Lois sur les cookies par pays : guide de l'UE et de l'EEE
Bien que la directive ePrivacy et le RGPD offrent un cadre commun à l'échelle de l'Union européenne, chaque État membre a transposé la directive ePrivacy dans son droit national avec ses propres nuances. L'intensité de l'application, l'interprétation des exemptions et le montant des sanctions varient considérablement d'un pays à l'autre. Ce guide couvre les principales spécificités des lois sur les cookies pour douze grands marchés européens.
Tableau de référence rapide
| Pays | Autorité | Loi nationale | Niveau d'application | À noter |
|---|---|---|---|---|
| Allemagne | APD des Länder + BfDI | TTDSG (2021) | Élevé | Application décentralisée ; cadre PIMS |
| France | CNIL | Loi Informatique et Libertés | Très élevé | Sanctions record ; lignes directrices détaillées sur les cookies |
| Italie | Garante | Code de la vie privée (D.Lgs. 196/2003) | Élevé | Lignes directrices complètes sur les cookies de 2021 |
| Espagne | AEPD | LSSI-CE + LOPDGDD | Modéré | Historique de débat sur l'exemption des cookies analytiques |
| Pays-Bas | AP | Telecommunicatiewet | Élevé | Interdiction stricte des murs à cookies |
| Belgique | APD/GBA | Loi ePrivacy (2012) | Modéré | Décision sur l'IAB Europe TCF |
| Autriche | DSB | TKG 2021 | Modéré-élevé | Premières décisions sur Google Analytics |
| Danemark | Datatilsynet | Cookiebekendtgørelsen | Modéré | Application renforcée depuis 2022 |
| Suède | IMY | LEK (2003:389) | Modéré-élevé | Sanctions majeures en 2023-2024 |
| Irlande | DPC | SI 336/2011 | Modéré | Pôle des grandes entreprises tech ; scrutée pour son rythme d'application |
| Pologne | UODO | Loi sur les télécommunications | Modéré | Activité d'application croissante |
| Norvège | Datatilsynet | Ekomloven | Modéré | Membre de l'EEE ; suit de près les orientations de l'EDPB |
Allemagne
Autorité d'application : le Commissaire fédéral à la protection des données (BfDI) au niveau fédéral, ainsi que 16 autorités de protection des données des Länder (Landesdatenschutzbehörden).
Loi nationale : la loi Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), entrée en vigueur le 1er décembre 2021, a consolidé les règles allemandes en matière de cookies. L'article 25 de la TTDSG transpose l'article 5(3) de la directive ePrivacy, exigeant le consentement pour stocker ou accéder à des informations sur les appareils des utilisateurs finaux, sauf si le stockage est strictement nécessaire.
Exigences clés : la TTDSG a clarifié que le consentement aux cookies doit respecter la norme du RGPD. La Cour fédérale de justice allemande (BGH) l'avait déjà confirmé dans la mise en œuvre de l'arrêt Planet49 (mai 2020), estimant que les cases pré-cochées ne suffisent pas. La TTDSG a également introduit des dispositions relatives aux systèmes reconnus de gestion des informations personnelles (PIMS), qui permettraient aux utilisateurs de gérer leurs préférences de consentement de manière centralisée plutôt que sur chaque site web — bien que les règlements d'application des PIMS tardent à se concrétiser.
Application : la structure d'application décentralisée de l'Allemagne signifie que l'application de la conformité en matière de cookies varie selon les Länder. Les APD de Berlin, Hambourg et du Bade-Wurtemberg ont figuré parmi les plus actives. La Conférence des autorités de protection des données (DSK) publie périodiquement des positions communes sur les exigences de consentement aux cookies.
Actions notables : de multiples enquêtes sur des bandeaux à cookies utilisant des dark patterns, en particulier des conceptions de « nudging » où le bouton d'acceptation était visuellement mis en avant tandis que l'option de refus était minimisée. Les sanctions ont généralement été plus faibles qu'en France, mais l'activité d'application a augmenté régulièrement depuis l'entrée en vigueur de la TTDSG.
France
Autorité d'application : Commission Nationale de l'Informatique et des Libertés (CNIL).
Loi nationale : Loi Informatique et Libertés (loi n° 78-17), modifiée pour mettre en œuvre la directive ePrivacy. La CNIL a publié des lignes directrices complètes sur les cookies en septembre 2020, avec une période de tolérance de mise en conformité s'achevant le 31 mars 2021.
Exigences clés : la France est le marché majeur de l'UE le plus strict en matière de conformité des cookies. Les lignes directrices de la CNIL exigent : le consentement avant le dépôt de tout cookie non essentiel ; une option de refus au premier niveau du bandeau, aussi facile à utiliser que l'option d'acceptation ; l'absence de murs à cookies (avec des exceptions limitées confirmées par le Conseil d'État) ; des informations détaillées sur chaque finalité des cookies.
Exemption pour la mesure d'audience : la CNIL prévoit une exemption limitée pour les cookies de mesure d'audience répondant à des conditions strictes : l'outil doit être configuré pour produire uniquement des données statistiques anonymes, les cookies doivent être limités au site de l'éditeur, la durée de vie du cookie ne doit pas dépasser 13 mois, et les données ne doivent pas être combinées avec d'autres traitements. Des outils comme Matomo (avec une configuration spécifique) et AT Internet ont été reconnus dans le cadre de cette exemption. Google Analytics ne remplit pas ces conditions.
Sanctions notables : la France a prononcé les plus lourdes sanctions liées aux cookies en Europe. Google LLC a été condamné à une amende de 150 millions d'euros en décembre 2021 pour avoir rendu le refus des cookies plus difficile que leur acceptation. Facebook a été condamné à 60 millions d'euros dans la même action. Microsoft a été condamné à 60 millions d'euros en décembre 2022. TikTok a été condamné à 5 millions d'euros en décembre 2022. Criteo a été condamné à 40 millions d'euros en juin 2023. Au total, la CNIL a imposé plus de 400 millions d'euros de sanctions spécifiques aux cookies.
Italie
Autorité d'application : Garante per la protezione dei dati personali (Garante).
Loi nationale : Code de la vie privée (Decreto Legislativo 196/2003), modifié pour s'aligner sur le RGPD. Le Garante a publié des lignes directrices complètes sur les cookies le 10 juin 2021, dont la mise en conformité était exigée pour le 10 janvier 2022.
Exigences clés : les lignes directrices de 2021 du Garante figurent parmi les plus détaillées d'Europe. Elles exigent : un bandeau de premier niveau avec un bouton d'acceptation et un bouton de refus bien visible (marqué d'un « X » ou d'un « Continuer sans accepter ») ; un second niveau accessible depuis le premier bandeau avec des contrôles granulaires par catégorie de cookies ; le défilement ne constitue explicitement pas un consentement ; le consentement aux cookies doit être redemandé au bout de 6 mois maximum.
À noter : le Garante a introduit le concept d'exiger un bouton « fermer » spécifique sur les bandeaux à cookies plutôt que de permettre que la poursuite de la navigation serve de refus. Les lignes directrices ont également traité la question des cookies analytiques, exigeant le consentement pour tous les outils analytiques tiers et n'autorisant qu'une exemption limitée pour les outils analytiques propres au site dont les données sont correctement anonymisées.
Espagne
Autorité d'application : Agencia Española de Protección de Datos (AEPD).
Loi nationale : Ley de Servicios de la Sociedad de la Información (LSSI-CE) et Ley Orgánica de Protección de Datos (LOPDGDD).
Exigences clés : l'Espagne a d'abord adopté une approche plus souple de la conformité des cookies, le guide sur les cookies de 2013 de l'AEPD suggérant que certains cookies analytiques pouvaient être utilisés sur la base de l'intérêt légitime. Cependant, l'AEPD s'est progressivement alignée sur le consensus européen plus strict, à la suite des orientations de l'EDPB et de l'arrêt Planet49. Les orientations actuelles de l'AEPD exigent un consentement préalable pour les cookies analytiques et marketing.
Actions notables : l'AEPD a infligé une amende de 30 000 euros à Vueling Airlines en 2020 pour un bandeau à cookies qui n'offrait qu'une option d'acceptation sans possibilité de refuser les cookies. CaixaBank a été condamnée à 6 millions d'euros en 2021, en partie en lien avec des pratiques de traitement de données associées au traçage par cookies. Plus récemment, l'AEPD s'est concentrée sur les murs à cookies et les dark patterns dans les interfaces de consentement.
Pays-Bas
Autorité d'application : Autoriteit Persoonsgegevens (AP).
Loi nationale : Telecommunicatiewet (loi sur les télécommunications), article 11.7a.
Exigences clés : les Pays-Bas ont adopté l'une des positions les plus strictes d'Europe sur les murs à cookies. L'AP a clairement affirmé que conditionner l'accès à un site web à l'acceptation des cookies ne constitue pas un consentement valide, car le consentement n'est pas « librement donné » si l'alternative est de perdre l'accès au service. L'AP exige également un consentement explicite avant le dépôt de tout cookie de traçage et s'est montrée critique à l'égard des plateformes de gestion du consentement recourant à un design manipulateur.
Actions notables : l'AP a enquêté sur de nombreux sites web pour des manquements en matière de conformité des cookies et a publié des orientations ciblant spécifiquement les dark patterns dans les bandeaux à cookies. L'autorité a également participé à des contrôles coordonnés des sites web gouvernementaux pour la conformité des cookies. En 2024, l'AP a intensifié son activité d'application à l'encontre des petites organisations, signalant que les attentes en matière de conformité des cookies s'appliquent quelle que soit la taille de l'entreprise.
Belgique
Autorité d'application : Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Loi nationale : loi du 13 juin 2005 relative aux communications électroniques, modifiée par la loi du 10 juillet 2012.
Exigences clés : la Belgique suit les exigences standard de la directive ePrivacy. L'APD belge a acquis une importance mondiale dans la réglementation des cookies lorsqu'elle a statué sur le Transparency and Consent Framework (TCF) de l'IAB Europe en février 2022, jugeant que la chaîne de consentement du TCF constituait une donnée personnelle et que l'IAB Europe était responsable conjoint du traitement. Cette décision, partiellement confirmée par la CJUE en mars 2024, a des implications pour tout site web utilisant le TCF pour la gestion du consentement aux cookies.
À noter : la décision sur l'IAB TCF a provoqué une onde de choc dans le secteur de la publicité en ligne, le TCF étant le cadre de consentement le plus largement utilisé pour la publicité programmatique en Europe. Bien que l'IAB Europe ait mis en œuvre des changements pour répondre aux préoccupations de l'APD, cette affaire a mis en lumière les risques liés au recours à des cadres de consentement conçus par le secteur, susceptibles de ne pas répondre pleinement aux exigences du RGPD.
Autriche
Autorité d'application : Datenschutzbehörde (DSB).
Loi nationale : Telekommunikationsgesetz 2021 (TKG 2021), article 165.
Exigences clés : les règles autrichiennes sur les cookies suivent le cadre standard de la directive ePrivacy. La DSB autrichienne a attiré l'attention internationale en janvier 2022 lorsqu'elle est devenue la première APD européenne à juger que l'utilisation de Google Analytics violait le RGPD, notamment concernant les transferts de données personnelles vers les États-Unis à la suite de l'arrêt Schrems II. Bien qu'il s'agisse principalement d'une question de transfert de données, cela a eu des implications directes pour la conformité des cookies, car les cookies de Google Analytics ont été jugés constituer des données personnelles transférées vers un pays tiers sans garanties adéquates.
À noter : la décision sur Google Analytics a déclenché une cascade de décisions similaires à travers l'Europe (la France, l'Italie et d'autres ont emboîté le pas) et a accéléré le développement d'alternatives analytiques respectueuses de la vie privée. La DSB est restée active sur les questions relatives aux cookies et aux technologies de traçage.
Danemark
Autorité d'application : Datatilsynet.
Loi nationale : Cookiebekendtgørelsen (arrêté relatif à l'information et au consentement requis pour le stockage ou l'accès à des informations dans l'équipement terminal des utilisateurs finaux), mettant en œuvre les dispositions de la directive ePrivacy.
Exigences clés : le Danemark exige le consentement pour tous les cookies, à l'exception de ceux strictement nécessaires à un service explicitement demandé par l'utilisateur. Le Datatilsynet a publié des orientations confirmant que les cookies analytiques nécessitent un consentement et que la poursuite de la navigation ne constitue pas un consentement valide. Les orientations danoises se sont de plus en plus alignées sur les positions plus strictes adoptées par la CNIL et l'EDPB.
Actions notables : le Datatilsynet a intensifié son activité d'application des règles sur les cookies depuis 2022, enquêtant sur des sites web des secteurs public et privé. En 2023, l'autorité a rendu des décisions à l'encontre de plusieurs sites web danois pour des mécanismes de consentement aux cookies inadéquats, notamment dans des cas où l'option de refus n'était pas suffisamment visible. Le Datatilsynet a également traité l'utilisation de Google Analytics et des pixels de traçage de Meta sur les sites web danois, ordonnant à plusieurs organisations de cesser d'utiliser ces outils sans consentement approprié ni garanties de transfert de données.
Suède
Autorité d'application : Integritetsskyddsmyndigheten (IMY).
Loi nationale : Lag om elektronisk kommunikation (LEK, 2003:389).
Exigences clés : la Suède est passée d'une application relativement faible des règles sur les cookies à une action significative ces dernières années. L'IMY a prononcé ses premières sanctions majeures liées aux cookies en 2023, visant quatre entreprises (dont Tele2, CDON, Dagens Industri et Coop) pour un total combiné de plus de 100 millions de SEK (environ 9 millions d'euros) pour avoir utilisé Google Analytics et partagé des données personnelles avec Google sans consentement valide ni garanties de transfert de données adéquates.
À noter : les actions d'application de 2023 ont marqué un changement majeur dans l'approche de la Suède. L'IMY s'est coordonnée avec d'autres APD nordiques et a suivi les précédents établis par la DSB autrichienne et la CNIL française sur Google Analytics. Ces sanctions comptent parmi les plus lourdes prononcées par une APD nordique et ont établi que l'application suédoise est désormais au niveau des autorités européennes les plus strictes.
Irlande
Autorité d'application : Data Protection Commission (DPC).
Loi nationale : European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Exigences clés : l'Irlande suit le cadre standard de la directive ePrivacy. Toutefois, le rôle de la DPC en tant qu'autorité de contrôle chef de file pour de nombreuses grandes entreprises technologiques ayant leur siège en Irlande (dont Meta, Google, Apple, Microsoft et TikTok) lui confère une importance démesurée dans la protection des données européenne. La DPC a publié des orientations sur la conformité des cookies et mené des audits de sites web des secteurs public et privé.
À noter : la DPC a été critiquée par d'autres APD européennes et par le Parlement européen pour le rythme perçu de son application à l'encontre des grandes entreprises tech. Toutefois, la DPC a prononcé des sanctions RGPD importantes, dont une amende de 1,2 milliard d'euros contre Meta en 2023 pour des transferts de données. Concernant spécifiquement les cookies, la DPC a mené des contrôles de sites web en 2020 et 2021, émettant des recommandations de conformité à de nombreuses organisations. Les sanctions spécifiques aux cookies prononcées par la DPC sont restées relativement modestes par rapport à celles de la CNIL.
Pologne
Autorité d'application : Urząd Ochrony Danych Osobowych (UODO).
Loi nationale : loi sur les télécommunications (Prawo telekomunikacyjne), article 173.
Exigences clés : la Pologne exige le consentement pour les cookies conformément à la directive ePrivacy. L'UODO a publié des orientations confirmant que les cases pré-cochées et la poursuite de la navigation ne constituent pas un consentement valide. La loi polonaise comprend des dispositions spécifiques sur les informations à fournir aux utilisateurs concernant les cookies, notamment les finalités, l'identité du responsable du traitement et les instructions pour gérer les paramètres des cookies.
À noter : l'activité d'application des règles sur les cookies en Pologne s'est intensifiée, l'UODO enquêtant sur des plaintes relatives à des bandeaux à cookies non conformes et travaillant avec le régulateur des télécommunications. L'UODO a participé à des contrôles d'application coordonnés à l'échelle de l'UE et a aligné ses orientations sur les recommandations de l'EDPB.
Norvège
Autorité d'application : Datatilsynet (autorité norvégienne de protection des données — distincte de l'autorité danoise du même nom).
Loi nationale : Ekomloven (loi sur les communications électroniques).
Exigences clés : bien que la Norvège ne soit pas un État membre de l'UE, elle est membre de l'Espace économique européen (EEE) et a intégré le RGPD et la directive ePrivacy dans son droit national par le biais de l'accord EEE. Le Datatilsynet norvégien suit de près les orientations de l'EDPB et s'est montré actif dans l'application des règles sur les cookies.
Actions notables : le Datatilsynet norvégien a infligé une amende de 5 millions d'euros à Grindr en décembre 2021 (réduite par la suite à 6,5 millions d'euros en appel) pour avoir partagé des données d'utilisateurs avec des partenaires publicitaires sans consentement valide. Bien qu'il s'agisse principalement d'une affaire de consentement liée au partage de données plutôt qu'aux cookies en particulier, elle a établi d'importants précédents concernant les exigences de consentement dans les technologies de traçage. L'autorité a également enquêté sur l'utilisation de Google Analytics et d'autres outils de traçage sur les sites web norvégiens.
Points clés à retenir
Malgré les variations dans la mise en œuvre et l'application au niveau national, plusieurs principes sont constants dans tous les pays de l'UE et de l'EEE :
- Le consentement est requis avant le dépôt de tout cookie non essentiel. Aucun pays européen n'accepte un modèle purement opt-out pour les cookies.
- Le consentement doit respecter la norme du RGPD : librement donné, spécifique, éclairé, univoque et manifesté par un acte positif clair.
- Le refus doit être aussi facile que l'acceptation. Bien que la mise en œuvre concrète puisse varier (bouton distinct, X pour fermer, etc.), le principe selon lequel refuser les cookies ne doit pas être plus difficile que les accepter est universel.
- L'application s'intensifie partout. Les pays autrefois indulgents prononcent désormais des sanctions et des décisions formelles. Il n'existe aucune juridiction européenne « sûre » pour la non-conformité.
- L'application coordonnée se développe. Les APD coopèrent de plus en plus par l'intermédiaire de l'EDPB et mènent des contrôles coordonnés, ce qui signifie qu'une non-conformité dans un pays est susceptible d'attirer l'attention dans d'autres.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement