EN FR

Tag : Cookies

Tous les articles du blog avec ce tag.

487 M€ d'amendes CNIL en 2025 : que risquez-vous vraiment avec votre analytics ?

487 M€ d'amendes CNIL en 2025 : que risquez-vous vraiment avec votre analytics ?

Le 9 février 2026, la CNIL a publié son bilan des sanctions 2025. Un seul chiffre résume la situation : 487 millions d'euros d'amendes prononcées en un an. C'est neuf fois plus qu'en 2024. Et ce n'est pas un hasard : les cookies et les outils de mesure d'audience représentent désormais plus d'un quart des sanctions (21 sur 83). Si vous utilisez Google Analytics, Hotjar, ou tout autre outil de tracking sur votre site, vous êtes potentiellement concerné. Pas parce que vous êtes malveillant. Simplement parce que les règles ont changé, que les contrôles se sont intensifiés, et que « je ne savais pas » n'est plus une ligne de défense acceptable. Les deux plus grosses amendes de 2025 concernent des géants : Google (325 millions d'euros) et Shein (150 millions). Mais sur les 83 sanctions prononcées, 67 visaient des structures plus modestes, via une procédure simplifiée. Des montants entre 5 000 et 20 000 euros. Moins spectaculaires, mais tout aussi réels pour une PME ou un e-commerçant. Cet article décrypte le bilan CNIL 2025, identifie les trois motifs de sanction les plus fréquents, et vous explique concrètement ce que vous risquez avec votre configuration analytics actuelle. Parce qu'attendre qu'un courrier de mise en demeure arrive, c'est déjà trop tard. Le bilan CNIL 2025 en chiffres : record absolu 487 millions d'euros : neuf fois plus qu'en 2024 En 2024, la CNIL avait prononcé 55 millions d'euros d'amendes. En 2025, ce montant est multiplié par neuf. Cette explosion s'explique par deux sanctions record :Google : 325 millions d'euros pour publicités Gmail sans consentement et cookies déposés lors de la création de comptes Google, sans consentement valable des utilisateurs français. Shein : 150 millions d'euros pour cookies déposés sans consentement sur son site e-commerce.Ces deux sanctions à elles seules représentent 475 millions d'euros, soit 97,5 % du total. Mais les 12 millions restants se répartissent sur 81 autres décisions. Et c'est cette « longue traîne » qui concerne directement les TPE, PME et agences web. 83 sanctions prononcées, dont 67 via la procédure simplifiée La CNIL a rendu 259 décisions en 2025, dont 83 sanctions effectives. Parmi ces 83 sanctions, 67 ont été prononcées via la procédure simplifiée. Cette procédure, mise en place en 2020, permet de traiter rapidement des dossiers sans complexité particulière, avec des amendes plafonnées à 20 000 euros. Concrètement, cela signifie que la majorité des sanctions ne visent pas des multinationales, mais des acteurs de taille moyenne : e-commerçants, éditeurs de sites, agences, SaaS B2B. Des structures qui n'ont ni département juridique dédié, ni budget pour un cabinet d'avocats spécialisé. Le message de la CNIL est clair : la conformité n'est pas négociable, quelle que soit votre taille. L'argument « on est trop petit pour être contrôlé » ne tient plus. 21 sanctions liées aux cookies : plus d'un quart du total Sur les 83 sanctions, 21 concernent spécifiquement des manquements aux règles sur les cookies et traceurs. C'est 25 % du total, ce qui en fait le deuxième motif de sanction le plus fréquent après la sécurité des données (violations de données, mesures de sécurité insuffisantes). Les cookies analytics -- ceux que vous installez pour mesurer votre audience -- ne sont pas épargnés. Même si votre objectif est légitime (comprendre d'où vient votre trafic, quelles pages fonctionnent), la manière dont vous collectez ces données peut être sanctionnée. Les trois types de manquements les plus sanctionnés sont :Dépôt de cookies sans consentement : des cookies sont installés avant que l'utilisateur n'ait cliqué sur « Accepter ». Informations insuffisantes : la bannière de consentement ne précise pas clairement quels cookies sont déposés et pourquoi. Refus non respecté : l'utilisateur refuse les cookies, mais ils continuent d'être lus ou ne sont pas supprimés.Les trois motifs de sanction qui concernent votre analytics Motif 1 : Cookies déposés avant le consentement C'est le manquement le plus fréquent. Vous installez Google Analytics (ou équivalent) sur votre site. Par défaut, le script se charge dès que la page s'affiche, avant même que la bannière de consentement n'apparaisse. Résultat : des cookies sont déposés et des données collectées avant que l'utilisateur n'ait donné son accord. Exemple concret (sanction American Express, novembre 2025) : dès l'arrivée sur le site americanexpress.com/fr-fr/, plusieurs cookies publicitaires étaient déposés avant toute interaction avec la bannière de consentement. Amende : 1,5 million d'euros. Pour éviter ce piège, vous devez :Bloquer le chargement du script analytics tant que l'utilisateur n'a pas consenti. Utiliser une plateforme de gestion du consentement (CMP) qui gère ce blocage automatiquement : OneTrust, Axeptio, Cookiebot, Didomi, etc. Vérifier régulièrement (au moins tous les trimestres) que le blocage fonctionne réellement, notamment après chaque mise à jour de votre CMS ou de votre thème.Motif 2 : Bannière de consentement insuffisante ou trompeuse La CNIL a mené plus de 40 contrôles en ligne en 2024 suite à des plaintes visant des bandeaux « trompeurs », conçus pour inciter les utilisateurs à accepter les cookies plutôt qu'à faire un choix éclairé. Les défauts les plus fréquents :Pas de bouton « Refuser » visible : seul un bouton « Accepter » ou « Personnaliser » est affiché. Refuser nécessite de naviguer dans plusieurs sous-menus. Boutons asymétriques : le bouton « Accepter » est grand, coloré, attirant, tandis que le bouton « Refuser » est petit, grisé, discret. Informations vagues : la bannière dit « Nous utilisons des cookies pour améliorer votre expérience », sans préciser lesquels, pourquoi, combien de temps. Pas de distinction entre cookies : les cookies strictement nécessaires (panier, connexion) ne sont pas séparés des cookies analytics ou publicitaires.Ce qui est attendu en 2026 :Un bouton « Refuser tout » aussi visible que « Accepter tout », de taille et couleur équivalentes. Une liste claire des finalités : « Mesure d'audience » (distinct de « Publicité personnalisée »). Une information sur la durée de conservation des cookies. Un lien vers la politique de confidentialité, accessible et lisible.Motif 3 : Refus du consentement non respecté L'utilisateur clique sur « Refuser », mais les cookies continuent d'être lus ou ne sont pas supprimés du navigateur. C'est exactement ce qui a été reproché à American Express : même après refus, les cookies précédemment placés continuaient à être lus. Ce manquement est particulièrement grave car il trahit la confiance de l'utilisateur. Il a explicitement dit « non », et vous passez outre. Pour être conforme :Lorsque l'utilisateur refuse, tous les cookies non strictement nécessaires doivent être supprimés du navigateur (via JavaScript). Si l'utilisateur avait précédemment accepté puis change d'avis (retrait du consentement), les cookies doivent être supprimés immédiatement et leur lecture doit cesser. Les CMP modernes gèrent cela automatiquement, mais il faut vérifier que la configuration est correcte.Ce que vous risquez concrètement selon votre profil TPE / PME : entre 5 000 et 20 000 euros via la procédure simplifiée Si vous êtes une petite structure (moins de 50 salariés, chiffre d'affaires annuel inférieur à 10 millions d'euros), vous ne risquez probablement pas une amende à plusieurs millions. En revanche, la procédure simplifiée permet à la CNIL de sanctionner rapidement avec des montants entre 5 000 et 20 000 euros. Ça peut sembler « raisonnable » comparé aux 325 millions de Google. Mais pour une TPE avec une trésorerie serrée, 15 000 euros d'amende + les frais de mise en conformité (consultant RGPD, refonte de la bannière, audit technique), c'est un coup dur. Et surtout, la sanction est souvent publiée. Votre nom, votre activité, les manquements constatés : tout est visible sur le site de la CNIL. L'impact réputationnel peut être plus coûteux que l'amende elle-même. E-commerce / SaaS : risque de sanction intermédiaire (50 000 à 500 000 euros) Si vous collectez des données à grande échelle (plusieurs dizaines de milliers de visiteurs par mois, fichier client important), vous sortez du cadre de la procédure simplifiée. La CNIL peut alors prononcer des sanctions « intermédiaires », selon la gravité des manquements et le nombre de personnes concernées. Exemples 2025 :Transmission de données à un réseau social (sanction de janvier 2026) : 3,5 millions d'euros pour avoir transmis les données de 10,5 millions de membres d'un programme de fidélité à un réseau social, sans consentement. France Travail : 5 millions d'euros pour violation de données (sécurité insuffisante).Si votre site e-commerce utilise des pixels Facebook, TikTok ou Google Ads sans recueillir de consentement préalable, vous êtes dans une zone à risque élevé. La transmission de données personnelles (email, téléphone) à des plateformes publicitaires sans consentement est désormais sanctionnée très durement. Agences web / freelances : responsabilité en tant que sous-traitant Si vous êtes développeur, intégrateur ou agence web, vous pouvez être sanctionné en tant que sous-traitant (article 28 du RGPD). Votre responsabilité est engagée si :Vous installez des outils de tracking sans informer votre client de ses obligations RGPD. Vous configurez mal une bannière de consentement (blocage des scripts non activé). Vous ne documentez pas les mesures de sécurité mises en place.La CNIL a déjà sanctionné des prestataires techniques. Votre contrat doit préciser :Qui est responsable de quoi (client vs prestataire). Quelles mesures techniques vous mettez en œuvre (blocage scripts, masquage formulaires, etc.). Que vous conseillez au client de consulter un DPO ou un avocat RGPD pour la partie juridique.Et surtout : facturez la mise en conformité. Ce n'est pas « inclus » dans un forfait développement web classique. Les outils analytics spécifiquement dans le viseur Google Analytics : le cas emblématique Google Analytics 4 (GA4) est l'outil le plus utilisé au monde. C'est aussi celui qui pose le plus de problèmes de conformité :Transferts de données vers les États-Unis : même si Google a mis en place des « garanties supplémentaires » après l'invalidation du Privacy Shield, la CNIL (et d'autres autorités européennes) considère que le risque d'accès par les autorités américaines (FISA, CLOUD Act) persiste.Réutilisation des données par Google : Google peut utiliser les données collectées via GA4 pour améliorer ses propres services, y compris publicitaires. Même si vous désactivez le partage de données, certains traitements persistent.Collecte par défaut très large : GA4 collecte bien plus de données que nécessaire pour une simple mesure d'audience (identifiants publicitaires, device ID, géolocalisation précise si autorisée).Conséquence : plusieurs entreprises ont reçu des mises en demeure pour utilisation de Google Analytics sans base légale valable. Certaines ont été contraintes d'arrêter complètement GA4, d'autres ont dû mettre en place un consentement strict (exit l'exemption de consentement). Si vous utilisez GA4, vous devez :Recueillir le consentement explicite (pas d'exemption possible). Désactiver toutes les fonctionnalités de partage de données avec Google. Anonymiser les IP (fonctionnalité native de GA4, mais vérifier qu'elle est activée). Documenter votre analyse d'impact (AIPD) concernant les transferts hors UE.Ou alors, passer à une alternative européenne qui ne pose pas ces problèmes structurels. Hotjar, Clarity, Fullstory : la prochaine vague Les outils de session replay (Hotjar, Microsoft Clarity, Fullstory) sont dans le viseur de la CNIL. Une consultation publique est en cours jusqu'au 22 avril 2026 pour encadrer ces pratiques. Ces outils enregistrent l'intégralité du parcours utilisateur : clics, mouvements de souris, défilements, saisies dans les formulaires. C'est bien plus intrusif qu'un simple cookie analytics. Si vous utilisez Hotjar sans :Recueillir le consentement explicite. Masquer automatiquement tous les champs de formulaire sensibles (mots de passe, coordonnées bancaires, données de santé). Limiter l'échantillonnage (enregistrer 100 % des sessions est disproportionné). Réduire la durée de conservation (30 jours maximum).Vous êtes en infraction caractérisée. Et vu les amendes 2025 pour cookies simples, imaginez les montants pour du session replay non conforme. Pixels publicitaires (Meta, TikTok, LinkedIn) Le pixel Facebook (Meta Pixel), le pixel TikTok, le tag LinkedIn Insight : ces scripts transmettent des données personnelles (adresse email hashée, numéro de téléphone, comportement de navigation) à des plateformes publicitaires, souvent situées hors UE. Sanction de janvier 2026 : 3,5 millions d'euros pour transmission de données de 10,5 millions de membres d'un programme de fidélité à un réseau social, sans consentement. Le consentement « fourre-tout » (« Nous utilisons des cookies pour améliorer votre expérience ») ne suffit pas. Il faut un consentement spécifique pour chaque plateforme publicitaire. Si vous utilisez ces pixels, votre bannière de consentement doit mentionner explicitement : « Partage de données avec Meta (Facebook, Instagram) pour publicité ciblée ». Et l'utilisateur doit pouvoir refuser sans que cela n'affecte son accès au site. Les solutions concrètes pour réduire le risque à zéro (ou presque) Solution 1 : Utiliser un outil exempt de consentement La CNIL permet une exemption de consentement pour les outils de mesure d'audience qui respectent 10 critères stricts. En résumé :Finalité strictement limitée à la mesure (pas de publicité, pas de partage de données). Données anonymisées ou fortement pseudonymisées. Pas de recoupement avec d'autres fichiers. Durée de conservation limitée (13 mois pour les cookies, 25 mois pour les données). Hébergement et traitement en Europe.Si vous utilisez un outil conforme à ces critères (Matomo configuré en mode exempt, AT Internet, ou une solution frugale par conception), vous n'avez pas besoin de bannière de consentement pour l'analytics. Vous éliminez ainsi 90 % du risque. Attention : Google Analytics 4 ne peut pas bénéficier de cette exemption, même avec une configuration stricte. Les transferts US et la réutilisation par Google le disqualifient structurellement. Solution 2 : Configurer strictement votre CMP Si vous devez continuer avec Google Analytics ou d'autres outils nécessitant un consentement, votre CMP (plateforme de gestion du consentement) doit être irréprochable :Bloquer tous les scripts tant que le consentement n'est pas donné. Utilisez un système de « tag management » (Google Tag Manager, OneTrust, Cookiebot) qui gère le blocage automatiquement.Afficher un bouton « Refuser tout » aussi visible que « Accepter tout », de taille et couleur identiques. Depuis janvier 2026, c'est une obligation quasi-formelle (recommandation CNIL sur le consentement multi-terminaux).Séparer clairement les finalités : ne mélangez pas « Mesure d'audience », « Publicité personnalisée », « Réseaux sociaux », et « Amélioration du produit ». Chaque finalité doit être une case distincte.Respecter le refus : si l'utilisateur refuse, supprimez les cookies (pas seulement « arrêter de les lire »). Testez régulièrement avec les outils développeur de votre navigateur.Documenter tout : captures d'écran de votre configuration, justification des finalités, analyse d'impact si vous transférez des données hors UE.Solution 3 : Auditer et corriger avant le contrôle La CNIL ne prévient pas avant un contrôle. Un jour, vous recevez un email : « La CNIL a décidé de procéder à un contrôle de votre site web. Vous disposez de 24h pour nous communiquer les documents suivants. » Il est trop tard pour corriger. Si vous attendez ce moment pour vous mettre en conformité, vous serez sanctionné sur la base de l'état constaté au moment du contrôle, pas de ce que vous aurez fait après. Notre conseil : auditez votre site maintenant. Outils gratuits :Cookie Scanner (Cookiebot, OneTrust) : scannez votre site pour identifier tous les cookies déposés. CNIL Cookie Checker : outil développé par la CNIL elle-même (existe pour Chrome). Outils développeur du navigateur : onglet « Application » > « Cookies ». Vérifiez que rien ne se dépose avant le consentement.Corrigez les anomalies identifiées. Si vous ne savez pas comment faire, budgétez 2 000 à 5 000 euros pour un consultant RGPD ou une agence spécialisée. C'est moins cher qu'une amende à 15 000 euros. Ce qui change en 2026 et après Fin de la liste CNIL d'outils « validés » Jusqu'en décembre 2025, la CNIL publiait une liste indicative d'outils analytics considérés comme conformes à l'exemption de consentement (Matomo, AT Internet, etc.). Cette liste a été supprimée en janvier 2026. Désormais, c'est à vous d'auto-évaluer votre outil. La CNIL a publié en juillet 2025 un outil d'auto-évaluation en ligne qui vous guide à travers les 10 critères. Vous devez documenter cette auto-évaluation et la conserver en cas de contrôle. Conséquence : même si vous utilisez Matomo, vous devez vérifier que votre configuration respecte les critères. Installer Matomo ne suffit pas. Il faut désactiver certaines fonctionnalités (géolocalisation précise, suivi inter-sites, etc.) pour rester dans le cadre de l'exemption. Intensification des contrôles « cookies » en 2026 Le plan d'action CNIL sur les cookies, lancé en 2019, se poursuit en 2026. Plus de 40 contrôles ont été menés en 2024, avec un focus sur les « dark patterns » (bandeaux trompeurs). En 2026, la CNIL a annoncé qu'elle continuerait ces contrôles, notamment sur :Les sites e-commerce à forte fréquentation. Les éditeurs de médias (forte dépendance à la publicité programmatique). Les SaaS B2B qui utilisent des pixels publicitaires pour leur acquisition.Si votre site attire plus de 100 000 visiteurs par mois, ou si vous êtes dans un secteur « sensible » (santé, finance, médias), vos chances d'être contrôlé augmentent mécaniquement. Digital Omnibus : vers un assouplissement ? La Commission européenne a proposé en novembre 2025 un paquet de simplification réglementaire appelé « Digital Omnibus ». Parmi les propositions : une « whitelist » d'outils analytics considérés comme « low-risk », qui pourraient bénéficier d'un consentement simplifié (opt-out plutôt qu'opt-in). Mais attention : ce texte est encore en discussion au Parlement européen et au Conseil. Adoption probable mi-2026, application 2027 au plus tôt. En attendant, les règles actuelles (opt-in strict pour tout ce qui n'est pas exempt) s'appliquent pleinement. Ne misez pas sur un hypothétique assouplissement pour retarder votre mise en conformité. Les contrôles 2026 se feront sur les règles 2026, pas sur celles de 2027. Conclusion : 2026 n'est pas 2019 En 2019, quand le plan d'action cookies de la CNIL a été lancé, beaucoup d'acteurs ont pensé : « Ils ne contrôleront jamais tout le monde, on a le temps. » Sept ans plus tard, 487 millions d'euros d'amendes ont été prononcés en une seule année. Le « temps » est écoulé. Si vous utilisez Google Analytics, Hotjar, des pixels publicitaires ou tout autre outil de tracking, vous avez deux options. Soit vous vous mettez en conformité stricte dès maintenant : consentement, CMP, blocage des scripts, documentation. Soit vous passez à des outils conçus pour la conformité, qui vous libèrent de cette charge mentale et juridique permanente. L'inaction coûte plus cher que l'action. Une amende à 15 000 euros + la publicité de la sanction + les frais de mise en conformité d'urgence, c'est bien plus onéreux qu'un audit préventif à 3 000 euros et une migration vers un outil conforme. Les chiffres 2025 ne sont pas un accident. C'est la nouvelle norme. Adaptez-vous maintenant, ou payez plus tard. Pour ceux qui cherchent une approche analytics respectant par conception les principes RGPD de minimisation et de transparence, vous pouvez rejoindre la liste d'attente de Pomelo pour être informé du lancement. FAQ Quelle est la différence entre la procédure normale et la procédure simplifiée de la CNIL ? La procédure simplifiée a été introduite en 2020 pour traiter rapidement les dossiers sans complexité particulière. Les amendes sont plafonnées à 20 000 euros et la procédure est plus rapide (quelques mois au lieu de 1 à 2 ans). En 2025, 67 sanctions sur 83 ont été prononcées via cette procédure, ce qui montre qu'elle cible majoritairement les PME et structures de taille moyenne. La procédure normale, plus longue, est réservée aux cas complexes ou graves, avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Est-ce que je peux encore utiliser Google Analytics 4 en 2026 ? Oui, techniquement vous pouvez continuer à utiliser Google Analytics 4, mais sous conditions strictes : vous devez recueillir le consentement explicite de vos utilisateurs (pas d'exemption possible), désactiver toutes les fonctionnalités de partage de données avec Google, anonymiser les adresses IP, et documenter une analyse d'impact sur les transferts de données vers les États-Unis. En pratique, beaucoup d'organisations considèrent que ces contraintes rendent GA4 moins attractif et préfèrent migrer vers des alternatives européennes comme Matomo ou des solutions cookieless pour éviter la complexité juridique et technique. Combien coûte une mise en conformité analytics pour une PME ? Pour une PME classique (site vitrine ou e-commerce avec 10 000 à 100 000 visiteurs/mois), comptez entre 2 000 et 5 000 euros pour une mise en conformité complète : audit initial des cookies et traceurs (500-1 000 €), installation et configuration d'une CMP professionnelle (500-1 500 €), rédaction ou mise à jour de la politique de confidentialité (500-1 000 €), et éventuellement migration vers un outil analytics conforme (500-2 000 € selon l'outil choisi). Si vous avez des besoins complexes (pixels publicitaires multiples, session replay, transferts hors UE), le budget peut monter à 10 000-15 000 euros. C'est un investissement, mais nettement inférieur à une amende de 15 000 euros + impact réputationnel. Quels sont les signaux qui peuvent déclencher un contrôle CNIL ? Plusieurs facteurs augmentent vos chances d'être contrôlé : un volume de trafic élevé (> 100 000 visiteurs/mois), une plainte d'un utilisateur ou d'une association (comme NOYB), un secteur sensible (santé, finance, médias, e-commerce à grande échelle), une présence dans l'actualité (levée de fonds, controverse médiatique), ou le fait d'avoir déjà été sanctionné par le passé. La CNIL mène également des contrôles thématiques : en 2024-2025, le focus était sur les cookies et les dark patterns des bandeaux de consentement. En 2026, les contrôles continuent sur ce thème, avec une attention particulière aux outils de session replay. L'exemption de consentement pour la mesure d'audience s'applique-t-elle à tous les outils analytics ? Non, l'exemption ne s'applique qu'aux outils qui respectent strictement les 10 critères définis par la CNIL : finalité limitée à la mesure d'audience (pas de publicité), données anonymisées ou fortement pseudonymisées, pas de recoupement avec d'autres fichiers, durée de conservation limitée (13 mois pour les cookies, 25 mois pour les logs), hébergement en Europe, information claire des utilisateurs, et aucun transfert hors UE. Google Analytics 4 ne peut pas bénéficier de cette exemption en raison des transferts vers les États-Unis et de la réutilisation des données par Google. Matomo peut en bénéficier s'il est correctement configuré (mode exempt activé). Depuis janvier 2026, il n'existe plus de liste officielle d'outils validés : vous devez auto-évaluer votre outil via l'outil CNIL en ligne. SourcesCNIL, "Sanctions et mesures correctrices : la CNIL présente le bilan 2025", 9 février 2026 (https://www.cnil.fr/fr/thematique/cnil/sanctions) CNIL, "Cookies et publicités insérées entre les courriels : la CNIL sanctionne GOOGLE d'une amende de 325 millions d'euros", 1er septembre 2025 (https://www.cnil.fr/fr/regulation-des-cookies-la-cnil-poursuit-le-plan-daction-initie-en-2019-et-prononce-deux-amendes) CNIL, "Cookies déposés sans consentement : la CNIL sanctionne SHEIN d'une amende de 150 millions d'euros", septembre 2025 CNIL, "Cookies : la CNIL sanctionne AMERICAN EXPRESS d'une amende de 1,5 million d'euros", 27 novembre 2025 (https://www.cnil.fr/en/cookies-american-express-fined-eu15-million-cnil) CNIL, "Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une sanction de 3,5 millions d'euros", 22 janvier 2026 (https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction) La Cité Apprenante, "Bilan CNIL : Cookies, surveillance des salariés et sécurité des données, principaux sujets des sanctions en 2025", février 2026 (https://www.laciteapprenante.com/bilan-cnil-cookies-surveillance-des-salaries-et-securite-des-donnees-principaux-sujets-des-sanctions-en-2025/) Haas Avocats, "Sanctions CNIL et cookies : comment sont fixées les amendes ?", 21 janvier 2026 (https://www.haas-avocats.com/protection-des-donnees/sanctions-cnil-et-cookies-comment-sont-fixees-les-amendes/)

Checklist RGPD analytics : 10 points à vérifier avant d'installer un outil de mesure d'audience

Checklist RGPD analytics : 10 points à vérifier avant d'installer un outil de mesure d'audience

Vous venez d'installer un outil de mesure d'audience sur votre site. Le script est en place, les premières données remontent, le tableau de bord s'anime. Tout semble en ordre. Sauf que personne dans l'équipe n'a vérifié si cette installation respecte le cadre légal européen. Et ce n'est pas un détail : en 2025, la CNIL a prononcé 487 millions d'euros d'amendes, dont 21 sanctions portant spécifiquement sur les cookies et traceurs. C'est le premier poste de sanction, devant la sécurité des données et la vidéosurveillance. Le problème n'est pas l'outil en lui-même. C'est la manière dont il est configuré, documenté et exploité. Un outil conforme "sur le papier" peut devenir non conforme en trois clics si les réglages par défaut ne sont pas revus. Cette checklist propose dix points concrets pour vérifier la conformité RGPD de votre analytics, que vous utilisiez Google Analytics 4, Matomo, Plausible, ou tout autre outil. Elle s'adresse aux propriétaires de sites, aux responsables marketing et aux DPO qui veulent s'assurer que leur mesure d'audience ne les expose pas à un risque juridique évitable.1. La finalité est-elle strictement limitée à la mesure d'audience ? C'est le fondement de toute conformité analytics. L'article 5.1(b) du RGPD impose que les données personnelles soient collectées pour des finalités déterminées, explicites et légitimes. Pour un outil de mesure d'audience, cela signifie que les données doivent servir exclusivement à comprendre comment les visiteurs utilisent le site : pages consultées, sources de trafic, temps de chargement, détection de problèmes de navigation. Rien d'autre. En pratique, la dérive est courante. Beaucoup d'outils analytics permettent d'activer des fonctionnalités de remarketing, de ciblage publicitaire ou de croisement avec des bases CRM. Or, dès qu'une seule de ces fonctions est activée, vous sortez du périmètre de la mesure d'audience stricte. Vous perdez l'éligibilité à l'exemption de consentement et vous devez afficher un bandeau cookies complet. Ce qu'il faut vérifier : Documentez la finalité exacte dans votre registre de traitement (article 30 du RGPD). Si la finalité indique "mesure d'audience et optimisation marketing", c'est trop large. La formulation doit se limiter à la production de statistiques anonymes pour le compte exclusif de l'éditeur. Si vous utilisez votre outil analytics en complément d'un outil publicitaire (Meta Pixel, Google Ads), les deux traitements doivent être séparés dans votre registre, avec des bases légales distinctes.2. La base légale est-elle correctement identifiée ? Le RGPD prévoit six bases légales possibles pour traiter des données personnelles (article 6). Pour l'analytics, deux scénarios dominent. Scénario A : exemption de consentement. Si votre outil est configuré pour respecter les critères de la CNIL (finalité stricte, pas de recoupement, données anonymisées), vous pouvez invoquer l'intérêt légitime (article 6.1.f) combiné à l'exemption prévue par l'article 82 de la loi Informatique et Libertés. Dans ce cas, pas de bandeau cookies pour l'analytics. C'est le scénario le plus favorable, détaillé dans notre guide sur l'exemption CNIL. Scénario B : consentement. Si votre outil collecte des données à des fins plus larges que la mesure stricte (profilage, publicité, partage avec des tiers), le consentement de l'utilisateur est obligatoire avant tout dépôt de cookie. Ce consentement doit être libre, éclairé, spécifique et univoque, conformément à l'article 7 du RGPD. En pratique, cela impose un bandeau cookies conforme avec un bouton "Refuser" aussi visible que le bouton "Accepter". La CNIL sanctionne régulièrement les mécanismes de consentement non conformes : en 2025, des amendes de 325 et 150 millions d'euros ont été prononcées pour des manquements liés aux cookies. Ce qu'il faut vérifier : Identifiez clairement dans quel scénario vous vous situez. Si vous hésitez, c'est probablement le scénario B. Et si vous revendiquez l'exemption, assurez-vous de pouvoir le démontrer par écrit : depuis janvier 2026, la CNIL ne publie plus de liste officielle d'outils "validés". C'est désormais à chaque éditeur de prouver sa conformité, notamment via l'outil d'auto-évaluation mis à disposition par la CNIL.3. Quels cookies et traceurs sont réellement déposés ? Beaucoup de sites déclarent utiliser un analytics "sans cookies" alors que leur configuration dépose en réalité des traceurs côté navigateur. L'inverse existe aussi : un outil configuré correctement mais dont la CMP (Consent Management Platform) déclenche elle-même des scripts tiers non déclarés. La seule manière de savoir ce qui se passe réellement est de vérifier par vous-même, dans le navigateur, quels cookies sont déposés lors de la visite. Ce qu'il faut vérifier : Ouvrez votre site en navigation privée. Accédez aux outils de développement (F12 dans Chrome ou Firefox), onglet "Application" puis "Cookies". Notez chaque cookie déposé avant toute interaction avec un éventuel bandeau. Vérifiez aussi l'onglet "Réseau" pour identifier les requêtes envoyées vers des domaines tiers. Si des cookies sont déposés avant consentement et qu'ils ne correspondent pas à un traceur strictement nécessaire au fonctionnement du site, c'est un manquement. Si votre outil analytics est censé fonctionner sans cookies mais que vous voyez un identifiant persistant dans le stockage local (localStorage, sessionStorage), cela peut constituer un traceur au sens de l'article 82 de la loi Informatique et Libertés. Pour un audit plus complet, des outils comme Cookiebot Scanner ou le rapport de transparence de la CNIL permettent de scanner automatiquement les traceurs déposés par votre site.4. La durée de vie des traceurs respecte-t-elle les limites CNIL ? La CNIL est explicite : la durée de vie d'un traceur de mesure d'audience ne doit pas excéder 13 mois. Et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Cette règle est l'une des plus fréquemment ignorées. Google Analytics 4, par exemple, renouvelle par défaut la durée de ses cookies à chaque visite. Ce comportement est incompatible avec l'exemption de consentement. Matomo propose une option similaire qu'il faut désactiver manuellement. Ce qu'il faut vérifier : Consultez la documentation de votre outil pour connaître la durée par défaut de ses cookies. Vérifiez que la configuration active ne prolonge pas les traceurs au-delà de 13 mois. Si votre outil le permet, configurez une durée inférieure (certains outils privacy-first utilisent des fenêtres de 24 heures ou de 30 jours, ce qui est conforme par nature). Les outils qui fonctionnent sans cookies persistants, comme les solutions cookieless décrites dans notre comparatif, contournent cette contrainte puisqu'il n'y a pas de traceur à expirer.5. Les données collectées sont-elles conservées dans les limites autorisées ? La durée de vie du traceur (point 4) et la durée de conservation des données collectées sont deux sujets distincts. La CNIL recommande que les informations recueillies via les traceurs analytics soient conservées pour une durée maximale de 25 mois. Au-delà, les données brutes (événements individuels, identifiants de session) doivent être supprimées ou irréversiblement agrégées. Les tendances et statistiques agrégées (nombre total de visites par mois, top pages) peuvent être conservées plus longtemps, car elles ne contiennent plus de données personnelles. Ce qu'il faut vérifier : Identifiez dans la configuration de votre outil la politique de rétention des données. Google Analytics 4 propose des durées configurables (2 mois ou 14 mois pour les données utilisateur). Matomo permet de configurer une suppression automatique des logs bruts. Si votre outil ne propose pas de purge automatique, mettez en place une procédure manuelle documentée. La recommandation de la CNIL d'un réexamen périodique de ces durées signifie aussi que vous devez pouvoir justifier pourquoi vous conservez les données aussi longtemps. Si 6 mois suffisent pour vos besoins, ne configurez pas 25 mois "au cas où". Le principe de minimisation s'applique aussi à la durée, pas seulement au volume.6. Les données sont-elles hébergées dans l'Espace économique européen ? C'est la question qui a provoqué un séisme en 2022, lorsque plusieurs autorités européennes (dont la CNIL) ont jugé que l'utilisation de Google Analytics entraînait des transferts de données vers les États-Unis incompatibles avec le RGPD, faute de garanties suffisantes après l'invalidation du Privacy Shield. Depuis juillet 2023, le Data Privacy Framework (DPF) a rétabli un cadre de transfert entre l'UE et les États-Unis. Mais ce cadre fait l'objet de contestations (un recours devant la CJUE a été annoncé par NOYB dès son adoption), et rien ne garantit qu'il résistera dans la durée, comme ses deux prédécesseurs (Safe Harbor, Privacy Shield) ont été invalidés avant lui. Ce qu'il faut vérifier : Identifiez où sont physiquement hébergées les données collectées par votre outil analytics. Si le fournisseur est américain, vérifiez s'il est certifié sous le DPF et documentez cette vérification. Si vous souhaitez une sécurité maximale, privilégiez un hébergement exclusivement européen, ce qui rend la question des transferts sans objet. La CNIL rappelle qu'en cas d'utilisation d'un outil impliquant des transferts, un serveur mandataire (proxy) peut constituer une mesure supplémentaire, à condition qu'il soit correctement configuré pour empêcher toute transmission de données identifiantes vers les serveurs du fournisseur. Comme l'explique notre article sur les 5 KPIs essentiels, la question n'est pas seulement juridique : un hébergement européen réduit aussi la latence et améliore la performance de votre dashboard.7. Le sous-traitant est-il encadré par un contrat conforme ? L'article 28 du RGPD impose que tout traitement effectué par un sous-traitant pour le compte d'un responsable de traitement soit encadré par un contrat ou un acte juridique spécifique. C'est ce qu'on appelle couramment le DPA (Data Processing Agreement). Pour l'analytics, le sous-traitant est votre fournisseur d'outil (Google, Matomo Cloud, Plausible, Fathom, etc.). Le DPA doit préciser les finalités du traitement, la nature des données traitées, les mesures de sécurité, les sous-traitants ultérieurs, et les obligations en cas de violation. Ce qu'il faut vérifier : Avez-vous signé (ou accepté en ligne) un DPA avec votre fournisseur analytics ? Si oui, lisez-le. Vérifiez en particulier trois points sensibles. Le premier : le fournisseur s'engage-t-il à ne pas réutiliser les données pour son propre compte ? C'est un critère d'exclusion pour l'exemption de consentement. La CNIL cite explicitement les politiques de confidentialité de certaines grandes offres de mesure d'audience qui indiquent réutiliser les données pour leur propre compte. Le deuxième : la liste des sous-traitants ultérieurs est-elle accessible et à jour ? Vous devez pouvoir savoir qui traite vos données en cascade. Le troisième : les clauses de notification en cas de violation de données sont-elles conformes à l'article 33 du RGPD (notification sous 72 heures) ?8. L'information aux utilisateurs est-elle complète et accessible ? Même si vous bénéficiez de l'exemption de consentement, vous n'êtes pas dispensé d'informer vos visiteurs. La CNIL recommande que les utilisateurs soient informés de la mise en place de ces traceurs, par exemple via la politique de confidentialité du site. L'article 13 du RGPD liste les informations obligatoires : identité du responsable de traitement, finalités, base légale, destinataires, durées de conservation, droits des personnes (accès, rectification, effacement, opposition). Pour l'analytics, il faut ajouter le nom de l'outil utilisé, la nature des données collectées (pages vues, durée de visite, type d'appareil, géolocalisation approximative, etc.) et les coordonnées du DPO si vous en avez un. Ce qu'il faut vérifier : Relisez votre page "Politique de confidentialité" ou "Mentions légales". L'analytics y est-elle mentionnée ? Les informations sont-elles à jour (bon outil, bonnes finalités, bonnes durées) ? Si votre politique de confidentialité est un copier-coller générique qui mentionne Google Analytics alors que vous utilisez Matomo depuis deux ans, c'est un manquement à l'obligation d'information. Un conseil pratique : ajoutez une section dédiée "Mesure d'audience" dans votre politique de confidentialité, avec le nom de l'outil, la base légale retenue, la durée des traceurs et la durée de conservation des données. C'est cette clarté qui distingue un site conforme d'un site qui se contente d'afficher un bandeau.9. Le recoupement de données est-il exclu ? C'est l'un des critères les plus stricts de la CNIL pour l'exemption de consentement : les données collectées par l'outil analytics ne doivent pas être recoupées avec d'autres traitements, ni transmises à des tiers. Cela interdit concrètement plusieurs pratiques courantes : croiser les données analytics avec un CRM pour identifier des utilisateurs, partager des identifiants avec une plateforme publicitaire, utiliser un même cookie pour l'analytics et le retargeting, ou envoyer des données à un réseau social pour créer des audiences similaires (lookalike). Cela interdit aussi le suivi inter-sites : un même identifiant ne peut pas être utilisé pour mesurer la navigation sur plusieurs domaines différents. Si vous gérez plusieurs sites, chaque propriété doit être isolée avec des traceurs indépendants. Ce qu'il faut vérifier : Passez en revue les intégrations actives dans votre outil analytics. Avez-vous activé le lien entre GA4 et Google Ads ? Entre GA4 et BigQuery avec des données CRM ? Ces connexions, même si elles ne sont pas activement exploitées, suffisent à disqualifier l'exemption. Si vous utilisez des UTM ou des paramètres de campagne dans vos URL, vérifiez que ces informations restent dans le périmètre de l'analytics et ne sont pas partagées avec des outils tiers. Le principe est simple : ce qui entre dans l'analytics doit y rester. Pour comprendre comment mesurer efficacement l'impact de vos campagnes sans recouper les données, consultez notre article sur le suivi SEO sans Google Analytics.10. La configuration est-elle documentée et révisable ? C'est le point que tout le monde oublie. La conformité RGPD n'est pas un état figé. C'est un processus continu qui doit être documenté, auditable et régulièrement réexaminé. Depuis janvier 2026, le changement de posture de la CNIL est clair : elle ne valide plus d'outils. C'est à chaque éditeur, avec l'aide de son fournisseur si nécessaire, de démontrer que la configuration déployée est conforme. L'outil d'auto-évaluation publié par la CNIL en juillet 2025 est désormais le mécanisme central pour vérifier l'éligibilité à l'exemption. Ce qu'il faut vérifier : Tenez un document interne (même simple) qui décrit votre configuration analytics : outil utilisé, version, paramètres activés, finalités, base légale, durées, hébergement, sous-traitants. Datez-le. Mettez-le à jour à chaque modification. Si un jour la CNIL vous pose la question, ou si un utilisateur exerce son droit d'accès, vous devez pouvoir répondre en quelques minutes. Planifiez un audit annuel de votre configuration analytics. Vérifiez que les réglages n'ont pas changé après une mise à jour de l'outil, que les intégrations tierces n'ont pas été activées par un collaborateur, et que vos durées de conservation sont toujours respectées. Enfin, si vous faites appel à un prestataire pour gérer votre analytics, assurez-vous que la responsabilité de la conformité est clairement attribuée dans votre contrat. Le responsable de traitement, c'est vous, pas votre agence.En résumé : la grille de vérification rapide Voici les 10 points condensés. Si vous pouvez répondre "oui" à chaque question, votre configuration analytics est solide. Chaque "non" ou "je ne sais pas" identifie un risque à traiter.La finalité est-elle strictement limitée à la mesure d'audience ? La base légale est-elle identifiée et documentée ? Savez-vous exactement quels cookies et traceurs sont déposés ? La durée de vie des traceurs respecte-t-elle la limite de 13 mois ? Les données sont-elles conservées 25 mois maximum (brutes) ? Les données sont-elles hébergées dans l'EEE ou le transfert est-il encadré ? Un DPA est-il signé avec votre fournisseur, sans réutilisation des données ? Votre politique de confidentialité mentionne-t-elle l'analytics ? Aucun recoupement n'est effectué avec d'autres traitements ? La configuration est-elle documentée et auditée régulièrement ?Deux erreurs fréquentes à éviter "Mon outil est conforme, donc mon site est conforme." Non. Un outil peut être conforme dans une certaine configuration, et non conforme dans une autre. La conformité dépend de vos réglages, pas du logo sur la boîte. Matomo peut être conforme ou non selon sa configuration. Google Analytics peut être utilisé avec des mesures supplémentaires (proxy, paramétrage restrictif) ou déclenché uniquement après consentement. C'est la configuration qui compte. Comme le rappelle notre analyse de la data obésité, le réflexe de "tout collecter par défaut" est précisément ce que le RGPD combat. "Je suis trop petit pour être contrôlé." La procédure simplifiée de la CNIL, opérationnelle depuis 2022, permet de traiter rapidement les dossiers de faible complexité, y compris contre de très petites structures. Les amendes sont plafonnées à 20 000 euros dans ce cadre, mais elles existent : en 2025, la CNIL a prononcé 67 décisions via cette procédure. Le risque n'est pas proportionnel à votre taille. Il est proportionnel à votre visibilité et au nombre de plaintes reçues.Conclusion : la conformité comme avantage, pas comme corvée Vérifier ces dix points prend quelques heures, pas quelques semaines. Et le bénéfice dépasse la simple conformité juridique. Un site dont l'analytics est proprement configurée inspire davantage confiance. Les données collectées sont plus fiables, car elles ne sont pas polluées par des scripts inutiles ou des traceurs fantômes. La charge technique est allégée. Et si vous parvenez à remplir les conditions de l'exemption, vous supprimez le bandeau cookies pour l'analytics, ce qui améliore directement l'expérience utilisateur et la complétude de vos données, comme l'explique notre guide sur l'exemption de consentement. La conformité n'est pas un frein à la mesure. C'est le socle sur lequel s'appuie une mesure d'audience digne de confiance.FAQ Mon site personnel ou mon blog a-t-il besoin de cette checklist ? Oui, dès lors que vous collectez des données de navigation via un outil analytics, même gratuit, même auto-hébergé. Le RGPD s'applique à toute personne qui traite des données personnelles de résidents européens, quelle que soit la taille de la structure. Cela dit, si votre outil ne dépose aucun cookie, ne collecte aucune adresse IP et ne permet aucune identification (même indirecte), le risque est mécaniquement très faible. Google Analytics 4 peut-il être conforme au RGPD ? Techniquement, il est possible de configurer GA4 de manière à réduire significativement les risques : anonymisation IP, désactivation des signaux Google, pas de lien avec Google Ads, consentement recueilli avant activation du script. En revanche, GA4 n'est pas éligible à l'exemption de consentement dans sa configuration standard, car Google indique réutiliser les données pour ses propres services. Vous devrez donc afficher un bandeau et n'obtiendrez des données que pour les visiteurs qui acceptent. Quelle est la différence entre anonymisation et pseudonymisation ? La pseudonymisation remplace un identifiant direct (nom, email) par un identifiant indirect (hash, token). Les données restent des données personnelles car la réidentification est théoriquement possible. L'anonymisation, elle, rend la réidentification impossible de manière irréversible, y compris par recoupement. Seules les données véritablement anonymisées sortent du champ du RGPD. La distinction est cruciale pour l'analytics : des données pseudonymisées restent soumises au RGPD et doivent respecter les durées de conservation. Comment savoir si mon outil est éligible à l'exemption de consentement CNIL ? Depuis janvier 2026, la CNIL ne publie plus de liste d'outils validés. Le fournisseur de votre solution peut réaliser une auto-évaluation à l'aide du cadre publié par la CNIL en juillet 2025, et vous remettre un document attestant du respect des conditions. C'est ensuite à vous, en tant qu'éditeur, de vérifier que votre configuration réelle correspond bien à cette évaluation. En cas de doute, la prudence recommande de recueillir le consentement. À quelle fréquence dois-je réauditer ma configuration analytics ? Au minimum une fois par an, ou à chaque changement significatif : mise à jour de l'outil, ajout d'une intégration tierce, changement de prestataire, modification de la finalité. La CNIL recommande un réexamen périodique des durées de conservation, ce qui implique au minimum une revue annuelle documentée.SourcesSource : CNIL, « Cookies : solutions pour les outils de mesure d'audience », délibération du 4 juillet 2025 (https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience) Source : CNIL, « Mesurer la fréquentation de vos sites web et de vos applications » (https://www.cnil.fr/fr/mesurer-la-frequentation-de-vos-sites-web-et-de-vos-applications) Source : CNIL, Outil d'auto-évaluation relatif à la mise en oeuvre d'une solution de mesure d'audience, juillet 2025 (https://www.cnil.fr/sites/default/files/2025-07/outil_d_auto-evaluation_mesure_d_audience.pdf) Source : CNIL, « Mesure d'audience et transferts de données : comment mettre son outil en conformité avec le RGPD » (https://www.cnil.fr/fr/mesure-daudience-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite) Source : L'Usine Digitale, « Avec 487 millions d'euros d'amendes en 2025, la CNIL sanctionne moins mais frappe beaucoup plus fort », 9 février 2026 (https://www.usine-digitale.fr/reglementation/gdpr-rgpd/avec-487-millions-deuros-damendes-en-2025-la-cnil-sanctionne-moins-mais-frappe-beaucoup-plus-fort) Source : Optimal Ways, « Nouvelles règles CNIL sur les solutions de mesure d'audience », décembre 2025 (https://www.optimalways.com/fr/2025/09/cnil-consentement-mesure-audience/)