Depuis l'entrée en vigueur de la délibération CNIL n° 2020-091 du 17 septembre 2020, les contrôles sur les cookies se sont intensifiés. En 2025, 29 sanctions sur 87 (33 %) portaient en tout ou partie sur les cookies (source : rapport annuel CNIL 2025). Le montant total des amendes liées aux cookies dépasse 43 millions d'euros sur la période 2021-2025.
Ce guide analyse les décisions marquantes et détaille les exigences de conformité pour votre site web.
Les exigences de la délibération 2020-091
La délibération CNIL 2020-091 établit les lignes directrices appliquées lors des contrôles. Voici les règles fondamentales :
- Consentement préalable : aucun cookie non essentiel ne peut être déposé avant une action positive de l'utilisateur
- Information claire : le bandeau doit indiquer les finalités des cookies, l'identité des destinataires et la durée de conservation
- Refus aussi simple qu'acceptation : le bouton « Refuser » doit être du même niveau que le bouton « Accepter »
- Retrait du consentement : l'utilisateur doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné
- Preuve du consentement : le responsable de traitement doit pouvoir démontrer que le consentement a été recueilli valablement
« La poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l'internaute au dépôt de cookies. »
CNIL, Délibération n° 2020-091, 17 septembre 2020
Les sanctions marquantes 2024-2025
| Date | Entreprise (type) | Amende | Motifs principaux |
|---|---|---|---|
| Déc. 2024 | Plateforme e-commerce (ETI) | 600 000 € | Cookies déposés avant consentement, pas de bouton Refuser |
| Fév. 2025 | Média en ligne (PME) | 150 000 € | Cases pré-cochées, continuity browsing comme consentement |
| Avr. 2025 | Site immobilier (PME) | 80 000 € | Information insuffisante, durée de conservation excessive (5 ans) |
| Juin 2025 | Chaîne retail (ETI) | 250 000 € | Dark patterns (bouton Refuser gris, petite police) |
| Sept. 2025 | Régie publicitaire | 40 M€ | Traçage sans consentement via fingerprinting |
| Nov. 2025 | SaaS RH (PME) | 20 000 € | Cookie Google Analytics déposé par défaut, pas de CMP |
Les violations les plus fréquentes
1. Cookies déposés avant consentement
C'est la violation la plus répandue et la plus sanctionnée. De nombreux CMP (Consent Management Platforms) affichent un bandeau mais ne bloquent pas réellement les scripts tiers. Résultat : Google Analytics, Meta Pixel ou Hotjar se chargent et déposent leurs cookies dès le premier chargement de page, avant toute interaction utilisateur.
Un CMP conforme doit implémenter un mécanisme de script-blocking : les scripts tiers sont chargés avec type="text/plain" et ne sont activés qu'après consentement explicite.
2. Dark patterns
La CNIL sanctionne désormais les « designs trompeurs » : bouton « Refuser » moins visible, couleur différente, police plus petite, croix de fermeture qui vaut acceptation. L'exigence est claire : « Refuser tout » doit être du même niveau visuel que « Tout accepter ».
3. Information insuffisante
Le bandeau doit préciser les finalités de chaque catégorie de cookies (analytics, marketing, fonctionnel), les tiers destinataires et la durée de conservation. Un simple « Ce site utilise des cookies pour améliorer votre expérience » ne suffit pas.
4. Durée de conservation excessive
La CNIL recommande une durée maximale de 13 mois pour les cookies de mesure d'audience, et 6 mois pour le consentement stocké. Au-delà, le consentement doit être renouvelé.
CMP souverain : pourquoi c'est un avantage
Un CMP souverain, hébergé en Europe et soumis au droit européen, offre plusieurs garanties :
- Pas de transfert de données de consentement vers les États-Unis
- Script-blocking effectif : les scripts tiers sont réellement bloqués avant consentement
- Preuve de consentement : registre des consentements stocké en Europe
- Nettoyage automatique des cookies : suppression des cookies non autorisés
Le CMP COCORRIDOR intègre un mécanisme de blocage des scripts via l'attribut data-coco-category, un nettoyage automatique de plus de 40 cookies connus (analytics, marketing, fonctionnel), et un registre de consentement conforme à la délibération 2020-091.
Checklist de conformité cookies
| Exigence | Conforme ? | Action corrective |
|---|---|---|
| Aucun cookie non essentiel avant consentement | ☐ | Vérifier avec le scan COCORRIDOR |
| Bouton Refuser de même niveau que Accepter | ☐ | Auditer le design du bandeau CMP |
| Information sur les finalités et destinataires | ☐ | Compléter la configuration CMP |
| Durée de conservation ≤ 13 mois | ☐ | Configurer les TTL des cookies |
| Retrait du consentement possible et simple | ☐ | Ajouter un bouton « Gérer mes cookies » dans le footer |
| Preuve du consentement conservée | ☐ | Activer le registre de consentement |
| Politique cookies à jour | ☐ | Générer via le Legal Builder |
FAQ
Les cookies analytics sont-ils soumis au consentement ?
Oui, sauf exception stricte. La CNIL reconnaît une exemption pour les cookies de mesure d'audience si le cookie est strictement nécessaire au service demandé par l'utilisateur, limité à la mesure d'audience et anonyme. En pratique, seul Matomo (avec la configuration spécifique exemptée CNIL) bénéficie de cette exemption. Google Analytics n'en bénéficie jamais.
Un cookie wall est-il légal ?
Le Conseil d'État a validé en 2020 la possibilité de cookie walls sous conditions strictes : alternative équitable proposée (abonnement payant raisonnable), information complète, consentement non biaisé. En pratique, la CNIL examine au cas par cas et sanctionne les cookie walls disproportionnés. Les PME ont rarement intérêt à prendre ce risque.
Combien de temps conserver la preuve de consentement ?
La CNIL ne fixe pas de durée précise mais recommande de conserver la preuve pendant toute la durée de validité du consentement (6 mois recommandés), plus un délai raisonnable pour répondre à un éventuel contrôle (1 an supplémentaire). Soit environ 18 mois au total.
Le scroll vaut-il consentement aux cookies ?
Non, depuis la délibération 2020-091. La poursuite de la navigation (scroll, clic sur un lien) ne constitue plus une expression valide du consentement. Seule une action positive et spécifique (clic sur « Accepter », activation d'un toggle) est valable. C'est l'un des motifs de sanction les plus fréquents pour les sites qui n'ont pas mis à jour leur CMP depuis 2020.