đ Cookies RGPD 2026 : ĂȘtes-vous conforme aux rĂšgles CNIL ?
19 DĂ©c 2025 Ă 08:21
En 2026, la CNIL renforce les contrôles sur les cookies. PME : êtes-vous en règle ? Découvrez les obligations légales et les bonnes pratiques à adopter.
Cookies site internet : ce que dit la loi RGPD et ePrivacy en 2026
En 2026, les cookies sur un site web sont toujours encadrés par la directive ePrivacy et le RGPD.
La CNIL renforce ses contrôles et attend des entreprises qu’elles appliquent rigoureusement les règles de consentement. Pour les PME, la mise en conformité est non seulement une obligation légale, mais aussi un levier de confiance client.
Cet article fait le point sur les exigences en vigueur, les exemptions, et les actions concrètes à mener pour éviter toute sanction.
Le chiffre clé : +42 % de sanctions CNIL liées aux cookies en 2025
đ Source : Rapport d’activité CNIL 2025
En 2025, la CNIL a infligé plus de 280 sanctions, dont plus de 60 % concernaient des PME. Ces sanctions visent majoritairement le non-respect du recueil de consentement et l’absence d’une CMP conforme.
đ Cadre légal 2026 : RGPD + ePrivacy + recommandations CNIL
En 2026, aucun changement de fond réglementaire, mais une interprétation plus stricte par la CNIL.
Les textes applicables :
-
đ Directive ePrivacy, transposée à l’article 82 de la loi Informatique et Libertés
-
âïž RGPD (Règlement Général sur la Protection des Données), notamment pour la notion de consentement
-
đĄïž Recommandations CNIL 2023-2025, toujours valides en 2026
Principes de base à respecter :
-
Informer clairement l’utilisateur
-
Obtenir un consentement préalable, libre et éclairé
-
Offrir une possibilité simple de retrait du consentement
-
Conserver la preuve du consentement pendant 13 mois maximum
La CNIL cible désormais activement les PME, avec des vérifications automatisées via son crawler, notamment sur les bandeaux cookies et les paramétrages de CMP.
đ§Ÿ Information obligatoire avant le dépôt de cookies
Vous devez fournir à l’utilisateur une information complète avant tout dépôt de cookie non strictement nécessaire.
Elle doit inclure :
-
Le nom du responsable du traitement
-
La finalité de chaque cookie
-
La durée de conservation
-
Les destinataires des données, y compris hors UE
-
Un lien clair vers la politique de gestion des cookies
-
Une mention explicite sur la possibilité de modifier ses choix à tout moment
À lire : Combien coûte une mise en conformité RGPD
â
Consentement : règles 2026 pour un bandeau conforme
Le bandeau cookies doit répondre à 5 critères de conformité, inchangés mais renforcés par les contrôles CNIL :
| Critère | Exigence |
| Liberté du choix | Bouton "Refuser" aussi simple et visible que "Accepter" |
| Consentement actif | Le clic est obligatoire, pas de présélection |
| Spécificité | Consentement par finalité (statistique, pub, etc.) |
| Clarté de l’interface | Premier niveau d’information sans ambiguïté |
| Preuve du consentement | Enregistrement du choix avec horodatage, conservation 13 mois max |
đ§ Outils recommandés :
-
CMP (Consent Management Platform) conforme IAB TCF v2.2
-
Exemples : Didomi, Axeptio, TarteAuCitron, Cookiebot (configuré pour respecter les recommandations CNIL)
âïž Gestion, retrait du consentement & cookies exemptés
đ Gestion continue du consentement :
-
L’utilisateur doit pouvoir modifier ses choix à tout moment
-
Un lien “âïž Paramétrer mes cookies” doit être visible en footer de chaque page
-
L’éditeur doit pouvoir justifier techniquement le choix exprimé par l’utilisateur
đą Cookies exemptés de consentement :
Certains cookies ne nécessitent pas de consentement, sous conditions strictes :
| Type de cookie | Exemple | Conditions d’exemption |
| Cookies techniques | Session, panier, authentification | Nécessaires au fonctionnement |
| Personnalisation légère | Choix de langue, affichage | Ne doit pas profiler l’utilisateur |
| Mesure d’audience anonymisée | Matomo, Google Analytics avec anonymisation IP + opt-out | Doit respecter les 6 conditions CNIL (aucun recoupement, etc.) |
âĄïž Voir la fiche pratique : CNIL – Cookies exemptés
đâïž FAQ Cookies 2026 – spécial PME et startup
Mon site WordPress est-il concerné par le bandeau cookies ?
Oui. Même sans e-commerce, votre site utilise souvent des traceurs intégrés via les plugins, les polices, les vidéos, etc.
Dois-je utiliser une CMP payante ?
Pas obligatoirement. Des outils comme TarteAuCitron sont gratuits et peuvent suffire si bien configurés. L’essentiel est de prouver la conformité.
Peut-on encore utiliser Google Analytics ?
Oui, GA4 est conforme à condition d’activer l’anonymisation IP, de désactiver les fonctionnalités publicitaires, et de recueillir le consentement avant activation.
Un bandeau "Nous utilisons des cookies, cliquez ici" suffit-il ?
Non. Ce type de message est non conforme. Il doit proposer clairement "Accepter", "Refuser" et un accès au paramétrage dès le premier écran.
đ En conclusion : conformité cookies = sérénité + confiance
En 2026, les règles ne changent pas mais leur application se durcit. La CNIL utilise désormais des robots pour détecter automatiquement les sites non conformes.
Pour une PME, la mise en conformité RGPD/cookies est un acte de crédibilité, au même titre qu’un affichage clair des mentions légales ou une sécurité HTTPS.
đ Vous voulez vérifier la conformité de votre site ? Plateya vous propose un audit RGPD complet en 48h. Contactez-nous dès maintenant.
𧰠Check-list express pour PME en 2026
-
â Une CMP installée et à jour
-
â Un bandeau avec bouton "Refuser" aussi simple que "Accepter"
-
â Un lien "Gérer mes cookies" visible sur chaque page
-
â Des cookies exemptés respectant les critères CNIL
-
â Une politique cookies transparente et accessible
-
â Preuve de consentement conservée max 13 mois
đ Sources et liens utiles
