Bandeau cookies RGPD conforme en 2026 : règles CNIL + outils recommandés

Le bandeau cookies est devenu le premier point de friction RGPD : la CNIL a sanctionné Google à hauteur de 150 M€ (janvier 2022) et Facebook 60 M€ pour des bandeaux non conformes. En 2026, les contrôles s'intensifient : 50 % du plan de contrôle CNIL porte sur la cybersécurité et le respect de l'Art. 82 LIL (ePrivacy). Voici comment construire un bandeau qui passe les contrôles.

1. Les 6 règles d'or d'un bandeau conforme

Pour être valide aux yeux de la CNIL, votre bandeau doit respecter 6 règles cumulatives :

1. Bloquer tous les traceurs avant tout choix de l'utilisateur (sauf cookies strictement nécessaires : panier, authentification).
2. Bouton « Refuser » aussi visible que « Accepter » — même taille, même couleur, même position. Pas de bouton « Refuser » caché derrière 3 clics.
3. Aucune case pré-cochée — chaque finalité (analytics, publicité, etc.) doit être à FAUX par défaut.
4. Finalités décrites en clair : pas de « cookies tiers » sans plus de détail. Indiquer quels prestataires et pour quoi.
5. Retrait du consentement aussi simple que l'octroi — lien permanent en footer (ex : « Gérer mes cookies »).
6. Preuve du consentement stockée — date, version du bandeau, IP hashée. À fournir en cas de contrôle CNIL.

2. Les 4 dark patterns INTERDITS

La délibération CNIL 2020-091 liste les pratiques considérées comme un consentement non valide :

• ❌ Bouton « Accepter tout » coloré vif vs « Refuser » en gris pâle
• ❌ Fermer le bandeau (croix ✕) = vaut acceptation
• ❌ Faire défiler la page = vaut acceptation
• ❌ Demander à refuser une 2e fois (« Êtes-vous SÛR de refuser ? »)

Ces pratiques entraînent une nullité automatique du consentement— équivaut à n'avoir AUCUN bandeau pour la CNIL.

3. Cookies exemptés de consentement

L'Art. 82 LIL liste les cookies dispensés de consentement :

• Authentification (session utilisateur)
• Panier d'achat
• Équilibrage de charge serveur (load balancing)
• Personnalisation de l'interface (langue, thème)
• Mesure d'audience anonymisée et sans agrégation tierce (ex : Matomo, Plausible, Umami)

Tout le reste (Google Analytics, Facebook Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, reCAPTCHA) nécessite un consentement préalable explicite.

4. Outils recommandés (avec tarifs)

Gratuits

• Tarteaucitron.io — open-source, recommandé par la CNIL, installation manuelle (1-2h dev). Idéal pour sites WordPress/sur-mesure.
• Axeptio Free — gratuit jusqu'à 50 000 visiteurs/mois, interface clean, intégration WordPress en 5 min.

Payants

• Didomi (à partir de 35 €/mois) — référence enterprise, multi-langue.
• Cookiebot (à partir de 9 €/mois) — scan automatique des cookies présents sur le site.
• OneTrust (5 000-50 000 €/an) — réservé aux grandes structures.

5. Comment vérifier que VOTRE bandeau est conforme

Test rapide en 30 secondes :

1. Ouvrez votre site en navigation privée.
2. F12 → Application → Cookies → rechargez la page SANS toucher le bandeau.
3. Si vous voyez _ga, _fbp, _gcl ou d'autres cookies tiers → votre bandeau est non conforme.

ScanRGPD automatise ce test sur l'ensemble du site (incluant les sous-pages) et détecte les trackers chargés via plugins WordPress proxifiés (Perfmatters, WP Rocket) que les autres scanners gratuits ratent.

6. Sanctions encourues

Art. 82 LIL = jusqu'à 20 M€ ou 4 % du CA mondial. En pratique :

• 2021 : Google — 150 M€ (bandeau Google.fr difficile à refuser, SAN-2021-023)
• 2021 : Facebook — 60 M€ (idem, SAN-2021-024)
• 2022 : Microsoft — 60 M€ (Bing.fr, refus en 2 clics)
• 2022 : TikTok — 5 M€ (refus des cookies non équivalent, SAN-2022-027)
• 2024 : multiples mises en demeure publiées sur cnil.fr

En résumé

• Aucun traceur tiers ne doit charger avant le clic.
• « Refuser » aussi visible que « Accepter ».
• Conservation de la preuve du consentement.
• Utilisez Tarteaucitron ou Axeptio si vous n'avez pas de DPO.