EuroComply
Créer un compte
Back to blog
Guides 10 min read

ePrivacy et cookies : ce qui reste requis en 2026

What you need to know: ePrivacy et cookies : ce qui reste requis en 2026

La directive ePrivacy régit toujours les cookies et les communications électroniques dans l'UE — et son application s'est intensifiée. Ce guide couvre les cas où le consentement est requis, les exemptions applicables et la manière de mettre en place une implémentation conforme.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le consentement aux cookies demeure l'un des domaines du droit européen de la protection des données les plus mal compris et les plus fréquemment violés. Malgré des années d'application, de nombreuses organisations maintiennent encore des implémentations non conformes — cases précochées, absence d'option de refus, consentement lié aux conditions d'utilisation.

Ce guide présente le cadre juridique, les cas nécessitant un consentement, les exemptions applicables et à quoi ressemble concrètement une implémentation conforme en 2026.

Le cadre juridique : la directive ePrivacy reste applicable

La directive ePrivacy (2002/58/CE telle que modifiée par 2009/136/CE) continue de régir l'utilisation des cookies et des technologies de pistage similaires dans toute l'UE. Le règlement ePrivacy — qui était censé la remplacer — reste bloqué dans les négociations législatives de l'UE. En avril 2026, la directive demeure en vigueur, transposée en droit national dans l'ensemble des États membres.

Les règles relatives aux cookies figurent à l'article 5, paragraphe 3 de la directive : le stockage d'informations ou l'accès à des informations déjà stockées sur l'équipement terminal d'un utilisateur n'est autorisé que si celui-ci a donné son consentement préalable et éclairé. Cela s'applique aux cookies, au stockage local, à IndexedDB, aux pixels, à l'empreinte numérique du navigateur et à toute autre technologie qui lit ou écrit des données sur l'appareil d'un utilisateur.

Le RGPD s'applique au mécanisme de consentement lui-même : le consentement doit satisfaire aux exigences de l'article 7 — librement donné, spécifique, éclairé, non ambigu, manifesté par un acte positif clair, et révocable à tout moment sans préjudice.

Ce qui est exempté

L'article 5, paragraphe 3 prévoit deux exemptions — les technologies strictement nécessaires qui ne requièrent donc pas de consentement :

1. Stockage effectué dans le seul but d'assurer une communication — par exemple le routage de session, l'équilibrage de charge entre serveurs. Ces éléments sont de niveau infrastructure et ne persistent pas après la fin de la communication.

2. Strictement nécessaire pour un service expressément demandé par l'utilisateur — par exemple les cookies de panier d'achat, les cookies d'authentification de session, les cookies de préférences (langue, paramètres d'accessibilité) définis par l'utilisateur lui-même. Le mot clé est « strictement » — le service ne pourrait pas fonctionner sans eux.

Ces exemptions sont étroites. Elles ne concernent pas le « confort » de navigation. Un cookie est strictement nécessaire si sa suppression rendrait inaccessible une fonctionnalité que l'utilisateur a explicitement demandée. Les analyses, la commodité et l'optimisation ne constituent pas des motifs suffisants.

Ce qui requiert un consentement

Les catégories suivantes requièrent un consentement préalable et éclairé — le consentement doit être obtenu avant que le cookie soit déposé, et non après :

| Catégorie | Exemples | Exempté ? | |----------|---------|---------| | Analytique | Google Analytics 4, Matomo cloud, Mixpanel | Non | | Marketing / publicité | Meta Pixel, conversion Google Ads, reciblage | Non | | Réseaux sociaux | Scripts du bouton « J'aime » Facebook, widgets Twitter | Non | | Tests A/B | Optimizely, VWO, Google Optimize | Non | | Widgets de chat | Intercom, Drift, Zendesk (lorsqu'ils déposent des cookies persistants) | Non | | Personnalisation | Moteurs de recommandation créant des profils utilisateurs | Non | | Authentification de session | Cookies de connexion, jetons CSRF | Oui | | Équilibrage de charge | Cookies d'affinité serveur | Oui | | Préférences utilisateur | Paramètres de langue et d'accessibilité définis par l'utilisateur | Oui |

L'erreur la plus courante : traiter les analyses propriétaires comme exemptées. Elles ne le sont pas. L'exemption porte sur la nécessité technique, et non sur la distinction entre propriétaire et tiers. GA4 avec anonymisation des adresses IP requiert toujours un consentement au titre de la directive ePrivacy.

Consentement valable : le standard du RGPD

Étant donné que la directive ePrivacy renvoie au RGPD pour le standard de consentement, celui-ci doit satisfaire à l'article 7 et au considérant 32 :

Librement donné — l'utilisateur ne peut être pénalisé pour avoir refusé son consentement. L'option de refus doit donc être aussi accessible que l'option d'acceptation. Dissimuler le bouton de refus derrière un flux « gérer les paramètres » tout en affichant « Tout accepter » de manière proéminente ne constitue pas un consentement librement donné.

Spécifique — le consentement doit être recueilli séparément pour chaque finalité distincte. Un bouton unique « J'accepte les cookies » couvrant l'analytique, le marketing et les réseaux sociaux ne constitue pas un consentement spécifique.

Éclairé — les utilisateurs doivent savoir à quoi ils consentent : quels cookies, quelles finalités, quels tiers, quelle est la durée de conservation des données.

Non ambigu — le consentement doit être signifié par un acte positif clair. Les cases précochées sont invalides. Le défilement d'une page ne vaut pas consentement. La simple poursuite de la navigation ne vaut pas consentement.

Révocable — les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont accordé. Un centre de préférences accessible via un lien permanent (généralement en pied de page) est requis.

Les modèles « consentir ou payer » — où les utilisateurs peuvent soit consentir aux cookies publicitaires, soit payer une redevance — font l'objet d'un examen actif de la part des autorités de contrôle dans toute l'UE. Le CEPD a publié des lignes directrices en 2024 concluant que, dans la plupart des cas, ces modèles ne constituent pas un consentement librement donné. La prudence s'impose.

Exigences relatives aux bandeaux de cookies

Un bandeau de cookies conforme doit inclure :

  • Une description claire de chaque finalité — non pas « améliorer votre expérience », mais « mesurer les performances des campagnes publicitaires » ou « créer un profil de vos centres d'intérêt pour la publicité ciblée ».
  • La durée de conservation pour chaque catégorie de cookies.
  • Les tiers — identification des entreprises tierces qui reçoivent des données via les cookies.
  • Des contrôles granulaires — les utilisateurs doivent pouvoir accepter ou refuser des catégories individuelles, et pas seulement tout accepter ou tout refuser.
  • L'option de refus aussi visible que l'option d'acceptation — le bouton de refus doit se trouver au même niveau visuel que le bouton d'acceptation, et ne pas être relégué dans un lien « gérer les préférences ».
  • Aucun « dark pattern » — les boutons de consentement stylisés pour paraître inactifs, les cases précochées, la logique de bascule déroutante (où « activé » signifie que le consentement est refusé) et les demandes de consentement répétées après un refus sont tous illicites.

Intérêt légitime : inutilisable pour les cookies

L'intérêt légitime (article 6, paragraphe 1, point f) du RGPD) ne peut pas être invoqué comme base juridique pour les cookies non essentiels au titre de la directive ePrivacy. La directive exige spécifiquement un consentement. L'intérêt légitime ne saurait s'y substituer.

Cela a été confirmé par la CJUE dans l'arrêt Planet49 (affaire C-673/17, 2019) et a été constamment appliqué par les autorités de contrôle dans toute l'UE depuis lors. Si une plateforme de gestion du consentement présélectionne l'« intérêt légitime » pour des finalités d'analyse ou de publicité, il s'agit d'une implémentation non conforme.

Application : ce qui s'est réellement passé

L'application s'est intensifiée depuis 2023. Actions notables :

  • La CNIL (France) a infligé des amendes de 150 M€ à Google et de 60 M€ à Facebook en 2022 pour avoir rendu le refus des cookies plus difficile que leur acceptation. La CNIL a constaté qu'un clic pour accepter contre plusieurs clics pour refuser violait le principe du consentement librement donné.
  • L'APD (Belgique) et le Datatilsynet (Norvège) ont tous deux rendu des décisions à l'encontre de grands éditeurs pour des dark patterns dans les bandeaux de cookies.
  • Le Transparency and Consent Framework de l'IAB Europe a été jugé non conforme au RGPD par l'APD et a dû être reconstruit — montrant que même des plateformes de gestion du consentement standard du secteur peuvent être non conformes.
  • Plusieurs autorités de contrôle dans l'UE ont lancé des actions de contrôle ciblant des secteurs spécifiques (médias d'information, commerce en ligne, sites du secteur public).

Liste de contrôle pour la mise en œuvre technique

Exigences relatives à la plateforme de gestion du consentement (CMP) :

  • Bloque tous les cookies non essentiels avant le consentement (aucun cookie déposé au chargement de la page)
  • Enregistre le consentement avec horodatage, version et identifiant propre à l'utilisateur
  • Propose des contrôles granulaires par catégorie
  • Affiche le mécanisme de retrait sur toutes les pages
  • Transmet correctement le signal de consentement à tous les scripts tiers

Audit des cookies :

  • Tenez un inventaire de tous les cookies déposés par votre site et de leurs finalités
  • Classifiez chaque cookie comme strictement nécessaire, fonctionnel, analytique ou marketing
  • Vérifiez cette classification au regard de la réalité technique (que fait réellement le cookie ?)
  • Procédez à une vérification après l'ajout de tout nouvel outil tiers

Révision trimestrielle :

  • Réauditez les cookies après les mises à jour de la plateforme
  • Vérifiez que la CMP bloque les cookies non essentiels avant le consentement
  • Testez le flux de refus : vérifiez qu'aucun cookie analytique ou marketing n'est déposé après avoir cliqué sur « Refuser »

Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.

Foire aux questions

Tous les cookies nécessitent-ils un consentement au titre de la directive ePrivacy ?

Non — l'article 5, paragraphe 3 de la directive ePrivacy prévoit deux exemptions étroites. Les cookies strictement nécessaires pour acheminer une communication sur un réseau ne requièrent pas de consentement, pas plus que les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur. Parmi les exemples figurent les jetons d'authentification de session, les identifiants de panier d'achat et les cookies d'équilibrage de charge. Cependant, les exemptions sont interprétées de manière étroite : un cookie est strictement nécessaire uniquement si le service ne pourrait absolument pas fonctionner sans lui. Les cookies analytiques, les pixels publicitaires et les cookies de personnalisation ne remplissent pas cette condition, qu'ils soient propriétaires ou tiers.

Que doit contenir un bandeau de consentement aux cookies conforme au RGPD ?

Un bandeau conforme doit présenter une description claire de chaque finalité de cookie (sans langage vague tel qu'« améliorer votre expérience »), indiquer la durée de conservation pour chaque catégorie, nommer les entreprises tierces qui reçoivent des données, proposer des contrôles granulaires permettant aux utilisateurs d'accepter ou de refuser des catégories individuelles, et présenter l'option de refus avec la même visibilité que l'option d'acceptation. Les cases précochées sont interdites par l'article 7 du RGPD, et la CJUE a confirmé dans l'arrêt Planet49 (affaire C-673/17) que le défilement ou la poursuite de la navigation ne constitue pas un consentement valable. Les utilisateurs doivent également pouvoir retirer leur consentement aussi facilement qu'ils l'ont accordé, généralement via un lien permanent vers les préférences.

Le règlement ePrivacy remplace-t-il la directive ePrivacy en 2026 ?

Non. Au début de l'année 2026, le projet de règlement ePrivacy reste bloqué dans les négociations législatives de l'UE. La directive ePrivacy (2002/58/CE, telle que modifiée par 2009/136/CE) continue de s'appliquer, transposée en droit national dans tous les États membres de l'UE. Le règlement proposé moderniserait les règles et s'appliquerait directement sans transposition nationale, mais aucun calendrier d'adoption n'est confirmé. Les organisations doivent continuer à opérer dans le cadre de la directive actuelle et suivre l'évolution législative via la Commission européenne.

Sources

  • EUR-Lex, directive 2002/58/CE (directive ePrivacy) telle que modifiée : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058
  • Comité européen de la protection des données, lignes directrices 05/2020 sur le consentement au titre du règlement 2016/679 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
  • Commission européenne, proposition législative de règlement ePrivacy : https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: ePrivacy et cookies : ce qui reste requis en 2026

This article covers: Le cadre juridique : la directive ePrivacy reste applicable, Ce qui est exempté, Ce qui requiert un consentement.

  • Le cadre juridique : la directive ePrivacy reste applicable
  • Ce qui est exempté
  • Ce qui requiert un consentement
  • Consentement valable : le standard du RGPD
  • Exigences relatives aux bandeaux de cookies
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.