La CNIL peut-elle sanctionner un site dont le siège est hors de France ?

Oui. La CNIL est compétente pour sanctionner les opérations liées aux cookies sur tout site accessible depuis la France, indépendamment du lieu du siège de l'entreprise. C'est sur cette base que Google (siège aux États-Unis), Amazon, TikTok, Apple et Shein ont été sanctionnés.

Quel est le montant maximum d'une amende CNIL pour les cookies ?

Pour les manquements à l'article 82 de la loi Informatique et Libertés (directive ePrivacy), l'amende peut atteindre 2 % du chiffre d'affaires annuel mondial de l'entreprise ou 10 millions d'euros, le montant le plus élevé étant retenu. En pratique, la CNIL a prononcé des amendes allant jusqu'à 325 millions d'euros (Google, 2025).

Quels sont les manquements cookies les plus sanctionnés par la CNIL ?

Les quatre manquements les plus fréquemment sanctionnés sont : le dépôt de cookies avant consentement, l'absence de bouton Refuser aussi visible que le bouton Accepter, le défaut d'information des utilisateurs sur les finalités des traceurs, et la non-prise en compte du refus ou du retrait du consentement.

Comment savoir si mon site risque une sanction CNIL cookies ?

Lancez un scan de cookies pour vérifier si des traceurs se déclenchent avant consentement. Vérifiez que votre bandeau propose un bouton Refuser aussi visible que le bouton Accepter. Si des cookies tiers se déclenchent avant interaction avec le bandeau ou si le refus n'est pas aussi simple que l'acceptation, votre site présente un risque de non-conformité.

La CNIL contrôle-t-elle les cookies de façon proactive ?

Oui. La CNIL effectue des contrôles en ligne proactifs, en plus des contrôles déclenchés par les plaintes des utilisateurs. Depuis 2021, les cookies figurent parmi les thématiques prioritaires de contrôle. La CNIL a adopté près de 100 mesures correctrices (mises en demeure et sanctions) en lien avec les cookies depuis le 31 mars 2021.

Sanctions CNIL cookies : les cas réels à connaître

Q: Les petites entreprises risquent-elles une sanction CNIL pour les cookies ?

Oui. La CNIL utilise sa procédure simplifiée pour sanctionner des entreprises de toutes tailles, avec des amendes plafonnées à 20 000 euros. En 2024, 11 organismes ont été sanctionnés via cette procédure pour des manquements liés aux cookies. Ces sanctions ne sont pas rendues publiques mais sont assorties d'injonctions de mise en conformité.

TL;DR

La CNIL sanctionne régulièrement des entreprises pour non-respect des règles applicables aux cookies et traceurs. Les manquements les plus fréquents sont le dépôt de cookies sans consentement préalable, l'absence de bouton Refuser aussi visible que le bouton Accepter, et le défaut d'information des utilisateurs. En 2025, les cookies figurent parmi les premiers motifs de sanction avec 21 décisions rendues, dont deux amendes majeures de 325 millions d'euros (Google) et 150 millions d'euros (Shein). Cet article recense les cas publics les plus significatifs et les leçons concrètes à en tirer.

Pourquoi la CNIL sanctionne-t-elle les manquements liés aux cookies ?

La CNIL est compétente pour contrôler et sanctionner les opérations liées aux cookies en vertu de l'article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy. Cette compétence s'applique à tout site accessible depuis la France, y compris les sites dont le siège est hors de France.

Depuis 2020, la CNIL a fait des cookies l'une de ses thématiques prioritaires de contrôle. Elle a publié des lignes directrices et une recommandation en septembre 2020, puis accordé un délai de mise en conformité jusqu'au 31 mars 2021. Depuis cette date, les contrôles et les sanctions se sont multipliés.

En 2024, 11 organismes ont été sanctionnés pour ne pas avoir permis à l'utilisateur de refuser les cookies aussi simplement que de les accepter. En 2025, 21 sanctions ont été prononcées en lien avec les cookies, pour un montant cumulé dépassant 475 millions d'euros.

Les sanctions cookies les plus significatives

Google : 100 millions d'euros (décembre 2020)

La CNIL a sanctionné Google LLC (60 millions) et Google Ireland Limited (40 millions) pour dépôt de cookies publicitaires sans consentement, défaut d'information via le bandeau, et mécanisme défaillant d'opposition. Le Conseil d'État a confirmé cette sanction en 2024.

Amazon : 35 millions d'euros (décembre 2020)

Sanctionnée pour dépôt de cookies sans consentement et défaut d'information. Confirmée par le Conseil d'État en septembre 2024.

Google : 150 millions d'euros (décembre 2021)

google.fr et youtube.com proposaient un bouton Accepter mais aucune solution équivalente pour refuser (5 clics nécessaires). Facebook sanctionné le même jour pour 60 millions d'euros.

Microsoft, Apple, TikTok (décembre 2022)

Microsoft (Bing) : 60 millions d'euros. Apple : 8 millions d'euros pour cookies publicitaires sur iOS. TikTok : 5 millions d'euros. Tous sanctionnés pour dépôt sans consentement et/ou absence de mécanisme de refus équivalent.

Google : 325 millions d'euros (septembre 2025)

Amende record. Dépôt de traceurs sans consentement, parcours de refus plus complexe que l'acceptation, incitations commerciales conditionnant l'accès à certains services à l'acceptation des cookies.

Shein : 150 millions d'euros (septembre 2025)

Cookies publicitaires sans consentement, défaut de clarté dans l'information, parcours complexe pour refuser le suivi publicitaire.

Quels sont les manquements les plus sanctionnés ?

Dépôt de cookies avant consentement. C'est le manquement le plus fréquent. Un audit de cookies permet de le détecter.

Absence de bouton Refuser aussi visible que le bouton Accepter. Motif de la sanction de 150 millions d'euros contre Google (2021). Le refus doit être aussi simple que l'acceptation, en un clic.

Défaut d'information des utilisateurs. Bandeau imprécis ou politique de cookies incomplète.

Non-prise en compte du refus. L'utilisateur refuse mais les traceurs continuent de fonctionner, ou le consentement est redemandé abusivement.

Les sanctions ne concernent pas que les grands groupes

La CNIL sanctionne aussi des entreprises de toutes tailles via sa procédure simplifiée. En 2024, 11 organismes ont été sanctionnés via cette procédure pour des manquements cookies. Les amendes sont plafonnées à 20 000 euros mais s'accompagnent d'injonctions de mise en conformité. Le risque de contrôle existe pour tout site accessible depuis la France.

Comment éviter une sanction ?

Ne déclencher aucun cookie non essentiel avant le choix du visiteur.
Afficher un bouton Refuser aussi visible que le bouton Accepter.
Fournir une information claire sur les finalités des traceurs.
Prendre en compte le refus : bloquer réellement les scripts.
Ne pas redemander le consentement à chaque visite (maximum 13 mois).
Permettre le retrait du consentement à tout moment (lien en footer).
Lancer un scan régulier de votre site.
Utiliser une CMP qui bloque les scripts et conserve la preuve de consentement.

Conclusion

Les sanctions de la CNIL en matière de cookies ne sont pas théoriques. Elles touchent les grands groupes comme les entreprises de taille moyenne, et les montants augmentent chaque année (487 millions d'euros cumulés en 2025). Les manquements sanctionnés sont concrets et évitables. La conformité repose sur une CMP correctement configurée et un audit régulier.

Commencez par un scan gratuit de votre site pour vérifier que vos cookies ne se déclenchent pas avant consentement.

Sanctions CNIL liées aux cookies : les cas réels à connaître