La bannière cookies est l'un des éléments juridiques les plus visibles de tout site web et, en même temps, l'un des plus souvent mal mis en œuvre. L'Agencia Española de Protección de Datos (AEPD) a publié son Guide sur l'utilisation des cookies et l'a mis à jour pour préciser ce qui est exigé des responsables de sites web en Espagne. Le cadre normatif combine l'article 22.2 de la Loi 34/2002 sur les services de la société de l'information (LSSI-CE), qui impose l'obligation d'informer et d'obtenir le consentement pour les cookies non nécessaires, avec le Règlement (UE) 2016/679 (RGPD) et la Loi organique 3/2018 (LOPDGDD), qui régissent la qualité et la traçabilité de ce consentement. Cet article répond, question par question, à ce que vous devez faire pour que votre site soit conforme.
Que sont les cookies et pourquoi leur réglementation concerne-t-elle presque tous les sites web ?
Les cookies sont de petits fichiers texte qu'un serveur dépose sur l'appareil de l'utilisateur lors d'une visite. Tous les cookies ne nécessitent pas de consentement. La LSSI-CE et le Guide de l'AEPD distinguent entre :
- Cookies exemptés de consentement : ceux strictement nécessaires à la fourniture du service expressément demandé par l'utilisateur (session authentifiée, panier, préférence de langue choisie par l'utilisateur). Aucune bannière ni information préalable n'est requise.
- Cookies nécessitant un consentement : analytiques (Google Analytics, Matomo configuré avec des identifiants persistants), publicitaires comportementaux, réseaux sociaux, reciblage et, en général, tout cookie permettant de suivre l'utilisateur au-delà de la session ou de le profiler.
Si votre site utilise Google Analytics dans sa configuration standard, des pixels Meta, des balises Google Ads ou des boutons sociaux de LinkedIn ou X qui chargent des scripts tiers, vous avez besoin d'une bannière avec un consentement réel. Il n'existe aucune exception fondée sur la taille de l'entreprise.
Qu'est-ce qu'un consentement valide selon le RGPD et l'AEPD ?
L'article 4, paragraphe 11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». L'AEPD traduit cela en quatre exigences cumulatives pour les bannières cookies :
- Libre : l'accès au site web ne peut pas être conditionné à l'acceptation de cookies non nécessaires. Les cookie walls — pages bloquant le contenu jusqu'à ce que l'utilisateur accepte — sont contraires au RGPD si aucune alternative payante ou sans suivi n'est proposée.
- Spécifique : l'utilisateur doit pouvoir choisir pour quelles finalités il consent (analytique oui, publicité comportementale non). Un unique bouton « Tout accepter » sans options granulaires ne satisfait pas cette exigence lorsque plusieurs finalités sont en jeu.
- Éclairé : avant de consentir, l'utilisateur doit savoir quels cookies seront installés, dans quel but, pendant combien de temps et si les données seront transmises à des tiers ou en dehors de l'Espace économique européen.
- Univoque : le silence ou la simple navigation ne peut valoir consentement. Les cases précochées sont invalides. Une action positive claire est requise : appuyer sur un bouton « Accepter » ou configurer et sauvegarder ses préférences.
Que doit contenir la bannière de première couche ?
L'AEPD distingue la première couche (la bannière qui apparaît à l'arrivée sur le site) et la deuxième couche (le panneau de configuration détaillée). La première couche doit contenir au minimum :
- Une description succincte de l'utilisation des cookies et de leur finalité générale.
- Un bouton ou lien clairement libellé pour accepter tous les cookies non nécessaires.
- Un bouton ou lien d'une visibilité et d'un accès équivalents pour refuser tous les cookies non nécessaires ou, au moins, pour accéder à la configuration granulaire.
- Un lien vers la politique cookies complète (deuxième couche ou page dédiée).
Le point critique est la symétrie entre accepter et refuser. Le Guide de l'AEPD est explicite : refuser doit être aussi facile qu'accepter. Un design dans lequel « Tout accepter » apparaît comme un bouton proéminent de couleur vive tandis que « Refuser » est caché en petit texte gris dans un coin n'est pas conforme. Ce type de design manipulateur — appelé dark pattern — peut faire l'objet de sanctions de l'AEPD.
Que sont les dark patterns et pourquoi l'AEPD les sanctionne-t-elle ?
Les dark patterns (sombres interfaces ou modèles de conception trompeurs) sont des techniques d'interface qui amènent l'utilisateur à prendre des décisions qui ne reflètent pas sa volonté réelle. Dans le contexte du consentement cookies, l'AEPD a identifié plusieurs pratiques prohibées :
| Dark pattern | Exemple concret | Pourquoi ce n'est pas conforme |
|---|---|---|
| Interface déséquilibrée | Bouton « Accepter » vert et proéminent ; « Refuser » en texte gris sans bouton | Ne garantit pas la liberté de choix ; oriente vers l'acceptation |
| Options précochées | Toutes les catégories de cookies cochées par défaut dans le panneau de configuration | Le RGPD exige une action positive ; le silence n'est pas un consentement |
| Refus en plusieurs étapes | Accepter : 1 clic ; Refuser : 3 clics et confirmation | Le refus doit être aussi facile que l'acceptation |
| Langage trompeur | « Utiliser les cookies essentiels » présenté comme seule alternative apparente à « Tout accepter » | Information incomplète ; le consentement ne peut être éclairé |
| Re-sollicitation répétée | La bannière réapparaît à chaque visite même si l'utilisateur a déjà refusé | Pression par lassitude pour obtenir l'acceptation |
Que doit contenir la politique cookies (deuxième couche) ?
La politique cookies complète — accessible depuis la bannière et depuis le pied de page — doit détailler pour chaque cookie ou catégorie de cookies :
- Nom du cookie.
- Finalité (analytique, publicité, personnalisation, session, etc.).
- Émetteur (propre ou tiers, en indiquant qui est le tiers).
- Durée de conservation ou date d'expiration.
- Si le tiers est un prestataire hors EEE, la base juridique du transfert international (Décision d'adéquation de la Commission européenne, Clauses contractuelles types, etc.).
- Un lien vers la politique de confidentialité du tiers le cas échéant.
Maintenir cette liste à jour est une obligation continue : chaque fois qu'un outil d'analytique, de publicité ou de chat est ajouté ou modifié sur le site, la politique cookies doit être révisée et mise à jour.
Qu'est-ce que le registre du consentement et pourquoi est-il important ?
L'article 7, paragraphe 1 du RGPD dispose que « le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement ». C'est ce qu'on appelle le principe de responsabilité (accountability). En pratique, la plateforme de gestion du consentement (CMP) que vous utilisez doit enregistrer, pour chaque utilisateur :
- Quelles catégories de cookies ont été acceptées ou refusées.
- Quand (date et heure).
- Sous quelle version de la bannière (si la politique change, les consentements antérieurs peuvent être invalidés).
Si l'AEPD ouvre une enquête ou si un utilisateur exerce son droit d'accès en demandant quels consentements ont été enregistrés, vous devez être en mesure de le prouver. Les solutions CMP telles que Cookiebot, OneTrust ou Axeptio stockent automatiquement ce registre ; mettre en place une bannière sans CMP et sans registre peut suffire à l'AEPD pour considérer que le consentement n'est pas vérifiable.
Quelles sanctions l'AEPD peut-elle imposer pour non-conformité en matière de cookies ?
Les infractions liées au consentement cookies ont une double base de sanction :
- L'article 38.3.b de la LSSI-CE qualifie d'infraction grave le manquement à l'obligation d'informer et d'obtenir le consentement pour l'installation de cookies. Les infractions graves de la LSSI peuvent être sanctionnées jusqu'à 150 000 €.
- Lorsque les cookies traitent des données personnelles (ce qui est toujours le cas lorsqu'il y a suivi ou identification de l'utilisateur), l'infraction est également appréciée au regard du RGPD. L'article 83, paragraphe 4 du RGPD fixe le plafond pour les infractions relatives au consentement à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
En pratique, les sanctions infligées par l'AEPD aux PME espagnoles pour des bannières non conformes ont oscillé entre 3 000 € et 150 000 €, selon l'intentionnalité, le nombre d'utilisateurs concernés, la durée du manquement et la coopération avec l'AEPD. L'AEPD peut également ordonner la suppression des données collectées sans consentement valide, ce qui peut avoir un impact opérationnel plus important que la sanction financière pour les entreprises dont le modèle repose sur des données comportementales.
À quelle fréquence faut-il renouveler le consentement des utilisateurs ?
Le Guide de l'AEPD précise que le consentement n'a pas de durée indéfinie. À titre indicatif, il suggère qu'au-delà de 24 mois depuis que l'utilisateur a donné son consentement sans avoir de nouveau interagi avec la bannière, il est raisonnable de le solliciter à nouveau pour vérifier que la volonté demeure la même. De même, si la politique cookies change substantiellement (nouvelles finalités, nouveaux tiers, changement de base de transfert international), le consentement antérieur peut ne pas couvrir les nouvelles circonstances et il convient de le renouveler.
Comment accompagnons-nous depuis Summum Consultoría ?
La mise en conformité de la bannière et de la politique cookies ne se réduit pas à un exercice de rédaction : elle implique d'auditer les cookies réellement installés par le site (souvent plus nombreux que ce que le responsable croit), de configurer correctement la plateforme de gestion du consentement et de la maintenir à jour à mesure que la pile technologique du site évolue. Chez Summum Consultoría, nous réalisons l'analyse technique et juridique complète : scan des cookies, rédaction de la politique, configuration de la CMP et formation de l'équipe responsable du site.
Si vous souhaitez également réviser l'ensemble des obligations de votre site sous la LSSI et le RGPD — mentions légales, politique de confidentialité, conditions de vente — consultez notre article sur les obligations légales d'une boutique en ligne. Et si votre organisation a l'obligation de désigner un DPD ou souhaite externaliser cette fonction, nous vous expliquons les critères dans notre guide sur le DPD externe : quand est-il obligatoire ?
Questions fréquentes
Un site web informatif sans boutique en ligne a-t-il également besoin d'une bannière cookies ?
Oui, s'il installe des cookies qui ne sont pas strictement nécessaires au service. La plupart des sites informatifs utilisent Google Analytics, des boutons de réseaux sociaux ou des pixels de suivi qui activent des cookies tiers. Dans tous ces cas, un consentement préalable est requis, indépendamment de l'existence de transactions économiques sur le site.
Puis-je encore comptabiliser les visites si l'utilisateur refuse les cookies ?
Oui, mais de façon limitée. Il existe des méthodes de mesure du trafic qui n'utilisent pas de cookies ni d'identifiants persistants et qui ne nécessitent donc pas de consentement : analytique serveur basée sur les journaux, compteurs de visites sans identification de l'utilisateur ou outils comme Matomo configuré en mode sans cookies. Ces méthodes fournissent des métriques moins granulaires que GA4, mais sont conformes sans nécessiter de bannière de consentement pour cette fonction spécifique.
Qu'en est-il des cookies de réseaux sociaux installés par les boutons de partage ?
Les boutons de partage de Facebook, X, LinkedIn ou Instagram qui chargent les scripts de ces plateformes installent des cookies tiers dès que l'utilisateur charge la page, avant même qu'il ne clique sur le bouton. Pour éviter cela sans renoncer aux boutons, des solutions en deux clics ou de chargement différé existent : le bouton n'active le script que lorsque l'utilisateur clique dessus (ou après que le consentement pour cette catégorie a été donné). Cette configuration est la seule conforme si l'utilisateur n'a pas consenti aux cookies des réseaux sociaux.
Suffit-il d'installer un plugin cookies sur WordPress ?
Cela dépend du plugin et de sa configuration. De nombreux plugins cookies pour WordPress génèrent une bannière, mais ne bloquent pas effectivement les cookies avant que l'utilisateur ne consente : ils installent les cookies de Google Analytics ou de Meta dès le premier chargement de page, avant l'apparition de la bannière. Pour être conforme, le plugin doit implémenter un blocage préalable au consentement (prior blocking), une compatibilité avec le mode de consentement Google et un registre auditable des préférences de l'utilisateur. Un audit technique est nécessaire pour confirmer que le plugin choisi respecte ces exigences en pratique.