Exigences du bandeau cookie GDPR : La checklist de conformité définitive pour 2026
Le fondement juridique
Les obligations de consentement aux cookies découlent du GDPR (Regulation 2016/679) et de la ePrivacy Directive (2002/58/EC). La ePrivacy Directive exige le consentement avant le stockage d'informations sur l'appareil de l'utilisateur (Article 5(3)), tandis que le GDPR définit le consentement valide (Article 4(11), Article 7, Recital 32).
Les 14 exigences
1. Consentement préalable
Les cookies non essentiels ne doivent pas se déclencher avant le consentement de l'utilisateur. L'Article 5(3) de la ePrivacy Directive est explicite. La CNIL a infligé à Google une amende de 150 millions d'euros (2022) pour le chargement de cookies avant l'interaction de l'utilisateur.
2. Consentement libre
Le consentement ne peut pas être une condition d'accès (GDPR Article 4(11)). Pas de regroupement du consentement aux cookies avec les conditions d'utilisation.
3. Sélection granulaire des finalités
Les utilisateurs doivent consentir à chaque finalité indépendamment — analytique, publicitaire, fonctionnel (GDPR Recital 43). Un simple « Tout accepter » sans sélection par catégorie est insuffisant.
4. Proéminence égale pour Accepter et Refuser
Refuser doit être aussi visible qu'Accepter. La CNIL exige un bouton « Tout refuser » sur la première couche avec un poids visuel égal. Microsoft a été sanctionné de 60 millions d'euros (2022) en partie pour avoir masqué l'option de refus.
5. Pas de cases pré-cochées
Arrêt CJEU Planet49 (C-673/17, 2019) : les cases pré-cochées ne constituent pas un consentement valide. Toutes les catégories doivent être désactivées par défaut.
6. Pas de cookie walls
Bloquer l'accès au site jusqu'à l'obtention du consentement est généralement non conforme. L'EDPB et la DPA néerlandaise l'ont confirmé.
7. Langage clair et simple
GDPR Article 7(2) — les demandes de consentement doivent utiliser un langage clair et simple. « Nous utilisons des cookies pour améliorer votre expérience » est insuffisant.
8. Correspondance linguistique
GDPR Article 12(1) — l'information doit être compréhensible. Le bandeau doit correspondre à la langue du site web.
9. Lien vers la politique de cookies
GDPR Articles 13-14 exigent une information complète. Le bandeau doit contenir un lien vers une politique de cookies complète listant chaque cookie.
10. Retrait facile
GDPR Article 7(3) — le retrait doit être aussi facile que le consentement. Un widget persistant ou un lien en pied de page doit permettre de rouvrir l'interface de consentement.
11. Conservation des preuves de consentement
GDPR Article 7(1) — vous devez démontrer que le consentement a été obtenu. Enregistrez les horodatages, les choix et les versions du bandeau.
12. Divulgation des tiers
GDPR Article 13(1)(e) — divulguez tous les destinataires tiers des données. Sous TCF 2.3, la liste des fournisseurs doit être accessible depuis l'interface de consentement.
13. Transparence sur la durée de conservation
GDPR Article 13(2)(a) — indiquez la durée de persistance des cookies.
14. Responsive mobile
Pas d'exemption GDPR pour le mobile. Les boutons doivent être cliquables, le texte lisible et l'interface fonctionnelle sur toutes les tailles d'écran.
Checklist d'audit rapide
- Aucun cookie non essentiel ne se déclenche avant le consentement
- Accepter et Refuser sont également visibles sur la première couche
- La sélection individuelle par catégorie est disponible
- Aucune bascule pré-sélectionnée pour les catégories non essentielles
- Le site est accessible même si l'utilisateur refuse tout
- La langue du bandeau correspond à la langue du contenu
- Un langage clair et non technique est utilisé
- Un lien vers la politique de cookies complète est visible sur le bandeau
- La politique de cookies liste chaque cookie par nom, finalité et durée
- Un widget persistant permet de rouvrir l'interface de consentement
- Le retrait du consentement nécessite le même nombre de clics que son octroi
- Les preuves de consentement sont enregistrées avec horodatage
- Les destinataires tiers sont divulgués
- Le bandeau est fonctionnel sur les appareils mobiles
- Pas de couleurs, tailles ou formulations manipulatrices
Automatisez cela : FlexyConsent gère chaque exigence nativement — CMP certifié Google avec IAB TCF 2.3, Consent Mode V2, plus de 43 langues, forfaits à partir de 0 EUR/mois. Commencez sur panel.flexyconsent.com.