Bandeaux cookies: dark patterns interdits en Belgique 2026
Steven | TrustYourWebsite · 20 avril 2026 · Dernière mise à jour : avril 2026
Depuis 2024, les autorites europeennes de protection des donnees ne traitent plus le design des bandeaux cookies comme une question de gout. Le 3 septembre 2025, la CNIL a inflige 325 millions d'euros a Google et 150 millions d'euros a Shein pour des infractions liees aux bandeaux. L'APD belge a impose a Mediahuis une astreinte de EUR 25,000 par jour par site sur quatre sites de presse. Le cadre juridique vient de la Directive vie privee 2002/58/CE et du RGPD. Cet article presente douze dark patterns, classes par consensus du CEPD en interdit, deconseille ou bonne pratique.
Pour verifier si votre site charge des trackers avant consentement ou ignore le bouton "tout refuser", lancez le scan gratuit TrustYourWebsite. Pour les regles specifiques de l'APD belge et la decision Mediahuis, consultez l'article sur la banniere cookies Belgique et l'APD. Pour le cadre juridique du RGPD pour les PME belges, consultez Obligations RGPD PME Belgique.
Votre bandeau cookies utilise-t-il des dark patterns?
Notre scanner clique sur 'tout refuser' et verifie si les trackers continuent.
Je comprends qu'il s'agit d'une analyse technique, pas d'un avis juridique, et j'accepte les conditions.
La taxonomie du CEPD: six categories
Le Comite europeen de la protection des donnees (CEPD) a publie en 2022 les Lignes directrices 03/2022 (version 2.0, 14 fevrier 2023) avec une taxonomie de six categories de dark patterns. La Cookie Banner Taskforce (rapport du 18 janvier 2023) les a appliquees specifiquement aux bandeaux cookies.
Overloading signifie submerger l'utilisateur d'informations, de demandes ou d'options pour provoquer de la fatigue. Pour les bandeaux cookies, cela se traduit par des listes interminables de cookies individuels pour lesquels l'utilisateur doit donner son consentement un par un, alors que "tout accepter" se fait en un clic.
Skipping consiste a concevoir l'interface de sorte que l'utilisateur passe a cote du choix. Un bandeau qui disparait automatiquement apres quelques secondes et enregistre cela comme un consentement en est un exemple.
Stirring joue sur les emotions ou utilise le nudging visuel. Le bouton vert classique "accepter" a cote du petit lien gris "refuser" est l'exemple le plus connu.
Hindering rend plus difficile le choix favorable a la vie privee que le choix par defaut. Trois clics pour refuser, un seul pour accepter.
Fickle signifie un design incoherent: l'explication sur les cookies dit une chose, le traitement effectif en fait une autre.
Left in the dark retient des informations ou les presente de maniere confuse. Qualifier des cookies marketing de "fonctionnels" en est un exemple.
Les douze dark patterns, classes par consensus
| Dark pattern | Categorie CEPD | Consensus | Decision de reference |
|---|---|---|---|
| 1. Trackers charges avant consentement | Fickle | Unanime | Yahoo EUR 10M, Google EUR 325M |
| 2. Cases precochees | Skipping | Unanime | Planet49 (C-673/17) |
| 3. Pas de "tout refuser" sur la premiere couche | Hindering | Majorite | APD Mediahuis 113/2024, CNIL |
| 4. Boutons asymetriques | Stirring | Unanime | APD vert/gris, CNIL dec. 2024 |
| 5. Plus de clics pour refuser que pour accepter | Hindering | Unanime | Google EUR 150M (2021) |
| 6. Cookies marketing qualifies de "fonctionnels" | Left in the dark | Unanime | Taskforce par. 3.5 |
| 7. Interet legitime pour les cookies publicitaires | Left in the dark | Unanime | Taskforce par. 3.6, Mediahuis |
| 8. Consentement par "continuer a naviguer" | Skipping | Unanime | CNIL 2020-091 par. 27 |
| 9. Mecanisme de retrait absent ou asymetrique | Fickle | Unanime | RGPD art. 7(3) |
| 10. Cookie wall sans alternative payante | Hindering | Majorite interdit | CNIL Delib. 2023-010 |
| 11. Formulation ambigue ou emotionnelle | Stirring | Majorite | CNIL dec. 2024 mises en demeure |
| 12. Bandeau reaffiche apres refus | Overloading | Majorite | CNIL norme six mois |
Trackers avant consentement est le dark pattern le plus lourdement sanctionne. La CNIL a inflige a Yahoo une amende de 10 millions d'euros en 2023 et a Google une amende de 325 millions d'euros en 2025, parce que des trackers etaient deja actifs avant que le visiteur n'ait fait un choix.
Cases precochees sont sans equivoque interdites depuis l'arret Planet49 (CJUE C-673/17). Le consentement exige une action affirmative. Des cases cochees par defaut ne constituent pas un consentement.
Pas de "tout refuser" sur la premiere couche est un point majoritaire, pas une position unanime. La Cookie Banner Taskforce du CEPD le mentionne explicitement comme un point sur lequel toutes les autorites ne sont pas d'accord. L'APD belge l'a impose dans la decision Mediahuis (113/2024). La CNIL l'exige. L'honnetete epistemique veut que nous mentionnions qu'il ne s'agit pas d'une exigence unanime.
Boutons asymetriques posent unanimement probleme. Il n'y a pas de seuil WCAG fixe dans le texte du CEPD, mais la difference de couleur, le type d'element (lien vs. bouton), la taille de police et la position sont utilises de maniere repetee comme preuves.
Interet legitime pour les cookies publicitaires et de tracking est unanimement interdit. La Taskforce indique au paragraphe 3.6 que l'interet legitime n'est pas une base juridique valable pour le placement de cookies non fonctionnels. L'APD l'a confirme dans la decision Mediahuis.
Cookie wall sans alternative payante est interdit par la majorite. La CNIL considere qu'un cookie wall n'est autorise que s'il existe une alternative payante raisonnable. Toutes les autorites ne partagent pas ce point de vue.
Belgique: l'APD et la saga IAB Europe
L'APD belge est l'une des autorites les plus actives en matiere de bandeaux cookies. La decision Mediahuis 113/2024 du 6 septembre 2024 a impose une astreinte de EUR 25,000 par jour par site sur quatre sites de presse (De Standaard, Het Nieuwsblad, Gazet van Antwerpen, Het Belang van Limburg). Les deux principaux constats: pas de bouton "tout refuser" visible sur la premiere couche et utilisation de l'interet legitime pour des cookies publicitaires. La Cour des marches a annule cette decision le 19 mars 2025 (AR/1690) pour abus de droit du plaignant, mais l'analyse de fond reste indicative de la lecture que l'APD fait des bandeaux dark-pattern.
La decision RTL Belgium 131/2024 a confirme la meme ligne pour les sites francophones.
La Belgique est aussi le theatre de la saga IAB Europe. L'APD a rendu la decision 21/2022 contre le Transparency & Consent Framework (TCF) de IAB Europe. Elle a juge que la TC String constitue une donnee personnelle. Elle a aussi juge qu'IAB Europe agit en tant que responsable conjoint du traitement. La CJUE a confirme cette analyse dans l'arret C-604/22 du 7 mars 2024. Le Tribunal de l'entreprise de Bruxelles a rendu un arret le 14 mai 2025 dans le cadre de la mise en conformite. Le TCF 2.2, actuellement en vigueur, n'a pas encore ete teste par une autorite de controle.
Pour les PME belges, la consequence pratique est claire: si votre CMP utilise le TCF, la base juridique de vos cookies marketing repose sur un cadre dont la legalite reste contestee.
Quatre dossiers, quatre lignes directrices
Pour situer la decision Mediahuis dans le contexte europeen, voici les sanctions les plus citees en matiere de bandeaux cookies. Toutes confirment la meme ligne: pas de bouton de refus equivalent, pas de consentement valable.
| Dossier | Autorite | Annee | Sanction | Constat principal |
|---|---|---|---|---|
| Mediahuis 113/2024 (annulee Cour des marches 19 mars 2025) | APD belge | 2024 | EUR 25,000 par jour par site | Pas de bouton "tout refuser" sur la premiere couche, interet legitime pour cookies publicitaires |
| Google (CNIL) | CNIL | 2025 | EUR 325 millions | Bandeau de refus en deux clics, trackers avant choix |
| Yahoo (CNIL) | CNIL | 2023 | EUR 10 millions | Cookies publicitaires deposes avant consentement |
| Planet49 (C-673/17) | CJUE | 2019 | Arret de principe | Cases precochees ne valent pas consentement |
Ce que le scanner teste concretement
Le scanner TrustYourWebsite possede une fonctionnalite unique qui correspond directement au dark pattern le plus sanctionne: apres avoir clique sur "tout refuser", le scanner verifie a nouveau le trafic reseau pour detecter les trackers persistants. Nous detectons specifiquement si Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag ou Criteo continuent d'envoyer des donnees apres une action de refus. Cela correspond au constat central dans l'affaire CNIL Yahoo (10 millions d'euros).
Le scanner detecte egalement les boutons asymetriques (ratio de contraste CSS, type d'element a vs. button, font-weight), la presence d'un bouton de refus sur la premiere couche, les cases precochees, les cookie walls, l'absence de mecanisme de retrait et l'utilisation de l'interet legitime pour les cookies publicitaires.
Toutes les conclusions sont des signaux techniques, pas des verdicts juridiques. Le scanner peut constater qu'un tracker est actif apres un refus. Le scanner ne peut pas evaluer si la base juridique de ce tracker est correcte.
Interdit, deconseille ou bonne pratique
Interdit (decisions explicites d'autorites de controle ou de tribunaux): cases precochees, trackers avant consentement, trackers persistants apres refus, interet legitime pour les cookies marketing, consentement par continuation de navigation, mecanisme de retrait absent.
Consensus majoritaire, pas unanime: bouton "tout refuser" sur la premiere couche. La Taskforce note specifiquement ce point comme sujet de divergence. L'honnetete epistemique exige que nous le mentionnions.
Au cas par cas: couleur, taille et contraste des boutons. Il n'y a pas de seuil WCAG fixe dans le texte du CEPD. Les parametres sont toutefois utilises de maniere repetee comme preuves.
Bonne pratique: icone de retrait persistante (petit pictogramme en bas a gauche ou a droite, toujours visible), rafraichissement du consentement tous les six mois, transparence en couches.
La machine est en marche
L'application des regles contre les dark patterns a franchi un seuil. En 2024, la question etait de savoir si les autorites allaient agir. En 2026, la question est de savoir a quelle vitesse elles peuvent monter en puissance. L'amende Google de 325 millions d'euros et l'astreinte Mediahuis de EUR 25,000 par jour montrent le prix de l'inaction. La decision RTL Belgium confirme que les sites francophones ne sont pas epargnes.
Cet article est une analyse technique, pas un avis juridique. Consultez un juriste pour des conseils adaptes a votre situation specifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Déclaration de confidentialité Belgique : RGPD et APD
Declaration de confidentialite site web Belgique: les 14 mentions obligatoires de l'article 13 RGPD, Recommandation APD 01/2025 et checklist PME 2026.
Mentions légales site web Belgique : obligations CDE
Les mentions legales obligatoires pour les sites belges. CDE Livre XII Art. XII.6, numero BCE, obligation bilingue et controle SPF Economie.
Bouton de rétractation obligatoire en Belgique dès juin 2026
Dès le 19 juin 2026, chaque e-commerce UE doit afficher un bouton de rétractation. Directive 2023/2673, article 11a. La Belgique a raté le délai.