lois des États américains, où l'accent est mis sur le respect de signaux d'opt-out comme le Global Privacy Control plutôt que sur l'exigence d'un consentement préalable.
Modèle de simple information : les organisations doivent informer les utilisateurs que des cookies sont utilisés (généralement dans une politique de confidentialité), mais aucune bannière de consentement n'est requise. L'Australie a fonctionné selon ce modèle, bien que des réformes récentes durcissent les règles.
L'implication pratique pour les sites web mondiaux : appliquer un consentement d'opt-in de niveau européen à tous les visiteurs est la politique unique la plus sûre. Tout site qui satisfait aux exigences de l'UE satisfera pratiquement toutes les autres réglementations.
Pourquoi le consentement aux cookies varie selon les pays
Cette variation reflète des traditions juridiques et des priorités politiques fondamentalement différentes. L'UE traite la vie privée comme un droit fondamental et a historiquement régulé la technologie de manière proactive. Les États-Unis ont historiquement privilégié une approche sectorielle et fondée sur le marché, s'appuyant sur les législatures des États et la FTC plutôt que sur une loi fédérale globale de protection des données. Les économies en développement ont souvent adopté des cadres modernes de protection des données inspirés de l'UE (ou parfois du cadre de protection de la vie privée de l'APEC), mais avec des capacités et des calendriers d'application différents.
La technologie compte également. Les règles de consentement aux cookies trouvent généralement leur origine dans la directive ePrivacy de l'UE, qui répondait à des préoccupations spécifiques concernant le suivi au début des années 2000. Les pays qui ont adopté des cadres de protection des données plus tard, comme le Brésil, l'Inde et la Thaïlande, traitent généralement les cookies au moyen de règles plus larges sur le traitement des données personnelles plutôt que par une législation spécifique aux cookies.
L'UE/EEE : la référence mondiale
Le cadre européen relatif aux cookies repose sur deux instruments : la directive ePrivacy (directive 2002/58/CE telle que modifiée par la directive 2009/136/CE) et le RGPD (règlement (UE) 2016/679). Ensemble, ils créent le régime de consentement aux cookies le plus exigeant au monde.
Comment fonctionne le cadre de l'UE
L'article 5(3) de la directive ePrivacy exige un consentement préalable et éclairé avant le dépôt de tout cookie non essentiel sur l'appareil d'un utilisateur. La norme de consentement du RGPD exige que le consentement soit libre, spécifique, éclairé et exprimé par un acte positif clair.
Les cases précochées sont illégales à la suite de l'arrêt Planet49 de la CJUE (affaire C-673/17). Le défilement de la page ou la poursuite de la navigation ne constituent pas un consentement. Le refus doit être aussi simple que l'acceptation, un principe qui a donné lieu à d'importantes amendes.
Les cookies strictement nécessaires sont exemptés de l'exigence de consentement. Il s'agit notamment des cookies indispensables au service explicitement demandé par l'utilisateur, comme les cookies de session pour un panier d'achat ou les jetons de sécurité.
Le règlement ePrivacy : retiré en février 2025
Pendant des années, l'UE a tenté de remplacer la directive ePrivacy par un nouveau règlement. Le projet de règlement ePrivacy, présenté en 2017, promettait d'harmoniser les règles entre États membres et de combler les lacunes de la directive.
En février 2025, le programme de travail 2025 de la Commission européenne a officiellement retiré la proposition. La Commission a indiqué qu'« aucun accord n'est attendu de la part des colégislateurs » et que la proposition était « dépassée au regard de certaines évolutions récentes du paysage technologique et législatif ». La directive ePrivacy actuelle et ses transpositions nationales demeurent le droit applicable.
La proposition d'Omnibus numérique : de nouvelles règles sur les cookies à l'horizon
Le 19 novembre 2025, la Commission européenne a proposé le paquet Omnibus numérique, une initiative législative de grande ampleur qui remodèlerait fondamentalement le fonctionnement des règles relatives aux cookies dans l'UE.
Principaux changements proposés concernant les cookies :
- La directive ePrivacy ne régirait plus le traitement des données personnelles. Le RGPD s'appliquerait seul aux cookies qui collectent des données personnelles, unifiant le cadre juridique.
- De nouvelles exemptions seraient créées pour les cookies de sécurité, les cookies d'analyse propre au site et les cookies nécessaires à la fourniture d'un service demandé par l'utilisateur. Ceux-ci ne nécessiteraient pas de bannière de consentement.
- Les demandes de consentement répétées pour la même finalité seraient interdites dans une fenêtre de six mois.
- Les entreprises seraient tenues de respecter les signaux de consentement lisibles par machine (comme les préférences au niveau du navigateur).
Ces changements répondraient à une plainte de longue date concernant la lassitude à l'égard des bannières de cookies. Toutefois, l'Omnibus numérique est encore en examen législatif. Les calendriers optimistes situent son adoption fin 2026, avec une entrée en vigueur au plus tôt en 2027.
Points saillants de l'application dans l'UE
Chacun des 27 États membres de l'UE fait appliquer les règles relatives aux cookies par le biais de son autorité nationale de protection des données (APD). Plusieurs se distinguent par l'intensité de leur application.
France (CNIL) : a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook en décembre 2021 pour avoir rendu le refus des cookies trop difficile. La CNIL exige un bouton de refus visible dès le premier niveau de la bannière et autorise des exemptions limitées pour l'analyse propre au site.
Italie (Garante) : a publié des lignes directrices actualisées sur les cookies en 2021 exigeant un bouton de refus visible dès la bannière initiale et une politique relative aux cookies distincte de l'avis de confidentialité général.
Allemagne (BfDI et APD des Länder) : a adopté la norme Planet49 par la voie de la Cour fédérale de justice en octobre 2020. Les 16 APD des Länder allemands, ainsi que le BfDI fédéral, font toutes appliquer les règles relatives aux cookies, ce qui crée un paysage d'application à plusieurs niveaux.
Espagne (AEPD) : fait appliquer la conformité en matière de cookies au titre de la LSSI (loi 34/2002) en parallèle du RGPD, avec des amendes atteignant 300 000 euros au titre de la LSSI ou des amendes au niveau du RGPD lorsque des données personnelles sont en cause.
Belgique (APD) : a rendu en 2022 une décision marquante contre le Cadre de transparence et de consentement (TCF) de l'IAB Europe, jugeant que le TCF lui-même violait le RGPD.

Groupe de travail du CEPD sur les bannières de cookies
Le Comité européen de la protection des données (CEPD) a créé en 2021 un groupe de travail sur les bannières de cookies afin de coordonner l'application entre les APD. Son rapport de janvier 2023 a fixé des exigences minimales : un bouton de refus doit être aussi visible que le bouton d'acceptation ; les dark patterns (couleurs trompeuses, formulations ambiguës, acceptation présélectionnée) violent le RGPD ; et les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné. Les APD de toute l'UE ont depuis émis des avertissements et des amendes, dont une amende de 15 000 euros infligée à un opérateur de commerce électronique en 2024 pour une bannière non conforme.
Le Royaume-Uni : le PECR et les changements du DUAA 2025
Les règles britanniques relatives aux cookies découlent du règlement de 2003 sur la vie privée et les communications électroniques (PECR), qui reflète le cadre ePrivacy de l'UE. Après le Brexit, le PECR fonctionne de manière indépendante aux côtés du RGPD britannique, appliqué par le Bureau du commissaire à l'information (ICO).
Ce qu'exige le PECR
Le règlement 6 du PECR exige un consentement préalable avant le dépôt de cookies ou de technologies similaires. Le consentement doit être éclairé, spécifique et impliquer un acte positif clair. Les cookies strictement nécessaires sont exemptés. La norme de consentement s'aligne sur le RGPD britannique.
La loi sur les données (utilisation et accès) de 2025 : un changement significatif
La loi sur les données (utilisation et accès) de 2025 (DUAA) a reçu la sanction royale le 19 juin 2025. Les principales dispositions relatives au PECR sont entrées en vigueur le 5 février 2026. Le DUAA a apporté deux changements matériels aux règles relatives aux cookies :
Nouvelles exemptions de cookies : trois catégories échappent désormais à l'exigence de consentement du PECR : (1) les cookies d'analyse dont la seule finalité est de collecter des statistiques agrégées pour améliorer un site web ou un service ; (2) les cookies de préférence qui adaptent l'apparence ou le comportement d'un site (comme la langue ou le thème) ; et (3) les cookies strictement nécessaires, comme auparavant. Les cookies publicitaires, de ciblage, de plafonnement de fréquence et de mesure publicitaire restent soumis au consentement.
Amendes considérablement plus élevées : l'amende maximale au titre du PECR a été portée au niveau du RGPD britannique : jusqu'à 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Auparavant, le maximum du PECR était de 500 000 livres sterling. Cela aligne le pouvoir d'application du PECR sur celui du RGPD britannique et laisse présager une intensification de l'application par l'ICO.

Les États-Unis : une mosaïque de lois étatiques
Les États-Unis n'ont aucune loi fédérale exigeant des bannières de consentement aux cookies. Les obligations liées aux cookies découlent d'un ensemble croissant de lois étatiques sur la protection de la vie privée axées sur les droits d'opt-out, le suivi en ligne et la publicité ciblée. Voir notre guide détaillé état par état pour les États-Unis pour plus de précisions.
Le modèle de base : opt-out, pas opt-in
Aucun État américain n'exige de consentement d'opt-in de type européen pour les cookies. Le modèle américain est celui de l'opt-out : les cookies sont autorisés sauf indication contraire de l'utilisateur. Les principaux mécanismes sont :
Les liens « Ne pas vendre ni partager » : la CCPA/CPRA de Californie exige un lien permettant aux consommateurs de refuser la vente ou le partage de renseignements personnels, y compris les cookies publicitaires.
Le Global Privacy Control (GPC) : un signal au niveau du navigateur qui communique les préférences d'opt-out. Les entreprises soumises à la CCPA/CPRA de Californie doivent respecter le GPC comme demande d'opt-out valable.
États exigeant la conformité au GPC (en date de mai 2026)
La liste des États exigeant que les entreprises respectent le signal GPC s'est considérablement étendue :
- Californie : exige le respect du GPC au titre de la CCPA/CPRA ; l'Agence californienne de protection de la vie privée a lancé des opérations coordonnées de contrôle du respect du GPC en septembre 2025, aux côtés des procureurs généraux du Colorado et du Connecticut.
- Colorado : le procureur général du Colorado a désigné le GPC comme mécanisme universel d'opt-out acceptable.
- Connecticut : depuis le 1er janvier 2025, les entreprises doivent respecter les signaux universels d'opt-out en vertu de la loi du Connecticut sur la protection des données.
- Montana, Texas : exigent également le respect des mécanismes universels d'opt-out.
- Maryland : la loi du Maryland sur la protection des données en ligne (MODPA), en vigueur depuis le 1er octobre 2025, exige le respect des signaux d'opt-out.
- New Jersey : en vertu de la loi du New Jersey sur la protection des données, en vigueur depuis le 15 juillet 2025, les entreprises doivent respecter le GPC.
- Oregon : en vertu de la loi de l'Oregon sur la protection des consommateurs, en vigueur depuis le 1er janvier 2026, les entreprises doivent respecter les signaux d'opt-out admissibles.
D'ici juillet 2026, au moins 12 États exigeront la reconnaissance de mécanismes universels d'opt-out comme le GPC.
Vue d'ensemble fédérale
Le Congrès a présenté à plusieurs reprises des projets de loi fédéraux complets sur la protection de la vie privée, mais aucun n'a été adopté. La FTC exerce un pouvoir limité sur les pratiques trompeuses en matière de cookies en vertu de la section 5 du FTC Act.
Canada : la LPRPDE et une réforme au point mort
Le Canada réglemente les cookies par le biais de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi canadienne anti-pourriel (LCAP). Le Commissariat à la protection de la vie privée (CPVP) assure l'application et fournit des lignes directrices.
En vertu de la LPRPDE, les organisations doivent obtenir un consentement valable pour la collecte ou l'utilisation de renseignements personnels. Le CPVP interprète les cookies d'analyse et de publicité qui suivent un comportement identifiable comme exigeant un consentement exprès. Les cookies collectant des renseignements non identifiables peuvent reposer sur un consentement implicite.
Le projet de loi C-27 (Loi de mise en œuvre de la Charte du numérique de 2022), qui aurait remplacé la LPRPDE par des règles plus strictes, est mort au Feuilleton lorsque le Parlement a été prorogé le 6 janvier 2025. En date de mai 2026, il n'a pas été réintroduit. La LPRPDE demeure la loi en vigueur.
Brésil : la LGPD
La Lei Geral de Proteção de Dados (LGPD) du Brésil ne contient pas de disposition spécifique aux cookies, mais ses exigences relatives à une base légale pour le traitement des données personnelles s'appliquent aux cookies qui collectent des renseignements personnels. L'Autoridade Nacional de Proteção de Dados (ANPD) considère le consentement comme la base appropriée pour les cookies publicitaires et d'analyse. Les sites web brésiliens ont largement adopté en pratique des bannières de cookies de style européen, en partie parce que beaucoup desservent également des utilisateurs européens et en partie parce que la position de l'ANPD favorise le consentement pour les technologies de suivi.
Chine : la PIPL
La loi chinoise sur la protection des informations personnelles (PIPL), en vigueur depuis novembre 2021, réglemente les cookies dans le cadre plus large de la protection des informations personnelles. L'Administration du cyberespace de Chine (CAC) supervise l'application.
La PIPL exige un consentement ou une autre base légale spécifique avant le traitement des informations personnelles. Les cookies publicitaires qui partagent des données avec des tiers ou impliquent des transferts transfrontaliers font l'objet d'exigences supplémentaires, notamment des évaluations d'impact du transfert de données. L'approche chinoise est particulièrement stricte concernant le partage de données avec des tiers : chaque transfert transfrontalier de renseignements personnels exige une base légale distincte et, dans de nombreux cas, une évaluation de sécurité déposée auprès de la CAC.
Japon : l'APPI
La loi japonaise sur la protection des informations personnelles (APPI), substantiellement modifiée en avril 2022, traite des cookies au moyen du concept d'« information individuellement référençable ». La Commission de protection des informations personnelles (PPC) fait appliquer l'APPI.
Lorsqu'une entreprise fournit des identifiants de cookies à un tiers susceptible de les combiner avec d'autres données pour identifier des individus, l'entreprise fournisseuse doit confirmer que le tiers a obtenu le consentement de l'individu concerné. Le Japon n'exige pas de bannières de consentement de style européen pour les cookies propres au site. L'accent est mis sur le partage de données avec des tiers à des fins publicitaires plutôt que sur le dépôt initial du cookie.
Corée du Sud : la PIPA
La loi coréenne sur la protection des informations personnelles (PIPA) figure parmi les cadres les plus stricts d'Asie. La Commission de protection des informations personnelles (PIPC) l'applique aux côtés de la loi sur les réseaux, qui traite spécifiquement du suivi en ligne.
La PIPA exige un consentement pour la collecte de renseignements personnels, ce qui couvre les cookies qui suivent des utilisateurs identifiables. Les sites web coréens affichent couramment des avis de consentement aux cookies. La PIPC a été active en matière d'application, avec des amendes atteignant des milliards de wons coréens pour des violations impliquant la collecte de données personnelles au moyen de technologies de suivi.
Inde : la DPDPA et les règles de 2025
La loi indienne de 2023 sur la protection des données numériques personnelles (DPDPA) a été promulguée en août 2023. Le ministère de l'Électronique et des Technologies de l'information a publié les règles DPDP 2025 le 13 novembre 2025, activant le cadre.
La DPDPA exige un consentement spécifique, non ambigu et impliquant un acte positif clair, une formulation qui reflète étroitement le RGPD. Les cookies qui collectent des données personnelles exigent un consentement. Un nouveau cadre de « gestionnaire de consentement » permet à des intermédiaires enregistrés auprès du Conseil de protection des données de l'Inde de gérer le consentement pour le compte des personnes concernées.
La mise en œuvre suit un calendrier échelonné : le Conseil de protection des données a été établi en novembre 2025 ; l'enregistrement des gestionnaires de consentement ouvre en novembre 2026 ; toutes les autres dispositions, y compris les exigences de consentement et de sécurité, entrent en vigueur le 13 mai 2027.
Australie : loi sur la vie privée modifiée
L'Australie réglemente la collecte de données en ligne par le biais de la loi sur la vie privée de 1988 et des principes australiens de protection de la vie privée, appliqués par le Bureau du commissaire australien à l'information (OAIC).
La loi de 2024 modifiant diverses lois sur la protection de la vie privée, promulguée en décembre 2024, constitue la réforme la plus importante depuis des années. Principaux changements affectant les cookies :
- Le consentement doit être volontaire, éclairé, actuel, spécifique et non ambigu. Les cases précochées et les dark patterns sont restreints.
- D'autres modifications sont prévues pour 2026, qui élargiraient la définition des renseignements personnels pour y inclure explicitement les identifiants techniques tels que les adresses IP, les identifiants d'appareils et les identifiants de cookies.
L'Australie n'exige toujours pas de bannière contextuelle de consentement aux cookies ; une information par le biais d'une politique de confidentialité satisfait généralement à l'exigence actuelle. Mais la trajectoire va vers des obligations plus strictes spécifiques aux cookies.

Tour d'horizon région par région
Amérique latine
Au-delà du Brésil, plusieurs pays d'Amérique latine ont renforcé leurs cadres de protection des données. Le Chili a réformé sa loi sur la protection des données en 2024. La Colombie applique sa loi Habeas Data (loi 1581/2012) à la collecte de données en ligne. L'Argentine fonctionne sous la loi 25 326 de protection des données personnelles et développe des règles actualisées. La tendance régionale va vers des exigences de consentement renforcées pour le suivi, l'ANPD du Brésil servant de référence régionale en matière d'application.
Asie-Pacifique
Singapour : la loi sur la protection des données personnelles (PDPA) exige un consentement pour la collecte de données personnelles, ce qui couvre les cookies qui identifient des individus. La PDPC a été active en matière d'application, avec des amendes atteignant 1 million de dollars singapouriens, pouvant aller jusqu'à 10 % du chiffre d'affaires local pour les violations graves.
Thaïlande : la loi sur la protection des données personnelles (PDPA), pleinement en vigueur depuis juin 2022, exige un consentement pour la collecte de données personnelles par le biais de cookies. Le consentement doit être libre, spécifique et éclairé.
Vietnam : le décret sur la protection des données personnelles (2023) introduit des exigences de consentement pour le traitement des données personnelles, y compris le suivi par cookies.
Indonésie : la loi sur la protection des données personnelles (2022) exige une base légale pour le traitement, le consentement étant la base principale pour les technologies de suivi.
Nouvelle-Zélande : la loi sur la vie privée de 2020 exige une notification concernant la collecte de données mais n'impose pas de bannière de consentement aux cookies. Le Bureau du commissaire à la vie privée fournit des lignes directrices sur les meilleures pratiques en matière de cookies.
Moyen-Orient et Afrique
Émirats arabes unis : le décret-loi fédéral n° 45 de 2021 sur la protection des données personnelles exige le consentement de la personne concernée pour le traitement des données personnelles, y compris les cookies.
Arabie saoudite : la loi sur la protection des données personnelles (PDPL), en vigueur depuis septembre 2023, exige un consentement pour le traitement des données personnelles qui n'est pas autrement autorisé par la loi.
Afrique du Sud : la POPIA (loi sur la protection des informations personnelles) exige un consentement pour le traitement des informations personnelles, ce que le régulateur de l'information a interprété comme incluant les cookies de suivi comportemental.
Nigeria : le règlement nigérian sur la protection des données (NDPR) et la loi nigériane de 2023 sur la protection des données exigent un consentement pour la collecte de données personnelles.
Kenya : la loi de 2019 sur la protection des données exige un consentement pour le traitement des données personnelles, y compris le suivi par cookies.
Israël : la loi sur la protection de la vie privée exige une information sur la collecte de données. Israël se rapproche du modèle de simple information mais modernise son cadre.
Turquie : la KVKK (loi n° 6698) exige un consentement explicite pour le traitement des données sensibles et un consentement éclairé pour les données personnelles générales, y compris les cookies.
Suisse : la loi fédérale révisée sur la protection des données (nLPD), en vigueur depuis septembre 2023, aligne le cadre suisse sur des normes équivalentes au RGPD, exigeant un consentement pour les cookies qui collectent des données personnelles.
Tableau comparatif mondial
| Pays/région | Modèle de consentement | Base légale | Autorité de contrôle | Sanction maximale |
|---|---|---|---|---|
| UE (27 États) | Opt-in | Directive ePrivacy + RGPD | APD nationales | 20 M€ / 4 % du chiffre d'affaires |
| Royaume-Uni | Opt-in (analyse/préférences exemptées depuis le DUAA) | PECR + RGPD britannique | ICO | 17,5 M£ / 4 % du chiffre d'affaires |
| États-Unis | Opt-out (niveau étatique) | Lois étatiques sur la vie privée | Procureurs généraux d'État, FTC | Variable selon l'État |
| Canada | Consentement valable | LPRPDE, LCAP | CPVP | 100 000 $ CA |
| Brésil | Consentement privilégié | LGPD | ANPD | 2 % du chiffre d'affaires, plafond de 50 M BRL |
| Chine | Consentement | PIPL | CAC | 50 M CNY / 5 % du chiffre d'affaires |
| Japon | Consentement du tiers | APPI | PPC | 100 M JPY |
| Corée du Sud | Opt-in | PIPA + loi sur les réseaux | PIPC | 3 % du chiffre d'affaires |
| Inde | Consentement (application dès mai 2027) | DPDPA + règles DPDP 2025 | DPBI | 250 crores INR |
| Australie | Information (renforcement en cours) | Loi sur la vie privée de 1988 (modifiée 2024) | OAIC | 50 M AUD |
| Singapour | Consentement | PDPA | PDPC | 10 % du chiffre d'affaires local |
| Thaïlande | Consentement | PDPA | PDPC Thaïlande | 5 M THB |
| Afrique du Sud | Consentement | POPIA | Régulateur de l'information | 10 M ZAR |
| Nigeria | Consentement | NDPR / loi NDP 2023 | NITDA / NDPC | 2 % du chiffre d'affaires |
| ÉAU | Consentement | Décret-loi fédéral 45/2021 | Bureau des données des ÉAU | 5 M AED |
| Turquie | Consentement | KVKK | Conseil KVKK | Amendes administratives |
| Suisse | Consentement | nLPD (2023) | PFPDT | 250 000 CHF (personnes physiques) |
| Israël | Information | Loi sur la protection de la vie privée | PPA | Amendes administratives |
| Nouvelle-Zélande | Information | Loi sur la vie privée de 2020 | OPC NZ | Amendes modestes |
Application des bannières de cookies et « consentement ou paiement »
Groupe de travail du CEPD sur les bannières de cookies
Le groupe de travail du CEPD sur les bannières de cookies coordonne l'application entre les APD. Son rapport de 2023 a fixé des normes minimales contraignantes : l'option de refus doit être aussi facile à atteindre que l'option d'acceptation ; les interfaces ne doivent pas utiliser de couleurs, de tailles ou de formulations pour orienter les utilisateurs vers l'acceptation ; et le consentement doit être granulaire par finalité, et non groupé. Les APD ont émis des avertissements sur la base de ces normes, et des amendes pour bannières de cookies trompeuses continuent d'être infligées dans les États membres.
Les modèles de « consentement ou paiement »
Un modèle de « consentement ou paiement » présente aux utilisateurs un choix binaire : consentir à la publicité comportementale ou payer un abonnement pour accéder au service. Meta a introduit un tel modèle pour Facebook et Instagram dans l'UE en 2023.
En avril 2024, l'avis 08/2024 du CEPD a conclu que les modèles de consentement ou paiement ne produisent généralement pas de consentement valable et librement donné pour les grandes plateformes en ligne. Le CEPD a estimé que le fait de ne présenter aux utilisateurs aucune véritable alternative au consentement ne satisfait pas à l'exigence du caractère « libre » du consentement. Le CEPD a recommandé que les grandes plateformes proposent une alternative équivalente sans publicité comportementale et sans mur payant. Le recours juridique de Meta contre cet avis a été rejeté par le Tribunal de l'Union européenne en 2025.
Pour les sites web plus modestes, la situation est moins établie. La plupart des APD de l'UE adoptent une position restrictive à l'égard des murs de cookies. L'approche la plus sûre pour les sites web ciblant l'UE consiste à autoriser l'accès indépendamment des choix relatifs aux cookies.
Signaux de consentement au niveau du navigateur : le Global Privacy Control
Le Global Privacy Control (GPC) est un signal de navigateur ou d'extension de navigateur qui communique la préférence d'opt-out d'un utilisateur à chaque site web qu'il visite. Il est pris en charge nativement par Firefox et Brave, et via des extensions pour Chrome et Safari.
Aux États-Unis, le respect du GPC est désormais légalement exigé dans une liste croissante d'États. La CPPA de Californie a lancé des opérations coordonnées de contrôle du respect du GPC en septembre 2025, aux côtés des procureurs généraux du Colorado et du Connecticut. D'ici juillet 2026, au moins 12 États exigeront la reconnaissance du GPC ou de mécanismes universels d'opt-out équivalents.
Dans l'UE, la proposition d'Omnibus numérique exigerait des responsables de traitement qu'ils respectent les signaux de consentement lisibles par machine, ce qui donnerait pour la première fois une valeur juridique à des signaux de type GPC dans le droit européen.
L'implication pratique : les sites web qui n'écoutent pas encore le signal GPC prennent du retard sur la courbe juridique aux États-Unis et pourraient devoir se conformer au consentement fondé sur des signaux dans l'UE d'ici 2027.
Conseils pratiques de conformité multi-pays
Consentement basé sur la géolocalisation
La plupart des plateformes de conformité utilisent la géolocalisation par adresse IP pour déterminer quelles règles de consentement s'appliquent à chaque visiteur. Un visiteur de l'UE voit une bannière d'opt-in complète. Un visiteur américain provenant d'un État exigeant le GPC voit des options d'opt-out et le GPC respecté. Un visiteur australien voit un avis de politique de confidentialité. Le routage basé sur la géolocalisation est l'approche standard pour les grands éditeurs multinationaux.
La stratégie du plancher mondial
Pour les organisations qui ne peuvent pas mettre en œuvre des flux spécifiques à chaque juridiction, appliquer un consentement d'opt-in de niveau européen à tous les visiteurs est l'approche la plus sûre et la plus simple. Satisfaire aux exigences de l'UE satisfait ou dépasse les exigences de pratiquement toutes les autres juridictions. Le compromis est que les taux de consentement pour les cookies non essentiels sont souvent nettement plus faibles lorsque l'opt-in est exigé, ce qui affecte les revenus publicitaires et la couverture analytique.
Plateformes de gestion du consentement
Les plateformes dédiées de gestion du consentement (CMP) automatisent l'analyse des cookies, l'affichage des bannières, l'enregistrement du consentement et le blocage des cookies en fonction du statut du consentement. Lors du choix d'une CMP pour la conformité multi-pays, vérifiez la prise en charge des juridictions spécifiques desservies par votre site, sa capacité à respecter le signal GPC, et que les enregistrements de consentement sont stockés dans un format qui satisfait aux exigences d'audit du RGPD (article 7(1)).
Ceci constitue une information juridique générale, et non un avis juridique. La conformité en matière de cookies dépend des juridictions spécifiques ciblées par votre site web, des types de cookies utilisés et des activités de votre organisation. Consultez un avocat qualifié dans chaque juridiction concernée pour un avis adapté à votre situation.
Frequently Asked Questions
Quels pays exigent un consentement d'opt-in pour les cookies ?
Les 27 États membres de l'UE exigent un consentement d'opt-in en vertu de la directive ePrivacy et du RGPD. Le Royaume-Uni exige un consentement d'opt-in en vertu du PECR (avec de nouvelles exemptions pour l'analyse et les préférences depuis le DUAA 2025). La Corée du Sud exige un consentement en vertu de la PIPA. Le Brésil, la Chine, la Thaïlande, l'Afrique du Sud, Singapour et plusieurs autres pays exigent un consentement pour les cookies traitant des données personnelles. Aucun État américain n'exige de consentement d'opt-in de style européen pour les cookies.
Qu'est-il advenu du projet de règlement ePrivacy de l'UE ?
Le programme de travail 2025 de la Commission européenne, publié en février 2025, a officiellement retiré le projet de règlement ePrivacy après des années de blocage législatif. La Commission a invoqué l'incapacité de trouver un accord entre le Parlement et le Conseil, ainsi que le caractère dépassé de la proposition au regard de lois numériques européennes plus récentes. La directive ePrivacy actuelle (2002/58/CE) et ses lois de transposition nationales demeurent en vigueur.
Qu'est-ce que l'Omnibus numérique de l'UE et en quoi affecte-t-il les cookies ?
La Commission européenne a proposé le paquet Omnibus numérique le 19 novembre 2025. Pour les cookies, les principaux changements consisteraient à transférer entièrement les règles de traitement des données personnelles de la directive ePrivacy vers le RGPD, à créer de nouvelles exemptions pour l'analyse propre au site et les cookies fonctionnels, et à exiger des entreprises qu'elles respectent les signaux de consentement du navigateur lisibles par machine. Le paquet reste en examen législatif et ne devrait pas entrer en vigueur avant 2027 au plus tôt.
Qu'est-ce que le DUAA 2025 britannique a changé concernant le consentement aux cookies ?
La loi sur les données (utilisation et accès) de 2025 a reçu la sanction royale le 19 juin 2025 et ses principales dispositions sont entrées en vigueur le 5 février 2026. Le DUAA a créé deux nouvelles exemptions de cookies au titre du PECR : les cookies d'analyse ne collectant que des statistiques agrégées n'exigent plus de consentement, et les cookies de préférence (comme la langue ou le thème) sont également exemptés. Les cookies publicitaires, de ciblage et de mesure exigent toujours un consentement. Le DUAA a également relevé les amendes maximales du PECR au niveau du RGPD britannique : jusqu'à 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial.
Mon site web basé aux États-Unis a-t-il besoin d'une bannière de cookies pour les visiteurs de l'UE ?
Si votre site web est accessible aux visiteurs de l'UE et traite leurs données personnelles, le RGPD et la directive ePrivacy s'appliquent. Le fait que votre site cible spécifiquement les utilisateurs de l'UE affecte le risque pratique d'application, mais l'obligation juridique existe pour tout site qui traite les données personnelles de résidents de l'UE. Afficher une bannière de consentement d'opt-in pour les visiteurs détectés dans l'UE est l'approche de conformité standard pour les organisations américaines ayant un trafic significatif en provenance de l'UE.
Qu'est-ce que le Global Privacy Control et quels États américains exigent son respect ?
Le Global Privacy Control est un signal au niveau du navigateur qui communique la préférence d'opt-out d'un utilisateur aux sites web. En date de mai 2026, les États qui exigent des entreprises qu'elles respectent le GPC incluent la Californie, le Colorado, le Connecticut, le Montana, le Texas, le Maryland, le New Jersey et l'Oregon. La CPPA de Californie a mené des opérations coordonnées de contrôle du respect du GPC en septembre 2025. D'ici juillet 2026, au moins 12 États exigeront la reconnaissance du GPC ou de mécanismes universels d'opt-out équivalents.
Les murs de cookies de type « consentement ou paiement » sont-ils légaux dans l'UE ?
Pour les grandes plateformes en ligne, l'avis 08/2024 du CEPD a conclu qu'ils ne produisent généralement pas de consentement valable au titre du RGPD. Le CEPD a estimé que le fait de ne proposer aux utilisateurs que le choix entre consentir à la publicité comportementale ou payer une redevance ne satisfait pas à l'exigence du caractère « libre ». Le recours juridique de Meta contre cet avis a été rejeté par le Tribunal de l'Union européenne en 2025. Pour les sites web plus modestes, l'analyse est moins établie, mais la plupart des APD de l'UE adoptent une position restrictive. L'approche la plus sûre consiste à autoriser l'accès au site indépendamment des choix relatifs aux cookies.
Quand les règles de consentement aux cookies de la DPDPA indienne entreront-elles en vigueur ?
Les règles DPDP 2025 de l'Inde ont été publiées le 13 novembre 2025, établissant le Conseil de protection des données de l'Inde. L'enregistrement des gestionnaires de consentement ouvre en novembre 2026. Toutes les dispositions substantielles, y compris les exigences de consentement, d'avis de confidentialité et de sécurité, entrent en vigueur le 13 mai 2027. Après cette date, les organisations utilisant des cookies pour collecter des données personnelles d'utilisateurs indiens auront besoin d'un consentement spécifique, non ambigu et impliquant un acte positif clair.
L'Australie exige-t-elle des bannières de consentement aux cookies ?
L'Australie n'exige actuellement pas de bannières contextuelles de consentement aux cookies. La loi sur la vie privée de 1988 exige une notification concernant la collecte de données personnelles, ce qui peut être accompli au moyen d'une politique de confidentialité. La loi de 2024 modifiant diverses lois sur la protection de la vie privée (promulguée en décembre 2024) renforce les normes de consentement, et d'autres modifications prévues pour 2026 élargiraient la définition des renseignements personnels pour y inclure explicitement les identifiants de cookies. La trajectoire va vers des exigences de consentement aux cookies renforcées.
Appliquer les règles européennes de consentement aux cookies à l'échelle mondiale est-elle l'approche la plus sûre ?
Oui. Appliquer un consentement d'opt-in de niveau européen à tous les visiteurs, quel que soit leur emplacement, satisfait ou dépasse les exigences de pratiquement toutes les autres juridictions. Le principal compromis est que les modèles d'opt-in entraînent le refus par de nombreux utilisateurs des cookies non essentiels, ce qui réduit la couverture analytique et les revenus publicitaires. Les organisations ayant un trafic significatif hors UE mettent parfois en œuvre des flux basés sur la géolocalisation pour appliquer des règles d'opt-out ou de simple information aux visiteurs des juridictions qui n'exigent pas l'opt-in, préservant ainsi l'analyse et la performance publicitaire sur ces marchés.
Sources and References
- Directive ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- CJUE, affaire C-673/17 (Planet49)(curia.europa.eu).gov
- Rapport du groupe de travail du CEPD sur les bannières de cookies(edpb.europa.eu).gov
- Avis 08/2024 du CEPD sur le consentement ou paiement(edpb.europa.eu).gov
- Lignes directrices de la CNIL sur les cookies(cnil.fr).gov
- Lignes directrices du Garante italien sur les cookies(garanteprivacy.it).gov
- PECR britannique de 2003(legislation.gov.uk).gov
- ICO - Loi sur les données (utilisation et accès) de 2025(ico.org.uk).gov
- Guide de l'ICO sur les cookies(ico.org.uk).gov
- CCPA de Californie(oag.ca.gov).gov
- Spécification W3C du Global Privacy Control(w3.org)
- LPRPDE du Canada(laws-lois.justice.gc.ca).gov
- LCAP du Canada(laws-lois.justice.gc.ca).gov
- CPVP du Canada(priv.gc.ca).gov
- LGPD du Brésil(planalto.gov.br).gov
- ANPD du Brésil(gov.br).gov
- PIPL de Chine(npc.gov.cn).gov
- PPC APPI du Japon(ppc.go.jp).gov
- PIPC PIPA de Corée du Sud(pipc.go.kr).gov
- Règles DPDP 2025 de l'Inde(meity.gov.in).gov
- Loi australienne sur la vie privée de 1988(legislation.gov.au).gov
- OAIC d'Australie(oaic.gov.au).gov
- LSSI espagnole, loi 34/2002(boe.es).gov