Introduction

Le bandeau cookie est souvent la première chose qu’un visiteur voit en arrivant sur un site. Trop souvent réduit à un simple avertissement, il est pourtant au cœur de la conformité RGPD. La CNIL en France impose des règles strictes : consentement préalable, refus aussi simple que l’acceptation, preuves du consentement, durée limitée, etc.

Voici un tour d’horizon complet pour créer un bandeau qui soit à la fois conforme, clair et techniquement intégrable.

Le constat : beaucoup de bandeaux illégaux

Malgré la documentation CNIL, les bandeaux de consentement posent encore problème :

• Le bouton « Accepter » est mis en avant alors que « Refuser » est caché.
• Aucun bouton « Continuer sans accepter ».
• Les cookies sont déposés avant consentement.
• Les scripts tiers sont déjà actifs au chargement.

Cas réel observé

Un site affichait un bandeau classique « Ce site utilise des cookies pour améliorer votre expérience » avec uniquement un bouton « OK ». Aucun moyen de refuser ou de paramétrer. Google Analytics était actif immédiatement.

Non conforme sur tous les points.

Rappel des exigences de la CNIL (dernière mise à jour 2023)

• Aucun cookie non essentiel ne doit être déposé avant le consentement (y compris GA, Facebook, Hotjar).
• Le consentement doit être libre, spécifique, informé et univoque.
• L’utilisateur doit pouvoir refuser aussi facilement qu’accepter.
• La preuve du consentement doit être conservée.
• Le consentement est valable 6 mois maximum.

Structure recommandée du bandeau

1. Contenu minimal affiché

• Nom du responsable de traitement
• Finalités claires (ex. : mesure d’audience, vidéos, partage social)
• Trois boutons visibles :
  • Accepter
  • Refuser
  • Personnaliser

2. Fenêtre de paramétrage

• Liste des finalités
• Liste des partenaires (si applicable)
• Case à cocher par type de cookie (analytiques, publicitaires, sociaux, etc.)
• Bouton « Valider mes choix »

Intégration technique

a. Bloquer les scripts avant consentement

Tout script non essentiel doit être inactif tant que l’utilisateur n’a pas donné son accord.
Cela implique :

<script type="text/plain" data-type="text/javascript" data-name="google-analytics" class="consent-required">
// script Google Analytics ici
</script>

b. Déclenchement conditionnel via gestionnaire de consentement

Solutions possibles :

• Cookiebot
• Axeptio
• Tarteaucitron.js
• Homemade avec Tag Manager + cookies maison

Chaque solution doit permettre :

• Le stockage du choix utilisateur
• Le retrait du consentement
• L’expiration automatique au bout de 6 mois

c. Gestion du retrait ou changement d’avis

Un lien « Gérer mes cookies » doit rester disponible en permanence (pied de page, menu).

Bonnes pratiques de design

• Format horizontal ou pop-in central
• Pas de bouton plus visible que les autres (design neutre)
• Pas de case précochée
• Texte court mais informatif

Exemple conforme :

Ce site utilise des cookies pour mesurer l’audience et proposer des contenus interactifs. Vous pouvez accepter, refuser ou personnaliser vos choix.

Pour aller plus loin

Un site conforme au RGPD ne se limite pas à un bandeau cookie. Il faut aussi s’assurer que la politique de confidentialité est en ligne, que les scripts sont correctement conditionnés, et que les preuves de consentement sont stockées (localStorage ou base de données).

Besoin d’aide pour vérifier la conformité de votre site ? Contactez-nous pour un audit rapide et une intégration sur mesure.

Conclusion

Un bandeau cookie conforme en 2025 repose sur trois piliers : neutralité du design, blocage technique avant consentement, transparence totale sur les données.

Tout bandeau qui ne permet pas de refuser clairement ou dépose des traceurs avant l’accord explicite est non conforme. Et donc potentiellement sanctionnable.