RGPD et site e-commerce : cookies et consentement en 2026

La conformité RGPD d'un site marchand n'est pas un sujet réservé aux grandes plateformes. En 2026, un e-commerçant qui dépose des cookies publicitaires sans recueillir de consentement valide s'expose à une procédure de la CNIL, qu'il réalise 80 000 € ou 80 M€ de chiffre d'affaires. Le sujet mêle droit des données personnelles, droit des contrats électroniques et pratiques opérationnelles autour du tag management — trois domaines que les dirigeants de TPE abordent rarement ensemble.

Cet article présente le cadre 2026, les exigences concrètes sur le bandeau de consentement, les cookies exemptés, les durées à respecter, les autres obligations RGPD propres au commerce en ligne, et les sanctions à connaître pour arbitrer les efforts de mise en conformité.

Un site e-commerce ne peut déposer de cookies non essentiels qu'après un consentement clair, exprimé par un acte positif de l'internaute — cliquer sur « J'accepte ». Refuser doit être aussi simple qu'accepter : bouton « Tout refuser » au même niveau. La CNIL recommande de renouveler le consentement tous les 6 mois environ. Au-delà des cookies, le site doit tenir un registre des traitements, informer ses clients, encadrer les transferts hors UE et définir des durées de conservation cohérentes. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Oui, sauf pour les cookies strictement nécessaires au fonctionnement du service. C'est le principe posé par l'article 82 de la loi Informatique et Libertés (n° 78-17), qui transpose la directive ePrivacy, et précisé par les lignes directrices de la CNIL.

Sont soumis à consentement préalable tous les cookies qui ne sont pas indispensables à la fourniture du service expressément demandé par l'internaute : cookies publicitaires et de retargeting, pixels de réseaux sociaux (Meta Pixel, TikTok Pixel), cookies de mesure d'audience non exemptés, cookies de personnalisation non essentiels.

Le consentement doit résulter d'un acte positif clair : cliquer sur un bouton « J'accepte » ou cocher une case. La simple poursuite de la navigation ne vaut plus consentement depuis la révision des lignes directrices de la CNIL. Aucune case pré-cochée n'est admise.

Le RGPD (règlement UE 2016/679) s'articule avec la directive ePrivacy : le consentement cookies relève de la base légale « consentement libre, éclairé, spécifique et univoque » de l'article 7 du RGPD, cumulée avec l'obligation de l'article 82.

Le bandeau est la première interface entre le site et l'internaute sur la gestion des traceurs. La CNIL apprécie la conformité en regardant trois dimensions : la présentation des choix, la facilité de refus et l'information fournie.

La règle du « refuser aussi simple qu'accepter »#

C'est l'exigence la plus contrôlée en 2026. Le bouton « Tout refuser » doit être au même niveau hiérarchique, dans le même format visuel que le bouton « Tout accepter ». Placer « Refuser » en lien texte discret sous un gros bouton « Accepter » ne respecte pas cette exigence.

Le retrait du consentement#

L'internaute doit pouvoir retirer son consentement à tout moment et aussi facilement qu'il l'a donné. La pratique standard consiste à placer un lien « Gérer mes préférences » ou « Cookies » en pied de page, qui rouvre le bandeau ou le panneau de gestion des préférences.

Les « cookie walls »#

Conditionner l'accès au site à l'acceptation des cookies est une pratique dont la licéité est appréciée au cas par cas. La CNIL a admis certains cookie walls lorsqu'une alternative payante équivalente est proposée, mais la prudence reste de mise pour un site marchand grand public.

La recommandation de la CNIL identifie deux catégories exemptées :

Cookies strictement nécessaires au service : panier d'achat, identifiant de session, authentification, équilibrage de charge (load balancing), sécurité (protection CSRF). Ces cookies peuvent être déposés dès la navigation sans recueil du consentement, mais l'information reste due à l'utilisateur.

Certains cookies de mesure d'audience, sous conditions cumulatives : finalité strictement limitée à la mesure d'audience du site pour l'éditeur, pas de croisement avec d'autres traitements, durée de vie limitée, données agrégées uniquement, information fournie dans la politique de confidentialité. Cette exemption concerne des configurations spécifiques validées par la CNIL ; elle ne s'applique pas à Google Analytics dans sa configuration par défaut. Une configuration en « mode consentement » (Consent Mode v2 de Google, par exemple) peut en partie répondre à cette exigence, mais ne garantit pas l'exemption totale.

Tous les autres cookies — publicitaires, de remarketing, de réseaux sociaux, de personnalisation avancée — nécessitent le consentement préalable.

La CNIL formule deux recommandations de durée :

• Durée de vie des cookies : la CNIL recommandait historiquement 13 mois. Dans sa recommandation consolidée de janvier 2026, elle précise que la durée doit être proportionnée à la finalité et recommande des durées plus courtes pour les cookies publicitaires. La règle des 6 mois pour le renouvellement du consentement est la bonne pratique opérationnelle à retenir.
• Conservation des informations collectées via les cookies : les données issues des traceurs ne devraient pas être conservées au-delà de 25 mois (recommandation CNIL antérieure, toujours pertinente en l'absence de nouvelle indication contraire).
• Renouvellement du consentement : la CNIL recommande de solliciter de nouveau le consentement au bout de 6 mois environ, apprécié au cas par cas selon la nature des traitements. Ce délai correspond à la durée pendant laquelle le consentement est présumé valide.

Ces durées doivent être documentées dans votre registre des traitements et dans la politique de confidentialité.

Exemple concret pour une boutique en ligne#

Sur un dossier e-commerce que nous accompagnons (secteur mode, environ 15 000 visiteurs uniques par mois), la mise en conformité a porté sur quatre chantiers simultanés : (1) reparamétrage de la CMP (consent management platform) pour afficher les deux boutons au même niveau ; (2) audit des tags dans Google Tag Manager pour s'assurer qu'aucun pixel ne se déclenche avant le consentement ; (3) réduction de la durée de vie des cookies publicitaires de 90 à 30 jours ; (4) ajout d'un lien « Gérer mes cookies » dans le footer. Le temps de mise en œuvre : environ deux jours côté développement, une heure de paramétrage de la CMP. Le principal point de blocage rencontré : la présence de scripts tiers chargés directement dans le code source (hors tag manager), qui déposaient des cookies sans passer par la couche de consentement.

La conformité sur les cookies repose sur la chaîne technique, pas seulement sur l'interface du bandeau. Un bandeau conforme mais des scripts chargés en dehors du gestionnaire de tags ne protège pas.

La mise en place d'une CMP (OneTrust, Axeptio, Didomi, Cookiebot, etc.) couplée à Google Tag Manager en mode de déclenchement conditionnel est la solution technique la plus couramment adoptée par les e-commerçants de taille moyenne.

Les cookies sont la partie visible de l'iceberg. Un site marchand traite un volume significatif de données personnelles : coordonnées clients, historiques de commandes, comportements de navigation, données de paiement (pour les solutions qui les stockent), adresses de livraison, données de fidélité.

Registre des traitements : toute entreprise qui traite des données personnelles à titre non occasionnel doit tenir un registre des traitements RGPD. Pour un e-commerce, ce registre recense au minimum : gestion des commandes, gestion des comptes clients, prospection commerciale, analytics, cookies publicitaires, gestion des retours.

Information et droits des personnes : la politique de confidentialité doit être rédigée en langage clair, accessible depuis toutes les pages, et décrire précisément les finalités, les durées de conservation et les destinataires. Les personnes doivent pouvoir exercer leurs droits d'accès, rectification, effacement et portabilité. Un formulaire de contact dédié ou une adresse email spécifique (ex. : rgpd@votre-boutique.fr) est la pratique standard.

Durées de conservation : les données de commande et de facturation suivent les obligations comptables (10 ans pour les pièces comptables). Les données de compte client inactif sont généralement supprimées ou anonymisées au bout de 3 ans d'inactivité. Les données de prospection sont conservées 3 ans à compter du dernier contact actif. Ces durées doivent être écrites et appliquées dans les systèmes.

DPO (délégué à la protection des données) : la désignation d'un DPO est obligatoire dans trois cas seulement (article 37 RGPD) : autorité ou organisme public, traitements à grande échelle de données sensibles, ou suivi systématique à grande échelle. La plupart des TPE et PME e-commerce ne sont pas concernées par cette obligation, mais il est utile de désigner un référent RGPD interne. Voir le rôle du DPO pour arbitrer.

Ces enjeux sont intrinsèquement liés à la comptabilité d'un site e-commerce : les durées de conservation des données de facturation recoupent les obligations comptables légales.

La question est concrète pour tout e-commerçant qui utilise des outils américains : hébergement (AWS, Google Cloud), analytics (Google Analytics), CRM (HubSpot, Salesforce), publicité (Meta, TikTok), support (Zendesk, Intercom).

Ces transferts sont licites si l'un des encadrements suivants est en place :

• Data Privacy Framework (DPF) : depuis juillet 2023, les transferts vers des entreprises américaines auto-certifiées au DPF sont autorisés. Vérifier la certification de chaque prestataire sur le registre officiel (dataprivacyframework.gov) est une diligence annuelle à inscrire au calendrier.
• Clauses contractuelles types (CCT) : pour les prestataires non certifiés au DPF ou établis en dehors des États-Unis, les CCT adoptées par la Commission européenne restent le mécanisme standard. Elles doivent être signées et documentées.
• Binding Corporate Rules : pour les transferts intragroupe, cette option existe mais est peu utilisée par les PME en raison de sa complexité.

Le registre des transferts doit être tenu à jour. Un audit annuel des prestataires et de leur mécanisme de transfert est une bonne pratique, surtout si vous utilisez plusieurs dizaines d'outils SaaS.

Voir aussi notre article sur les obligations e-reporting et DAC-7 pour les plateformes pour les obligations déclaratives associées.

La CNIL dispose d'un pouvoir de sanction graduated. Elle peut prononcer :

• des mises en demeure (sans sanction financière immédiate, mais avec délai de mise en conformité) ;
• des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ;
• des injonctions de cesser un traitement.

Le dépôt de cookies sans consentement est l'un des motifs de sanction les plus fréquents dans les décisions publiées par la CNIL. Les grandes plateformes ont été sanctionnées à hauteur de plusieurs dizaines à plusieurs centaines de millions d'euros. Les PME ne sont pas à l'abri : la CNIL a également sanctionné des acteurs de taille intermédiaire pour des manquements sur les cookies, souvent après signalement ou plainte d'un utilisateur.

La conformité cookies est aussi un enjeu de confiance commerciale : les internautes sont de plus en plus sensibles à la gestion de leurs données, et un bandeau mal conçu peut signaler un manque de sérieux.

La sécurité des données vient compléter la conformité RGPD : voir notre checklist cybersécurité pour les PME.

Dans les dossiers e-commerce que nous accompagnons, les points de blocage les plus fréquents sont au nombre de trois. Premier point : des scripts tiers (pixels publicitaires, outils de chat) chargés directement dans le code source du site, en dehors de tout gestionnaire de tags, qui contournent involontairement la couche de consentement même quand le bandeau est en place. Deuxième point : des durées de conservation des données clients non définies ou incohérentes entre les systèmes (CRM, ERP, plateforme e-commerce). Troisième point : l'absence de documentation sur les transferts hors UE — le dirigeant ne sait pas quels prestataires traitent ses données hors de l'Union, ni sous quel encadrement.

Ces trois points sont les premiers que nous conseillons de traiter, car ils concentrent le risque réel en cas de contrôle ou de plainte. Un audit technique rapide de la chaîne des cookies — souvent réalisable en une demi-journée avec un développeur — permet de cartographier les traceurs déposés avant consentement. C'est le point de départ concret avant toute autre démarche.

La conformité RGPD d'un e-commerçant s'inscrit dans un ensemble plus large de sujets de structuration juridique pour l'e-commerce et de régime fiscal.

1. Bandeau cookies avec « Tout accepter » et « Tout refuser » au même niveau visuel et hiérarchique.
2. Aucun cookie non essentiel déposé avant le choix de l'internaute (vérifier avec un outil d'audit de cookies, ex. : Cookie Scanner de la CMP, ou l'onglet Application de Chrome DevTools).
3. Retrait du consentement possible à tout moment depuis un lien accessible en permanence (footer).
4. Durée de vie des cookies documentée et proportionnée (renouvellement du consentement autour de 6 mois).
5. Politique de confidentialité à jour, couvrant toutes les finalités, durées et destinataires.
6. Registre des traitements tenu et à jour (commandes, comptes clients, analytics, prospection).
7. Durées de conservation définies par catégorie de données et appliquées dans les systèmes.
8. Transferts hors UE cartographiés et encadrés (DPF ou CCT pour chaque prestataire concerné).

À jour au 2026-06-14. Cet article informe et ne remplace pas un conseil personnalisé. Pour votre situation, contactez un expert-comptable inscrit à l'Ordre ou un conseil juridique spécialisé en protection des données.