Les Plus Grosses Amendes RGPD Cookies en 2026

7,1 Milliards d'EUR et Ce N'est Pas Fini

Depuis l'entrée en vigueur du RGPD en mai 2018, les régulateurs européens ont infligé plus de 7,1 milliards d'EUR d'amendes au total. Et 2025 a marqué un tournant : les infractions liées aux cookies sont devenues la catégorie d'application à la croissance la plus rapide, les autorités à travers l'UE ayant clairement fait comprendre que les bannières cookies non conformes ne sont plus un oubli mineur. Elles représentent un risque financier.

Si vous gérez un site web qui accueille des visiteurs européens, cet article est votre signal d'alarme. Voici les plus grosses amendes liées aux cookies de l'année passée et ce que vous devez faire pour ne pas être le prochain.

Les Plus Grosses Amendes Cookies de 2025

Google - 325 Millions EUR (France, Septembre 2025)

La CNIL a infligé à Google une amende de 325 millions d'EUR pour l'affichage de publicités promotionnelles dans Gmail sans le consentement des utilisateurs. La décision a également constaté que les designs de consentement de Google étaient spécifiquement conçus pour orienter les utilisateurs vers l'acceptation de la publicité personnalisée. Cette amende a renforcé le principe que le consentement doit être donné librement, et non influencé par des dark patterns.

SHEIN - 150 Millions EUR (France, Septembre 2025)

Le géant de la fast-fashion SHEIN a reçu une amende de 150 millions d'EUR pour l'une des infractions les plus basiques : le dépôt de cookies publicitaires avant même que les utilisateurs puissent voir la bannière cookies. De plus, la CNIL a découvert que le bouton "Tout refuser" ne fonctionnait tout simplement pas, et que la bannière cookies omettait de mentionner la finalité publicitaire du traçage. Ce cas fait jurisprudence car il prouve que les régulateurs testent ce qui se passe réellement dans le navigateur, pas seulement ce que dit la bannière.

TikTok - 530 Millions EUR (France, 2025)

Bien que principalement axée sur le traitement des données des enfants, l'amende de 530 millions d'EUR infligée à TikTok incluait des violations des mécanismes de consentement. Les comptes étaient publics par défaut, et l'approche de TikTok pour obtenir le consentement ne respectait pas les standards du RGPD.

Orange - 50 Millions EUR (France, Novembre 2024)

Le géant des télécommunications Orange a été sanctionné pour l'insertion de messages publicitaires dans les boîtes mail des utilisateurs sans consentement, affectant 7,8 millions de personnes. Point crucial, la CNIL a constaté que les cookies continuaient d'être lus et transmis même après le retrait du consentement par les utilisateurs. Orange a reçu l'ordre de corriger cela sous 3 mois, sous peine de 100 000 EUR par jour d'astreinte.

Condé Nast - 750 000 EUR (France, Novembre 2025)

L'éditeur de Vanity Fair France a été sanctionné pour le dépôt de cookies sur les appareils des visiteurs sans aucun consentement. Une infraction simple qui montre que même les entreprises médias réputées se font prendre.

Coolblue - 40 000 EUR (Pays-Bas, Décembre 2024)

Le détaillant néerlandais Coolblue a été sanctionné pour l'utilisation de cases de consentement pré-cochées, présumant le consentement par défaut. L'autorité néerlandaise les avait déjà avertis, faisant de ce cas un exemple d'ignorance des régulateurs.

Les Pratiques Qui Vous Valent une Amende

En analysant ces cas, un schéma clair se dessine. Les régulateurs ciblent :

• Le traçage avant consentement : Charger des cookies ou des trackers avant que l'utilisateur ait la possibilité d'accepter ou de refuser. C'était le cœur de l'affaire SHEIN.
• Le consentement asymétrique : Rendre "Accepter" accessible en un clic tout en cachant "Refuser" derrière plusieurs écrans. Facebook, Google et TikTok ont tous été sanctionnés pour cela.
• Les dark patterns : Utiliser les contrastes de couleurs, la taille des boutons ou la formulation pour pousser les utilisateurs vers l'acceptation. L'autorité suédoise de protection de la vie privée (IMY) a formellement blâmé ATG, Aller Media et Warner Music pour cela en avril 2025.
• L'ignorance du retrait de consentement : Continuer à lire les cookies après qu'un utilisateur révoque son consentement, comme dans le cas Orange.
• Les boutons de refus non fonctionnels : Avoir une option "Refuser" qui ne bloque pas réellement les cookies, comme démontré dans l'amende SHEIN.

Les Nouvelles Règles Prévues pour 2026

En novembre 2025, l'UE a publié la Proposition Digital Omnibus, qui changera fondamentalement le fonctionnement du consentement cookies :

Refus en un seul clic : Les utilisateurs doivent pouvoir refuser les cookies en un seul clic. Fini de cacher l'option de refus derrière des écrans "Gérer les préférences".

Période de repos de six mois : Si un utilisateur refuse le consentement, le site web ne peut pas redemander pour le même objectif pendant au moins six mois. L'ère de la sollicitation à chaque visite touche à sa fin.

Signaux de consentement lisibles par les machines : La proposition codifiera des signaux de consentement automatisés (comme Global Privacy Control), permettant aux navigateurs de communiquer les préférences de consentement au nom des utilisateurs.

Les règles cookies intégrées au RGPD : L'article 88a intégrera les règles de traçage par cookies directement dans le RGPD, remplaçant le patchwork d'implémentations nationales de la directive ePrivacy. Cela signifie un standard unique et applicable dans les 27 États membres.

Ces règles devraient entrer en vigueur mi-2026 à fin 2026.

Ce N'est Plus Réservé aux Géants de la Tech

L'une des tendances les plus importantes de 2025-2026 est que l'application s'est étendue bien au-delà de Google et Meta. L'autorité néerlandaise a envoyé des avertissements formels à 50 organisations, dont des détaillants en ligne, des entreprises médias et des assureurs, leur accordant trois mois pour corriger leurs pratiques de cookies sous peine d'enquête.

Au Royaume-Uni, l'ICO a examiné les 1 000 sites les plus visités et a constaté que 564 devaient corriger leurs pratiques de cookies. En décembre 2025, 95% de ces sites étaient conformes.

Parallèlement, le groupe noyb a déposé plus de 560 plaintes RGPD ciblant des sites web dans 33 pays. Leur analyse a révélé que 81% de ces sites ne proposaient pas d'option "Refuser" sur la première couche de la bannière cookies, et 73% utilisaient des contrastes de couleurs trompeurs pour orienter les utilisateurs vers l'acceptation.

L'Espagne seule a émis plus de 1 021 amendes RGPD. L'autorité italienne cible de plus en plus les PME. Aucun site web n'est trop petit pour être remarqué.

Ce Que Cela Signifie pour Votre Site Web

Selon l'article 83 du RGPD, les infractions relatives aux cookies et au consentement peuvent entraîner des amendes allant jusqu'à 20 millions d'EUR ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Mais au-delà des amendes, il y a l'atteinte à la réputation, les frais juridiques et la perte de confiance de vos visiteurs.

La bonne nouvelle : la plupart des infractions cookies sont simples à corriger une fois identifiées. Le problème est que la plupart des propriétaires de sites web n'ont aucune idée que leur bannière n'est pas conforme. Leurs développeurs l'ont configurée une fois et n'ont jamais vérifié ce qui se passe réellement dans le navigateur.

C'est exactement ce que font les régulateurs : ils ouvrent votre site, observent ce qui se charge avant le consentement et vérifient si le bouton de refus fonctionne vraiment.

Vérifiez Votre Site Web Maintenant

Vous n'avez pas besoin d'attendre qu'un régulateur vous trouve. Scannez votre site web gratuitement et découvrez exactement ce qu'un audit de conformité révélerait : cookies déposés avant consentement, trackers chargés avant consentement et problèmes de bannière. Cela prend 30 secondes et vous donne une image claire de votre risque.

Les amendes ci-dessus prouvent que l'application est réelle, croissante et s'étend aux entreprises de toutes tailles. La question n'est pas de savoir si les régulateurs vérifieront votre site web, mais quand.