Scanality
Conformité RGPD··8 min de lecture

RGPD et cookies : ce que votre site doit vraiment faire en 2026

Bannière cookies insuffisante, Google Analytics actif sans consentement, Facebook Pixel qui tourne en arrière-plan : la majorité des sites français ne sont toujours pas conformes en 2026. Voici ce que la loi exige réellement — et comment vérifier votre situation en quelques minutes.

Ce que dit vraiment la loi

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis mai 2018. Pourtant, la CNIL continue de prononcer des sanctions en 2025 et 2026, y compris contre des structures de taille modeste. La raison : beaucoup de sites ont mis en place une bannière cookies sans comprendre ce qu'elle implique réellement.

La règle fondamentale est simple : aucun cookie non essentiel ne doit être déposé avant que l'utilisateur ait donné son consentement explicite. Cela concerne Google Analytics, les pixels publicitaires, les boutons de partage réseaux sociaux et tout outil de tracking tiers.

Les 3 erreurs les plus fréquentes

1. La bannière qui ne bloque rien

C'est l'erreur numéro un. Une bannière "Nous utilisons des cookies" qui s'affiche mais ne bloque pas réellement les scripts en attente de consentement ne sert à rien juridiquement. Google Analytics doit être inactif tant que l'utilisateur n'a pas cliqué sur "Accepter".

Comment le vérifier : ouvrez les outils développeur de votre navigateur (F12), onglet Réseau, rechargez la page avant d'accepter les cookies. Si vous voyez des requêtes vers google-analytics.com ou facebook.com/tr, votre site n'est pas conforme.

2. L'absence de bouton "Refuser" visible

La CNIL exige que le refus soit aussi facile que l'acceptation. Un bouton "Accepter" bien visible et un lien "Gérer mes préférences" discret en bas de page ne suffit pas. Le bouton "Refuser tout" doit être aussi accessible que "Tout accepter".

3. Google Analytics sans consentement sur Matomo

Beaucoup d'organisations pensent que Matomo est "exempt" de consentement parce qu'il est open source ou auto-hébergé. Ce n'est vrai que sous conditions strictes : anonymisation complète de l'IP, pas de fingerprinting, pas de partage avec des tiers, et configuration spécifique validée par la CNIL. Par défaut, Matomo nécessite un consentement comme n'importe quel outil analytics.

Ce qui est strictement nécessaire (et ne nécessite pas de consentement)

Tous les cookies ne sont pas soumis au consentement. Sont exemptés :

En revanche, les cookies de performance, d'analytics et de publicité nécessitent systématiquement un consentement.

Les outils de gestion du consentement (CMP)

Une CMP (Consent Management Platform) est le logiciel qui gère la bannière et bloque effectivement les scripts. Les solutions les plus utilisées en France sont Axeptio, Cookiebot, Didomi et OneTrust. Leur simple présence ne garantit pas la conformité — encore faut-il les configurer correctement.

Points de configuration critiques à vérifier :

Ce que risquent concrètement les sites non conformes

Les sanctions de la CNIL sont proportionnelles mais réelles. En 2024, la CNIL a prononcé des mises en demeure et des sanctions contre des sites de toutes tailles. Les collectivités territoriales et associations ne sont pas exemptées — plusieurs mairies ont reçu des mises en demeure.

Au-delà des sanctions, la non-conformité expose à des plaintes de vos propres utilisateurs, qui peuvent signaler votre site directement à la CNIL via leur formulaire en ligne.

Comment vérifier la conformité de votre site

La méthode manuelle (outils développeur, inspection des requêtes réseau) est possible mais chronophage. Elle demande des connaissances techniques et ne détecte pas tous les traceurs.

Auditez votre site en 30 secondes

Scanality analyse automatiquement votre site et détecte les scripts actifs avant consentement, les cookies non déclarés et l'état de votre bannière. Résultat immédiat, rapport PDF inclus.

Lancer un audit gratuit

Questions fréquentes

Le RGPD s'applique-t-il aux petits sites web ?

Oui. Le RGPD s'applique dès que vous collectez des données personnelles de résidents européens, quelle que soit la taille de votre site. Un simple formulaire de contact ou un outil d'analytics suffit à vous soumettre au RGPD.

Quels cookies nécessitent un consentement ?

Tous les cookies non strictement nécessaires : analytics (Google Analytics, Matomo par défaut), publicitaires (Facebook Pixel, Google Ads), réseaux sociaux et tracking tiers.

Quelle est l'amende pour non-conformité RGPD ?

Jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires pour les grandes entreprises. Pour les structures plus modestes, les sanctions sont proportionnelles mais existent — la CNIL a sanctionné des sites de moins de 10 000 visiteurs mensuels.

Comment vérifier que mon site est conforme ?

Via les outils développeur du navigateur manuellement, ou via un outil automatique comme l'audit RGPD Scanality qui détecte en 30 secondes les scripts actifs, les cookies non conformes et l'état de votre bannière.

Votre site est-il conforme ?

Lancez un audit automatique gratuit et obtenez un rapport de conformité en 30 secondes.

Auditer mon site gratuitement

À lire aussi

Google Analytics 4 vs Matomo : lequel choisir ?

Comparatif complet pour faire le bon choix

RGPD pour les associations : ce que la CNIL exige

Adhérents, newsletter, dons : les obligations concrètes

Outil : Audit RGPD automatique

Vérifiez la conformité de votre site en 30 secondes