Est-ce que la CNIL interdit explicitement les dark patterns dans les bannieres cookies ?

La CNIL ne cite pas le terme "dark pattern" dans un texte reglementaire, mais elle sanctionne les pratiques qui empechent un consentement libre et eclaire. En decembre 2024, elle a mis en demeure plusieurs editeurs de sites pour des interfaces de consentement manipulatrices. Le resultat concret est le meme : les dark patterns dans les bannieres cookies sont consideres comme non conformes.

Mon bouton Refuser est present mais en couleur differente du bouton Accepter, est-ce un dark pattern ?

Potentiellement oui. La CNIL exige que le bouton de refus soit "aussi visible" que le bouton d'acceptation. Une difference de couleur qui rend le refus moins visible (gris sur fond blanc vs. vert vif pour accepter) peut invalider le consentement. Le critere est la symetrie visuelle entre les deux options.

Un cookie wall est-il toujours considere comme un dark pattern ?

Pas systematiquement. La CNIL admet le cookie wall a condition qu'une alternative equitable soit proposee (par exemple un acces payant sans cookies). Cependant, dans la majorite des cas, les sites ne proposent pas d'alternative reelle, ce qui rend le cookie wall non conforme. Le sujet reste debattu au niveau europeen.

Est-ce que le CEPD a publie des lignes directrices sur les dark patterns ?

Oui. Le Comite Europeen de la Protection des Donnees a publie les lignes directrices 3/2022 sur les dark patterns dans les interfaces des plateformes de reseaux sociaux. Ces lignes directrices identifient 16 categories de dark patterns et s'appliquent par extension aux bannieres cookies. La CNIL s'appuie sur ces travaux dans ses controles.

Quelles sanctions risque-t-on pour des dark patterns dans une banniere cookies ?

Les sanctions sont celles prevues par la loi Informatique et Libertes et le RGPD pour defaut de consentement. La CNIL envoie d'abord une mise en demeure avec un delai de mise en conformite (generalement un mois). En cas de non-correction, les amendes peuvent etre significatives. A titre de reference, la CNIL a deja sanctionne des manquements lies aux cookies avec des amendes allant de 5 millions a 150 millions d'euros pour les plus grandes entreprises.

Comment savoir si ma CMP genere des dark patterns sans que je le sache ?

Testez votre banniere en navigation privee, sur desktop et mobile, en suivant la checklist de cet article. Certaines CMP utilisent des configurations par defaut qui ne sont pas conformes (cases pre-cochees, absence de bouton Refuser au premier niveau). Un audit de cookies complet, combine a un test visuel de la banniere, permet de detecter ces problemes. Choisir une CMP qui respecte les exigences CNIL des la configuration initiale reduit ce risque.

Dark patterns cookies : ce que la CNIL interdit

TL;DR

Un dark pattern cookies est une technique de design qui pousse l'utilisateur a accepter les cookies sans choix reel, par exemple en cachant le bouton Refuser ou en le rendant moins visible que le bouton Accepter. La CNIL considere que ces pratiques invalident le consentement recueilli, car il n'est ni libre ni eclaire au sens du RGPD. En decembre 2024, la CNIL a mis en demeure plusieurs editeurs de sites pour utilisation de dark patterns dans leurs bannieres cookies, avec un delai d'un mois pour se mettre en conformite.

Qu'est-ce qu'un dark pattern dans une banniere cookies ?

Un dark pattern est un choix de design d'interface deliberement concu pour orienter l'utilisateur vers une action qui sert l'editeur du site, pas l'utilisateur. Dans le contexte des cookies, cela signifie pousser les visiteurs a cliquer sur "Tout accepter" sans leur laisser un vrai choix.

Le terme vient du designer Harry Brignull, qui a cree le site darkpatterns.org pour documenter ces pratiques. Les autorites europeennes de protection des donnees les appellent aussi "deceptive design patterns" ou "interfaces trompeuses".

Un dark pattern cookies est une manipulation de l'interface de consentement qui empeche l'utilisateur de prendre une decision libre et eclairee sur l'utilisation de ses donnees. La CNIL, le CEPD (Comite Europeen de la Protection des Donnees) et d'autres autorites considerent que le consentement obtenu via un dark pattern n'est pas valide au sens du RGPD.

Quels sont les dark patterns les plus courants dans les bannieres cookies ?

Les autorites de protection des donnees ont identifie plusieurs pratiques recurrentes dans les bannieres de consentement. Voici les six types de dark patterns les plus frequents.

Asymetrie visuelle entre Accepter et Refuser

Le bouton "Tout accepter" est affiche en couleur vive, en gros caracteres, bien visible. Le bouton "Refuser" ou "Continuer sans accepter" est en texte gris, en petite taille, ou presente comme un simple lien hypertexte. Cette asymetrie cree une hierarchie visuelle qui oriente le choix de l'utilisateur. C'est le dark pattern le plus repandu dans les bannieres cookies.

Parcours asymetrique (plus de clics pour refuser)

Accepter les cookies se fait en un clic. Refuser necessite de naviguer dans un sous-menu, de decocher des categories une par une, puis de valider. Ce desequilibre dans le nombre d'etapes rend le refus plus penible que l'acceptation. La CNIL exige que refuser les cookies soit aussi simple qu'accepter, en nombre de clics et en effort.

Absence du bouton Refuser sur le premier ecran

Certaines bannieres affichent "Tout accepter" et "Personnaliser mes choix", mais pas de bouton "Tout refuser" au premier niveau. L'utilisateur qui veut refuser doit ouvrir la personnalisation, ce qui ajoute une etape. La CNIL considere cette pratique comme non conforme.

Formulations ambigues ou culpabilisantes

Utiliser des libelles comme "Je decline les fonctionnalites non essentielles" au lieu de "Refuser" cree de la confusion. Certains sites vont plus loin avec des formulations culpabilisantes du type "Je refuse d'ameliorer mon experience". Ces techniques de "confirmshaming" visent a decourager le refus.

Cases pre-cochees

Presenter les categories de cookies avec toutes les cases cochees par defaut oblige l'utilisateur a decocher manuellement chaque option. Le RGPD est explicite sur ce point : le silence ou les cases pre-cochees ne constituent pas un consentement valide (considerant 32 du RGPD, confirme par l'arret Planet49 de la CJUE).

Cookie wall (mur de cookies)

Le cookie wall bloque l'acces au contenu du site tant que l'utilisateur n'a pas accepte les cookies. L'utilisateur n'a pas de choix reel : c'est accepter ou partir. La CNIL autorise les cookie walls sous conditions tres strictes (une alternative equitable doit exister), mais dans la plupart des cas, cette pratique invalide le consentement.

Pourquoi la CNIL sanctionne-t-elle les dark patterns cookies ?

La reponse tient en un principe : le consentement aux cookies doit etre libre, specifique, eclaire et univoque, conformement au RGPD (article 4, paragraphe 11) et a l'article 82 de la loi Informatique et Libertes qui transpose la directive ePrivacy.

Un dark pattern empeche le consentement d'etre "libre" puisqu'il oriente la decision. Il empeche aussi le consentement d'etre "eclaire" quand les formulations sont ambigues. Le consentement recueilli par une banniere utilisant des dark patterns est donc juridiquement invalide. Et si le consentement est invalide, tous les cookies deposes sur cette base le sont aussi.

La CNIL ne sanctionne pas un "mauvais design" en tant que tel. Elle sanctionne le fait que le consentement obtenu n'est pas conforme, ce qui revient a deposer des cookies sans base legale.

Que s'est-il passe en decembre 2024 ?

En decembre 2024, la CNIL a annonce avoir mis en demeure plusieurs editeurs de sites web apres avoir recu des plaintes concernant des dark patterns dans leurs bannieres cookies. Les editeurs concernes ont recu un delai d'un mois pour modifier leurs interfaces de consentement.

Les pratiques identifiees par la CNIL dans ces mises en demeure incluaient des boutons "Accepter" mis en avant par la couleur, la taille ou le style de police, tandis que l'option "Refuser" etait presentee comme un simple lien textuel peu visible. D'autres sites presentaient plusieurs boutons "Accepter" mais un seul bouton "Refuser", ou placaient le bouton de refus dans un endroit difficile a reperer.

Cette vague de mises en demeure s'inscrit dans une tendance plus large. La CNIL a deja inflige des amendes pour des problemes lies aux cookies a plusieurs reprises : Google (150 millions d'euros), Facebook (60 millions d'euros), Amazon (35 millions d'euros), TikTok (5 millions d'euros). Ces montants concernaient des manquements a la reglementation cookies au sens large, pas uniquement des dark patterns, mais le message est clair : la CNIL prend le sujet au serieux.

Comment verifier si votre banniere utilise des dark patterns ?

La methode la plus simple est de tester votre propre banniere comme un utilisateur ordinaire. Posez-vous ces questions en la regardant.

Le bouton Refuser est-il aussi visible que le bouton Accepter ? Meme taille, meme couleur, meme emplacement relatif. Si l'un est en vert vif et l'autre en gris clair, c'est un dark pattern.

Refuser les cookies demande-t-il le meme nombre de clics qu'accepter ? Si accepter = 1 clic et refuser = 3 clics (ouvrir les preferences, tout decocher, valider), c'est un parcours asymetrique.

Les formulations sont-elles neutres ? "Tout accepter" et "Tout refuser" sont neutres. "Accepter et continuer" face a "Je decline les services d'amelioration de l'experience" ne l'est pas.

Des cases sont-elles pre-cochees ? Si l'utilisateur arrive dans le panneau de personnalisation avec des categories deja activees (hors cookies strictement necessaires), c'est non conforme.

Un scanner de cookies peut aussi vous aider a identifier les scripts qui se chargent avant que le consentement soit donne, ce qui est un probleme distinct mais souvent lie aux bannieres mal configurees.

Erreurs frequentes (et comment les eviter)

Croire qu'un petit desequilibre visuel n'est pas un probleme. La CNIL ne fixe pas de seuil de tolerance. Si le bouton Refuser est objectivement moins visible que le bouton Accepter, le consentement est potentiellement invalide. Correction : utilisez la meme taille, le meme poids de police et un contraste equivalent pour les deux options.

Confondre "Personnaliser" et "Refuser". Proposer "Tout accepter" et "Personnaliser mes choix" sans bouton "Tout refuser" n'est pas suffisant. L'utilisateur doit pouvoir refuser en un clic, sans passer par un ecran de personnalisation. Correction : ajoutez un bouton "Tout refuser" au premier niveau de la banniere.

Utiliser des formulations ambigues pour le refus. Des libelles comme "Continuer avec les parametres par defaut" ou "Je refuse les fonctionnalites non essentielles" ne sont pas clairs. Correction : utilisez un libelle explicite comme "Tout refuser" ou "Refuser les cookies non essentiels".

Penser que le cookie wall est toujours interdit. La CNIL a precise que le cookie wall peut etre acceptable si une alternative equitable est proposee (par exemple, un acces payant sans cookies). Mais dans la pratique, tres peu de sites remplissent ces conditions. Correction : consultez les lignes directrices sur le cookie wall et evaluez si votre cas est vraiment eligible.

Ne pas tester le rendu mobile. Un bouton bien visible sur desktop peut devenir quasi invisible sur mobile si le responsive n'est pas bien gere. Les dark patterns involontaires sur mobile sont frequents. Correction : testez votre banniere sur au moins trois tailles d'ecran avant de la mettre en production.

Laisser les cases pre-cochees dans le panneau de personnalisation. Par defaut, seuls les cookies strictement necessaires (qui ne necessitent pas de consentement) peuvent etre actives. Toutes les autres categories doivent etre decochees. Correction : verifiez la configuration de votre CMP pour que les categories optionnelles soient desactivees par defaut.

Dark patterns cookies : ce que les regulateurs verifient

Pour comprendre le niveau d'exigence, voici un resume de ce que la CNIL et les autres autorites europeennes controlent dans les bannieres de consentement.

Checklist : banniere cookies sans dark patterns

Le bouton "Tout refuser" est present au premier niveau de la banniere, sans clic supplementaire.
Les boutons "Tout accepter" et "Tout refuser" ont la meme taille, la meme couleur et le meme poids visuel.
Refuser les cookies demande exactement le meme nombre de clics qu'accepter.
Les formulations sont neutres et explicites ("Tout accepter" / "Tout refuser"), sans jargon ni culpabilisation.
Dans le panneau de personnalisation, seuls les cookies strictement necessaires sont coches par defaut.
Aucun script non essentiel (analytics, publicite, reseaux sociaux) ne se charge avant que l'utilisateur ait fait son choix.
La banniere est testee et lisible sur mobile (boutons accessibles, texte lisible, pas de dark pattern involontaire).
La croix de fermeture de la banniere (si presente) ne vaut pas acceptation.
L'utilisateur peut modifier son choix a tout moment via un lien accessible sur le site (souvent en footer).
La politique de cookies est accessible depuis la banniere.

Conclusion

Les dark patterns dans les bannieres cookies ne sont pas un detail de design. Ce sont des pratiques qui invalident le consentement et exposent votre site a des sanctions. La CNIL l'a reaffirme fin 2024 en mettant en demeure des editeurs, et la tendance ne va pas s'inverser.

La regle est simple : refuser les cookies doit etre aussi facile qu'accepter. Meme visibilite, meme nombre de clics, meme clarte. Si votre banniere ne respecte pas cette symetrie, le consentement qu'elle recueille est fragile juridiquement.

Pour verifier l'etat de votre banniere et identifier les scripts qui se chargent avant consentement, scannez votre site gratuitement avec FlowConsent.

Dark patterns cookies : ce que la CNIL interdit dans les bannieres