Un document publié le 9 novembre 2025 dévoile le plan de la Commission européenne pour en finir avec le cauchemar des cookies. Elle veut notamment moderniser le RGPD afin de simplifier la gestion du consentement en ligne.

Le cauchemar des cookies refait surface. Si le débat s’est intensifié ces derniers mois, cette fois, les choses semblent se concrétiser.

Selon un document publié le 9 novembre 2025, qui reprend une proposition du RGPD/ePrivacy en fuite, l’Europe aurait enfin un plan pour mettre de l’ordre dans les bandeaux de consentement qui envahissent le web. Vous ne serez bientôt plus obligés de cliquer sur accepter ou refuser à chaque connexion.

Le bandeau RGPD sur les pages Google, c'est bientôt fini.
Le bandeau RGPD sur les pages Google, c’est bientôt fini. // Source : Capture Numerama

Le texte de l’Europe a mal vieilli

Jusqu’à présent, les règles des cookies, et donc la question du consentement, viennent de l’article 5(3) de la directive ePrivacy de 2002 (modifiée en 2009). Ce texte européen, souvent appelé « directive vie privée et communications électroniques », complète le RGPD mais s’applique spécifiquement aux communications électroniques et à la confidentialité des appareils. C’est justement via ce texte que l’Europe a imposé les bandeaux de cookies. Et selon l’article 5(3), un site n’a pas le droit de stocker ou de lire des informations sur un appareil (ordinateur, téléphone, etc.) sans le consentement de l’utilisateur, à deux exceptions près :

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
  • Si cela est nécessaire pour faire passer la communication (charger la page, afficher le contenu),
  • Si le but est de fournir un service explicitement demandé par l’utilisateur (ex. panier d’achat, session de connexion).

Dans les faits, cet article a aujourd’hui plus de 20 ans et a très mal vieilli. S’agissant d’une directive et non d’un règlement, chaque État membre l’a transposée un peu différemment, de façon plus ou moins souple. Certes, depuis 2018, le RGPD, appliqué et contrôlé en France par la CNIL, encadre déjà les traitements de données personnelles. Mais l’article 5(3) de la directive ePrivacy s’applique en amont, dès qu’un site accède ou stocke des informations sur l’appareil de l’utilisateur. C’est donc précisément sur ce texte que la Commission européenne serait en train de se pencher.

L'analyse publiée le 9 novembre 2025. // Source : Lukasz Olejnik
L’analyse publiée le 9 novembre 2025. // Source : Lukasz Olejnik

Fusionner les règles du ePrivacy et le RGPD

Ce nouveau document publié par Lukasz Olejnik, chercheur et consultant indépendant en cybersécurité et protection des données, explique la stratégie à venir de l’UE — son analyse se basant sur le document qui a fuité. Selon ce dernier, la Commission européenne propose d’introduire dans le RGPD un nouvel article 88a. L’idée : fusionner les règles éparpillées dans ePrivacy et le RGPD pour créer un cadre unique, plus clair et plus moderne sur les cookies et traceurs. Tout cela dans un même but : réduire le recours au consentement uniquement aux cas réellement intrusifs, tout en maintenant la protection des données.

Ce nouvel article définirait le contexte dans lequel un site peut traiter ou stocker des données dans l’appareil sans demander le consentement de l’utilisateur. Les 4 finalités autorisées sont les suivantes :

  • La transmission d’une communication (technique, réseau).
  • La fourniture d’un service explicitement demandé par l’utilisateur.
  • Une mesure d’audience interne, agrégée, sans tiers.
  • Le maintien ou restauration de la sécurité du service.

Ces cas deviennent des bases légales automatiques, sans pop-up. L’article 5(3) de la directive ePrivacy cesserait ainsi de s’appliquer pour les traitements couverts par le nouvel article 88a. En revanche, si le traitement n’entre pas dans ces cas ou ne concerne pas de données personnelles (la publicité par exemple), le consentement reste requis. Le texte vise ainsi à créer une frontière claire entre ce qui relève de ce nouveau cadre RGPD et ce qui reste soumis à l’ancienne logique ePrivacy.

Moderniser le consentement : le projet de la Commission

L’un des autres points soulevés par le texte concerne la modernisation du consentement — devenu, au fil du temps, une vraie corvée. Aujourd’hui, il est redemandé sans cesse, à chaque site et souvent à chaque visite. Pire : il s’exprime via des bandeaux trompeurs, rarement respectés techniquement, qui ont vidé le consentement de tout sens. La réforme viendrait donc simplifier cela. D’abord, en imposant des interfaces symétriques et transparentes : l’utilisateur devra pouvoir accepter ou refuser en un clic, sans être incité visuellement à choisir l’un plutôt que l’autre. Ensuite, le choix exprimé devra être valable pendant au moins six mois : un site n’aura plus le droit de redemander le consentement pour la même finalité avant cette échéance.

Commission européenne. // Source : Flickr/CC/ Eoghan OLionnain (photo recadrée)
Commission européenne. // Source : Flickr/CC/ Eoghan OLionnain (photo recadrée)

Une autre minirévolution réside dans la standardisation du consentement. L’Europe veut permettre aux navigateurs, systèmes d’exploitation ou outils d’identité numérique d’envoyer des signaux de consentement « machine-lisibles » (autrement dit, des paramètres techniques que les sites devront reconnaître et respecter automatiquement). Il deviendrait ainsi possible de configurer son navigateur une bonne fois pour toutes et de ne plus jamais voir de pop-up pour cette même finalité. Le consentement deviendrait donc un paramètre. Comme souligné par Lukasz Olejnik, cela rendrait l’ancienne directive « Do Not Track » du W3C, qui permettait aux internautes d’indiquer via leur navigateur qu’ils ne souhaitaient pas être suivis à des fins de publicité ou d’analyse, de nouveau pertinente. Longtemps moquée, celle-ci dépendait du bon vouloir des sites, qui n’avaient jamais l’obligation légale de la respecter. La réforme de la Commission européenne la rendrait contraignante, mais aurait aussi pour conséquence de réduire de facto les revenus publicitaires de nombreux sites.

Il existe une exception limitée. Le texte précise que l’obligation ne s’applique pas aux responsables du traitement qui sont des fournisseurs de services de médias lorsqu’ils fournissent un tel service. Peut-être pouvons-nous accepter ce prix pour pouvoir naviguer tranquillement sur le reste du web.

Une sanction en cas de non-respect est d’ailleurs prévue : « Ignorer un signal de consentement ou de refus valide et lisible par machine peut entraîner une amende pouvant atteindre 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial », rapporte l’analyste. Reste que, ce texte n’en est qu’à l’état de brouillon administratif : il pose des principes ambitieux, mais tout reste à trancher, du calendrier à la mise en œuvre technique. Le consultant en cybersécurité parle quant à lui d’un projet « vraiment prometteur ».

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !