Aller au contenu principal
Données personnelles Commerce

Cookies et bandeau de consentement : guide RGPD pour les commerces de proximité

Liz Garnier
Liz Garnier
Écran d'ordinateur affichant un bandeau de consentement cookies

En 2025, 21 organismes ont été sanctionnés par la CNIL pour des manquements liés aux cookies : dépôt sans consentement, information insuffisante, refus de consentement non pris en compte (source : CNIL, bilan sanctions 2025). Et parmi les contrôlés, 32% étaient des PME ou des TPE. Le mythe selon lequel “la CNIL ne s’intéresse qu’aux géants du web” ne tient plus.

Vous avez un site web pour votre commerce, une page Facebook, peut-être une application mobile ? Vous utilisez Google Analytics pour mesurer votre trafic ? Alors le sujet des cookies vous concerne directement.

Cookies : de quoi parle-t-on exactement ?

Définition simple

Un cookie est un petit fichier déposé sur l’appareil de l’internaute (ordinateur, téléphone, tablette) lorsqu’il visite un site web ou utilise une application. Ce fichier permet au site de “se souvenir” de l’utilisateur : ses préférences, son panier d’achat, son identifiant de session.

Les trois familles de cookies

Tous les cookies ne se valent pas. La CNIL distingue trois catégories selon leur finalité (source : CNIL, règles cookies) :

CatégorieExemplesConsentement requis ?
Cookies strictement nécessairesPanier d’achat, session utilisateur, préférence de langue, cookies de sécuritéNon
Cookies de mesure d’audienceGoogle Analytics, Matomo (si configuré en anonyme)Oui (sauf exemption CNIL pour Matomo anonymisé)
Cookies publicitaires et marketingFacebook Pixel, Google Ads, retargeting, affiliationOui

La directive ePrivacy

Les cookies sont encadrés par la directive européenne 2002/58/CE (directive “ePrivacy”), transposée en droit français dans l’article 82 de la loi Informatique et Libertés. Ce texte impose le consentement préalable de l’utilisateur avant tout dépôt de cookie non essentiel (source : CNIL, lignes directrices cookies).

La CNIL a publié ses recommandations finales le 1er octobre 2020, avec une période de grâce de 6 mois. Depuis avril 2021, les contrôles sont effectifs. Et depuis 2024, des outils automatisés scannent les sites web à grande échelle.

Le bandeau cookies : les règles à respecter

Les exigences de la CNIL

La CNIL est claire sur ce que doit contenir un bandeau cookies conforme (source : CNIL, mise en conformité cookies) :

  1. Informer l’utilisateur de la finalité des cookies (mesure d’audience, publicité, réseaux sociaux…)
  2. Proposer un choix réel : un bouton “Tout accepter” ET un bouton “Tout refuser” au même niveau et au même format
  3. Permettre un paramétrage fin : l’utilisateur doit pouvoir choisir catégorie par catégorie
  4. Ne déposer aucun cookie (hors cookies essentiels) avant le choix de l’utilisateur
  5. Conserver la preuve du consentement

Ce qui ne marche pas

La CNIL a sanctionné des pratiques courantes mais non conformes :

  • Le “cookie wall” qui bloque l’accès au site si l’utilisateur refuse les cookies
  • Le bouton “Paramétrer” seul en alternative à “Tout accepter” (sans bouton “Tout refuser” visible)
  • La poursuite de navigation = consentement : faire défiler une page ne vaut pas acceptation
  • Les cases pré-cochées : le consentement doit être un acte positif
  • Le design trompeur (dark patterns) : bouton “Accepter” en vert fluo et “Refuser” en gris clair minuscule

La règle d’or : refuser doit être aussi simple qu’accepter. Un clic pour accepter = un clic pour refuser.

Et pour les applications mobiles ?

SDK et traceurs dans les applis

Les cookies au sens strict n’existent pas dans les applications mobiles. Mais les SDK (kits de développement) intégrés dans les applis jouent exactement le même rôle : ils collectent des données sur l’utilisateur (identifiant publicitaire, données de navigation, localisation).

La CNIL a étendu ses contrôles aux applications mobiles en 2024 et recommande aux éditeurs d’applis d’auditer les SDK intégrés (source : CNIL, audit cookies et applications mobiles).

Ce que ça signifie pour votre commerce

Si vous avez une application mobile pour votre commerce, les SDK de mesure d’audience (Firebase Analytics, par exemple) et les SDK publicitaires (Facebook SDK) sont soumis aux mêmes règles que les cookies sur un site web : consentement préalable obligatoire.

Avec Commerce en Direct, les traceurs tiers ne sont pas intégrés dans l’application. Les statistiques d’utilisation sont gérées de manière anonymisée, sans collecte d’identifiants publicitaires. Vous n’avez pas à vous soucier de la conformité des SDK.

Cookies nécessaires : ceux que vous pouvez déposer librement

Certains cookies sont exemptés de consentement car ils sont indispensables au fonctionnement du service. Pour un commerce, cela concerne :

  • Le panier d’achat : le cookie qui retient les produits ajoutés au panier sur votre site de Click & Collect
  • L’authentification : le cookie qui maintient l’utilisateur connecté à son compte fidélité
  • Le choix de langue : si votre site est disponible en plusieurs langues
  • Les cookies de sécurité : protection contre les attaques (CSRF, par exemple)
  • Le cookie de consentement lui-même : celui qui enregistre le choix de l’utilisateur sur le bandeau

Ces cookies ne nécessitent ni bandeau, ni consentement. Mais ils doivent quand même être mentionnés dans votre politique de confidentialité.

Sanctions CNIL : des exemples concrets

Les amendes records

Les sanctions les plus médiatisées concernent les géants du numérique : 325 millions d’euros pour Google et 150 millions pour Shein en 2025, pour des manquements liés aux cookies (source : CNIL, sanctions 2025).

Les sanctions visant les petites structures

La procédure simplifiée de la CNIL, introduite en 2022, permet de sanctionner rapidement les petites structures avec des amendes jusqu’à 20 000 euros. En 2025, 69 des 87 sanctions prononcées l’ont été via cette procédure (source : CNIL, bilan 2025).

Pour un commerce de proximité dont le site dépose des cookies Google Analytics sans bandeau de consentement, le scénario est le suivant :

  1. Contrôle automatisé : un robot CNIL détecte le dépôt de cookies sans consentement
  2. Mise en demeure : la CNIL vous notifie et vous donne un délai (généralement 1 à 3 mois)
  3. Sanction : si rien n’est fait, amende de 2 000 à 20 000 euros via procédure simplifiée

Le coût caché : la perte de confiance

Au-delà de l’amende, un commerce épinglé par la CNIL perd en crédibilité auprès de ses clients. Les décisions de la CNIL sont publiques. Un article dans la presse locale sur une sanction RGPD, même modeste, peut faire plus de dégâts qu’une campagne de communication ratée.

Bonnes pratiques pour les petits commerces

Si vous avez un site web

  1. Identifiez vos cookies : utilisez un outil gratuit comme Cookiebot Scanner pour lister les cookies déposés par votre site
  2. Installez un bandeau conforme : des solutions gratuites ou peu coûteuses existent (Tarteaucitron.js, Axeptio, Cookiebot)
  3. Configurez le blocage préalable : aucun cookie non essentiel ne doit être déposé avant le choix de l’utilisateur
  4. Vérifiez le bouton “Tout refuser” : il doit être au même niveau que “Tout accepter”
  5. Conservez les preuves : la plupart des solutions de gestion de cookies conservent un registre des consentements

Si vous avez une application mobile

  1. Auditez les SDK intégrés dans votre application
  2. Supprimez les SDK non nécessaires (ex : Facebook Pixel si vous ne faites pas de publicité Facebook)
  3. Privilégiez une solution sans traceurs comme Commerce en Direct, qui respecte la vie privée de vos clients par conception

Si vous n’avez ni site web ni appli

Bonne nouvelle : si votre présence en ligne se limite à une page Facebook et un profil Google Business, c’est Facebook et Google qui gèrent les cookies. Vous n’avez rien à faire de ce côté-là. En revanche, votre fichier clients (tableur, logiciel de caisse) reste soumis au RGPD — consultez notre guide RGPD pour commerçants pour les détails.

Checklist cookies pour votre commerce

Voici les points à vérifier pour être en conformité :

  • Bandeau cookies visible dès la première visite sur votre site
  • Bouton “Tout refuser” au même niveau que “Tout accepter”
  • Aucun cookie non essentiel déposé avant le consentement
  • Paramétrage catégorie par catégorie accessible
  • Politique de cookies détaillée dans votre politique de confidentialité
  • Durée de vie des cookies limitée (13 mois maximum pour le consentement, recommandation CNIL)
  • Renouvellement du consentement prévu (au moins tous les 13 mois)
  • Registre des traitements mis à jour avec les traitements liés aux cookies

Simplifiez-vous la vie

La conformité cookies peut sembler lourde quand on gère un commerce au quotidien entre les livraisons, les clients et la comptabilité. Le plus simple : choisissez des outils qui intègrent la conformité par défaut.

Commerce en Direct est conçu pour les commerçants qui veulent communiquer avec leurs clients sans se transformer en experts juridiques. Pas de cookies tiers, pas de SDK publicitaires, pas de bandeau à configurer. Vos clients reçoivent vos promotions via les notifications push, consultent votre catalogue et utilisent leur carte de fidélité, le tout dans le respect de leur vie privée.

Demandez une démo gratuite et découvrez une application de commerce conforme dès le premier jour.

Cet article fait partie de notre Guide pour commerçants.

cookies commerce proximité rgpdbandeau cookies commerceconsentement cookies CNILcookies site web commerçantdirective ePrivacy commerceRGPD cookies application mobile
Liz Garnier

Liz Garnier

IA Business developer

Articles similaires

Cadenas numérique symbolisant la protection des données personnelles
Données personnelles Commerce

RGPD et commerce de proximité : protégez les données de vos clients sans prise de tête

Protection des données personnelles et sécurité numérique
Données personnelles Commerce

RGPD pour les commerçants : ce que vous devez savoir (sans jargon juridique)

Commerçant consultant les notifications sur son smartphone
Communication Commerce

Notifications push : l'arme secrète des commerçants pour booster leurs ventes

Prêt à engager vos clients ?

Rejoignez les commerces qui ont adopté Commerce en Direct.

Réservez votre démo