Le consentement aux cookies dans l’UE s’inscrit dans deux cadres juridiques qui se recoupent. L’exigence pratique est plus stricte que ce que chacun des cadres imposerait seul : un consentement explicite et préalable est requis avant de déposer des cookies non essentiels sur les utilisateurs européens. Cette note explique pourquoi l’« intérêt légitime » ne satisfait pas cette exigence, ce que signifie concrètement « non essentiel », et où en est l’application en 2026.
Les deux cadres
La Directive ePrivacy
La Directive ePrivacy régit l’acte de stocker des informations sur l’appareil d’un utilisateur ou d’y accéder. C’est la loi qui traite directement du dépôt de cookies — pas le RGPD. La disposition clé : vous avez besoin d’un consentement préalable pour tout cookie non essentiel, qu’il s’agisse ou non de données personnelles au sens du RGPD.
Cela est important car cela signifie qu’un cookie qui ne stocke qu’un identifiant de session (qui ne serait normalement pas une donnée personnelle au sens du RGPD pris isolément) requiert tout de même un consentement au titre de la directive ePrivacy s’il n’est pas strictement nécessaire pour le service que l’utilisateur a explicitement demandé. La question que pose ePrivacy n’est pas « s’agit-il de données personnelles ? » — c’est « ce stockage est-il essentiel pour le service que l’utilisateur est venu utiliser ? »
Le projet de Règlement ePrivacy — qui aurait remplacé la Directive et modernisé le cadre — a été officiellement retiré par la Commission européenne en février 2025. La Directive existante reste le droit applicable indéfiniment. Ce n’est pas un détail technique ; cela signifie que le cadre de 2002 (mis à jour en 2009) continue de s’appliquer à des technologies de suivi que ses auteurs n’avaient pas imaginées.
Le RGPD
Le RGPD s’applique chaque fois que les cookies impliquent des données personnelles. Les cookies analytics impliquent presque toujours des données personnelles — les adresses IP, les empreintes de navigateur et les identifiants de cookies sont des données personnelles au sens du RGPD (le Considérant 30 cite explicitement les identifiants en ligne).
Le RGPD fixe les normes pour ce que constitue un consentement valide :
- Librement donné : pas de cookie walls bloquant l’accès au contenu. Le consentement ne peut pas être contraint.
- Spécifique : granulaire par finalité. Regrouper le consentement pour l’analytics, la publicité et les réseaux sociaux dans une seule case à cocher ne satisfait pas cette norme.
- Éclairé : descriptions claires de ce que fait chaque cookie, qui traite les données, et pendant combien de temps.
- Non ambigu : un choix actif — pas une case pré-cochée, pas « continuer à naviguer équivaut à consentir ».
Ce sont des normes minimales, non des aspirations. Le CEPD (Comité européen de la protection des données) et les APD nationales ont publié des lignes directrices précisant que chacun de ces éléments doit être véritablement satisfait, et non techniquement satisfait tout en étant conçu pour inciter les utilisateurs à accepter.
Quels cookies sont exemptés
L’exemption de consentement couvre les cookies « strictement nécessaires » à un service explicitement demandé par l’utilisateur. En pratique, cela couvre :
- Les cookies de gestion de session (maintenir les utilisateurs connectés pendant une session)
- Les cookies d’équilibrage de charge (répartir le trafic entre les serveurs)
- Les tokens de sécurité (protection CSRF, authentification)
- Les cookies de préférences de langue/région (mémoriser un choix explicitement fait par l’utilisateur)
- Les cookies de panier d’achat (conserver les articles dans un panier que l’utilisateur utilise activement)
Ce qui n’est pas exempté : les cookies analytics, publicitaires, de réseaux sociaux, de tests A/B, de cartes de chaleur et d’enregistrement de sessions. Ceux-ci servent les intérêts de l’opérateur du site, pas la demande de l’utilisateur, et requièrent un consentement quelle que soit l’apparence d’anonymisation des données.
L’exemption est plus étroite que beaucoup d’implémentations ne le supposent. Une mauvaise configuration fréquente consiste à traiter Google Analytics comme « nécessaire au fonctionnement du site ». Ce n’est pas le cas — le site fonctionne parfaitement sans lui. L’utilisateur n’a pas demandé une mesure analytics en venant lire votre contenu.
Extension du périmètre par le CEPD : au-delà des cookies
Les Lignes directrices 2/2023 du CEPD, finalisées en octobre 2024, ont étendu le périmètre des exigences ePrivacy au-delà des cookies de navigateur à :
- Les pixels de suivi — y compris les pixels de suivi dans les campagnes email
- Les liens de suivi — URLs qui encodent l’identité de l’utilisateur pour l’attribution
- Le fingerprinting des appareils — utilisation des caractéristiques du navigateur pour identifier les utilisateurs sans cookies
- Les rapports IoT — transmission de données depuis des appareils connectés
Les recommandations provisoires de la CNIL de juin 2025 ont ajouté une exigence spécifique : un consentement séparé pour les pixels de suivi dans les emails, distinct du consentement pour le marketing par email lui-même. L’utilisateur qui consent à recevoir votre newsletter ne consent pas simultanément à être suivi via un pixel lorsqu’il l’ouvre.
Cela concerne les équipes analytics qui construisent des attributions multi-canaux, car le suivi des clics dans les emails — fonctionnalité standard de chaque ESP — requiert désormais un consentement explicite et séparé pour les destinataires européens. Implémenter cela proprement nécessite un flux de consentement dans l’email lui-même ou au moment de l’inscription qui couvre spécifiquement le suivi.
Ce que signifie concrètement le « consentement préalable »
« Préalable » signifie avant que tout cookie non essentiel ne soit déposé. Le consentement doit être obtenu avant que le code de suivi ne s’exécute, pas après. Une bannière qui apparaît au chargement de la page pendant que GA4 déclenche déjà des événements en arrière-plan n’est pas conforme, quoi que dise la bannière.
La conséquence pour l’implémentation : les tags ne doivent se déclencher qu’après l’accord du consentement. Consent Mode v2 répond à cela avec des états de refus par défaut qui empêchent les tags de se déclencher jusqu’à ce que la CMP signale son approbation. Mais le mécanisme ne fonctionne que si l’état par défaut est réellement un refus et si les tags le respectent effectivement — deux conditions qui échouent fréquemment en pratique.
L’intérêt légitime n’est pas une base juridique valide pour les cookies non essentiels. Ce n’est pas une question ouverte. Le CEPD a publié des lignes directrices claires : le suivi par cookies à des fins analytics et publicitaires ne peut pas s’appuyer sur l’intérêt légitime comme base juridique. Le consentement est requis. De nombreuses équipes juridiques s’y sont opposées dans les premières années d’application du RGPD ; elles ont perdu ces arguments de façon répétée lors de multiples décisions d’APD.
L’application s’accélère
L’application du RGPD en matière de cookies n’est plus théorique. Les amendes cumulées ont atteint 6,7 milliards d’euros au cours de 2 679 actions coercitives jusqu’en 2025, 2025 représentant à lui seul 2,3 milliards d’euros — une augmentation de 38% en glissement annuel. Les affaires majeures ont concerné Google, Meta, TikTok et des centaines d’entreprises plus petites.
Les APD nationales sont les agents d’application. La France (CNIL), l’Allemagne (plusieurs Landesbeauftragte), l’Irlande (DPC), les Pays-Bas (AP), l’Italie (Garante) et l’Espagne (AEPD) sont les plus actives. Elles ne coordonnent pas les affaires, mais elles partagent des approches et escaladent au CEPD pour les affaires transfrontalières.
Le risque pratique pour les implémentations analytics : les entreprises utilisant Google Analytics sans bannière de consentement correctement implémentée en France ont été parmi les premières cibles de la CNIL en 2022. La violation portait sur l’utilisation de GA sans consentement, entraînant des transferts de données vers les États-Unis sans protection adéquate — mais c’est l’échec du consentement qui a exposé le problème sous-jacent de transfert de données. Corriger l’implémentation du consentement aurait prévenu l’enquête.
Le cluster Consent Mode v2 couvre l’implémentation technique ; cette note fournit le contexte juridique expliquant pourquoi les exigences sont ce qu’elles sont.