Loi européenne sur les cookies (directive ePrivacy) expliquée (2026)

L'article 5, paragraphe 3, de la directive ePrivacy (directive 2002/58/CE, modifiée par la directive 2009/136/CE) impose aux sites web d'obtenir un consentement préalable et éclairé avant de déposer tout cookie non essentiel sur l'appareil d'un visiteur. Les cookies strictement nécessaires sont exemptés. La directive s'applique parallèlement au RGPD en tant que lex specialis pour les communications électroniques et les équipements terminaux.
La directive ePrivacy est la loi de l'UE qui régit spécifiquement l'usage des cookies et des technologies de suivi similaires par les sites web. Si le RGPD concentre l'essentiel de l'attention dans les débats sur la vie privée, c'est la directive ePrivacy qui impose directement les bandeaux de consentement aux cookies sur pratiquement tous les sites web accessibles depuis l'Europe.
Officiellement dénommée directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, cette loi a été adoptée en 2002 et sensiblement modifiée en 2009 par la directive 2009/136/CE. Cette modification de 2009 a introduit l'exigence de consentement préalable (opt-in) qui a transformé l'expérience en ligne de centaines de millions d'utilisateurs.
Le paysage a évolué considérablement depuis 2024. Le règlement de remplacement, bloqué de longue date, a été formellement retiré, et une nouvelle proposition intègre désormais les règles relatives aux cookies directement dans le RGPD. Ce guide traite du texte juridique de la directive, des exigences de consentement, de son articulation avec le RGPD, des transpositions nationales, du règlement retiré, des propositions du Digital Omnibus de novembre 2025, de l'exécution, et de ce que les organisations doivent faire.
Réponse rapide
La directive ePrivacy impose aux sites web d'obtenir le consentement de l'utilisateur avant de déposer des cookies non essentiels (analyse, publicité, cookies de préférence) sur l'appareil d'un visiteur. Les cookies strictement nécessaires sont exemptés. Le RGPD fixe la norme de consentement : il doit être librement donné, spécifique, éclairé et fondé sur un acte positif clair. Les cases précochées et le fait de « continuer à naviguer » ne comptent pas. La directive est transposée différemment par chaque État membre de l'UE, si bien que les structures de sanctions varient. Un projet de règlement destiné à remplacer la directive a été formellement retiré en février 2025. Une proposition de Digital Omnibus de novembre 2025 cherche désormais à intégrer les règles relatives aux cookies dans le RGPD via de nouveaux articles 88 bis et 88 ter, mais elle demeure un projet en attente d'approbation législative.
Qu'est-ce que la directive ePrivacy (directive vie privée et communications électroniques) ?
La directive ePrivacy (directive 2002/58/CE) est un instrument législatif de l'UE qui encadre le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elle couvre les cookies et le suivi, la prospection non sollicitée, les données de trafic, les données de localisation et la confidentialité des communications.
La directive est entrée en vigueur le 31 juillet 2002. Elle s'appliquait parallèlement à la directive originale sur la protection des données (95/46/CE), remplacée par le RGPD en mai 2018. Si le RGPD a remplacé le cadre général de protection des données, la directive ePrivacy a été maintenue en tant que règle sectorielle spécifique aux communications électroniques.
La modification de 2009 : la naissance du consentement aux cookies
La directive originale de 2002 autorisait les cookies avec un simple mécanisme de refus (opt-out). Les paramètres du navigateur étaient considérés comme une protection suffisante.
La directive 2009/136/CE a fait passer la norme d'opt-out à opt-in. L'article 5, paragraphe 3, de la directive modifiée dispose que le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans l'équipement terminal d'un utilisateur n'est autorisé qu'« à condition que l'abonné ou l'utilisateur concerné ait donné son accord, après avoir reçu, dans le cadre d'une information claire et complète ».
Ce changement à lui seul a déclenché la vague de bandeaux de consentement aux cookies qui apparaît aujourd'hui sur les sites web du monde entier.
L'article 5, paragraphe 3 : la disposition centrale relative aux cookies
L'article 5, paragraphe 3, de la directive modifiée dispose :
« Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur concerné ait donné son accord, après avoir reçu, dans le cadre d'une information claire et complète, conformément [au cadre de protection des données], entre autres sur les finalités du traitement. »
La disposition prévoit ensuite une exception étroite : « Cela ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires afin de fournir un service de la société de l'information que l'abonné ou l'utilisateur a expressément demandé. »
Parce que la directive ePrivacy est une directive et non un règlement, chaque État membre de l'UE a transposé l'article 5, paragraphe 3, dans son propre droit national. Le fond est cohérent, mais les structures de sanctions, les priorités d'exécution et certains détails procéduraux varient d'un pays à l'autre.

L'articulation entre la directive ePrivacy et le RGPD
La directive ePrivacy et le RGPD sont des instruments distincts qui fonctionnent ensemble mais couvrent des champs différents. La confusion entre les deux conduit à des erreurs de conformité.
Le champ d'application et la relation de lex specialis
Le RGPD est le règlement général de protection des données qui s'applique à tout traitement de données à caractère personnel. La directive ePrivacy est une lex specialis (loi spéciale) qui s'applique aux communications électroniques et aux équipements terminaux. En vertu de l'article 95 du RGPD, lorsque la directive ePrivacy contient des règles spécifiques sur un sujet, ces règles priment sur les dispositions générales du RGPD.
En pratique : la directive ePrivacy régit l'acte de déposer un cookie sur un appareil. Le RGPD régit ce qui advient ensuite des données à caractère personnel collectées par ce cookie.
Principales différences en un coup d'œil
| Aspect | Directive ePrivacy | RGPD |
|---|---|---|
| Instrument juridique | Directive (transposition nationale requise) | Règlement (directement applicable) |
| Champ d'application | Communications électroniques et équipements terminaux | Tout traitement de données à caractère personnel |
| Consentement aux cookies | Requis pour tous les cookies non essentiels | Le consentement est l'une des six bases juridiques |
| S'applique à | Toute donnée stockée sur un appareil ou consultée depuis celui-ci | Uniquement les données à caractère personnel |
| Exécution | Régulateurs nationaux, cadres de sanctions nationaux | Autorités de contrôle, amendes RGPD harmonisées |
Pourquoi l'intérêt légitime ne peut pas justifier les cookies publicitaires
Une conséquence essentielle de cette articulation : les organisations ne peuvent pas s'appuyer sur la base juridique de l'« intérêt légitime » du RGPD pour déposer des cookies d'analyse ou publicitaires. Dans le cadre ePrivacy, le consentement est la seule base juridique disponible pour les cookies non essentiels. La directive ePrivacy s'applique également aux cookies qui n'impliquent aucune donnée à caractère personnel, ce que le RGPD ne couvrirait pas. Pour des indications détaillées sur ce qui constitue un consentement valide au titre du RGPD, consultez notre guide sur les exigences de consentement du RGPD.
Les catégories de cookies au titre de la directive
La directive ePrivacy ne définit pas elle-même les catégories de cookies. Le cadre largement utilisé provient des orientations publiées par le groupe de travail « Article 29 » (devenu le Comité européen de la protection des données) et par les autorités nationales de protection des données.
Les cookies strictement nécessaires
Ces cookies sont exemptés de l'obligation de consentement au titre de l'article 5, paragraphe 3. Ils permettent des fonctionnalités essentielles expressément demandées par l'utilisateur. Exemples :
- Les cookies de session qui maintiennent un état de connexion
- Les cookies de panier d'achat qui mémorisent les articles pendant un achat
- Les cookies de sécurité qui détectent les abus d'authentification ou la fraude
- Les cookies de répartition de charge qui distribuent le trafic entre les serveurs
- Les cookies de paramètres d'accessibilité demandés par l'utilisateur
L'exemption est étroite. Un cookie n'est strictement nécessaire que si le service échouerait véritablement sans lui et que l'utilisateur a spécifiquement demandé ce service. Un cookie qui améliore les performances ou ajoute un confort sans être essentiel ne remplit pas cette condition.
Les cookies fonctionnels
Les cookies fonctionnels mémorisent les choix de l'utilisateur au-delà de ce qui est strictement nécessaire. Les préférences de langue (lorsque le site pourrait fonctionner dans une langue par défaut), les réglages du lecteur vidéo et les choix de taille de police relèvent de cette catégorie. Ils requièrent un consentement.
Les cookies d'analyse
Les cookies d'analyse suivent le comportement des utilisateurs à des fins statistiques. Des outils comme Google Analytics et Adobe Analytics y ont recours. Ils requièrent un consentement. Certains régulateurs nationaux ont créé des exemptions étroites pour l'analyse d'audience de première partie et respectueuse de la vie privée, mais les outils d'analyse tiers qui transfèrent des données à l'extérieur requièrent systématiquement un consentement dans toutes les juridictions de l'UE.
Les cookies publicitaires et de suivi
Ces cookies construisent des profils d'utilisateurs à des fins de publicité ciblée, de reciblage et de suivi intersites. Ils incluent les cookies tiers déposés par les réseaux publicitaires, les pixels des réseaux sociaux et les scripts de prise d'empreinte numérique. Ils requièrent toujours un consentement explicite et attirent le plus d'attention réglementaire. Consultez notre guide des lois de consentement aux cookies par pays pour des détails par juridiction.

Les exigences de consentement
La modification de 2009 a aligné le consentement aux cookies sur la norme de consentement plus large de l'UE. Le RGPD a renforcé cette norme par sa définition du consentement à l'article 4, point 11, et ses conditions énoncées à l'article 7. Pour une présentation complète, consultez notre article sur les exigences de consentement du RGPD.
Ce qu'exige un consentement valide
Un consentement valide aux cookies doit être :
- Librement donné. Les utilisateurs ne peuvent pas être contraints d'accepter les cookies comme condition d'accès au site.
- Spécifique. Le consentement doit être demandé séparément pour chaque finalité, et non regroupé dans une case unique « tout accepter ».
- Éclairé. Les utilisateurs doivent recevoir des informations claires sur les cookies utilisés, les données qu'ils collectent, qui les reçoit, et leur durée de conservation.
- Univoque. Le consentement exige un acte positif clair. Le défilement de la page, la poursuite de la navigation ou les cases précochées ne constituent pas un consentement valide.
- Révocable. Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné.
L'arrêt Planet49
La Cour de justice de l'Union européenne (CJUE) a précisé la norme de consentement dans l'affaire C-673/17 (Planet49), tranchée le 1er octobre 2019. La Cour a jugé que :
- Les cases précochées ne constituent pas un consentement valide pour les cookies.
- Le consentement doit être actif et spécifique, et non passif.
- Les utilisateurs doivent être informés de la durée de fonctionnement des cookies et de l'accès éventuel de tiers à ceux-ci.
- L'exigence s'applique que les données du cookie constituent ou non des données à caractère personnel.
Cet arrêt a levé toute ambiguïté restante sur la norme de consentement préalable.
Le refus doit être aussi simple que l'acceptation
À la suite du rapport du groupe de travail du CEPD sur les bandeaux de cookies (publié en janvier 2023), plusieurs autorités nationales de protection des données exigent désormais que le refus des cookies ne soit pas plus difficile que leur acceptation. Un bouton « Tout accepter » en un clic sur le premier niveau d'un bandeau doit être accompagné d'un bouton « Tout refuser » d'une visibilité équivalente. Dissimuler l'option de refus derrière un lien « Gérer les préférences » sur un second niveau est, dans la plupart des États membres, considéré comme non conforme.
Les « murs de cookies » de type « consentement ou paiement »
Un mur de cookies bloque l'accès à un site web à moins que l'utilisateur ne consente à tous les cookies. Une variante, le « consentement ou paiement », permet aux utilisateurs d'éviter le suivi en s'abonnant à un service payant. Les deux demeurent contestés en droit de l'UE.
L'avis du CEPD d'avril 2024 sur le « consentement ou paiement »
Dans son avis 08/2024 rendu le 17 avril 2024, le CEPD a conclu que, « dans la plupart des cas », les grandes plateformes en ligne proposant uniquement un modèle « paiement ou consentement à la publicité comportementale » ne produisent pas un consentement librement donné. L'avis indique que les utilisateurs devraient se voir proposer une alternative équivalente qui n'exige pas le paiement d'une redevance et n'implique pas de publicité comportementale.
La Commission européenne a suivi cette position en avril 2025 par une décision formelle constatant la non-conformité de Meta au règlement sur les marchés numériques sur les mêmes faits, jugeant que l'offre d'abonnement payant de Meta ne constituait pas une véritable alternative gratuite équivalente et que les tarifs étaient fixés à un niveau ne laissant aux utilisateurs aucun choix réel.
Les petits sites et les éditeurs
L'avis du CEPD cible les « grandes plateformes en ligne ». Les autorités nationales sont parvenues à des conclusions différentes quant à la possibilité, pour les petits sites d'actualités et les éditeurs, d'exploiter des modèles de consentement ou paiement. L'Autoriteit Persoonsgegevens néerlandaise autorise les murs de cookies dans certaines circonstances lorsqu'un contenu équivalent est accessible ailleurs. La CNIL française exige que le refus du consentement soit aussi simple que son acceptation, mais n'a pas catégoriquement interdit tous les modèles de consentement payant pour les éditeurs. Cette question demeure non résolue au niveau de l'UE dans son ensemble.
Le groupe de travail du CEPD sur les bandeaux de cookies
Le CEPD a créé un groupe de travail sur les bandeaux de cookies en septembre 2021, en réponse à une vague de plaintes déposées par l'organisation non gouvernementale noyb (None of Your Business) visant 422 sites web pour des bandeaux de consentement illicites. Le groupe de travail réunissait 21 autorités de contrôle de l'UE et de l'EEE.
Son rapport de janvier 2023 a établi plusieurs positions communes entre les autorités participantes :
- L'absence d'une option « tout refuser » au même niveau que « tout accepter » constitue une violation du droit de l'UE.
- Les designs trompeurs (« dark patterns ») orientant visuellement les utilisateurs vers le consentement sont non conformes.
- Le consentement doit pouvoir être retiré à tout moment, aussi facilement qu'il a été donné.
- Les informations sur les cookies doivent être fournies sur le premier niveau du bandeau, et non uniquement via un lien vers une politique.
À la suite de ce rapport, les autorités de contrôle nationales ont mené des campagnes d'exécution et infligé des amendes aux organisations dont les bandeaux ne respectaient pas ces normes.
La transposition pays par pays
La directive ePrivacy étant une directive, chaque État membre l'a transposée dans son droit national. Principales variations :
France
La France transpose la directive via l'article 82 de la loi Informatique et Libertés. La CNIL est l'une des autorités les plus actives d'Europe en matière d'exécution des règles sur les cookies. En décembre 2021, la CNIL a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook pour avoir rendu le refus des cookies plus difficile que leur acceptation. En septembre 2025, la CNIL a infligé une amende de 325 millions d'euros à Google pour des violations relatives aux cookies publicitaires impliquant des mécanismes de consentement invalides. La CNIL exige un bouton de refus aussi visible que le bouton d'acceptation et autorise une exemption limitée pour les cookies de mesure d'audience agrégée de première partie sous conditions strictes.
Allemagne
L'Allemagne a mis en œuvre les règles de consentement aux cookies via le Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Le BfDI et les autorités de protection des données au niveau des Länder les font appliquer. Le Bundesgerichtshof (Cour fédérale de justice) a adopté la norme de l'arrêt Planet49 de la CJUE dans sa décision d'octobre 2020. L'amende maximale au titre du TDDDG est de 300 000 euros, bien que les amendes RGPD s'appliquent lorsque des données à caractère personnel sont concernées.
Irlande
L'Irlande a transposé la directive via le S.I. n° 336 de 2011. La Commission de protection des données (DPC) fait appliquer ces règles. Les grandes entreprises technologiques ayant leur siège en Irlande étant soumises au contrôle de la DPC, les décisions d'exécution irlandaises exercent une influence disproportionnée dans toute l'UE.
Italie
Le Garante per la protezione dei dati personali italien a publié des lignes directrices actualisées sur les cookies en juin 2021, exigeant un bouton de refus visible sur le premier niveau du bandeau. L'Italie exige également une politique de cookies distincte de la politique de confidentialité générale.
Espagne
L'Espagne a transposé la directive via la Ley 34/2002 (LSSI). L'AEPD a infligé des amendes à Vueling Airlines et à Vodafone Espagne pour des violations relatives aux cookies, et a précisé les durées maximales de conservation des cookies d'analyse.
Pays-Bas
Les Pays-Bas ont mis en œuvre la directive via la Telecommunicatiewet. En avril 2025, l'Autoriteit Persoonsgegevens a adressé des avertissements de conformité à 50 organisations pour des bandeaux de cookies trompeurs ou un suivi illicite. La position néerlandaise sur les murs de cookies (les autorisant dans certaines circonstances lorsqu'un contenu équivalent est disponible) diverge de l'interprétation plus stricte du CEPD.
Belgique
L'autorité belge de protection des données (APD) a rendu une décision marquante en février 2022 constatant que le Transparency and Consent Framework (TCF) de l'IAB Europe violait le RGPD. La CJUE a confirmé la conclusion centrale de cette décision en novembre 2023, perturbant le mécanisme de consentement le plus largement utilisé dans le secteur de la publicité programmatique.

Le règlement ePrivacy retiré
La Commission européenne a proposé un règlement ePrivacy en janvier 2017 afin de remplacer la directive vieillissante par une règle uniforme, directement applicable dans toute l'UE. Contrairement à une directive, un règlement aurait entièrement éliminé la fragmentation liée à la mise en œuvre.
Pourquoi un règlement avait été proposé
La Commission avait identifié plusieurs problèmes liés à la directive :
- Une fragmentation des transpositions nationales créant une complexité de conformité
- Des références technologiques dépassées (le texte de 2002 est antérieur aux smartphones et au suivi moderne)
- Une exécution incohérente entre les États membres
- La nécessité de s'aligner sur le cadre actualisé de protection des données du RGPD
- La « lassitude à l'égard du consentement aux cookies » causée par des mécanismes de consentement mal conçus
Ce que le projet aurait changé
Le projet de règlement ePrivacy aurait été directement applicable dans tous les États membres, aurait étendu son champ d'application aux communications par contournement (OTT, telles que WhatsApp, Signal, Messenger), aurait introduit le consentement au niveau du navigateur comme mécanisme valide, aurait aligné les sanctions sur le cadre du RGPD (jusqu'à 4 % du chiffre d'affaires mondial), et aurait encadré plus largement les métadonnées.
Le retrait formel : février 2025
Après huit années de négociations bloquées, la Commission européenne a formellement retiré le projet de règlement ePrivacy dans son programme de travail 2025, publié le 11 février 2025. La Commission a déclaré qu'« aucun accord n'est attendu de la part des colégislateurs » et que « la proposition est dépassée au regard de certaines évolutions législatives et technologiques récentes ».
La directive ePrivacy existante et ses transpositions nationales demeurent pleinement en vigueur. Ce retrait signifie qu'aucun nouveau règlement ePrivacy ne verra le jour par le biais de la proposition de 2017. Cependant, plutôt que d'abandonner purement et simplement la modernisation des règles relatives aux cookies, la Commission a emprunté une voie législative différente via le Digital Omnibus.
Le Digital Omnibus de novembre 2025 : les règles relatives aux cookies intègrent le RGPD
Le 19 novembre 2025, la Commission européenne a adopté un ensemble de modifications proposées à la réglementation numérique de l'UE, publié sous le nom de Digital Omnibus. Ce paquet modifie simultanément le RGPD, la directive ePrivacy, le Data Act et plusieurs autres instruments.
La proposition centrale : les articles 88 bis et 88 ter
Le Digital Omnibus propose deux nouveaux articles dans le RGPD qui absorberaient la fonction de consentement aux cookies actuellement assurée par l'article 5, paragraphe 3, de la directive ePrivacy.
L'article 88 bis régirait le consentement aux cookies et au suivi dans le cadre du RGPD. Principaux éléments :
- Le consentement aux cookies doit rester granulaire, spécifique et obtenu avant le dépôt des cookies.
- Une personne concernée doit pouvoir refuser son consentement « de manière simple et intelligible, au moyen d'un bouton en un seul clic ou d'un moyen équivalent ».
- Lorsqu'un utilisateur a refusé son consentement, le responsable du traitement ne peut pas redemander son consentement pour la même finalité pendant au moins six mois.
- L'exemption pour les cookies strictement nécessaires prévue par la directive ePrivacy est préservée.
L'article 88 ter encadrerait la manière dont les signaux de consentement, de refus et d'opposition sont exprimés techniquement. Il exigerait :
- Que les interfaces en ligne acceptent et respectent les signaux de consentement automatisés et lisibles par machine émis par les navigateurs et les systèmes d'exploitation.
- Que les fournisseurs de navigateurs (à l'exception des PME) mettent en place l'infrastructure technique permettant de tels signaux.
- Un calendrier de mise en œuvre de 24 mois pour la conformité relative aux signaux du navigateur, plus long que le délai de six mois proposé pour l'article 88 bis.
Ce que cela signifierait en pratique
Si elles étaient adoptées, les modifications du Digital Omnibus signifieraient qu'un utilisateur pourrait configurer son navigateur une seule fois pour refuser le suivi sur tous les sites web, ces derniers étant légalement tenus de respecter ce signal. Les bandeaux de cookies ne disparaîtraient pas entièrement dans le cadre de cette proposition, mais deviendraient moins nécessaires à mesure que les signaux lisibles par machine entreraient en vigueur.
Le CEPD et le Contrôleur européen de la protection des données (CEPD, EDPS) ont publié une déclaration commune en 2026 soutenant globalement les objectifs de simplification tout en exprimant des préoccupations sur certaines dispositions et sur le rythme du calendrier législatif.
Statut actuel
Le Digital Omnibus est une proposition de la Commission, et non une loi. Il est entré dans la procédure législative ordinaire le 19 novembre 2025 et doit être examiné et approuvé par le Parlement européen et le Conseil de l'UE. Les analystes s'attendent à ce que les négociations se poursuivent jusqu'à la mi ou la fin 2026 au plus tôt, et la proposition pourrait évoluer sensiblement au cours de ce processus. La directive ePrivacy et le RGPD actuels demeurent le droit applicable jusqu'à l'entrée en vigueur de tout texte de remplacement.
Exécution et sanctions
La directive ePrivacy étant transposée par des lois nationales, les sanctions maximales varient. En pratique, la plupart des régulateurs appliquent les structures de sanctions du RGPD (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) lorsque les cookies impliquent un traitement de données à caractère personnel.
Principales actions d'exécution (2021 à 2026)
| Année | Régulateur | Cible | Montant | Motif |
|---|---|---|---|---|
| 2021 | CNIL (France) | 150 M€ | Refus des cookies plus difficile que l'acceptation | |
| 2021 | CNIL (France) | 60 M€ | Refus des cookies plus difficile que l'acceptation | |
| 2022 | APD (Belgique) | IAB Europe | Constatation de violation du RGPD | Cadre de consentement TCF invalide |
| 2023 | CJUE | TCF de l'IAB Europe | Violation centrale confirmée | Atteinte aux données à caractère personnel du TCF confirmée |
| 2025 | AP (Pays-Bas) | 50 organisations | Avertissements de conformité | Bandeaux trompeurs, suivi sans consentement |
| 2025 | CNIL (France) | 325 M€ | Violations du consentement aux cookies publicitaires | |
| 2025 | CNIL (France) | Shein | 150 M€ | Violations relatives aux cookies |
Tendances de l'exécution
L'exécution s'est intensifiée dans toute l'Europe depuis 2021. Plusieurs tendances se dégagent :
- La parité de conception est exigée. L'option de refus doit être aussi visible et accessible que l'option d'acceptation. Les designs asymétriques des boutons, les polices plus petites et les effets d'estompage sur le bouton de refus sont traités comme des dark patterns.
- Bouton de refus au premier niveau. La France, l'Italie, la Belgique et plusieurs autres juridictions exigent désormais explicitement une option « Tout refuser » sur le bandeau initial, et non uniquement derrière un lien de paramètres.
- Campagnes coordonnées. Le CEPD coordonne des actions relevant du cadre d'exécution coordonnée (CEF), au cours desquelles plusieurs autorités nationales auditent simultanément le même secteur.
- Les cookies publicitaires génèrent le plus d'amendes. Les sanctions financières les plus élevées ont systématiquement concerné des cookies publicitaires et de suivi tiers déposés sans consentement valide.
Étapes pratiques de mise en conformité
Les organisations disposant de sites web accessibles depuis l'UE devraient suivre les étapes suivantes.
Auditer d'abord
Effectuez un scan des cookies de votre site web, y compris tous les scripts tiers. Documentez le nom, la finalité, la durée de conservation et le destinataire des données de chaque cookie. Classez chacun d'eux comme strictement nécessaire, fonctionnel, d'analyse ou publicitaire.
Construire un bandeau conforme
Affichez un bandeau de consentement avant tout dépôt de cookie non essentiel. Le bandeau doit :
- Bloquer les cookies non essentiels tant que l'utilisateur n'a pas fait son choix (consentement préalable, et non notification a posteriori)
- Proposer des options granulaires par catégorie
- Présenter les boutons d'acceptation et de refus avec une visibilité égale sur le premier niveau
- Éviter toute case précochée pour quelque catégorie que ce soit
- Fournir des explications claires et en langage simple pour chaque catégorie de cookies
Tenir des registres continus
Conservez des registres de consentement (le choix de l'utilisateur, la date, et la version du bandeau affichée). Proposez un mécanisme accessible permettant de retirer le consentement à tout moment. Réauditez régulièrement les cookies, car les scripts tiers ajoutent souvent de nouveaux cookies sans préavis.
Ces informations constituent des renseignements juridiques d'ordre général et ne sauraient être assimilées à un avis juridique. Les exigences de conformité dépendent des juridictions spécifiques desservies par votre site web, des types de cookies utilisés et de la nature des données collectées. Consultez un avocat spécialisé en protection des données pour obtenir des conseils adaptés à votre situation.
Frequently Asked Questions
Qu'est-ce que la directive ePrivacy et quel est son rapport avec le RGPD ?
La directive ePrivacy (2002/58/CE, modifiée par la 2009/136/CE) est la loi de l'UE qui régit les cookies, les technologies de suivi et les communications électroniques. Elle fonctionne comme une lex specialis aux côtés du RGPD : la directive encadre l'acte de déposer des cookies sur un appareil, tandis que le RGPD encadre le traitement des données à caractère personnel collectées via ces cookies. Lorsque les deux lois s'appliquent, les règles spécifiques de la directive ePrivacy priment. Le RGPD fixe la norme de consentement que doit respecter l'exigence de consentement aux cookies de la directive ePrivacy.
Le règlement ePrivacy a-t-il été retiré ?
Oui. La Commission européenne a formellement retiré le projet de règlement ePrivacy dans son programme de travail 2025, publié le 11 février 2025. La Commission a déclaré qu'aucun accord n'était attendu de la part des colégislateurs et que la proposition était dépassée au regard des évolutions législatives numériques récentes. La directive ePrivacy existante demeure pleinement en vigueur. Une nouvelle approche de la modernisation des règles relatives aux cookies a été introduite via le Digital Omnibus de novembre 2025, qui propose d'intégrer les règles de consentement aux cookies dans le RGPD plutôt que de remplacer la directive par un règlement distinct.
Que propose le Digital Omnibus de novembre 2025 en matière de cookies ?
Le Digital Omnibus, publié le 19 novembre 2025, propose deux nouveaux articles du RGPD. L'article 88 bis exigerait des options de refus en un clic, d'une visibilité égale à l'acceptation, interdirait les demandes de consentement répétées pendant six mois après un refus, et préserverait l'exemption pour les cookies strictement nécessaires. L'article 88 ter exigerait des sites web qu'ils respectent les signaux de consentement lisibles par machine au niveau du navigateur, permettant aux utilisateurs de définir leurs préférences de confidentialité une seule fois dans leur navigateur plutôt que de cliquer sur chaque bandeau de cookies individuellement. La proposition reste soumise à l'approbation du Parlement européen et du Conseil et n'est pas encore en vigueur.
Quels cookies sont exemptés de l'obligation de consentement ?
Seules deux catégories sont exemptées au titre de l'article 5, paragraphe 3. Premièrement, les cookies utilisés uniquement pour transmettre une communication sur un réseau (acheminement technique). Deuxièmement, les cookies strictement nécessaires pour fournir un service expressément demandé par l'utilisateur, tels que les cookies d'authentification, de panier d'achat et de sécurité. Les cookies d'analyse, publicitaires et la plupart des cookies fonctionnels requièrent tous un consentement. Certains régulateurs nationaux, notamment la CNIL française, autorisent une exemption étroite pour les outils de mesure d'audience de première partie et respectueux de la vie privée, sous conditions strictes.
Les cases de consentement aux cookies précochées sont-elles légales dans l'UE ?
Non. La CJUE a jugé dans l'affaire C-673/17 (Planet49), en octobre 2019, que les cases précochées ne constituent pas un consentement valide pour les cookies. Le consentement exige un acte positif clair. Le défilement de la page ou la poursuite de la navigation sur le site ne constituent pas non plus un consentement valide. Cela s'applique que les données du cookie constituent ou non des données à caractère personnel.
Les murs de cookies de type « consentement ou paiement » sont-ils légaux ?
Cela dépend du contexte. Le CEPD a rendu l'avis 08/2024 en avril 2024, concluant que, « dans la plupart des cas », les grandes plateformes en ligne ne peuvent pas utiliser un modèle de consentement ou paiement, les utilisateurs ne disposant pas d'un véritable choix libre. La Commission européenne est parvenue à la même conclusion concernant Meta en avril 2025. Toutefois, l'avis cible principalement les grandes plateformes, et les autorités nationales n'ont pas interdit de manière uniforme tous les modèles de consentement payant pour les petits éditeurs. L'autorité néerlandaise autorise certains murs de cookies lorsqu'un contenu équivalent est accessible ailleurs. La question demeure non résolue au niveau de l'UE dans son ensemble.
Quelles sanctions un site web peut-il encourir pour des violations de la loi sur les cookies ?
Les sanctions varient selon les pays. La France a infligé des amendes de 325 millions d'euros (Google, 2025) et de 150 millions d'euros (Google, 2021) en s'appuyant sur les dispositions de sanction du RGPD. L'Espagne peut infliger une amende allant jusqu'à 300 000 euros au titre de la LSSI, ou appliquer les amendes du RGPD lorsque des données à caractère personnel sont concernées. Le maximum prévu par le TDDDG allemand est de 300 000 euros, avec des amendes RGPD disponibles pour les violations impliquant des données à caractère personnel. En pratique, la plupart des régulateurs appliquent le cadre du RGPD, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, lorsque les cookies impliquent un traitement de données à caractère personnel.
Les cookies d'analyse comme Google Analytics requièrent-ils un consentement ?
Au titre de la directive ePrivacy, les cookies d'analyse requièrent généralement un consentement. Toutefois, certains régulateurs nationaux ont assoupli cette exigence pour l'analyse de première partie. La CNIL française autorise une exemption pour les cookies de mesure d'audience de première partie sous conditions strictes : les données doivent être agrégées, non partagées avec des tiers, et leur conservation limitée. Les outils tiers comme Google Analytics, qui transfèrent des données à l'extérieur, requièrent systématiquement un consentement dans toutes les juridictions de l'UE.
À quelle fréquence les sites web doivent-ils redemander le consentement aux cookies ?
La directive ePrivacy ne précise pas d'intervalle de renouvellement du consentement. Les orientations nationales varient. La CNIL recommande de redemander le consentement tous les six mois. D'autres autorités suggèrent des intervalles de 12 mois. La proposition de Digital Omnibus, si elle est adoptée, interdirait de redemander le consentement pour une finalité déjà refusée par l'utilisateur pendant au moins six mois. Les organisations devraient également redemander le consentement chaque fois qu'elles ajoutent de nouvelles catégories de cookies ou modifient leurs finalités de traitement.
Sources and References
- Directive 2002/58/CE concernant les communications électroniques et la protection de la vie privée (directive ePrivacy)(eur-lex.europa.eu).gov
- Directive 2009/136/CE modifiant la directive ePrivacy (modification relative aux cookies)(eur-lex.europa.eu).gov
- Affaire C-673/17 de la CJUE (Planet49), norme de consentement aux cookies(curia.europa.eu).gov
- Avis 04/2012 du groupe de travail « Article 29 » sur les exemptions de consentement aux cookies(ec.europa.eu).gov
- Lignes directrices 05/2020 du CEPD sur le consentement au titre du RGPD(edpb.europa.eu).gov
- Règlement (UE) 2016/679, règlement général sur la protection des données (RGPD)(eur-lex.europa.eu).gov
- Programme de travail 2025 de la Commission européenne, retrait du règlement ePrivacy(commission.europa.eu).gov
- Paquet numérique de l'UE, Commission européenne (Digital Omnibus)(digital-strategy.ec.europa.eu).gov
- Rapport du groupe de travail du CEPD sur les bandeaux de cookies (janvier 2023)(edpb.europa.eu).gov
- Déclaration du CEPD et du CEPD sur le Digital Omnibus (2026)(edpb.europa.eu).gov
- CNIL, lignes directrices sur les cookies et autres dispositifs de suivi(cnil.fr).gov
- Lignes directrices du Garante italien sur les cookies (2021)(garanteprivacy.it).gov
- LSSI espagnole (loi 34/2002), loi sur les services de la société de l'information(boe.es).gov
- BfDI allemand, commissaire fédéral à la protection des données(bfdi.bund.de).gov
- Irlande, S.I. n° 336/2011, règlement sur les communications électroniques(irishstatutebook.ie).gov
- Telecommunicatiewet néerlandaise(wetten.overheid.nl).gov
- France, loi Informatique et Libertés, article 82(legifrance.gouv.fr).gov