Cookies et traceurs en 2026 : les 7 pieges qui valent jusqu'a 150 millions d'euros d'amende

La CNIL a sanctionne Google a 150 millions d'euros, Microsoft a 60 millions, Amazon a 35 millions. Tous pour une raison : un bandeau cookies mal configure. Et elle ne s'arrete plus aux geants. En 2025, 21 organismes ont ete sanctionnes sur le seul sujet des traceurs, selon le bilan publie le 9 fevrier 2026 : cnil.fr/fr/bilan-sanctions-2025.

La bonne nouvelle : ces erreurs sont toutes evitables en une apres-midi. La mauvaise : si vous les faites, la CNIL n'a aucune raison de vous epargner. Voici les 7 pieges a eviter, illustres par les sanctions reelles correspondantes.

D'abord, on recadre : la loi cookies, qu'est-ce que c'est ?

La regle principale vient de l'article 82 de la loi Informatique et Libertes, qui transpose la directive ePrivacy. Elle s'applique a tout site web accessible en France, peu importe la nationalite de l'editeur.

Principe : tout traceur (cookie, pixel, fingerprinting, localstorage, SDK mobile) qui n'est pas strictement necessaire au fonctionnement du site doit faire l'objet d'un consentement libre, eclaire, specifique et univoque avant son depot.

Les traceurs exemptes de consentement sont :

• Les cookies de session techniques (panier, authentification, preference de langue).
• Les cookies de securite (anti-bot).
• La mesure d'audience strictement interne et anonymisee (Matomo ou Umami self-hosted avec IP anonymisee et cycle de conservation limite).

Tout le reste necessite un bandeau conforme. Source : cnil.fr/fr/cookies-et-autres-traceurs/que-dit-la-loi.

Piege 1 -- "Refuser" moins visible qu'"Accepter"

La sanction emblematique : Google, 150 millions d'euros en janvier 2022. Sur google.fr et youtube.com, accepter les cookies se faisait en un clic, refuser necessitait plusieurs clics. La CNIL a juge cela contraire a la liberte du consentement. Source : cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros.

La regle : la CNIL le dit noir sur blanc : "Permettre a l'utilisateur d'exercer ses choix avec le meme degre de simplicite : par exemple, au stade du premier niveau d'information, les utilisateurs peuvent avoir le choix entre deux boutons presentes au meme niveau et sur le meme format" (Source : cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite).

Comment eviter le piege :

• Deux boutons, meme taille, meme couleur de fond ou contraste equivalent, meme police.
• Libelles clairs : "Tout accepter" et "Tout refuser". Pas "Parametrer" cache en petit.
• Pas de "Accepter" en vert et "Refuser" en gris transparent.

Piege 2 -- Cookies deposes avant l'affichage du bandeau

La sanction : Microsoft Ireland, 60 millions d'euros. Sur bing.com, des cookies publicitaires etaient deposes des l'arrivee sur le site, avant meme que l'utilisateur ait vu le bandeau. Source : cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited.

La regle : aucun traceur non exempte ne doit etre depose tant que l'utilisateur n'a pas clique sur "Accepter".

Comment eviter le piege :

• Ouvrez votre site en navigation privee.
• Appuyez sur F12, onglet Application > Cookies (sur Chrome et Edge) ou Stockage > Cookies (sur Firefox).
• Rechargez la page sans toucher au bandeau.
• Si vous voyez apparaitre _ga (Google Analytics), _fbp (Meta), _hjSessionUser (Hotjar), visitor_id (HubSpot) ou des cookies avec .doubleclick.net ou .facebook.com dans leur domaine : vous etes en infraction.

La solution technique : utiliser un Consent Management Platform (CMP) qui bloque le tag manager jusqu'au consentement. Axeptio, Didomi, Osano, ou votre propre implementation cote Google Tag Manager en mode "Consent Mode v2".

Piege 3 -- Continuer a naviguer = accepter

La position de la CNIL : "dans la mesure ou le consentement doit resulter d'un acte univoque, toute autre action (par exemple, la fermeture du bandeau de recueil de consentement) que celle permettant explicitement d'accepter doit etre consideree comme un refus" (Source : cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite).

Ce qui est interdit :

• Fermeture du bandeau = acceptation.
• Scroll sur la page = acceptation.
• Clic dans la page (hors boutons du bandeau) = acceptation.

La regle : seul un clic explicite sur "Accepter tous" ou l'equivalent fin de parcours validant les choix vaut consentement. Tout le reste doit etre traite comme un refus.

Piege 4 -- Google Analytics sans configuration minimale

Le probleme : Google Analytics en configuration par defaut depose des cookies publicitaires sans anonymisation IP et partage les donnees avec les infrastructures Google US. Depuis 2022, la CNIL considere que Google Analytics "classique" (UA et GA4 non configure) ne peut pas etre utilise sans consentement prealable.

Les trois voies conformes :

Voie 1 -- Configuration stricte

Activer Google Consent Mode v2 en mode "default denied", anonymiser les IP, desactiver le partage avec Google Signals, configurer la retention des donnees au minimum (2 mois recommande).

Voie 2 -- Serveur de proxy

Heberger un proxy GA (par exemple via un tag server-side) pour eviter les transferts directs et controler precisement les donnees envoyees.

Voie 3 -- Changer d'outil

Passer sur un analytics exempte de consentement :

• Plausible -- francais, RGPD-friendly.
• Matomo self-hosted avec anonymisation IP.
• Umami -- open source.

Bonus : vous supprimez le bandeau cookies et vous gagnez 5 a 15 % de taux de conversion.

Piege 5 -- Pixel Meta, TikTok, LinkedIn sans refus equivalent

Les pixels de reseaux sociaux sont systematiquement non exemptes. Ils tracent les visiteurs au-dela de votre site, a des fins publicitaires. Consentement obligatoire.

Ce que la CNIL sanctionne :

• Installer le pixel Meta via Google Tag Manager sans passer par le CMP.
• Avoir un bouton "Refuser" qui refuse le pixel mais pas les autres traceurs publicitaires.
• Ne pas mentionner les pixels dans l'information utilisateur de premier niveau.

Sanction recente : en janvier 2026, une entreprise a ete sanctionnee 3,5 millions d'euros pour transmission de donnees a un reseau social a des fins publicitaires sans base legale adequate. Source : cnil.fr/fr/bilan-sanctions-2025.

La verification : ouvrez votre site en navigation privee, refusez les cookies, allez dans DevTools > Network > Filter par "facebook". S'il y a des requetes vers connect.facebook.net ou facebook.com/tr : vous etes en infraction.

Piege 6 -- Hotjar, session recording et screen replay

Les outils de session recording (Hotjar, Mouseflow, Smartlook, FullStory, LogRocket) enregistrent les mouvements de souris, clics et saisies de formulaires de vos utilisateurs. Ce sont des traceurs comportementaux non exemptes.

Les 3 pieges associes :

1. Installer Hotjar en pensant qu'il s'agit juste d'analytics : non, c'est du comportemental, donc consentement obligatoire.
2. Ne pas configurer le masquage des formulaires de saisie : vous captez des donnees sensibles (emails, mots de passe, CB) sans base legale.
3. Ne pas mentionner ces outils dans votre politique de confidentialite.

La regle : pour tout session recording, consentement explicite + configuration de masquage des champs sensibles + duree de conservation courte (30 jours max recommandes).

Piege 7 -- Cookies dont la duree depasse 13 mois

La recommandation CNIL : la duree de conservation d'un cookie publicitaire ou de mesure d'audience ne doit pas depasser 13 mois. Au-dela, vous devez recueillir un nouveau consentement. La CNIL considere cette duree comme la duree maximale acceptable pour un "consentement reste pertinent". Source : recommandations CNIL sur les cookies, cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformite.

Ou vous vous faites piquer :

• Votre CMP configure par defaut stocke le consentement pour 24 mois : corrigez.
• Google Analytics retient les donnees par defaut pour 14 mois : reglez sur 2 a 6 mois.
• Votre pixel Meta depose un cookie _fbp valide 3 mois : conforme, mais _fbc est valide 2 ans, non conforme en l'etat.

L'action : auditer vos cookies un par un. Google Tag Manager vous donne la liste. Chaque ligne doit afficher une duree inferieure ou egale a 13 mois, sinon vous ajustez.

La check-list finale -- 10 minutes chrono

Ouvrez votre site en navigation privee et suivez ces 8 verifications :

Si vous avez 8 "oui" : vous etes tranquille. Un seul "non" : vous avez du travail avant lundi.

FAQ

J'ai installe Axeptio ou Didomi, je suis couvert ? Pas automatiquement. Ces outils sont de bons CMP bien configures. En mauvaise configuration (tous les scripts charges avant consentement, categorisation floue, retention trop longue), vous etes en infraction malgre le CMP.

Mon site est en B2B uniquement, la loi cookies s'applique-t-elle ? Oui. L'article 82 s'applique a tous les sites, B2B comme B2C. La nature des visiteurs ne change pas la regle.

Combien la CNIL donne-t-elle de temps pour se mettre en conformite apres une mise en demeure ? Classiquement 3 a 6 mois. Mais la mise en demeure peut etre suivie directement d'une sanction si le manquement est grave ou recidivant.

Puis-je "conditionner" l'acces a mon site a l'acceptation des cookies ? C'est ce qu'on appelle les cookie walls. La CNIL les tolere sous conditions strictes (alternative equivalente proposee, pas de discrimination), mais ils restent juridiquement tres risques et peuvent etre sanctionnes au cas par cas.

Pour aller plus loin

• [[2026-01-22-cnil-2025-bilan-sanctions-pme|Bilan CNIL 2024 : cookies en premier sur le banc des accuses]]
• Cookies et traceurs : comment mettre mon site web en conformite
• Cookies et traceurs : que dit la loi

Les cookies sont le seul sujet de conformite RGPD que la CNIL peut controler a distance, sans rendez-vous ni preavis, simplement en ouvrant votre site. C'est le sujet ou vous devez etre irreprochable. La bonne nouvelle, c'est qu'il vous coute 2 heures de travail une fois.

Dans rgpdsimplement, on scanne votre site et on vous remonte les 8 points de la check-list ci-dessus avec les cookies detectes en temps reel. Scanner gratuit ici.

-- Cloclo