Chapitre 7.5 — L’avenir des cookies & atelier
⏱️ TL;DR — Le cadre des cookies pourrait bouger. La proposition « Digital Omnibus » de la Commission (19 novembre 2025) prévoit de déplacer les règles cookies de la directive ePrivacy vers le RGPD, avec un consentement « 1-clic » valable 6 mois et des préférences exprimées au niveau du navigateur. Mais attention : c’est une proposition, pas du droit en vigueur (adoption visée ~fin 2026). Le règlement ePrivacy censé remplacer la directive reste bloqué ; c’est donc toujours la directive de 2002 (art. 82 loi I&L) qui s’applique aujourd’hui. On construit avec le droit actuel, on surveille l’avenir — et on met tout en pratique dans l’atelier : le bandeau de FormaCampus.
🎯 Objectifs
- Situer la proposition Digital Omnibus et ce qu’elle changerait pour les cookies.
- Distinguer clairement ce qui s’applique aujourd’hui de ce qui est proposé.
- Comprendre pourquoi on ne construit pas sur une proposition.
- Concevoir, de bout en bout, un bandeau conforme (atelier FormaCampus).
Ce qui s’applique aujourd’hui
Aucune ambiguïté sur le présent : les cookies restent régis par la directive ePrivacy 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés, avec les lignes directrices et la recommandation CNIL 2020. Le règlement ePrivacy, imaginé pour remplacer la directive, est bloqué depuis 2017 et n’a jamais abouti. Donc : consentement préalable pour les traceurs non exemptés, refuser aussi simple qu’accepter, exemptions strictes. C’est ce cadre, et lui seul, que tu implémentes.
Ce qui est proposé (Digital Omnibus)
Le 19 novembre 2025, la Commission a présenté le paquet « Digital Omnibus », un train de simplification touchant RGPD, AI Act et Data Act. Côté cookies, la proposition prévoit trois évolutions :
| Aujourd’hui (en vigueur) | Proposition Digital Omnibus (à venir) |
|---|---|
| Cookies régis par la directive ePrivacy (art. 82 loi I&L) | Règles cookies déplacées vers le RGPD |
| Consentement recueilli site par site, à ré-exprimer souvent | Consentement « 1-clic » valable 6 mois |
| Choix géré par le bandeau de chaque site | Préférences exprimables au niveau du navigateur |
L’intention affichée : réduire la fatigue des bandeaux et harmoniser le régime avec le reste du RGPD. Mais rien de tout cela n’est applicable : c’est une proposition de la Commission, qui doit encore suivre le processus législatif européen (Parlement, Conseil). L’adoption est visée ~fin 2026, pour un effet ultérieur — et le texte peut changer en route.
⚠️ Piège — Coder dès maintenant un consentement « 1-clic valable 6 mois » ou renvoyer l’utilisateur vers ses « réglages navigateur » en croyant être en avance. Tu serais non conforme au droit actuel, qui exige toujours le recueil selon la directive de 2002 et la recommandation CNIL 2020. Une proposition n’est pas un calendrier d’implémentation : on construit sur le droit en vigueur.
💡 Réflexe — Surveille, ne spécule pas. Mets une veille sur les publications CNIL et CEPD et sur l’avancée du Digital Omnibus, et conçois ta CMP de façon modulaire (finalités, preuve, ré-accès au choix) pour pouvoir absorber un futur changement sans tout réécrire. La bonne architecture d’aujourd’hui reste la meilleure assurance pour demain.
📚 Le texte — La proposition « Digital Omnibus » date du 19 novembre 2025 ; elle prévoit notamment de déplacer les règles cookies de ePrivacy vers le RGPD, avec consentement « 1-clic » valable 6 mois et préférences au niveau du navigateur. Proposition, pas droit en vigueur — adoption visée ~fin 2026. Le règlement ePrivacy reste bloqué ; la directive 2002/58/CE (art. 82 loi I&L) s’applique toujours.
🔒 Côté personne concernée — L’esprit de la réforme va dans le bon sens pour l’internaute : moins de bandeaux répétés, un choix durable et centralisé au niveau du navigateur, qu’on n’a plus à ré-exprimer sur chaque site. Mais tant que ce n’est pas en vigueur, la personne garde ses droits actuels : consentement libre par finalité, refus aussi simple que l’accord, retrait à tout moment.
🛠️ Atelier — Le bandeau de FormaCampus
On rassemble toute la partie sur un cas concret. Contexte : FormaCampus met en ligne un site vitrine (Next.js) qui présente ses formations. Deux éléments à traiter :
- une mesure d’audience (compter les visites, voir les pages populaires) ;
- une vidéo YouTube intégrée sur la page « Nos formations » (démo produit), qui charge un traceur tiers.
Objectif : décider quels traceurs déposer, quand, et concevoir le bandeau. Traite les trois étapes, puis compare.
Étape 1 — Inventaire & tri. Liste les traceurs du site vitrine, classe chacun (exempté / consentement) et indique s’il est de 1re partie ou tiers.
✅ Solution
| Traceur | Origine | Finalité | Régime |
|---|---|---|---|
| Cookie de session | 1re partie | Fonctionnement du site | Exempté (strictement nécessaire) |
| Cookie de choix cookies | 1re partie | Mémoriser le choix du bandeau | Exempté (strictement nécessaire) |
| Mesure d’audience | 1re partie | Statistiques de fréquentation | Exempté si configuré selon critères CNIL, sinon consentement |
| Vidéo YouTube intégrée | Tiers | Lecture vidéo (plateforme externe) | Consentement requis |
Le tri montre que deux traceurs sont exemptés d’office, la mesure d’audience dépend de sa config, et seule la vidéo impose clairement un consentement.
Étape 2 — Réduire le besoin de consentement. Avant même de coder le bandeau, quels choix d’architecture réduisent le nombre de traceurs soumis à consentement ?
✅ Solution
Deux leviers : (1) configurer la mesure d’audience en mode exempté (finalité audience seule, pas de recoupement, pas de suivi inter-sites, durée limitée, stats anonymisées) — ou passer à un analytics sans cookie ; résultat : plus de consentement requis pour mesurer. (2) Pour la vidéo YouTube, ne pas charger le lecteur au chargement : afficher une vignette cliquable (image + bouton lecture) qui n’appelle le lecteur tiers qu’au clic de l’utilisateur — le clic vaut alors demande explicite. Après ces deux choix, il ne reste presque plus rien à faire consentir en amont : le bandeau devient léger.
Étape 3 — Concevoir le bandeau. Écris le bandeau conforme (au moins la structure des boutons) et énonce les règles qu’il respecte.
✅ Solution
Structure minimale : « Tout accepter » et « Tout refuser » identiques au premier niveau, plus « Personnaliser » (finalités séparées : mesure d’audience si non exemptée, vidéos/réseaux sociaux), interrupteurs éteints par défaut, et rien déposé avant le choix.
<div class="cookie-banner" role="dialog" aria-label="Gestion des cookies">
<p>
Nous mesurons l'audience du site et proposons des videos de demonstration.
Acceptez, refusez, ou choisissez par finalite. <a href="/cookies">En savoir plus</a>
</p>
<div class="cookie-actions">
<button data-action="accept-all">Tout accepter</button>
<button data-action="reject-all">Tout refuser</button>
<button data-action="customize">Personnaliser</button>
</div>
</div>Règles respectées : refuser aussi simple qu’accepter (boutons de même poids), choix par finalité, pas de dépôt avant le choix, preuve journalisée à l’enregistrement (quoi, quand, version), lien « Gérer mes cookies » permanent en pied de page pour rouvrir le panneau. Comme la mesure est en mode exempté et la vidéo en vignette-au-clic, un visiteur qui refuse garde un site pleinement fonctionnel — et FormaCampus mesure quand même son audience. Conformité et données utiles : les deux à la fois.
🧠 Quiz de révision
1. Qu’est-ce que la proposition « Digital Omnibus » prévoit pour les cookies ?
De déplacer les règles cookies de la directive ePrivacy vers le RGPD, avec un consentement « 1-clic » valable 6 mois et des préférences exprimables au niveau du navigateur. Elle date du 19 novembre 2025.
2. Le Digital Omnibus est-il applicable aujourd’hui ?
Non. C’est une proposition de la Commission, pas du droit en vigueur — adoption visée ~fin 2026, effet ultérieur, et le texte peut évoluer. On surveille, on ne construit pas dessus.
3. Quel texte régit les cookies aujourd’hui ?
La directive ePrivacy 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés (avec la recommandation CNIL 2020). Le règlement ePrivacy reste bloqué ; c’est donc la directive de 2002 qui s’applique.
4. Sur le site vitrine de FormaCampus, quel élément impose clairement un consentement ?
La vidéo YouTube intégrée : elle charge un traceur tiers (plateforme externe). Solution pour l’éviter en amont : une vignette cliquable qui ne charge le lecteur qu’au clic de l’utilisateur.
5. Comment réduire le besoin de consentement sur ce site ?
Configurer la mesure d’audience en mode exempté (ou analytics sans cookie) et charger la vidéo au clic (vignette). Il ne reste alors presque plus de traceurs à faire consentir en amont, et un visiteur qui refuse garde un site pleinement fonctionnel.
Fin de la Partie 7. On enchaîne sur Partie 8 — Transparence & information — les mentions d’information (art. 13 et 14), la politique de confidentialité claire, et comment tout dire à la personne sans noyer l’essentiel.