Une bannière de cookies bien configurée relève aujourd’hui de l’exception. Selon une étude publiée en mars 2025 portant sur les 10 000 sites les plus visités dans 31 pays, seulement 15 % des interfaces de consentement sont minimalement conformes — principalement faute d’option de refus effective : en gros, on refuse mais on nous trace quand même. Chez biskoui, c’est précisément ce que nous cherchons à changer.
En novembre 2025, la CNIL française a infligé une amende de 750 000 € à la société éditrice de Vanity Fair France pour des manquements liés à sa bannière de cookies. La nature de ces infractions est instructive : ce sont exactement les erreurs que l’on retrouve sur de nombreux sites suisses, et que la LPD et la LTC sanctionnent tout autant.
L’affaire Vanity Fair France : ce qui s’est passé
La décision SAN-2025-010 de la CNIL (17 mars 2026) s’appuie sur plusieurs contrôles réalisés entre juillet 2023 et février 2025 sur le site vanityfair.fr. Elle identifie quatre manquements distincts.
1. Des cookies déposés avant tout consentement
Dès l’arrivée de l’utilisateur sur le site, des cookies publicitaires — dont le cookie NID de Google, utilisé pour la personnalisation d’annonces — étaient déposés sur son terminal, avant même qu’il ait interagi avec la bannière. Le consentement doit précéder tout dépôt. Ce n’était pas le cas.
2. Une information trompeuse sur la nature des cookies
Certaines fonctionnalités du Transparency and Consent Framework (TCF) de l’IAB Europe — notamment le recoupement de données entre terminaux — étaient présentées comme « toujours actives », laissant croire qu’elles étaient strictement nécessaires au fonctionnement du site. Or elles ne l’étaient pas. L’utilisateur ne pouvait donc pas prendre une décision éclairée.
3. Un refus sans effet réel
L’utilisateur qui choisissait « tout refuser » voyait des cookies publicitaires et d’analyse vidéo continuer d’être déposés lors de sa navigation. Un bouton « refuser » qui ne refuse rien n’est pas un consentement : c’est une tromperie.
4. Un retrait de consentement ignoré
Même après retrait du consentement, les cookies déjà présents sur le terminal continuaient d’être lus par le site. La CNIL le rappelle : l’obligation de respecter le retrait porte non seulement sur le dépôt de nouveaux traceurs, mais aussi sur la lecture de ceux déjà stockés — y compris les first-party cookies.
Ce que le droit suisse exige
En Suisse, plusieurs bases légales encadrent l’utilisation des cookies et imposent des obligations concrètes à tout responsable de site web.
La LPD et ses principes généraux
La Loi fédérale sur la protection des données (LPD) pose trois principes applicables au traitement par cookies :
- Licéité et bonne foi (art. 6 LPD) : un mécanisme qui simule un choix sans en respecter les effets contrevient au principe de bonne foi.
- Obligation d’information (art. 19 LPD) : l’utilisateur doit être informé de manière transparente sur les finalités des traitements.
- Consentement (art. 31 LPD) : lorsqu’il est requis, le consentement doit être libre, spécifique et éclairé — ce qui suppose qu’un refus produise des effets réels.
L’article 45c LTC
L’article 45c lettre b de la Loi sur les télécommunications (LTC) prévoit explicitement que l’utilisateur doit être informé du traitement de données au moyen de télécommunications — dont les cookies — ainsi que de sa finalité, et disposer de la possibilité de s’y opposer.
Le Guide du PFPDT (janvier 2025)
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une version actualisée de son Guide relatif aux cookies. Il y insiste sur trois points :
- La nécessité d’une information transparente sur les finalités (section 3.3.1)
- La distinction entre cookies strictement nécessaires et non nécessaires, qui ne peuvent pas être justifiés par les mêmes bases légales (sections 3.5.2 et 3.6)
- Les modalités concrètes de retrait du consentement, y compris la suppression effective des traceurs déjà déposés (sections 3.9 et 3.12.7)
La conformité s’apprécie au regard du fonctionnement concret, pas de la simple présence d’une bannière. Un mécanisme qui permet formellement de refuser, tout en continuant à lire des traceurs sur le terminal, n’est pas défendable au regard du principe de bonne foi au sens de la LPD.
Les 4 erreurs à ne pas commettre sur votre site suisse
| Erreur | Risque |
|---|---|
| Charger des scripts tiers avant consentement | Traitement illicite dès la première visite |
| Présenter des cookies non nécessaires comme obligatoires | Violation de l’obligation d’information (art. 19 LPD) |
| Ne pas arrêter le traitement après « refuser » | Consentement fictif, contrevenant à l’art. 6 LPD |
| Ne pas cesser le traitement après retrait du consentement | Traitement illicite de données déjà collectées |
Pourquoi une CMP bien configurée change tout
La majorité de ces manquements ne relèvent pas d’une mauvaise volonté : ils résultent d’une implémentation technique défaillante. Un tag Google Analytics mal conditionné, un script vidéo chargé sans vérification de consentement, un cookie first-party non supprimé lors du retrait — ce sont des erreurs courantes, invisibles à l’œil nu, mais bien réelles dans les logs.
Une CMP (Consent Management Platform) correctement configurée résout ces problèmes à la source :
- Aucun traitement avant consentement : aucun script tiers n’est exécuté tant que l’utilisateur n’a pas fait son choix.
- Refus respecté : les traitements conditionnés ne démarrent pas en l’absence de consentement.
- Retrait appliqué : le changement de préférence entraîne l’arrêt immédiat des traitements concernés.
- Information structurée : chaque finalité est présentée clairement, sans amalgame avec les fonctionnalités nécessaires.
C’est précisément ce que biskoui propose : une CMP 100% suisse, hébergée sur un cloud certifié ISO 27001, conçue pour répondre aux exigences de la LPD, de la LTC et du Guide du PFPDT.