TL;DR — Un cookie wall est un mécanisme qui conditionne l'accès à un site à l'acceptation des cookies. La CNIL et le Comité Européen de la Protection des Données (CEPD) ont confirmé que les cookie walls sans alternative réelle sont illégaux sous le RGPD : le consentement obtenu n'est pas libre. Une alternative payante peut rendre le cookie wall légal sous conditions strictes, mais ce modèle est encadré de près par les autorités.
Les cookie walls sont une tentation compréhensible pour les éditeurs : obliger les visiteurs à accepter les cookies plutôt que de risquer un taux de refus élevé. Mais leur légalité est strictement encadrée, et dans la plupart des cas, un cookie wall standard est illégal. Ce guide explique ce qu'est un cookie wall, pourquoi il pose problème et dans quelles conditions (très limitées) il peut être utilisé.
Qu'est-ce qu'un cookie wall ?
Un cookie wall est un mécanisme qui bloque l'accès au contenu d'un site et affiche un message conditionnel : l'utilisateur doit accepter les cookies pour accéder au site. Dans sa forme la plus courante, la bannière ne propose pas de bouton de refus, ou le refus entraîne une page blanche ou un accès impossible.
Les différentes formes de cookie walls
Cookie wall pur : pas de bouton de refus. Le seul moyen d'accéder au site est d'accepter tous les cookies. Non légal.
Cookie wall avec alternative payante (« pay or consent ») : l'utilisateur peut soit accepter les cookies publicitaires, soit payer un abonnement pour accéder au site sans cookies. Ce modèle est légal sous des conditions très strictes.
Cookie wall partiel : l'accès au contenu principal est bloqué mais des éléments partiels restent visibles (titre, résumé). Légalité variable selon les conditions.
Pourquoi les cookie walls sont-ils (généralement) illégaux ?
Le RGPD impose que le consentement soit libre. Un consentement donné sous contrainte, notamment sous la menace d'être privé d'un service, n'est pas libre au sens du RGPD. C'est le fondement de l'illégalité des cookie walls.
La position de la CNIL
La CNIL a confirmé dans ses lignes directrices de 2020 et dans ses délibérations de contrôle que conditionner l'accès à un service à l'acceptation des cookies est contraire au principe du consentement libre. Elle a prononcé des mises en demeure à plusieurs éditeurs utilisant des cookie walls sans alternative. La CNIL admet toutefois une nuance : si l'utilisateur dispose d'une « alternative réelle et équitable », le consentement peut être considéré comme libre.
La position du CEPD
Le Comité Européen de la Protection des Données (CEPD) a publié en 2023 un avis sur le modèle « pay or consent ». Sa conclusion principale : ce modèle peut être compatible avec le RGPD si l'alternative (la version payante) est équitable, accessible et réelle — mais le CEPD reste critique sur la pression que ce modèle exerce sur les utilisateurs à revenus limités. Les grandes plateformes (Meta, Google) ont mis en place ce modèle et font l'objet de procédures d'examen par les autorités.
Le modèle « pay or consent » : conditions de légalité
Si vous souhaitez mettre en place un cookie wall avec alternative payante, voici les conditions cumulatives à respecter selon les orientations actuelles.
1. Une alternative réelle
L'alternative payante doit permettre un accès au même contenu ou service, sans cookies analytiques ou publicitaires. L'alternative ne peut pas être factice (prix prohibitif, accès très dégradé, service différent).
2. Un prix équitable
Le prix de l'alternative sans cookies doit être raisonnable et refléter la valeur économique réelle des données abandonnées. Un abonnement « sans cookies » au même prix qu'un abonnement premium payant constitue une alternative équitable selon le CEPD. Un prix très élevé pour décourager le choix sans cookies serait considéré comme contraire à la liberté du consentement.
3. Une information claire
L'utilisateur doit comprendre clairement ce à quoi il consent, à quoi serviront ses données, et ce que l'alternative inclut ou non. La présentation ne doit pas favoriser visuellement le choix des cookies (pas de dark patterns : bouton « accepter » mis en avant, bouton « payer » difficile à trouver).
4. Pas d'accès dégradé pour les refusants
Si l'utilisateur refuse les cookies et ne souscrit pas à l'abonnement, cela peut se traduire par un blocage du contenu. Mais si l'accès est partiellement possible (certains articles gratuits, accès limité), l'alternative doit clairement préciser ces conditions.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes
Supprimer le bouton de refus de la bannière. Même si la bannière propose un cookie wall, le RGPD exige que le refus soit accessible. Un bouton de refus caché ou absent est illégal.
Fixer un prix prohibitif pour l'alternative sans cookies. Un abonnement à 30 €/mois pour un site normalement gratuit ne constitue pas une alternative équitable. Le CEPD examine la proportionnalité du prix.
Utiliser des dark patterns dans la présentation. Mettre en avant visuellement le bouton « accepter » et rendre le chemin vers l'abonnement difficile contamine la liberté du consentement.
Appliquer un cookie wall aux services essentiels. Plus le service est considéré comme essentiel ou sans substitut raisonnable, plus l'alternative payante est difficile à justifier comme « libre ».
Ne pas documenter le modèle dans le registre RGPD. Le modèle pay or consent doit figurer dans le registre des traitements avec les bases légales, les finalités et les mesures de protection.
Ce que vous pouvez faire à la place
Si l'objectif est d'augmenter le taux de consentement, des alternatives légales et plus efficaces existent : optimisation de la bannière (design, texte, granularité des catégories), réduction du nombre de cookies demandés (se concentrer sur les finalités essentielles à votre modèle économique), mise en place d'une bannière sobre et claire plutôt qu'agressive. Pour l'optimisation légale du taux de consentement, voir le guide FlowConsent sur /fr/blog/taux-consentement-cookies-optimisation.
Checklist cookie wall
- Vérifier que votre bannière propose bien un bouton de refus accessible en un clic.
- Si vous envisagez un cookie wall : identifier si une alternative réelle peut être proposée.
- Si modèle pay or consent : fixer un prix proportionné et justifiable, sans dark patterns.
- Documenter le modèle dans le registre des traitements et dans la politique de confidentialité.
- S'assurer que la bannière n'est pas plus contraignante que nécessaire et ne force pas visuellement le consentement.
- Consulter un DPO ou un conseil juridique avant de mettre en place un cookie wall, même partiel.
- Tester régulièrement la bannière pour s'assurer de la conformité avec les évolutions jurisprudentielles.
Les cookie walls sont un terrain juridiquement instable. Le modèle pay or consent peut être légal, mais uniquement sous des conditions très strictes que peu de sites peuvent remplir. La voie la plus sûre reste d'optimiser la bannière de consentement plutôt que de la supprimer. Scannez votre site sur /fr/scan pour voir quels cookies sont actifs et évaluer si leur volume justifie un cookie wall ou si une réduction est possible.
Questions fréquentes
Qu'est-ce qu'exactement un cookie wall ?
Un cookie wall est un mécanisme qui bloque l'accès au contenu d'un site web et affiche un message conditionnant l'accès à l'acceptation des cookies. Contrairement à une bannière de consentement standard — qui permet aux utilisateurs de refuser tout en accédant au site — un cookie wall ne laisse pas de vrai choix : accepter les cookies ou partir. Cette forme de coercition rend le consentement obtenu invalide au titre du RGPD.
Pourquoi la plupart des cookie walls sont-ils illégaux au regard du RGPD ?
Le RGPD exige que le consentement soit librement donné. Un consentement obtenu sous la menace d'être privé d'accès à un service n'est pas libre. Le CEPD (Comité Européen de la Protection des Données) et plusieurs autorités nationales ont confirmé cette position : conditionner l'accès à un site à la seule acceptation des cookies rend le consentement invalide. Les cookie walls standards, sans alternative réelle, sont donc illégaux dans la plupart des cas.
Un modèle payant peut-il rendre un cookie wall légal ?
Éventuellement, mais sous des conditions très strictes. L'avis du CEPD de 2023 sur le modèle « payer ou consentir » confirme qu'il peut être compatible avec le RGPD si l'alternative payante est équitable (prix proportionnel à la valeur économique des données), réelle (même contenu et qualité de service) et clairement présentée (sans dark patterns). En pratique, peu d'implémentations répondent pleinement à ces critères, ce qui explique que ce modèle reste sous le contrôle des autorités.
Quelles sont les alternatives à un cookie wall pour améliorer le taux de consentement ?
Au lieu d'un cookie wall, il existe des approches légales et efficaces pour optimiser le consentement : améliorer le design de la bannière (mise en page claire, taille équilibrée des boutons), affiner la formulation des finalités pour rendre les cookies moins intrusifs, réduire le nombre de cookies en se concentrant sur ceux strictement nécessaires au modèle économique, et rendre l'option de refus visible sans la cacher. Ces optimisations peuvent significativement améliorer les taux de consentement sans risque juridique.
Quelles sanctions peuvent s'appliquer à un site utilisant un cookie wall illégal ?
Les autorités de protection des données peuvent émettre des mises en demeure, obligeant le site à se mettre en conformité dans un délai imparti. Le non-respect peut entraîner des sanctions financières pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros pour une entreprise. Au-delà des amendes, l'autorité peut ordonner au site de cesser le traitement des données collectées via le wall illégal. Plusieurs autorités européennes — dont la CNIL française, l'APD belge et le Garante italien — ont déjà pris des mesures coercitives contre des cookie walls.