Skip to main content

Quand le consentement aux cookies est-il obligatoire ?

La règle générale est simple : le consentement est requis pour tous les cookies, à l'exception de ceux qui sont strictement nécessaires. Mais les détails ont leur importance. Savoir précisément quand le consentement est requis et quand il ne l'est pas permet d'éviter à la fois l'excès de conformité (agacer les utilisateurs avec des demandes de consentement superflues) et le défaut de conformité (déposer des cookies sans base légale).

La règle générale

L'article 5(3) de la directive ePrivacy pose le principe de base :

Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur concerné ait donné son accord, après avoir reçu une information claire et complète [...] sur les finalités du traitement.

Cela couvre l'ensemble des cookies, tout le stockage local, tout stockage ou accès au niveau de l'appareil. Si votre site web écrit quoi que ce soit sur l'appareil de l'utilisateur, le consentement constitue l'exigence par défaut.

L'exemption pour les cookies strictement nécessaires

Le même article prévoit la seule exemption possible :

Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

Cette exemption comporte deux volets :

  1. Transmission technique : les cookies techniquement nécessaires à la réalisation de la communication. Ce champ est restreint — il se limite essentiellement aux cookies de répartition de charge et aux nécessités similaires au niveau réseau.
  2. Strictement nécessaires au service : les cookies indispensables à un service que l'utilisateur a expressément demandé. L'expression clé est « expressément demandé par l'abonné ou l'utilisateur ». Le service doit correspondre à une demande de l'utilisateur, et le cookie doit être indispensable à sa fourniture.

Cookies strictement nécessaires (aucun consentement requis)

  • Cookies d'authentification de session. Lorsqu'un utilisateur se connecte, le cookie de session qui maintient son état authentifié est strictement nécessaire au service qu'il a demandé (accéder à son compte).
  • Cookies de panier d'achat. Sur un site e-commerce, le cookie qui suit les articles du panier est strictement nécessaire au service d'achat utilisé par l'utilisateur.
  • Jetons de protection CSRF. Ils sont strictement nécessaires au bon fonctionnement sécurisé de la soumission de formulaires.
  • Cookies de préférences de consentement aux cookies. Le cookie qui enregistre les choix de consentement de l'utilisateur est strictement nécessaire — sans lui, vous ne pouvez pas respecter ses préférences en matière de confidentialité.
  • Cookies liés à la saisie. Les cookies qui mémorisent les données saisies au fil d'un processus en plusieurs étapes (comme un tunnel de commande) que l'utilisateur a lui-même initié.
  • Cookies de répartition de charge. Des cookies techniques qui acheminent les requêtes vers le bon serveur. Ils relèvent du volet « transmission » de l'exemption.
  • Cookies de personnalisation de l'interface. Lorsqu'un utilisateur sélectionne explicitement une langue ou un thème via un contrôle sur la page, le cookie qui enregistre ce choix est strictement nécessaire au service qu'il a demandé. Cela dépend toutefois du contexte — voir ci-dessous.

Cookies qui ne sont PAS strictement nécessaires (consentement requis)

  • Cookies analytiques. Mesurer le trafic d'un site web bénéficie à l'exploitant du site, non à l'utilisateur. Ce dernier n'a pas demandé de service d'analyse de trafic.
  • Cookies publicitaires et de reciblage. Ils servent les intérêts des annonceurs et de l'exploitant du site, jamais ceux de l'utilisateur.
  • Cookies de partage sur les réseaux sociaux. Ils sont déposés par des réseaux sociaux tiers, et non pour un service demandé par l'utilisateur.
  • Cookies de tests A/B. Ils servent les objectifs d'optimisation de l'exploitant.
  • Cookies de suivi d'affiliation. Ils déterminent quel partenaire a orienté l'utilisateur, servant les intérêts commerciaux de l'exploitant.
  • Cookies de connexion persistante (« se souvenir de moi »). L'EDPB a souligné que si un cookie de session pour une connexion en cours est nécessaire, un cookie persistant qui maintient l'utilisateur connecté d'une session à l'autre va au-delà de ce qui est strictement nécessaire. L'utilisateur pourrait se reconnecter.
  • Cookies de suivi des performances. Les cookies utilisés pour surveiller les temps de chargement des pages, les taux d'erreur et d'autres métriques techniques similaires servent l'exploitant, non l'utilisateur.

Le débat sur l'analytique en propriété (first-party)

L'un des sujets les plus débattus en matière de conformité aux cookies concerne la possibilité d'utiliser des cookies analytiques first-party sans consentement. La réponse varie selon la juridiction et continue d'évoluer.

La position de la CNIL (France)

La CNIL française a publié des lignes directrices précisant que certains cookies de mesure d'audience peuvent être exemptés de consentement, à condition que :

  1. la finalité soit strictement limitée à la mesure d'audience (pas de suivi inter-sites)
  2. les données ne soient pas partagées avec des tiers
  3. les cookies soient exclusivement first-party
  4. les données ne soient utilisées que pour produire des statistiques anonymes
  5. les cookies aient une durée de vie limitée (13 mois maximum)
  6. les utilisateurs soient informés de leur utilisation
  7. les utilisateurs puissent s'y opposer

Sous ces conditions, la CNIL considère que certains outils (comme Matomo configuré dans un mode respectueux de la vie privée) sont éligibles à l'exemption. Google Analytics ne remplit pas ces critères, principalement parce que Google traite les données sur sa propre infrastructure et peut les utiliser à ses propres fins.

La position de l'AP néerlandaise (Pays-Bas)

L'Autoriteit Persoonsgegevens néerlandaise a de même indiqué que les cookies analytiques à faible impact sur la vie privée peuvent être utilisés sans consentement, mais a fixé des conditions comparables à celles de la CNIL.

Autres juridictions

La plupart des autres autorités de protection des données européennes n'ont pas adopté d'exemption explicite pour l'analytique. L'ICO (Royaume-Uni) a affirmé que les cookies analytiques nécessitent le consentement. Les autorités allemandes exigent généralement le consentement pour tous les cookies non essentiels. La position de l'AEPD espagnole va dans le sens d'un consentement requis.

Recommandation pratique

À moins d'opérer exclusivement en France ou aux Pays-Bas et de pouvoir remplir toutes les conditions de la CNIL ou de l'AP, l'approche la plus sûre consiste à traiter les cookies analytiques comme nécessitant le consentement. Si vous vous appuyez sur l'exemption pour l'analytique, documentez votre raisonnement, assurez-vous de respecter chaque condition et suivez les évolutions réglementaires — ce domaine est encore en pleine évolution.

Exemptions de consentement selon la finalité des cookies : un arbre de décision

Pour chaque cookie de votre site web, parcourez les questions suivantes :

  1. Le cookie est-il techniquement nécessaire à la transmission de la communication ? (par ex. répartition de charge) Si oui : aucun consentement requis. Si non : continuez.
  2. L'utilisateur a-t-il expressément demandé un service nécessitant ce cookie ? (par ex. se connecter, ajouter des articles au panier) Si oui : continuez. Si non : consentement requis.
  3. Le service demandé ne fonctionnerait-il pas sans ce cookie précis ? Si oui : aucun consentement requis (strictement nécessaire). Si le service fonctionnerait mais serait moins pratique : consentement requis.
  4. Le cookie est-il first-party, limité à l'analytique agrégée, avec des données non partagées avec des tiers, et vous trouvez-vous dans une juridiction disposant d'une exemption pour l'analytique ? Si oui à tout : potentiellement exempté, mais documentez votre raisonnement. Si non à l'un de ces points : consentement requis.
  5. Dans tous les autres cas : consentement requis.

Situations particulières

Les murs de cookies (cookie walls)

Un mur de cookies bloque l'accès à un site web tant que l'utilisateur n'accepte pas les cookies. La position de l'EDPB est que les murs de cookies empêchent généralement le consentement d'être « libre » et ne sont donc pas conformes. Cependant, certaines autorités (notamment l'AP néerlandaise, à la suite d'une décision de justice) ont indiqué que les murs de cookies pouvaient être acceptables si une véritable alternative équivalente est proposée — par exemple une version payante et sans cookies du service. Ce point reste débattu.

Paywall vs mur de cookies

Certains éditeurs proposent un modèle « consentir ou payer » : accepter les cookies de suivi pour un accès gratuit, ou payer pour une expérience sans cookies. L'EDPB a rendu un avis en 2024 sur cette pratique, reconnaissant qu'elle peut être admissible sous certaines conditions, mais soulignant que l'alternative payante doit être réellement raisonnable et non fixée à un prix conçu pour forcer le consentement.

Les enfants

En vertu de l'article 8 du RGPD, le consentement pour les services de la société de l'information destinés aux enfants nécessite une vérification et, pour les enfants en dessous d'un certain âge (variant de 13 à 16 ans selon l'État membre), le consentement parental. Si votre site web s'adresse aux enfants, les exigences en matière de consentement aux cookies sont plus strictes.

Contextes salariés et B2B

La directive ePrivacy s'applique à « l'abonné ou l'utilisateur » — et non aux seuls consommateurs. Si votre plateforme SaaS B2B utilise des cookies non essentiels, le consentement de l'utilisateur individuel reste requis, même dans un contexte professionnel.

Que se passe-t-il en l'absence de consentement valide

Si vous déposez des cookies non essentiels sans consentement valide :

  • Les données que vous collectez peuvent être illicites au regard de la directive ePrivacy et du RGPD.
  • Vous vous exposez à des amendes potentielles pouvant atteindre, au titre du RGPD, 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 83(5)).
  • Vous pouvez être contraint de supprimer les données collectées illégalement.
  • Vos données analytiques et publicitaires peuvent être compromises — si la base légale de la collecte est invalide, les données ne peuvent pas être utilisées légalement.
  • Les destinataires en aval de ces données (régies publicitaires, prestataires analytiques) peuvent également voir leur responsabilité engagée.

Ces risques ne sont pas hypothétiques. La CNIL a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook, spécifiquement pour des manquements liés au consentement aux cookies. Des entreprises plus modestes ont écopé d'amendes de plusieurs dizaines de milliers d'euros pour des manquements similaires.

Passiro identifie chaque cookie de votre site web et signale ceux qui nécessitent un consentement, afin que vous puissiez avoir la certitude que votre mécanisme de consentement couvre les bons cookies — ni plus, ni moins.

Comparons à présent les deux modèles fondamentaux de consentement : opt-in ou opt-out, et lequel s'applique dans quel cas.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement