TL;DR
Le reglement ePrivacy est un texte europeen en cours de negociation depuis 2017, destine a remplacer la directive ePrivacy de 2002 (celle qui a impose les bandeaux cookies). Une fois adopte, il harmonisera les regles de consentement cookies dans toute l'UE, supprimera les transpositions nationales divergentes et alignera le cadre juridique avec le RGPD. Pour les editeurs de sites, cela signifie des regles plus claires, mais aussi potentiellement plus strictes, sur le depot de cookies et le tracking en ligne.
Qu'est-ce que le reglement ePrivacy ?
Le reglement ePrivacy est un projet de reglement europeen qui doit remplacer la directive 2002/58/CE (directive ePrivacy), modifiee en 2009. Cette directive est le texte a l'origine de l'obligation de consentement pour les cookies. Le reglement vise a moderniser ce cadre pour l'adapter aux realites du web actuel.
Contrairement a une directive, qui doit etre transposee par chaque Etat membre (ce qui cree des differences entre pays), un reglement s'applique directement et uniformement dans toute l'UE. C'est la meme logique que le RGPD : un texte unique, une application homogene.
Le texte est en negociation au Conseil de l'UE depuis 2017. Plusieurs versions ont circule, mais les Etats membres et le Parlement europeen n'ont pas encore trouve d'accord final. Malgre ce retard, les grandes orientations du texte sont connues et permettent d'anticiper les changements a venir.
Pourquoi la directive ePrivacy actuelle pose probleme ?
La directive ePrivacy de 2002 a ete concue avant l'explosion du tracking en ligne. Elle impose le consentement pour le depot de cookies, mais laisse chaque pays transposer les regles a sa facon. Resultat : les regles varient d'un pays a l'autre, ce qui complique la vie des editeurs de sites internationaux.
Des transpositions nationales divergentes
En France, la CNIL a adopte des lignes directrices strictes (consentement explicite, refus aussi facile que l'acceptation). En Allemagne, les autorites regionales appliquent des regles proches mais avec des nuances. En Espagne, l'AEPD a une approche differente sur certains points. Pour un site qui opere dans toute l'Europe, cette mosaique de regles est un casse-tete.
Un texte inadapte aux nouvelles technologies
La directive de 2002 parle de "cookies" mais ne couvre pas explicitement le fingerprinting, le tracking par identifiants publicitaires mobiles, ni les technologies de tracking sans cookies comme les methodes de tracking sans cookies. Le reglement ePrivacy vise a combler ces lacunes en elargissant la definition des traceurs couverts.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Que va changer le reglement ePrivacy pour les cookies ?
Meme si le texte n'est pas finalise, plusieurs changements majeurs font consensus dans les versions successives du projet. Voici les principaux impacts attendus pour les editeurs de sites.
Une definition elargie des traceurs
Le reglement ePrivacy ne se limitera plus aux cookies. Il couvrira toute technique de stockage ou d'acces a des informations sur le terminal de l'utilisateur. Cela inclut le fingerprinting (empreinte numerique du navigateur), les pixels invisibles, le stockage local (localStorage, IndexedDB), les identifiants publicitaires et potentiellement certaines methodes de tracking server-side.
Le consentement via les parametres du navigateur
L'une des propositions les plus discutees du reglement ePrivacy est la possibilite pour les utilisateurs de gerer leur consentement directement depuis les parametres de leur navigateur, plutot que via un bandeau cookies sur chaque site. Si cette disposition est adoptee, elle pourrait reduire le nombre de bandeaux affiches aux utilisateurs.
En pratique, les navigateurs proposeraient une interface standard permettant de definir des preferences de consentement par defaut (accepter, refuser, gerer par categorie). Les sites devraient respecter ces preferences sans afficher de bandeau supplementaire, sauf si des finalites specifiques necessitent un consentement separe.
Des regles uniformes dans toute l'UE
Fini les transpositions nationales divergentes. Le reglement s'appliquera directement dans les 27 Etats membres, comme le RGPD. Les editeurs de sites internationaux n'auront plus a gerer des variations de regles entre la France, l'Allemagne, l'Espagne ou les Pays-Bas.
Le traitement des metadonnees de communication
Le reglement ePrivacy elargit aussi son champ aux metadonnees des communications electroniques (localisation, horodatage, destinataires). Ce volet concerne principalement les operateurs telecoms et les services de messagerie, mais il peut impacter les outils d'analytics qui exploitent des donnees de localisation ou de session.
Quel calendrier pour le reglement ePrivacy ?
Le projet de reglement ePrivacy a ete presente par la Commission europeenne en janvier 2017. Le Parlement europeen a adopte sa position en octobre 2017. Depuis, les negociations au Conseil se sont enlisees en raison de desaccords entre Etats membres, notamment sur la gestion du consentement par les navigateurs et les exceptions pour les cookies analytiques.
En 2021, la presidence portugaise du Conseil a propose un compromis, mais celui-ci n'a pas abouti. A ce jour (2026), le texte n'est toujours pas adopte. Plusieurs experts estiment que l'adoption pourrait intervenir entre 2027 et 2028, avec une periode de transition de 24 mois avant application effective.
En attendant, la directive ePrivacy de 2002 (modifiee en 2009) reste le texte en vigueur, complete par les lignes directrices nationales (CNIL, BfDI, AEPD, etc.) et par le cadre RGPD pour les cookies.
Erreurs frequentes sur le reglement ePrivacy
Attendre le reglement pour se mettre en conformite. Le RGPD et les lignes directrices nationales (CNIL, etc.) s'appliquent deja. Le reglement ePrivacy ne va pas "creer" une obligation de consentement, il va clarifier et uniformiser des regles qui existent deja. Ne pas attendre pour configurer correctement votre CMP.
Croire que les bandeaux cookies vont disparaitre. Meme si le reglement prevoit la gestion du consentement via le navigateur, cette disposition est encore debattue et son implementation technique prendra du temps. Les bandeaux cookies resteront necessaires pendant plusieurs annees au minimum.
Confondre ePrivacy et RGPD. Le RGPD regit le traitement des donnees personnelles. La directive (et le futur reglement) ePrivacy regit specifiquement l'acces au terminal de l'utilisateur (cookies, fingerprinting, etc.). Les deux textes se completent : le RGPD fournit les principes generaux, ePrivacy fournit les regles specifiques aux traceurs.
Penser que le fingerprinting echappe a la reglementation. Le reglement ePrivacy vise explicitement a couvrir le fingerprinting et les techniques de tracking sans cookies. Les sites qui ont abandonne les cookies pour le fingerprinting devront obtenir un consentement equivalent.
Ignorer les exceptions pour les cookies analytiques. Certaines versions du projet prevoient une exception de consentement pour les cookies analytiques first-party qui ne sont pas partages avec des tiers. C'est deja le cas en pratique dans plusieurs pays (France avec la CNIL pour Matomo en configuration exemptee). Le reglement pourrait officialiser cette exception a l'echelle europeenne.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Checklist pour anticiper le reglement ePrivacy
- Faire un inventaire complet de tous les traceurs sur votre site (cookies, localStorage, fingerprinting, pixels)
- Verifier que votre CMP couvre les traceurs au-dela des seuls cookies HTTP
- Documenter les finalites de chaque traceur et les tiers destinataires des donnees
- Configurer votre CMP pour bloquer les scripts avant consentement, y compris le fingerprinting
- Suivre l'evolution du texte ePrivacy via les publications de la Commission europeenne et les avis de votre autorite nationale
- Preparer votre politique de cookies pour integrer les nouvelles definitions (traceurs, metadonnees)
- Tester le comportement de votre site quand le navigateur signale un refus global de tracking
- Documenter votre conformite actuelle pour faciliter la transition vers le futur reglement
Conclusion
Le reglement ePrivacy n'est pas encore adopte, mais ses grandes orientations sont claires : elargir la definition des traceurs, uniformiser les regles en Europe et potentiellement integrer le consentement dans les navigateurs. Les editeurs de sites qui respectent deja le RGPD et les lignes directrices de la CNIL sont bien positionnes pour s'adapter au futur reglement.
Le point de depart : realiser un audit complet de vos traceurs (pas seulement les cookies HTTP) pour identifier les technologies qui seront couvertes par le futur reglement. Scannez votre site gratuitement avec FlowConsent pour obtenir un inventaire complet.
Frequently asked questions
Quand le reglement ePrivacy va-t-il entrer en vigueur ?
Le reglement ePrivacy est en negociation depuis 2017 et n'a pas encore ete adopte. Les estimations actuelles tablent sur une adoption entre 2027 et 2028, suivie d'une periode de transition de 24 mois. En attendant, la directive ePrivacy de 2002 et le RGPD continuent de s'appliquer.
Quelle est la difference entre la directive ePrivacy et le reglement ePrivacy ?
La directive ePrivacy (2002/58/CE) est le texte actuellement en vigueur, transpose differemment dans chaque Etat membre. Le reglement ePrivacy est le texte qui doit la remplacer : il s'appliquera directement et uniformement dans toute l'UE, comme le RGPD, sans transposition nationale.
Le reglement ePrivacy va-t-il supprimer les bandeaux cookies ?
Probablement pas a court terme. Le reglement prevoit la possibilite de gerer le consentement via les parametres du navigateur, mais cette disposition est encore debattue et son implementation technique prendra du temps. Les bandeaux resteront necessaires pendant plusieurs annees, meme apres l'adoption du reglement.
Le fingerprinting sera-t-il couvert par le reglement ePrivacy ?
Oui. Le reglement ePrivacy elargit la definition des traceurs a toute technique d'acces ou de stockage d'informations sur le terminal de l'utilisateur. Le fingerprinting, les pixels invisibles et le localStorage seront explicitement couverts et soumis aux memes regles de consentement que les cookies.
Les cookies analytiques seront-ils exemptes de consentement avec le reglement ePrivacy ?
C'est possible. Certaines versions du projet prevoient une exception pour les cookies analytiques first-party, non partages avec des tiers. C'est deja la position de la CNIL en France pour les outils configures en mode exempte (comme Matomo). Le reglement pourrait officialiser cette approche a l'echelle europeenne.
Dois-je attendre le reglement ePrivacy pour me mettre en conformite sur les cookies ?
Non. Le RGPD et les lignes directrices nationales (CNIL, etc.) s'appliquent deja et imposent le consentement avant depot de cookies non essentiels. Le reglement ePrivacy clarifiera et uniformisera ces regles, mais ne creera pas une obligation nouvelle. Les sites conformes aujourd'hui seront bien positionnes pour s'adapter.