RGPD : la CNIL renforce sa lutte contre les bannières cookies trompeuses

La Commission nationale de l’informatique et des libertés (CNIL) a récemment intensifié ses actions contre les éditeurs de sites web qui utilisent des bannières de gestion des cookies jugées trompeuses. En réaction à plusieurs plaintes d’internautes, la CNIL a mis en demeure plusieurs sites de modifier leurs pratiques, estimant qu’elles ne garantissent pas un consentement valide des utilisateurs.

🟠 1 – Cookies et consentement : des pratiques trompeuses dans le viseur de la CNIL

La CNIL a constaté plusieurs techniques manipulatrices utilisées par certains sites web pour inciter les utilisateurs à accepter les cookies :

  • L’absence ou la dissimulation d’un bouton « Tout refuser », tandis que l’option « Tout accepter » est bien visible et mise en avant ;
  • Des messages ambigus incitant fortement à consentir aux cookies en exagérant leurs bénéfices ;
  • Un parcours complexe dans lequel refuser les cookies nécessite plusieurs clics, alors que l’acceptation se fait en un seul clic ;
  • Une mise en page trompeuse, rendant l’option de refus peu visible en jouant sur les couleurs, la taille ou la position du texte.

Ces stratégies sont désormais considérées comme non conformes aux exigences du Règlement Général sur la Protection des Données (RGPD), de la directive ePrivacy et de la loi Informatique et Libertés (article 82). 

🟠 2 – Des mises en demeure avec obligation de mise en conformité

À la suite de l’analyse des plaintes reçues, la Présidente de la CNIL a décidé de mettre en demeure plusieurs éditeurs de sites web, leur imposant de modifier leurs bannières de recueil du consentement dans un délai d’un mois. Cette injonction s’appuie sur les lignes directrices et recommandations de la CNIL, ainsi que sur le rapport final du Comité européen de la protection des données (CEPD) du 17 janvier 2023.

Les sites concernés doivent s’assurer que le refus des cookies soit aussi simple que leur acceptation et que l’information affichée soit claire et complète. À défaut, ils risquent des sanctions financières pouvant atteindre 2 % du chiffre d’affaires mondial, ainsi qu’un impact négatif sur leur image.

🟠 3 – Des recommandations pour des bannières conformes  

Afin d’éviter toute sanction, la CNIL recommande aux éditeurs de sites web de respecter les principes suivants :

  • La présence d’un bouton « Tout refuser » aussi accessible que « Tout accepter » ;
  • Une information claire et non biaisée sur l’usage des cookies et les moyens de s’y opposer ;
  • Une présentation graphique équilibrée, ne favorisant pas artificiellement le consentement.

Ces bonnes pratiques garantissent un choix réellement libre et éclairé pour les internautes.

🟠 4 – L’impact pour les entreprises

Cette décision de la CNIL illustre un durcissement de la régulation sur les pratiques de recueil du consentement en ligne. Les entreprises doivent s’adapter rapidement et adopter des solutions conformes aux exigences du RGPD et de la directive ePrivacy.

🟠 Conclusion

La mise en demeure de plusieurs sites par la CNIL marque une étape clé dans la lutte contre les pratiques trompeuses en matière de gestion des cookies. Cette action rappelle aux entreprises qu’un consentement valide doit être obtenu dans des conditions de transparence et d’équité. La mise en conformité devient une nécessité, sous peine de sanctions financières et d’une perte de confiance des internautes.

 

Pour en savoir plus / sources :

https://www.cnil.fr/fr/bannieres-cookies-trompeuses-la-cnil-met-en-demeure-des-editeurs-de-sites-web

https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies

https://www.cnil.fr/fr/le-cepd-adopte-le-rapport-final-de-la-task-force-dediee-aux-bannieres-cookies-cookie-banner

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.

Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.

Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.