À PROPOS DE CE GUIDE
Rares sont les sites web qui respectent l'ensemble des critères définis par la CNIL pour la conception et le contenu des dialogues de consentement.
Le consentement doit être libre, spécifique, éclairé et univoque : si l'une de ces conditions fait défaut, il n'est pas valablement recueilli. Conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL¹, un dialogue de consentement doit remplir un ensemble de conditions. Ce guide les rassemble sous forme d’une checklist pratique et concise.
Chaque section présente les exigences applicables à un dialogue de consentement conforme. Parcourez-les dans l'ordre et cochez chaque point au fur et à mesure, afin d'évaluer votre propre implémentation et d'identifier les éventuels axes d'amélioration.
Sources
¹Sur la base de :
- l'article 82 de la loi n° 78-17 du 6 janvier 1978 (loi « Informatique et Libertés ») ;
- les lignes directrices de la CNIL, délibération n° 2020-091 du 17 septembre 2020 ;
- la recommandation « cookies et autres traceurs » de la CNIL (délibération n° 2020-092) ;
- le RGPD (règlement (UE) 2016/679).
CONCEPTION ET FONCTIONNEMENT
Consentement libre
Le consentement doit être libre : l’utilisateur doit pouvoir accepter ou refuser les traceurs finalité par finalité. Un consentement unique et global pour plusieurs finalités distinctes, sans possibilité de choix granulaire, peut compromettre la validité du consentement.
Absence de dark patterns
Le refus doit être aussi simple que l’acceptation. Il ne doit exiger ni plus d'étapes, ni plus d'efforts. Ni la couleur, ni le contraste, ni la hiérarchie visuelle du bandeau ne doivent orienter artificiellement le choix vers l'acceptation.

Acceptation et refus au même niveau
Si un bouton « Tout accepter » est proposé au premier niveau du bandeau, un bouton « Tout refuser » doit être proposé au même niveau, avec une visibilité, une taille et une hiérarchie visuelle équivalentes.
Acte positif clair
La poursuite de la navigation, le défilement de la page (scroll) ou l'usage d'une application ne valent pas consentement. Les cases pré-cochées sont interdites (CJUE, Planet 49, 1er octobre 2019) car elles ne permettent pas de recueillir un consentement explicite et univoque.
Le silence vaut refus
En l'absence d'un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal. Aucun traceur soumis à consentement ne peut alors être déposé ou lu.
Les réglages du navigateur ne suffisent pas
En l'état, le paramétrage des navigateurs ou des systèmes d'exploitation ne permet pas, à lui seul, d'exprimer un consentement valable, notamment parce qu'il ne distingue pas les traceurs selon leurs finalités.
CONSERVATION ET RETRAIT DU CONSENTEMENT
Conservation du consentement
Le choix de l'utilisateur, qu’il s’agisse d’un consentement ou d’un refus, doit être conservé afin que le bandeau de cookies ne réapparaisse pas à chaque nouvelle page consultée. Le refus doit être mémorisé dans les mêmes conditions que l’acceptation, pour garantir une expérience cohérente et respecter le choix exprimé.
Durée de validité
Le consentement n’est pas définitif : le choix de l’utilisateur doit être conservé pour une durée limitée. La CNIL recommande, à titre indicatif, de ne pas dépasser une durée d’environ six mois avant de solliciter à nouveau son consentement.
Retrait facile à tout moment
Retirer son consentement doit être aussi simple que de le donner. Un accès permanent et facilement identifiable, par exemple via un lien dédié ou une icône fixe sur toutes les pages du site, doit permettre de modifier ses choix à tout moment.

INFORMATIONS NÉCESSAIRES
Le consentement ne peut résulter d'une acceptation globale des conditions générales d'utilisation : il doit être spécifique aux opérations de lecture et d'écriture.
Informations à fournir avant le recueil du consentement
L'identité du ou des responsables de traitement, ainsi que de l'ensemble des responsables conjoints, via une liste exhaustive et à jour, facilement accessible.
La ou les finalités des opérations de lecture ou d'écriture.
La manière d'accepter ou de refuser les traceurs.
Les conséquences d'un refus ou d'une acceptation.
Qualité de l'information
Rédigée en termes simples et compréhensibles par tous : une terminologie juridique ou technique trop complexe peut rendre l'information inintelligible.
Complète, visible et mise en évidence : un simple renvoi vers les conditions générales d'utilisation ne suffit pas.
Fournie préalablement au recueil du consentement.

CLASSIFICATION DES FINALITÉS
Regroupement par finalité
Les traceurs doivent être regroupés par finalité afin de permettre aux utilisateurs d'exprimer un choix distinct pour chacune d'elles. Si un même traceur est utilisé pour plusieurs finalités, dont au moins une nécessite un consentement, celui-ci doit être recueilli avant son activation.
Google Analytics et les balises Google Tag Manager soumises à consentement
Google Analytics et les balises déclenchées via Google Tag Manager ne doivent pas être activés avant consentement lorsqu’ils permettent un suivi inter-sites, des transferts de données vers des tiers ou dépassent les conditions strictes d’exemption CNIL. Cela vaut sans réserve pour le mode de consentement avancé (Advanced Consent Mode) de Google Analytics 4 (GA4) : le script GA4 se charge immédiatement, avant même que l'utilisateur ait fait un choix dans le bandeau. En cas de refus ou d’absence de réponse de l’utilisateur, GA4 ne dépose certes aucun cookie dans le navigateur, mais peut transmettre des signaux dits « cookieless pings » aux serveurs de Google.

Mesure d'audience : une exemption possible, sous conditions strictes
Contrairement aux traceurs publicitaires, certains outils de mesure d'audience peuvent être exemptés de consentement s'ils respectent l'ensemble des exigences définies par la CNIL :
- la mesure est réalisée exclusivement pour le compte de l'éditeur du site ;
- elle est limitée à la seule mesure d'audience ;
- pas de suivi global de la navigation sur différents sites ou applications ;
- seules des statistiques anonymes sont produites ;
- pas de recoupement des données avec d'autres traitements, ni de transmission à des tiers.
La CNIL met à disposition un outil d’auto-évaluation permettant aux fournisseurs d’analyser si leur solution peut être configurée de manière à entrer dans le champ de l’exemption. Une solution ne doit pas être présentée comme « certifiée » ou « validée » par la CNIL.
À propos de nous
JustRelate
Les références de ce rapport proviennent du dataset de mesure d’etracker. etracker est une plateforme d’analytics web et de gestion du consentement basée à Hambourg, construite autour d’une architecture de mesure exemptée de consentement, conforme à la directive ePrivacy (transposée en TDDDG en Allemagne et en LIL en France) ainsi qu’au RGPD. En évitant les cookies analytiques et le fingerprinting, et en traitant les données exclusivement en Allemagne, la plateforme mesure jusqu’à 99 % des visites et conversions — une vision complète que les outils dépendants du consentement ne peuvent structurellement pas fournir. Plus de 4 000 entreprises en Europe l’utilisent, dont HypoVereinsbank, Schufa, Campari, OSRAM et Dachser.
etracker fait partie du groupe JustRelate, fort de plus de 30 ans d’expérience dans la digitalisation de la relation client pour les entreprises de taille intermédiaire et les grands groupes. Sa plateforme intégrant l’IA, JustRelate Home, est utilisée par plus de 4 000 entreprises dans le monde, dont L’Oréal, Nestlé, Siemens, Viessmann et Oerlikon, et combine création, données et exécution dans un système unique pour une croissance prévisible, reproductible et évolutive.
Home orchestre l'ensemble de la stack MarTech d'une entreprise grâce à des applications modulaires pour la création d'e-mails, le développement web, le marketing automation, le CRM, les portails, le CPQ et l'analyse, avec une IA intégrée qui génère, localise et optimise des contenus en cohérence avec la marque, dans plusieurs langues, régions et canaux. Le groupe est présent en France, en Allemagne et en Pologne, et accompagne ses clients en Europe avec une expertise locale et une portée internationale.
+4000
clients satisfaits
+200
collaborateurs engagés
+100k
utilisateurs actifs
+30
années d'innovation
Ce contenu a fait l'objet de recherches approfondies. Toutefois, nous déclinons toute responsabilité quant à son exactitude, son exhaustivité ou son actualité. Il ne saurait remplacer un conseil juridique personnalisé.

Lancez votre audit de 30 jours
Vos données sont-elles conformes et prêtes pour l'IA ? Ne laissez plus de place au doute : vérifiez chaque consentement par rapport aux exigences réelles.
