TL;DR — La CNIL impose une durée de conservation maximale de 13 mois pour les cookies analytiques et publicitaires déposés sur les appareils des utilisateurs. La validité du consentement est quant à elle limitée à 6 mois : au-delà, un nouveau recueil est obligatoire. Ces règles s'appliquent à tous les sites accessibles depuis la France, quel que soit leur pays d'hébergement.
La durée de conservation des cookies est l'un des points les plus fréquemment mal configurés par les responsables de sites web. Beaucoup d'éditeurs ne distinguent pas la durée technique du cookie (sa date d'expiration dans le navigateur) et la durée de conservation des données associées dans les serveurs de l'émetteur. La CNIL encadre les deux. Ce guide explique les règles applicables, les situations courantes et les erreurs à éviter.
Quelle est la règle CNIL sur la durée des cookies ?
La CNIL recommande une durée maximale de 13 mois pour les cookies déposés sur le terminal de l'utilisateur. Cette recommandation est issue des lignes directrices de 2020 et confirmée dans les décisions de sanction publiées depuis. Au-delà de 13 mois, un cookie non fonctionnel doit être considéré comme disproportionné au regard de sa finalité.
Les 13 mois : recommandation ou obligation ?
La durée de 13 mois est une recommandation de la CNIL, pas un texte légal opposable en soi. Mais la CNIL l'a intégrée dans ses critères d'évaluation lors des contrôles. Un site qui fixerait ses cookies analytiques à 2 ans sans justification serait exposé à une observation ou une sanction. En pratique, 13 mois est la norme de place : Google Analytics 4 et la plupart des CMP conformes respectent cette durée par défaut.
Quelle durée pour les cookies fonctionnels ?
Les cookies strictement nécessaires au fonctionnement du service (panier, session authentifiée, préférences d'interface) ne sont pas soumis à la règle des 13 mois de la même façon : leur durée doit rester proportionnée à la finalité. Un cookie de session authentifiée de 30 jours est raisonnable. Un cookie fonctionnel d'un an sans justification technique est questionnable. La règle générale : la durée la plus courte qui permette le bon fonctionnement du service.
La validité du consentement : 6 mois
La CNIL encadre non seulement la durée du cookie, mais aussi la durée de validité du consentement lui-même. Un consentement donné par un utilisateur ne peut pas être considéré comme valable indéfiniment.
La règle des 6 mois
Selon les recommandations de la CNIL, la validité d'un consentement est limitée à 6 mois. Au-delà de cette période, un nouveau recueil du consentement doit être effectué. Concrètement, si un utilisateur a accepté les cookies le 1er janvier, votre CMP doit lui présenter à nouveau la bannière aux alentours du 1er juillet, sauf s'il a entre-temps modifié ses préférences.
Pourquoi la durée du consentement diffère-t-elle de celle du cookie ?
La durée du cookie (13 mois max) correspond à la durée pendant laquelle le fichier reste sur l'appareil de l'utilisateur. La validité du consentement (6 mois) correspond à la durée pendant laquelle la plateforme peut considérer que l'accord de l'utilisateur est toujours actuel. Ces deux durées sont indépendantes et doivent toutes les deux être gérées par la CMP.
Ce que votre CMP doit gérer
Une CMP conforme doit paramétrer et gérer automatiquement ces deux durées.
Expiration du cookie de consentement
La plupart des CMP stockent le choix de l'utilisateur dans un cookie ou dans le localStorage. Ce cookie de consentement doit lui-même être configuré avec une durée cohérente avec les recommandations CNIL. Le paramétrer à 12 ou 13 mois est courant. Passé ce délai, le cookie de consentement expire et l'utilisateur voit à nouveau la bannière.
Renouvellement du consentement à 6 mois
La règle des 6 mois est plus contraignante que la durée du cookie. Même si le cookie de consentement a une durée de 13 mois, votre CMP doit présenter à nouveau la bannière au bout de 6 mois si l'utilisateur a donné son accord. Si l'utilisateur a refusé, il n'est pas obligatoire de lui redemander, mais votre CMP doit tracer cette donnée pour le démontrer en cas de contrôle.
La durée des données dans les serveurs tiers
La durée de 13 mois concerne le cookie déposé sur l'appareil de l'utilisateur. Les données collectées par ce cookie (par exemple, les sessions GA4) ont leur propre durée de conservation dans les serveurs de Google ou de l'outil utilisé. Cette durée est encadrée par le RGPD et par les conditions d'utilisation du service : Google Analytics 4 conserve les données par défaut 14 mois, paramétrable à 2, 6 ou 14 mois.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes
Fixer les cookies analytiques à 2 ans. C'est la durée par défaut de l'ancien Universal Analytics. GA4 et la plupart des CMP modernes ont corrigé cela à 13 mois. Vérifier la configuration réelle des cookies déposés.
Confondre durée du cookie et durée de rétention des données. Ce sont deux paramètres distincts : l'un concerne le fichier sur l'appareil, l'autre concerne les données dans les serveurs de l'éditeur ou du sous-traitant.
Ne pas renouveler le consentement après 6 mois. La bannière doit se réafficher au bout de 6 mois pour les utilisateurs ayant accepté. Vérifier la configuration de la CMP.
Appliquer la même durée à tous les cookies. Les cookies fonctionnels doivent avoir la durée la plus courte techniquement suffisante. Les cookies de mesure d'audience ne doivent pas dépasser 13 mois.
Ne pas documenter les durées dans la politique de cookies. La politique de cookies doit mentionner explicitement la durée de chaque cookie ou de chaque catégorie. C'est une exigence de la CNIL et du RGPD.
Checklist durée de conservation des cookies
- Auditer tous les cookies actifs sur le site et noter leur durée d'expiration réelle (DevTools ou scanner).
- Vérifier que les cookies analytiques et publicitaires ne dépassent pas 13 mois.
- Configurer le cookie de consentement de la CMP sur 12 à 13 mois maximum.
- Activer le renouvellement automatique du consentement à 6 mois dans la CMP pour les utilisateurs ayant accepté.
- Contrôler la durée de rétention des données dans Google Analytics (régler à 14 mois max ou moins).
- Mettre à jour la politique de cookies avec les durées exactes ou les fourchettes par catégorie.
- Documenter les justifications des durées retenues dans le registre des traitements.
- Vérifier les durées après chaque mise à jour de la CMP ou de l'outil analytics.
- Scanner le site sur /fr/scan pour identifier les cookies dont la durée dépasse la recommandation.
Les règles CNIL sur la durée des cookies ne sont pas complexes, mais elles demandent une configuration explicite de la CMP et de chaque outil analytics. La durée maximale de 13 mois pour les cookies et de 6 mois pour la validité du consentement sont les deux paramètres clés à contrôler. Scannez votre site sur /fr/scan pour vérifier les durées réelles de vos cookies actifs.
Questions fréquentes
Qu'est-ce que la règle des 13 mois pour les cookies ?
La CNIL exige que le consentement aux cookies soit renouvelé au moins tous les 13 mois. Si un utilisateur a accepté les cookies il y a 13 mois et n'a pas revu la bannière de consentement depuis, son consentement est considéré comme expiré et doit être recollecté. Cette règle vise à garantir que le consentement reste actuel et reflète les préférences réelles de l'utilisateur.
La règle des 13 mois s'applique-t-elle à tous les cookies ?
La règle des 13 mois concerne spécifiquement le renouvellement du consentement. Elle s'applique à tous les cookies soumis à consentement, c'est-à-dire les cookies analytiques et publicitaires. Les cookies strictement nécessaires (essentiels au fonctionnement du site) ne nécessitent pas de consentement et ne sont donc pas soumis à cette limite. La durée de conservation technique des cookies est distincte de la période de renouvellement du consentement.
Comment implémenter techniquement le renouvellement des 13 mois ?
Votre CMP (plateforme de gestion du consentement) doit stocker la date de consentement de chaque utilisateur ainsi que son choix. Lorsqu'un utilisateur revient sur votre site, la CMP vérifie si 13 mois se sont écoulés depuis son dernier consentement. Si c'est le cas, elle réaffiche la bannière pour recueillir un nouveau consentement. La plupart des CMP conformes gèrent cela automatiquement, mais il vaut la peine de vérifier que ce mécanisme est correctement configuré.
La règle des 13 mois s'applique-t-elle dans toute l'Europe ou seulement en France ?
La règle des 13 mois est spécifique aux recommandations de la CNIL française. D'autres autorités européennes de protection des données peuvent avoir des orientations différentes : certaines préconisent des renouvellements à 6 ou 12 mois, ou abordent d'autres aspects de la durée du consentement. Selon le RGPD, le principe général est que le consentement doit rester libre, spécifique, éclairé et actuel. Consultez les recommandations de l'autorité de votre pays d'établissement.
Quels sont les risques de ne pas renouveler le consentement après 13 mois ?
Ne pas renouveler le consentement après 13 mois constitue une infraction aux recommandations de la CNIL et peut entraîner une mise en demeure ou une sanction financière en cas de contrôle ou de plainte. Plus largement, l'utilisation de cookies sur la base d'un consentement expiré viole le principe de consentement valable du RGPD. Il s'agit donc à la fois d'un risque juridique et réputationnel, particulièrement dans le contexte d'un contrôle réglementaire croissant.