Ändert das Digital Omnibus die Cookie-Regeln im Jahr 2026?

Noch nicht. Das Digital Omnibus ist ein Vorschlag der Europäischen Kommission, der im November 2025 veröffentlicht wurde. Der Text befindet sich in der Konsultations- und Verhandlungsphase. Die aktuellen Regeln (DSGVO + ePrivacy-Richtlinie + CNIL-Leitlinien) bleiben vollständig anwendbar. Die endgültige Annahme wird frühestens Ende 2026 erwartet.

Was sind die jüngsten CNIL-Sanktionen bezüglich Cookies?

Im September 2025 wurde Google mit 325 Millionen Euro und Shein mit 150 Millionen Euro für Cookie- und Einwilligungsverstöße sanktioniert. Im November 2025 erhielt Google eine zusätzliche Geldbuße von 90 Millionen Euro für das Setzen des NID-Cookies vor der Einwilligung. Im Januar 2026 wurden Free und Free Mobile mit insgesamt 42 Millionen Euro für Datensicherheitsmängel sanktioniert.

Ist der Consent Mode v2 im Jahr 2026 obligatorisch?

Ja. Seit März 2024 verlangt Google die Implementierung des Consent Mode v2 für Werbetreibende, die Nutzer im Europäischen Wirtschaftsraum ansprechen. Ohne Consent Mode sind die Remarketing- und Conversion-Messfunktionen in Google Ads eingeschränkt oder deaktiviert.

Wird das Digital Omnibus Cookie-Banner abschaffen?

Nein, aber es könnte sie reduzieren. Der Vorschlag sieht Einwilligungsausnahmen für aggregierte Zielgruppenmessungen vor, Einwilligungspräferenzen auf Browser-Ebene und ein Verbot, die Einwilligung innerhalb von 6 Monaten nach einer Ablehnung erneut anzufordern. Diese Maßnahmen könnten die Anzahl der Banner reduzieren, aber nicht vollständig abschaffen.

Kontrolliert die CNIL auch KMUs bezüglich Cookies?

Ja. Die CNIL setzt nun Roboter ein, um Websites im großen Maßstab zu scannen. Im Jahr 2025 betrafen mehr als 60 % der Sanktionen KMUs. Die automatisierten Kontrollen prüfen das Setzen von Cookies vor der Einwilligung, das Vorhandensein der Schaltfläche Ablehnen und die Verwendung von Dark Patterns.

Was ist die Multi-Geräte-Einwilligung der CNIL?

Die CNIL-Empfehlungen zur Multi-Geräte-Einwilligung, die im Januar 2026 veröffentlicht wurden, präzisieren die Bedingungen, unter denen eine auf einem Gerät erteilte Einwilligung auf andere Geräte desselben Nutzers ausgedehnt werden kann. Diese Möglichkeit ist an strenge Identifizierungs- und Transparenzbedingungen geknüpft.

DSGVO und Cookies im Jahr 2026: Was sich ändert

TL;DR

Le cadre reglementaire des cookies et de la protection des donnees personnelles continue d'evoluer en 2026. La Commission europeenne a propose le Digital Omnibus (novembre 2025), qui prevoit des modifications ciblees du RGPD et de la directive ePrivacy pour reduire la "fatigue du consentement" et simplifier la conformite. La CNIL poursuit ses controles avec des sanctions record (90 millions d'euros contre Google en novembre 2025, 42 millions contre Free en janvier 2026). Le Consent Mode v2 est devenu obligatoire pour les annonceurs dans l'EEE, et de nouvelles recommandations CNIL sur le consentement multi-terminaux sont entrees en vigueur en janvier 2026. Ce guide fait le point sur ce qui a change et ce qui arrive.

Ce qui est en vigueur : les regles actuelles du RGPD et de la directive ePrivacy

La reglementation des cookies repose sur deux textes complementaires : le RGPD (reglement europeen) et la directive ePrivacy (2002/58/CE), transposee en droit francais par l'article 82 de la loi Informatique et Libertes. Ces deux textes coexistent, ce qui cree parfois des chevauchements.

Le RGPD definit les regles generales de la protection des donnees personnelles : base legale du traitement, droits des personnes, obligations de securite, sanctions. La directive ePrivacy porte specifiquement sur la confidentialite des communications electroniques, y compris les regles de depot et de lecture de cookies sur le terminal de l'utilisateur.

En France, la CNIL a publie ses lignes directrices et sa recommandation sur les cookies en 2020, avec une mise en conformite obligatoire au 31 mars 2021. Ces regles n'ont pas change fondamentalement en 2026, mais leur application se durcit.

Quelles sont les regles actuelles du consentement cookies ?

Tout cookie non strictement necessaire au fonctionnement du site necessite le consentement explicite de l'utilisateur avant d'etre depose. Cela couvre les cookies publicitaires, les cookies d'analytics, les cookies de reseaux sociaux et tout autre traceur non essentiel.

Le consentement doit etre libre, specifique, eclaire et univoque. Concretement : le bouton Refuser doit etre aussi visible et accessible que le bouton Accepter (meme niveau, meme format, meme taille). La CNIL a confirme que la seule presence d'un bouton "Parametrer" a cote de "Tout accepter" ne suffit pas : un mecanisme de refus de premier niveau est obligatoire.

Aucun cookie non essentiel ne doit etre depose avant que l'utilisateur ait fait son choix. Les scripts doivent etre bloques par defaut et ne se declencher qu'apres consentement. L'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donne.

Les cookies strictement necessaires (authentification, panier d'achat, preferences de langue, securite) sont exemptes de consentement. Certains cookies de mesure d'audience peuvent egalement beneficier d'une exemption sous conditions strictes, comme dans le cas de Matomo configure en mode exempte CNIL.

Ce qui a change entre 2024 et 2026

Consent Mode v2 obligatoire (mars 2024)

Google a rendu l'implementation du Consent Mode v2 obligatoire pour les annonceurs ciblant des utilisateurs dans l'EEE. Sans Consent Mode, les fonctionnalites de remarketing, de mesure des conversions et de creation d'audiences sont limitees ou desactivees dans Google Ads. Cette obligation a force de nombreux sites a revoir leur implementation technique du consentement.

Sanctions CNIL record (2025-2026)

La CNIL a intensifie ses controles et prononce des sanctions significatives. En septembre 2025, Google a ete sanctionne a hauteur de 325 millions d'euros (publicites inserees sans consentement dans Gmail, cookies deposes sans accord a la creation de compte) et Shein a 150 millions d'euros. En novembre 2025, Google a recu une amende supplementaire de 90 millions d'euros pour le depot automatique du cookie publicitaire NID avant l'affichage du bandeau de consentement.

En janvier 2026, Free et Free Mobile ont ete sanctionnes a hauteur de 42 millions d'euros au total pour des defauts de securisation des donnees personnelles. Ces sanctions rappellent que la conformite RGPD ne se limite pas aux cookies, mais englobe l'ensemble de la chaine de traitement des donnees.

Recommandations CNIL sur le consentement multi-terminaux (janvier 2026)

La CNIL a publie ses recommandations finales sur le consentement multi-terminaux le 16 janvier 2026. Ces recommandations precisent les conditions dans lesquelles un consentement donne sur un appareil (par exemple un ordinateur) peut etre etendu a d'autres appareils du meme utilisateur (smartphone, tablette). Cette possibilite est encadree par des conditions strictes d'identification et de transparence.

Consultation CNIL sur le rejeu de session (fevrier 2026)

En fevrier 2026, la CNIL a lance une consultation publique sur un projet de recommandation relative au rejeu de session (session replay). Cette technologie, qui permet d'enregistrer et de rejouer les interactions d'un utilisateur sur un site (clics, defilements, saisies), souleve des questions specifiques de consentement et de minimisation des donnees.

Controles automatises de la CNIL

La CNIL utilise desormais des robots pour detecter automatiquement les sites non conformes. Ces controles automatises permettent de verifier a grande echelle si les cookies sont deposes avant consentement, si le bouton Refuser est present et si les dark patterns sont utilises. Les PME sont de plus en plus ciblees par ces controles, pas seulement les grands groupes.

Ce qui arrive : le Digital Omnibus et l'avenir des cookies

Le 19 novembre 2025, la Commission europeenne a publie le "Digital Omnibus Package", un ensemble de propositions visant a simplifier le cadre reglementaire numerique europeen. Ce texte propose des modifications au RGPD, a la directive ePrivacy, au Data Act et a la directive NIS2.

Exemption de consentement pour la mesure d'audience

Le Digital Omnibus propose que le consentement ne soit plus requis pour les cookies utilises a des fins de mesure d'audience agregee et de securite. Cette mesure vise a reduire le nombre de bannieres cookies en exemptant les analytics first-party de l'obligation de consentement, sous reserve de conditions strictes (donnees agregees, pas de partage avec des tiers). L'EDPB et l'EDPS soutiennent cet objectif dans leur avis conjoint 2/2026 du 11 fevrier 2026.

Interdiction de redemander le consentement pendant 6 mois

Le Digital Omnibus prevoit qu'apres un refus de consentement, le site ne pourra pas redemander le consentement pour la meme finalite pendant au moins 6 mois. Cette mesure vise a lutter contre la "fatigue du consentement" qui pousse de nombreux utilisateurs a accepter les cookies par lassitude.

Preferences de consentement au niveau du navigateur

La proposition prevoit que les utilisateurs puissent parametrer leurs preferences de consentement directement dans leur navigateur, et que les sites web respectent ces preferences via des mecanismes automatises et lisibles par les machines. L'EDPB et l'EDPS soutiennent fortement cette approche, qui pourrait a terme reduire la dependance aux bannieres cookies.

Integration des regles cookies dans le RGPD

Le Digital Omnibus propose d'integrer certaines regles sur les cookies directement dans le RGPD (article 88a propose), plutot que de les laisser dans la directive ePrivacy. L'EDPB et l'EDPS ont exprime des reserves sur cette approche, car le RGPD ne couvre que les donnees personnelles, alors que la directive ePrivacy protege toute information stockee sur le terminal de l'utilisateur, y compris les donnees non personnelles. Cette separation pourrait creer de l'insecurite juridique.

Ou en est le processus legislatif ?

Le Digital Omnibus est en phase de consultation (cloturee le 15 mars 2026 pour le volet principal). Le texte doit encore etre negocie par le Parlement europeen et le Conseil de l'UE. L'adoption finale n'est pas attendue avant fin 2026 au plus tot, et l'entree en vigueur effective prendra probablement plusieurs annees. Les regles actuelles restent donc pleinement applicables.

Que faut-il faire concretement en 2026 ?

Les regles actuelles restent en vigueur. Le Digital Omnibus n'entrera pas en vigueur a court terme. Voici les actions prioritaires pour etre conforme en 2026.

Verifiez que votre banniere cookies est conforme aux exigences actuelles de la CNIL : bouton Refuser de premier niveau, meme taille et meme couleur que le bouton Accepter, pas de cookies deposes avant consentement, information claire sur les finalites.

Implementez le Consent Mode v2 si vous utilisez des tags Google (GA4, Google Ads). Le mode basic est recommande pour les utilisateurs dans l'EEE.

Auditez regulierement les cookies et traceurs de votre site. Les scripts tiers peuvent deposer des cookies a votre insu. Utilisez un scanner de cookies pour identifier les traceurs presents.

Verifiez que la preuve de consentement est correctement stockee : qui a consenti, quand, a quoi, avec quelle version de la banniere. La duree de conservation recommandee est de 13 mois pour les cookies et de 25 mois pour les preuves.

Documentez votre configuration dans votre registre des traitements. En cas de controle CNIL, vous devez pouvoir demontrer la conformite de votre implementation.

Erreurs frequentes (et comment les eviter)

Croire que le Digital Omnibus change les regles des maintenant. Le texte est en phase de consultation et de negociation. Les regles actuelles (RGPD + ePrivacy + lignes directrices CNIL) restent pleinement applicables. Correction : ne relacissez pas votre conformite en anticipant des simplifications qui ne sont pas encore votees.

Ignorer les controles automatises de la CNIL. La CNIL utilise desormais des robots pour scanner les sites a grande echelle. Les PME sont ciblees autant que les grands groupes. Correction : verifiez regulierement votre conformite avec un audit de cookies.

Ne pas mettre a jour la banniere apres l'ajout de nouveaux scripts. Chaque nouveau traceur ajoute au site doit etre integre dans la banniere de consentement et bloque par defaut. Correction : auditez les cookies a chaque modification du site et mettez a jour la configuration de votre CMP.

Confondre conformite cookies et conformite RGPD globale. Les cookies ne sont qu'une partie du RGPD. La securite des donnees (article 32), les droits des personnes (acces, rectification, suppression), la gestion des sous-traitants et les analyses d'impact sont egalement des obligations. Correction : adoptez une approche globale de la conformite, pas uniquement centree sur les cookies.

Se contenter d'une CMP par defaut sans la configurer. Installer une CMP ne suffit pas. La configuration par defaut ne correspond pas toujours aux exigences de la CNIL (bouton Refuser manquant, scripts non bloques avant consentement). Correction : choisissez une CMP adaptee et configurez-la selon les recommandations CNIL.

Sous-estimer les montants des sanctions. Les sanctions CNIL ne concernent pas que les GAFAM. En 2025, plus de 60 % des sanctions concernaient des PME. Les montants sont proportionnes au chiffre d'affaires, mais peuvent atteindre plusieurs dizaines de milliers d'euros meme pour de petites structures.

Checklist : conformite cookies et RGPD en 2026

La banniere cookies est conforme CNIL : bouton Refuser de premier niveau, meme taille et format que le bouton Accepter.
Aucun cookie non essentiel n'est depose avant le consentement de l'utilisateur.
Les scripts tiers (analytics, publicite, reseaux sociaux) sont bloques par defaut.
Le Consent Mode v2 est implemente pour les tags Google (mode basic recommande pour l'EEE).
L'utilisateur peut retirer son consentement aussi facilement qu'il l'a donne.
La preuve de consentement est stockee (qui, quand, quoi, version de la banniere).
La duree de vie des cookies est limitee a 13 mois maximum.
Un audit de cookies est realise regulierement (au minimum a chaque modification du site).
La politique de cookies est a jour et accessible depuis la banniere.
La configuration de la CMP est documentee dans le registre des traitements.
Les tags tiers (Facebook, LinkedIn, TikTok) sont bloques separement, pas uniquement via le Consent Mode.
Les recommandations CNIL sur le consentement multi-terminaux sont prises en compte si applicable.

Conclusion

Le cadre reglementaire des cookies et du RGPD en 2026 se caracterise par deux mouvements simultanes. D'un cote, les regles existantes sont appliquees avec plus de rigueur : controles automatises, sanctions record, focus sur les dark patterns et le blocage effectif des scripts avant consentement. De l'autre, le Digital Omnibus propose des simplifications qui pourraient reduire la fatigue du consentement, notamment l'exemption de la mesure d'audience et les preferences de consentement au niveau du navigateur.

Ces simplifications ne sont pas encore en vigueur. En attendant, la conformite aux regles actuelles reste la priorite. Les fondamentaux ne changent pas : consentement libre, eclaire et univoque, blocage des scripts avant consentement, bouton Refuser de premier niveau, preuve de consentement, audit regulier.

Pour verifier l'etat de conformite de votre site et identifier les traceurs qui se chargent avant consentement, lancez un scan gratuit avec FlowConsent.

DSGVO und Cookies im Jahr 2026: Was sich geändert hat und was kommt