Ce que le RGPD exige d'une bannière cookies

Le RGPD et la directive ePrivacy établissent cinq règles non négociables pour le consentement aux cookies :

• Librement donné : Refuser les cookies doit être aussi facile que les accepter.
• Spécifique : Le consentement doit être demandé séparément pour chaque finalité.
• Éclairé : Les utilisateurs doivent savoir à quoi ils consentent avant de consentir.
• Non ambigu : Les cases pré-cochées et la poursuite de la navigation ne comptent pas.
• Révocable : Les utilisateurs doivent pouvoir retirer leur consentement à tout moment.

Exemple 1 : La bannière « Accepter uniquement » (Non conforme)

À quoi elle ressemble

Une petite barre avec « Nous utilisons des cookies pour améliorer votre expérience » et un seul bouton « OK ». Pas d'option de refus, pas de paramètres.

Pourquoi elle échoue

Aucun choix véritable, aucune information sur les cookies, aucun moyen de refuser. La CNIL a infligé à Google une amende de 150 millions EUR et à Facebook 60 millions EUR en 2022 pour ce modèle exact.

Verdict : Illégal au regard du RGPD.

Exemple 2 : Tout accepter + petit lien « Gérer les préférences » (Non conforme)

À quoi elle ressemble

Un bouton proéminent « Tout accepter » avec un petit lien gris « Gérer les préférences ». Pas de bouton « Tout refuser ».

Pourquoi elle échoue

La hiérarchie visuelle pousse les utilisateurs vers l'acceptation. Refuser nécessite deux clics, accepter un seul. Plusieurs autorités de protection des données ont jugé que ce n'est pas un consentement librement donné.

Verdict : Non conforme. Refuser doit être aussi accessible qu'Accepter.

Exemple 3 : Boutons Accepter et Refuser égaux (Conforme)

À quoi elle ressemble

Deux boutons de taille égale : « Tout accepter » et « Tout refuser ». En dessous, un lien « Gérer les préférences ». Brève explication des finalités des cookies.

Pourquoi ça fonctionne

Véritable libre choix, les deux options aussi visibles l'une que l'autre, un clic chacune. C'est le modèle explicitement recommandé par la CNIL.

Verdict : Conforme. Le minimum que chaque site web devrait respecter.

Exemple 4 : Le mur de cookies (Non conforme)

À quoi il ressemble

Superposition plein écran bloquant tout le contenu. La seule option est « Accepter les cookies ».

Pourquoi il échoue

Article 7(4) du RGPD — le consentement n'est pas librement donné si l'accès au service en dépend. L'autorité néerlandaise a conclu que les murs de cookies ne sont généralement pas autorisés.

Verdict : Non conforme dans la plupart des juridictions de l'UE.

Exemple 5 : Cases pré-cochées (Non conforme)

À quoi ça ressemble

Bannière détaillée montrant les catégories de cookies avec des cases à cocher — mais toutes sont pré-cochées.

Pourquoi ça échoue

L'arrêt Planet49 de la CJUE (2019) a tranché définitivement : les cases pré-cochées ne constituent pas un consentement valide. Le consentement nécessite une action affirmative claire.

Verdict : Explicitement illégal selon la jurisprudence de la CJUE.

Exemple 6 : L'approche par couches (Conforme — Meilleure pratique)

À quoi elle ressemble

Première couche : bannière compacte avec boutons Tout accepter, Tout refuser et Personnaliser. Deuxième couche : centre de préférences détaillé avec interrupteurs par catégorie et liste de fournisseurs. Troisième couche : politique cookies complète.

Pourquoi ça fonctionne

Équilibre entre information et convivialité. La première couche offre le choix, la deuxième les détails, la troisième la transparence totale. Recommandé explicitement par le CEPD.

Verdict : Meilleure pratique. Le standard d'excellence pour la conformité.

Exemple 7 : Libellés de boutons trompeurs (Non conforme)

À quoi ça ressemble

« J'accepte » contre « Je n'accepte pas de refuser les cookies non essentiels ». Ou : « Accepter les paramètres recommandés » contre « Utiliser la version limitée ».

Pourquoi ça échoue

Le considérant 42 du RGPD exige un langage clair et simple. Les doubles négations, les conséquences sous-entendues et les libellés manipulateurs ne sont pas conformes.

Verdict : Non conforme. Utilisez des libellés clairs et neutres.

Exemple 8 : La bannière conforme bien faite

À quoi elle ressemble

Une barre inférieure propre avec : titre clair, explication brève, trois boutons de même style (Tout accepter, Tout refuser, Gérer les préférences) et un lien vers la politique cookies. Gérer les préférences ouvre un centre de préférences avec des interrupteurs individuels, une liste de fournisseurs et un bouton Enregistrer.

Pourquoi ça fonctionne

Coche toutes les cases : libre choix, boutons symétriques, information par couches, langage simple, pas de cases pré-cochées, retrait facile via l'icône de paramètres cookies.

Verdict : Entièrement conforme.

Amendes réelles pour de mauvaises bannières

• Google (France, 2022) : 150 millions EUR — l'option de refus était plus difficile à trouver que l'acceptation.
• Facebook (France, 2022) : 60 millions EUR — même problème d'asymétrie.
• Microsoft (France, 2022) : 60 millions EUR — cookies publicitaires déposés sans consentement valide.
• TikTok (France, 2023) : 5 millions EUR — refuser les cookies nécessitait plus d'étapes qu'accepter.

Liste de vérification de conformité

• Y a-t-il un bouton « Tout refuser » visible sur la première couche ?
• Accepter et Refuser sont-ils aussi proéminents l'un que l'autre ?
• Toutes les cases sont-elles décochées par défaut ?
• La bannière s'affiche-t-elle avant que les cookies non essentiels ne soient déposés ?
• Les utilisateurs peuvent-ils accéder à des contrôles granulaires par catégorie ?
• Le consentement est-il enregistré avec un horodatage ?
• Les utilisateurs peuvent-ils modifier leur consentement à tout moment ?
• La bannière est-elle dans la langue de l'utilisateur ?
• Cliquer sur Refuser empêche-t-il réellement les cookies non essentiels ?

Comment FlexyConsent gère cela nativement

FlexyConsent est une CMP certifiée par Google avec support IAB TCF 2.3. Elle répond à chaque exigence de conformité :

• Boutons Accepter et Refuser égaux sur la première couche
• Approche par couches intégrée (première couche pour le choix, deuxième pour les contrôles granulaires)
• Pas de cases pré-cochées — toutes les catégories optionnelles décochées par défaut
• Google Consent Mode V2 intégré nativement
• 43 langues avec détection automatique
• Géo-ciblage pour des bannières spécifiques par région
• Journalisation du consentement et preuves pour les audits
• Plans à partir de 0 EUR/mois

Configurez une bannière conforme en moins de cinq minutes sur panel.flexyconsent.com.