Cookies & consentement Publié le 4 mai 2026 · Lecture : 11 min

Bandeau cookies RGPD : 7 erreurs qui te coûtent une amende CNIL en 2026

Le bandeau cookies est LE point n°1 que la CNIL contrôle en 2026. Et c'est aussi celui où la majorité des sites français se plantent — souvent sans le savoir.

Plus de 100 entreprises françaises sanctionnées par la CNIL en 2024-2025 sur leur gestion du consentement cookies. Montants : de 5 000€ pour les TPE à 290 millions d'€ pour Uber. Le point commun : un bandeau cookies non-conforme.

Cet article liste les 7 erreurs les plus fréquentes, avec pour chacune :

Le symptôme exact (comment savoir si tu es concerné)
Le risque CNIL (montants des amendes selon la taille de l'entreprise)
La correction concrète en 5-10 minutes

À la fin, tu pourras vérifier ton site en 30 secondes pour savoir si tes cookies sont conformes.

Petit rappel : ce que dit la CNIL en 2026

Selon la règlementation officielle de la CNIL, un bandeau cookies conforme doit respecter 6 principes obligatoires :

Information claire et complète sur les cookies utilisés et leurs finalités
Consentement libre, spécifique, éclairé et univoque — case non pré-cochée
Refuser aussi facilement qu'accepter — bouton "Refuser" au même niveau visuel
Aucun cookie non-essentiel ne se charge avant consentement
Possibilité de retirer son consentement aussi facilement (lien dans le footer)
Conservation du consentement maximum 13 mois (au-delà, redemander)

Si tu rates UNE seule de ces règles, ton site est non-conforme. Et la CNIL n'envoie plus de simples avertissements en 2026 — elle sanctionne directement.

Les 7 erreurs les plus fréquentes

Bouton "Refuser" caché ou plus difficile que "Accepter"

📍 Symptôme : Sur ton bandeau, le bouton "Tout accepter" est en couleur vive (vert, bleu) et bien visible. Mais "Refuser" est planqué en gris clair, en bas, ou il faut faire 2 clics ("Personnaliser → Tout refuser"). Voire pas de bouton "Refuser" du tout.

⚖️ Risque CNIL : C'est l'erreur la plus sanctionnée en 2024-2025. La CNIL considère ça comme du "dark pattern" : tu manipules l'utilisateur pour qu'il accepte. Amendes typiques pour cette infraction seule : 50 000€ à 500 000€ pour les PME, plusieurs millions pour les grandes entreprises.

✓ Correction : Mettre le bouton "Refuser tout" au MÊME niveau visuel que "Accepter tout" — même taille, même couleur ou un contraste équivalent, sur la même ligne. Pas de "Personnaliser → tout refuser" en cascade.

2024 — Yahoo : 10 millions €

YAHOO! EMEA LIMITED

Motif : bouton "Refuser" inaccessible en 1 clic depuis le bandeau initial. Sanction CNIL prononcée en décembre 2023, confirmée en 2024.

Cookies qui se chargent AVANT le consentement

📍 Symptôme : Tu ouvres ton site en navigation privée. Tu ouvres les DevTools (F12) → onglet "Application" → "Cookies". Tu vois déjà des cookies créés (Google Analytics, Facebook Pixel, Hotjar...) ALORS QUE tu n'as encore rien cliqué sur le bandeau.

⚖️ Risque CNIL : Violation directe de la loi cookies + RGPD art. 7. Sanction systématique en cas de plainte. La CNIL contrôle ça en 30 secondes lors d'un audit.

✓ Correction : Configurer ton CMP (Tarteaucitron, Axeptio, Complianz) pour bloquer réellement tous les scripts non-essentiels. Vérifier après en navigation privée que les DevTools ne montrent plus aucun cookie tiers avant le clic.

2022-2024 — Google : 150 millions €

GOOGLE LLC + GOOGLE IRELAND LIMITED

Motif : cookies déposés sur google.fr et youtube.com avant tout consentement utilisateur. Sanction CNIL du 31/12/2021, confirmée par le Conseil d'État.

Pas de gestion granulaire (consentement par catégorie)

📍 Symptôme : Ton bandeau propose seulement "Accepter tout" / "Refuser tout". Pas de possibilité de choisir : "Accepter seulement les cookies de mesure d'audience, refuser les cookies marketing".

⚖️ Risque CNIL : Violation du principe de "consentement spécifique" (RGPD art. 7). L'utilisateur doit pouvoir choisir précisément ce qu'il accepte. Amendes de 20 000€ à 200 000€ pour les PME en 2024-2025.

✓ Correction : Activer le mode "Personnaliser" dans ton CMP avec au minimum 4 catégories : Strictement nécessaires (toujours actifs), Mesure d'audience, Personnalisation, Publicité ciblée / Marketing. L'utilisateur doit pouvoir cocher/décocher chaque catégorie.

Aucun moyen de retirer son consentement après l'avoir donné

📍 Symptôme : Une fois que l'utilisateur a accepté les cookies, le bandeau disparait. Plus aucun moyen de revenir en arrière (pas de lien "Gérer mes cookies" dans le footer, pas de roue de cookie dans un coin de l'écran).

⚖️ Risque CNIL : Violation du principe "le consentement doit être aussi facile à retirer qu'à donner" (RGPD art. 7-3). Sanction systématique en cas de plainte d'un utilisateur frustré.

✓ Correction : Ajouter un lien "Gérer mes cookies" ou "Préférences cookies" dans le footer de ton site, présent sur TOUTES les pages. Le clic doit ré-ouvrir le bandeau de consentement avec les choix actuels pré-remplis.

Consentement stocké plus de 13 mois

📍 Symptôme : Tu as accepté les cookies sur un site il y a 18 mois. Tu reviens aujourd'hui : le bandeau ne réapparait pas, le site considère que ton ancien consentement est encore valide.

⚖️ Risque CNIL : La CNIL impose un renouvellement du consentement cookies tous les 13 mois maximum. Au-delà, le consentement est considéré comme "périmé". Sanction modérée (10 000-50 000€) mais quasi-systématique en cas de contrôle.

✓ Correction : Configurer ton CMP pour expirer le cookie de consentement après 13 mois maximum (souvent 6 ou 12 mois par défaut). Tarteaucitron : modifier la variable cookieExpiry dans la config. Complianz : réglages → Avancé → Durée de validité du consentement.

Dark patterns (textes trompeurs ou design manipulateur)

📍 Symptôme : Le bandeau utilise des formulations qui poussent à accepter : "Notre site utilise des cookies pour améliorer votre expérience. Continuer ?" + un seul bouton "OK". Ou des phrases anxiogènes type "Sans accepter les cookies, certaines fonctions ne marcheront plus".

⚖️ Risque CNIL : Violation du principe "consentement libre". Si la CNIL juge que tu as utilisé un dark pattern pour pousser au consentement, c'est sanctionné comme un défaut total de consentement.

✓ Correction : Texte neutre et factuel : "Ce site utilise des cookies pour [finalités précises]. Vous pouvez accepter, refuser, ou personnaliser vos choix. Pour plus d'informations, consultez notre [politique cookies].". Les 3 boutons (Accepter / Refuser / Personnaliser) doivent être visuellement équivalents.

Pas de stockage de la preuve du consentement

📍 Symptôme : Ton site collecte le consentement, mais ne stocke nulle part la preuve : qui a consenti, quand, à quelles catégories, depuis quelle adresse IP. Si la CNIL te demande de prouver que monsieur Dupont a bien accepté tes cookies marketing, tu ne peux pas.

⚖️ Risque CNIL : Le RGPD article 7 impose que le responsable de traitement soit "en mesure de démontrer que la personne concernée a donné son consentement". Sans preuve, c'est juridiquement comme s'il n'y avait pas eu de consentement.

✓ Correction : Activer la fonction "Consent Log" de ton CMP (Complianz Premium, CookieYes, OneTrust...). Ou utiliser un CMP gratuit qui stocke en base : Complianz Free stocke les consentements dans la base WordPress. Tarteaucitron ne le fait pas par défaut.

Le mini-audit en 5 minutes : tes cookies sont-ils conformes ?

Avant de plonger dans les corrections, fais ce mini-audit en 5 minutes pour savoir où tu en es :

Ouvre ton site en navigation privée (Ctrl+Shift+N sur Chrome)
Avant de cliquer sur le bandeau, ouvre F12 → Application → Cookies. Combien de cookies tiers ? S'il y en a déjà → erreur n°2.
Regarde ton bandeau : "Refuser" est-il aussi visible que "Accepter" ? Sinon → erreur n°1.
Y a-t-il un bouton "Personnaliser" avec choix par catégorie ? Sinon → erreur n°3.
Va dans le footer : y a-t-il un lien "Gérer mes cookies" ? Sinon → erreur n°4.
Clique "Refuser tout". Recharge la page. Re-vérifie F12 : aucun cookie tiers ne doit s'être créé.
Si tu utilises un plugin (Tarteaucitron, Complianz...), vérifie la durée du consentement (13 mois max).

Si tu détectes UNE de ces erreurs, ton bandeau est non-conforme et tu es exposé à une sanction CNIL. La bonne nouvelle : toutes ces corrections prennent 30 minutes à 2 heures maximum avec un bon CMP.

Les 4 CMP recommandées pour 2026

1. Tarteaucitron (gratuit, français, open-source)

Le couteau-suisse historique de la conformité cookies en France. Gratuit, open-source, fait par Amaury Balmer. Convient parfaitement aux sites WordPress, Drupal, custom HTML. Limite : pas de stockage natif des preuves de consentement (à coupler avec un autre outil pour ça).

2. Complianz (freemium, néerlandais)

Le plugin WordPress le plus complet. Version gratuite suffit pour 90% des cas. Inclut : scanner cookies automatique, gestion 4 catégories, blocage natif des scripts, stockage des consentements, intégration Consent Mode v2 de Google. complianz.io

3. Axeptio (freemium, français)

Design soigné, expérience utilisateur très soignée. Plan gratuit limité à 5 000 affichages/mois. À partir de 35€/mois pour les sites à fort trafic. Bon choix pour les sites qui veulent un design pro. axeptio.eu

4. CookieYes (freemium, anglo)

Très utilisé sur WordPress (3M+ installations). Plan gratuit suffisant pour les petits sites. Génère automatiquement la politique cookies. cookieyes.com

Tableau récap : éviter les 7 erreurs

Voici une checklist rapide à imprimer ou enregistrer :

☐ Bouton "Refuser" au même niveau visuel que "Accepter"
☐ Aucun cookie tiers ne se charge avant clic sur le bandeau
☐ Choix par catégorie disponible (mesure / personnalisation / marketing)
☐ Lien "Gérer mes cookies" présent dans le footer
☐ Durée de stockage du consentement ≤ 13 mois
☐ Texte neutre et factuel, pas de dark pattern
☐ Stockage de la preuve du consentement (qui, quand, quelles catégories)

Si tu coches les 7 cases, ton bandeau est conforme RGPD/CNIL.

Comment vérifier en 30 secondes (sans audit manuel)

Faire l'audit manuel ci-dessus prend ~5 minutes. Mais tu peux automatiser la vérification avec un scanner externe.

VeriSite est un SaaS français qui scanne automatiquement ton site en 30 secondes et te dit :

Quels cookies/trackers se chargent AVANT le consentement
Si ton bandeau est correctement configuré
Si Google Analytics, Meta Pixel, Hotjar, etc. sont bloqués comme prévu
Quel CMP est détecté (et s'il est bien configuré)
Les autres problèmes RGPD, RGAA, LCEN et sécurité de ton site

Le scan est gratuit, sans inscription, sans CB.

Vérifier ton bandeau cookies en 30 secondes

Détecte automatiquement les 7 erreurs listées dans cet article + 43 autres points de conformité RGPD, RGAA, LCEN et sécurité.

Lancer un scan gratuit →

FAQ rapide

Mon site n'a pas de Google Analytics, ai-je besoin d'un bandeau cookies ?

Si ton site utilise uniquement des cookies strictement nécessaires (panier, connexion, langue), tu n'as pas besoin de bandeau cookies. Mais 99% des sites utilisent au minimum un outil de mesure (analytics, Hotjar, Tag Manager) → bandeau obligatoire.

Mon hébergeur (OVH, Wix...) ne met pas de cookies tiers, c'est OK ?

L'hébergeur n'est pas le sujet — ce sont les services tiers que TU as ajoutés sur ton site (analytics, ads, embeds vidéos, fonts CDN...) qui posent problème. Vérifie avec un scanner.

Les cookies de session sont-ils RGPD ?

Les cookies "strictement nécessaires" (panier e-commerce, session de connexion, préférence de langue) sont exemptés de consentement. Tu peux les utiliser sans bandeau. Tous les autres (analytics, marketing, personnalisation) nécessitent consentement explicite.

Combien de temps pour passer au RGPD-compliant ?

Pour un site simple : 30-60 minutes (installer un CMP gratuit, le configurer correctement). Pour un site complexe avec 10+ trackers tiers : 2-4 heures pour bien configurer chaque exception.

Quelle est l'amende minimale pour un bandeau non-conforme ?

Pour les TPE/PME : généralement entre 5 000€ et 100 000€ selon le CA et la taille de l'infraction. Pour les ETI : 100 000€ à 1M€. Pour les grands groupes : plusieurs millions d'euros (cf. Yahoo 10M€, Google 150M€).