Retour aux études
Conformité2026-03-01·8 min de lecture

Consentement cookies RGPD : comment les entreprises françaises se conforment (2026)

6 ans après le RGPD : quel pourcentage de sites français affiche un bandeau cookies ? Quels outils ? Données de 1,88M de sites.

Share
23,0%
des sites affichent un bandeau de consentement
77,0%
n'ont aucun mécanisme visible de consentement
52,6%
utilisent des analytics sans consentement cookies
72,6%
des sites avec de la pub n'ont pas de bandeau

données analysées: 1,877,252

Le RGPD 8 ans plus tard : un bilan de conformité sans complaisance

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Huit ans plus tard, les bandeaux de consentement cookies sont devenus un élément familier de l'expérience web européenne — ou pas ? Si les grandes entreprises et les sites à fort trafic ont largement adopté des plateformes de gestion du consentement, la réalité pour l'ensemble du tissu économique français raconte une tout autre histoire.

IBLead a analysé 1 877 252 sites web d'entreprises françaises disposant de technologies détectables pour répondre à une question simple : combien affichent réellement un bandeau de consentement cookies ? La réponse donne à réfléchir. Seulement 23,0 % de ces sites affichent une quelconque forme de mécanisme de consentement. Les 77,0 % restants — plus de 1,4 million de sites — semblent fonctionner sans aucun outil de consentement visible.

Cette étude va au-delà de la simple détection de bannières. Nous avons croisé la présence de consentement avec les trackers analytics et les pixels publicitaires pour révéler l'ampleur réelle du déficit de conformité en France. Les résultats ont des implications sérieuses pour les entreprises, les agences et la CNIL.

Le fossé du consentement : seulement 23,0 % affichent un bandeau

Sur les 1 877 252 sites de notre échantillon disposant de technologies détectables, 431 361 (23,0 %) affichent un bandeau de consentement cookies alimenté par l'une des huit principales plateformes de gestion du consentement (CMP) que nous détectons. Les 1 445 891 sites restants (77,0 %) ne présentent aucun mécanisme de consentement détectable.

Pour mettre cela en perspective : plus de trois sites d'entreprises françaises sur quatre fonctionnent sans aucun outil visible pour recueillir ou gérer le consentement des utilisateurs en matière de cookies et de traceurs. Si certains de ces sites peuvent légitimement ne pas utiliser de cookies nécessitant un consentement (par exemple, des sites purement statiques sans analytics), l'analyse croisée avec les outils de traçage raconte une histoire bien plus préoccupante.

Il convient de noter que notre détection couvre les CMP les plus largement utilisées. Un petit nombre de sites peut utiliser des solutions de consentement personnalisées ou moins connues que notre scanner ne détecte pas. Cependant, les huit plateformes que nous suivons représentent la grande majorité du marché du consentement, ce qui rend cette photographie fiable du paysage français de la conformité.

Marché des outils de consentement : Complianz vs Tarteaucitron — deux leaders au coude à coude

Parmi les 431 361 sites qui affichent un bandeau de consentement, le marché est dominé par deux solutions qui représentent à elles deux près de la moitié de tous les déploiements :

OutilSitesPart de marché
Complianz109 41625,4 %
Tarteaucitron106 39624,7 %
OneTrust58 36513,5 %
Axeptio50 61711,7 %
Didomi45 24710,5 %
Cookiebot37 0028,6 %
CookieYes31 1047,2 %
Iubenda4 2051,0 %

Complianz mène avec 25,4 % du marché du consentement (109 416 sites). Il s'agit d'un plugin WordPress, et sa domination reflète directement la présence écrasante de WordPress sur le marché français des CMS — comme notre étude sur les parts de marché CMS l'a montré, WordPress équipe 68,5 % des sites d'entreprises françaises. Pour les propriétaires de sites WordPress, Complianz offre un chemin simple vers la conformité cookies via un plugin, ce qui explique sa forte adoption.

Tarteaucitron suit de très près avec 24,7 % (106 396 sites). Cette solution française open source, créée par le développeur Amaury Balmer, occupe une place particulière dans l'écosystème du consentement. Gratuite, légère et spécifiquement conçue pour respecter les recommandations de la CNIL, elle bénéficie de la préférence de nombreux développeurs et agences français pour une solution locale et transparente.

Ensemble, ces deux outils alimentent 50,1 % de tous les bandeaux de consentement en France — un duopole remarquable au sommet du marché.

Outils français vs internationaux : un écosystème local puissant

L'une des découvertes les plus frappantes de cette étude est la force des solutions de consentement made in France. Trois des huit CMP majeures de notre échantillon sont des entreprises françaises :

  • Tarteaucitron (24,7 %) — Open source, créé en France, spécifiquement construit pour la conformité CNIL. Son nom, clin d'œil gourmand, reflète ses origines françaises.
  • Axeptio (11,7 %) — Une plateforme SaaS française connue pour son interface de consentement ergonomique et visuellement soignée. Utilisée par 50 617 sites.
  • Didomi (10,5 %) — Une plateforme française de gestion du consentement et des préférences devenue un acteur significatif du segment entreprise. Présente sur 45 247 sites.

Combinées, ces trois solutions françaises représentent 46,9 % du marché du consentement — près de la moitié. C'est un cas rare où les outils locaux surpassent les géants internationaux dans une catégorie technologique. En comparaison, les principales plateformes internationales sont :

  • Complianz (25,4 %) — Plugin WordPress d'origine néerlandaise (techniquement non français, mais profondément intégré à l'écosystème WordPress)
  • OneTrust (13,5 %) — Plateforme de conformité enterprise américaine
  • Cookiebot (8,6 %) — Solution de gestion du consentement danoise
  • CookieYes (7,2 %) — CMP britannique
  • Iubenda (1,0 %) — Plateforme de conformité italienne

La domination des outils français suggère que les exigences de conformité spécifiques à la CNIL ont créé un avantage de marché distinct pour les solutions locales qui comprennent les nuances réglementaires. Les entreprises en quête de conformité choisissent des outils qui mettent explicitement en avant leur alignement avec la CNIL.

La crise de conformité : 52,6 % utilisent des analytics sans consentement

Le taux d'adoption des bannières ne suffit pas à saisir le tableau complet. Pour comprendre le risque réel de non-conformité, nous avons croisé la présence de bandeaux de consentement avec la détection de trackers analytics :

  • 1 276 749 sites (68,0 %) utilisent au moins un outil analytics (Google Analytics 4, Matomo, Plausible, etc.)
  • Parmi ceux-ci, seuls 297 637 (23,2 %) affichent également un bandeau de consentement
  • Les 986 661 restants (76,8 %) utilisent des analytics sans mécanisme de consentement visible

Cela signifie que 986 661 sites — soit 52,6 % de tous les sites avec technologies détectables — collectent des données analytics sans consentement apparent de l'utilisateur. En vertu du RGPD et de la directive ePrivacy française (telle qu'appliquée par la CNIL), la plupart des outils analytics utilisant des cookies nécessitent le consentement préalable de l'utilisateur avant activation.

Il est important de noter que certaines solutions analytics peuvent être configurées sans cookies (par exemple, Matomo en mode cookieless, ou Plausible Analytics qui est sans cookies par conception). Cependant, la grande majorité des installations analytics en France utilisent Google Analytics 4, qui repose sur des cookies et nécessite un consentement selon les recommandations de la CNIL. Le volume — plus de 986 000 sites — rend évident que le déficit de conformité ne s'explique pas par les analytics sans cookies.

Ce constat représente l'un des défis de conformité les plus importants du paysage numérique français. Chacun de ces sites est potentiellement en infraction avec les recommandations de la CNIL et exposé à des mesures d'application.

Publicité sans consentement : 72,6 % des sites avec pixels pub n'ont pas de bandeau

Si le déficit de conformité analytics est préoccupant, la situation publicitaire est encore plus alarmante. Les pixels publicitaires comptent parmi les technologies les plus intrusives du web en matière de vie privée, traçant les utilisateurs d'un site à l'autre pour la publicité ciblée. Le RGPD est sans ambiguïté : ces technologies nécessitent un consentement explicite et éclairé avant tout déploiement.

Nos données montrent :

  • 256 151 sites (13,6 %) utilisent au moins un pixel publicitaire
  • Seuls 70 612 (27,4 %) d'entre eux affichent également un bandeau de consentement
  • 186 651 sites (72,6 %) déploient des pixels publicitaires sans mécanisme de consentement visible

Le paysage des pixels publicitaires se décompose ainsi :

Pixel publicitaireSites
Facebook Pixel (Meta)182 799
Google Ads111 155
Microsoft Ads (Bing)19 373
TikTok Pixel9 803

Le Facebook Pixel seul est présent sur près de 160 000 sites d'entreprises françaises. Ce traceur envoie des données détaillées sur le comportement des utilisateurs à Meta à des fins publicitaires — sans consentement de l'utilisateur sur la majorité de ces sites. Le suivi de conversion Google Ads apparaît sur près de 99 000 sites, et TikTok et Microsoft Ads en ajoutent des milliers de plus.

Le taux de non-conformité de 72,6 % pour les pixels publicitaires est particulièrement significatif car ces technologies représentent le cas le plus flagrant d'obligation de consentement. Contrairement aux analytics, qui peuvent dans certains cas être déployés sans cookies, les pixels publicitaires collectent par définition des données personnelles pour le traçage et le profilage inter-sites. Il n'y a aucune zone grise ici au regard du RGPD.

Contexte d'application de la CNIL et risques

La CNIL a considérablement intensifié son application des règles de consentement cookies depuis 2020. Les jalons clés incluent :

  • Octobre 2020 : Mise à jour des lignes directrices de la CNIL sur les cookies et traceurs, exigeant un consentement explicite avant tout dépôt de cookies non essentiels
  • Mars 2021 : Fin de la période de grâce — tous les sites doivent se conformer aux nouvelles règles cookies
  • Décembre 2021 : Amendes record de 150 millions d'euros pour Google et 60 millions d'euros pour Facebook pour avoir rendu le refus des cookies plus difficile que l'acceptation
  • 2022–2025 : Application continue avec des amendes contre TikTok (5 millions d'euros), Microsoft (60 millions d'euros) et des dizaines de petites entreprises
  • 2025–2026 : Accent accru sur les PME et les petits sites, avec la CNIL annonçant des campagnes ciblées pour des secteurs comme le e-commerce, la santé et l'immobilier

Les risques pour les sites non conformes sont réels et croissants :

  • Sanctions financières : Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en vertu du RGPD
  • Mises en demeure : La CNIL émet régulièrement des mises en demeure donnant aux entreprises un délai pour se conformer, avec publication du nom de l'entreprise
  • Atteinte à la réputation : Les sanctions publiques sont publiées sur le site de la CNIL, créant un préjudice réputationnel durable
  • Responsabilité civile : Les utilisateurs peuvent déposer des plaintes individuelles ou collectives pour atteinte à la vie privée

Bien que la CNIL ait traditionnellement concentré ses actions d'application sur les grandes entreprises et les sites à fort trafic, l'autorité a explicitement signalé un virage vers une application plus large. Avec plus de 986 000 sites utilisant des analytics sans consentement et 186 000 déployant des pixels publicitaires sans bandeau, l'ampleur potentielle des actions d'application est énorme.

Conclusion : un déficit de conformité massif, une opportunité évidente

Huit ans après l'entrée en vigueur du RGPD, le web professionnel français reste massivement non conforme aux exigences de consentement cookies. Les chiffres sont sans appel :

  • 77,0 % des sites avec technologies détectables n'affichent aucun bandeau de consentement
  • 52,6 % de tous les sites avec technologies utilisent des analytics sans aucun mécanisme de consentement
  • 72,6 % des sites avec pixels publicitaires fonctionnent sans bandeau de consentement
  • Plus de 986 000 sites sont potentiellement en infraction avec les recommandations cookies de la CNIL

Pour les entreprises fonctionnant actuellement sans gestion du consentement, le message est clair : le fossé de conformité se réduit. La capacité d'application de la CNIL augmente, les amendes s'alourdissent, et le risque d'être pris n'est plus limité aux plus gros acteurs.

Pour les agences web, les consultants juridiques et les fournisseurs de plateformes de gestion du consentement, ces chiffres représentent une opportunité de marché considérable. Avec plus de 1,4 million de sites d'entreprises françaises dépourvus de solution de consentement, le marché adressable des outils CMP est énorme et largement inexploité.

Le marché des outils de consentement est lui-même dynamique, avec un écosystème français fort (Tarteaucitron, Axeptio, Didomi) rivalisant efficacement avec les plateformes internationales. Cela suggère que les entreprises à la recherche de solutions de conformité disposent d'options de qualité à chaque point de prix, de l'open source gratuit aux plateformes SaaS enterprise.

La question n'est plus de savoir si les entreprises françaises doivent se conformer aux règles de consentement cookies — mais à quelle vitesse elles vont agir. Nos données suggèrent que pour la grande majorité, cette action aurait dû être entreprise depuis longtemps.

Envie d'explorer les données vous-même ?

Accédez à la base IBLead de 50M+ d'entreprises avec détection technologique, emails et plus.

Essayer IBLead gratuitement