Cookies : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le terme cookies désigne, dans le langage technique du numérique, les petits fichiers déposés et lus par un service en ligne sur le terminal de l'utilisateur (ordinateur, smartphone, tablette, objet connecté) lorsqu'il consulte un site web ou utilise une application.

Le terme cookies désigne, dans le langage technique du numérique, les petits fichiers déposés et lus par un service en ligne sur le terminal de l'utilisateur (ordinateur, smartphone, tablette, objet connecté) lorsqu'il consulte un site web ou utilise une application. Sur le plan juridique, la notion s'étend à l'ensemble des traceurs susceptibles d'identifier un utilisateur ou son terminal, qu'il s'agisse de cookies HTTP au sens technique strict, de pixels invisibles, d'identifiants stockés dans le local storage, d'empreintes numériques de navigateur ou d'identifiants publicitaires de smartphone.

Le cadre juridique applicable aux cookies en France combine deux corpus de règles. L'article 82 de la loi Informatique et Libertés du 6 janvier 1978, qui transpose l'article 5 paragraphe 3 de la directive ePrivacy 2002/58/CE, conditionne tout dépôt ou lecture de traceurs au recueil préalable du consentement de l'utilisateur. Le Règlement (UE) 2016/679 (RGPD) s'applique parallèlement dès lors que les cookies traitent des données à caractère personnel, ce qui est le cas de la quasi-totalité des cookies de mesure d'audience, de personnalisation et de publicité.

L'enjeu est devenu central dans la stratégie de conformité numérique des entreprises. La CNIL a publié plusieurs sanctions millionnaires depuis 2020 contre des opérateurs qui ne respectaient pas les exigences de recueil du consentement, et la doctrine du régulateur français en la matière constitue désormais l'une des références européennes en termes de rigueur.

Vous souhaitez sécuriser votre conformité cookies ? Le Cabinet Aurore Bonavia audite vos bandeaux cookies, vos politiques de traceurs et accompagne vos arbitrages stratégiques en lien avec la délibération CNIL. → Voir l'accompagnement en droit du numérique

Les catégories de cookies au regard du droit applicable

La distinction juridique fondamentale oppose les cookies soumis au consentement préalable et les cookies dispensés de consentement.

Sont dispensés de consentement préalable les cookies strictement nécessaires à la fourniture du service expressément demandé par l'utilisateur. La CNIL identifie dans sa délibération n° 2020-091 du 17 septembre 2020 les principales catégories couvertes par cette exception :

  • les cookies de panier d'achat sur un site marchand ;
  • les cookies d'identification de session authentifiant l'utilisateur connecté ;
  • les cookies de personnalisation de l'interface (langue, devise, format d'affichage) reflétant un choix exprimé par l'utilisateur ;
  • les cookies d'équilibrage de charge entre serveurs ;
  • les cookies de mesure d'audience strictement nécessaire, à condition qu'ils répondent à des critères stricts énumérés par la CNIL (anonymisation rapide, conservation limitée à 25 mois, pas de recoupement avec d'autres traitements, pas de transmission à des tiers).

Sont soumis au consentement préalable tous les autres cookies, et notamment les cookies de publicité ciblée, de personnalisation de contenu, de mesure d'audience non exemptée, les boutons de partage social lorsqu'ils déposent des cookies, et les cookies déposés par les plateformes vidéo intégrées via une iframe.

Le mécanisme de recueil du consentement aux cookies

La délibération CNIL n° 2020-091 du 17 septembre 2020, complétée par la délibération n° 2020-092 portant recommandation pratique, fixe les exigences du recueil du consentement aux cookies en France. L'autorité retient cinq prescriptions opérationnelles principales.

Le bandeau de premier niveau doit informer l'utilisateur de la finalité des cookies, de l'identité des responsables de traitement et de la possibilité de refuser. Il ne peut pas se contenter d'un seul bouton « Accepter » ou « OK » : un bouton « Refuser » doit être présent au même niveau d'arborescence, dès le bandeau initial, et présenté avec une visibilité équivalente au bouton d'acceptation.

Aucun cookie soumis au consentement ne peut être déposé tant que l'utilisateur n'a pas exprimé son choix. La simple poursuite de la navigation, le défilement de la page ou le clic sur un lien interne ne valent pas consentement.

Le consentement doit être granulaire lorsque les cookies poursuivent plusieurs finalités hétérogènes (publicité, mesure d'audience, personnalisation). L'utilisateur doit pouvoir accepter ou refuser séparément chaque finalité, ou au moins disposer d'un mécanisme de personnalisation accessible dès le premier niveau du bandeau.

Le retrait du consentement doit être aussi simple que son recueil. Cette exigence se traduit par la présence d'un module de gestion des cookies accessible en permanence depuis le pied de page ou un lien dédié, permettant à l'utilisateur de modifier ses choix à tout moment.

La preuve du consentement doit être conservée par le responsable de traitement, à des fins probatoires en cas de contrôle CNIL ou de contentieux. Les solutions de Consent Management Platform (CMP) intègrent généralement cette fonction par horodatage et stockage des choix de l'utilisateur.

La durée de conservation des cookies et des choix

L'article 5 paragraphe 3 de la directive ePrivacy n'impose pas de durée maximale aux cookies eux-mêmes, mais la CNIL recommande dans sa délibération que la durée de validité du consentement n'excède pas six mois à compter de l'expression du choix. Au-delà de cette période, le consentement doit être à nouveau sollicité auprès de l'utilisateur.

Le refus des cookies par l'utilisateur doit également être respecté pendant une durée raisonnable, fixée par la CNIL à six mois également. Au cours de cette période, le bandeau ne peut pas être à nouveau présenté pour solliciter le consentement, sauf à pouvoir démontrer un changement substantiel justifiant la nouvelle sollicitation. Cette règle vise à empêcher les pratiques de dark patterns consistant à représenter le bandeau jusqu'à épuisement de la résistance de l'utilisateur.

Spécificité juridique sur les sanctions applicables

L'article 84 paragraphe 1 de la loi Informatique et Libertés autorise la CNIL à prononcer, en cas de manquement aux dispositions sur les cookies, l'ensemble des mesures de l'article 20 de la loi, parmi lesquelles l'amende administrative dont le montant peut atteindre les plafonds suivants :

« II. – Lorsque le responsable de traitement ou son sous-traitant ne se conforme pas aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ou de la présente loi, le président de la formation restreinte peut, après mise en demeure restée infructueuse, prononcer une amende administrative dont le montant ne peut excéder 10 millions d'euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »

Plusieurs sanctions retentissantes ont été prononcées depuis 2020 contre des opérateurs majeurs du numérique : 60 millions d'euros à l'encontre de Facebook Ireland en janvier 2022, 150 millions d'euros à l'encontre de Google LLC et 90 millions d'euros à l'encontre de Google Ireland en décembre 2021, ces deux dernières sanctions ayant été confirmées par le Conseil d'État dans une décision du 28 juin 2022. Ces décisions ont consacré la sévérité de la doctrine française en matière de cookies et confirmé l'absence de tolérance à l'égard des bandeaux qui ne proposent pas un refus aussi simple que l'acceptation.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de cookies

  • l'audit de votre bandeau cookies et l'identification des écarts par rapport à la délibération CNIL n° 2020-091 ;
  • la cartographie des cookies déployés sur votre site et leur qualification juridique (exemptés de consentement ou soumis au consentement) ;
  • la rédaction de la politique cookies et de la politique de confidentialité associées ;
  • la conception du parcours utilisateur de recueil et de retrait du consentement, conforme au principe de symétrie ;
  • la sélection et le paramétrage d'une Consent Management Platform (CMP) compatible avec la doctrine CNIL ;
  • la documentation des choix utilisateurs et la conservation des preuves de consentement ;
  • la défense face aux contrôles et procédures de sanction de la CNIL portant sur les cookies ;
  • la formation des équipes marketing, communication et techniques aux exigences cookies.

En savoir plus sur l'accompagnement du cabinet : avocat CNIL.

Sources : Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 art. 82 et 84, Directive 2002/58/CE (ePrivacy) art. 5 paragraphe 3, Règlement (UE) 2016/679 (RGPD), CNIL délibérations n° 2020-091 et n° 2020-092 du 17 septembre 2020, Conseil d'État 28 juin 2022 (sanctions Google et Facebook), EDPB Lignes directrices 2/2023 sur le consentement. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.