Bannière cookies Belgique : règles et amendes APD

En septembre 2024, l'APD a pris des mesures contre Mediahuis (éditeur du Standaard, du Nieuwsblad et d'autres titres flamands) avec une astreinte de 25 000 € par jour et par site de presse non conforme. La raison : une bannière cookies qui ne respectait pas les exigences du RGPD et de la directive ePrivacy.

L'Autorité de Protection des Données (APD) a constaté deux problèmes :

1. Il n'y avait pas de bouton « Tout refuser » clairement visible dans la première couche.
2. Le bouton d'acceptation était plus coloré et plus proéminent que l'option de refus, un dark pattern caractéristique.

La décision Mediahuis a été annulée par la Cour des marchés (Marktenhof) sur des motifs procéduraux. Le cadre matériel reste néanmoins inchangé. Les critères que l'APD applique à toute bannière cookies en Belgique sont décrits dans sa Recommandation 01/2020 et restent la référence pour ce que la Chambre Contentieuse considère comme conforme.

Ce n'est pas un cas isolé. La Chambre Contentieuse de l'APD a infligé à Roularta Media Group dans la décision 85/2022 du 25 mai 2022 une amende administrative de 50 000 € pour des cookies déposés avant le consentement et pour des cases pré-cochées de consentement aux cookies tiers sur Knack et Le Vif. L'APD applique activement les règles aux entreprises belges, grandes et petites.

Vous voulez savoir si votre propre bannière cookies tient la route ? Lancez le scan gratuit pour voir quels scripts se chargent avant le consentement sur votre site.

---

La base légale en Belgique

La réglementation cookies en Belgique repose sur deux piliers. Le premier est le RGPD (Règlement (UE) 2016/679), qui exige un consentement valide pour tout traitement de données à caractère personnel sans autre base légale. Le second est la loi du 13 juin 2005 relative aux communications électroniques, qui transpose en droit belge la directive ePrivacy (2002/58/CE). La disposition cookies de l'article 129 de cette loi a été déplacée vers la loi du 30 juillet 2018 sur la protection des personnes physiques.

En pratique, les deux textes fonctionnent ensemble. La loi ePrivacy détermine quand vous avez besoin d'un consentement pour placer un cookie. Le RGPD définit comment ce consentement doit être obtenu, enregistré et géré. Une bannière qui respecte ePrivacy mais qui ne remplit pas les exigences de consentement du RGPD reste non conforme.

L'APD est compétente pour faire appliquer ces deux régimes. Le texte complet de la loi communications électroniques est consultable sur ejustice.just.fgov.be. Pour la directive ePrivacy elle-même, voir la version consolidée sur EUR-Lex.

La Recommandation 01/2020 de l'APD est la référence concrète. Elle précise point par point ce que la Chambre Contentieuse attend d'une bannière conforme : libellé des boutons, hiérarchie visuelle, contenu de la première couche, durée de conservation du consentement, possibilité de retrait. C'est le document à utiliser comme grille de contrôle pour votre propre bannière.

---

Ce que l'APD exige

L'APD suit les lignes directrices du Comité européen de la protection des données (CEPD) et applique sa propre Recommandation 01/2020. En résumé :

1. Options de choix égales

Les boutons « Tout accepter » et « Tout refuser » doivent :

• Être de la même taille
• Avoir un poids visuel comparable
• Se trouver au même niveau dans la bannière

Un petit lien gris à côté d'un gros bouton vert ne suffit pas.

2. Pas de suivi avant consentement

Les scripts de suivi ne peuvent pas se charger avant que le visiteur ait fait un choix. Cela concerne :

• Google Analytics et Google Tag Manager
• Facebook Pixel ou Meta Pixel
• LinkedIn Insight Tag
• Hotjar, Clarity et autres outils d'enregistrement de session
• Réseaux publicitaires

Notre scanner teste cela en simulant un visiteur réel qui clique sur « Refuser » et en vérifiant quels scripts se chargent avant le consentement.

3. Pas de cases pré-cochées

Dans un panneau de paramètres cookies, les catégories analytics et marketing ne peuvent pas être activées par défaut. Le visiteur doit choisir activement. C'était l'un des griefs centraux contre Roularta en 2022 : les catégories étaient cochées par défaut et le visiteur devait les désactiver lui-même.

4. Paramètres accessibles

Les visiteurs doivent pouvoir modifier leurs paramètres de consentement après leur premier choix. Cela nécessite un lien permanent, généralement dans le pied de page. Le retrait du consentement doit être aussi simple que son octroi.

5. Pas de cookie wall

Un cookie wall qui bloque complètement l'accès au site tant que le visiteur n'accepte pas n'est pas autorisé dans la plupart des cas. Des exceptions existent pour des services payants où les cookies sont fonctionnellement nécessaires à la prestation.

6. Information dès la première couche

L'APD exige que la première couche de la bannière (celle qui s'affiche à l'ouverture du site) indique déjà clairement les finalités du traitement et les noms des principaux tiers qui placent des cookies. Une formule vague comme « nous utilisons des cookies pour améliorer votre expérience » ne suffit pas.

7. Consentement par finalité

Vous ne pouvez pas demander un consentement groupé qui couvre analytics, marketing et cookies fonctionnels dans une seule case. L'APD attend que le visiteur choisisse finalité par finalité. Un consentement pour les statistiques de site ne vaut pas consentement pour la publicité personnalisée.

---

Consentement éclairé : qu'est-ce que cela signifie concrètement ?

Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. L'APD a précisé dans sa Recommandation 01/2020 ce que cela implique pour une bannière cookies.

Libre signifie que refuser ne doit pas créer de désavantage. Si votre bannière n'affiche qu'un bouton « Accepter » sans choix réel, le consentement n'est pas libre.

Spécifique signifie que vous demandez le consentement finalité par finalité. Consentement aux analytics et consentement à la publicité ciblée sont deux choix distincts. Vous ne pouvez pas les fusionner.

Éclairé signifie que le visiteur comprend avant de cliquer à quoi servent les cookies, combien de temps ils restent actifs et qui y a accès. Les tiers doivent être nommés dès la première couche.

Univoque signifie qu'une action active du visiteur est requise. La poursuite de la navigation ne vaut pas consentement. Une formule du type « en continuant à naviguer, vous acceptez » est interdite depuis plusieurs années par l'APD.

---

Dark patterns : qu'est-ce que c'est et pourquoi l'APD les sanctionne ?

Les dark patterns sont des techniques de conception qui orientent les utilisateurs vers l'option préférée par le propriétaire du site (généralement « Tout accepter »), au lieu de proposer un libre choix.

Le CEPD a publié en 2022 des lignes directrices 03/2022 sur les interfaces trompeuses (deceptive design patterns) dans les interfaces de plateformes de médias sociaux. L'APD applique ces directives à toutes les bannières cookies belges, pas seulement aux réseaux sociaux.

Pratiques interdites :

---

Roularta 85/2022 et Mediahuis (2024) : ce que retenir

Les deux dossiers d'enforcement de l'APD les plus cités concernent des éditeurs de presse, mais les principes valent pour toute PME belge qui place des cookies. La comparaison montre clairement ce qui déclenche une sanction.

Le fait que la décision Mediahuis ait été annulée par la Cour des marchés ne change pas la doctrine de l'APD sur les dark patterns. La Recommandation 01/2020 et la décision Roularta 85/2022 restent les références. Pour une PME, il serait imprudent de conclure que l'arrêt Mediahuis ouvre une marge de manœuvre sur l'asymétrie des boutons.

---

Bannière conforme : à faire et à éviter

<div className="my-6 grid gap-4 md:grid-cols-2"> <div className="rounded-lg border border-emerald-200 bg-emerald-50 p-4"> <div className="mb-2 flex items-center gap-2 text-emerald-700 font-semibold"> <svg width="20" height="20" viewBox="0 0 20 20" fill="none" xmlns="http://www.w3.org/2000/svg" aria-hidden="true"> <circle cx="10" cy="10" r="9" stroke="currentColor" strokeWidth="2" /> <path d="M6 10.5l2.5 2.5L14 7.5" stroke="currentColor" strokeWidth="2" strokeLinecap="round" strokeLinejoin="round" /> </svg> <span>À faire</span> </div> <ul className="list-disc space-y-1 pl-5 text-sm text-emerald-900"> <li>Placer « Tout refuser » et « Tout accepter » côte à côte, même taille, même poids visuel.</li> <li>Laisser toutes les catégories optionnelles décochées au premier affichage.</li> <li>Afficher un lien permanent « Paramètres cookies » dans le pied de page.</li> <li>Nommer les principaux tiers dès la première couche de la bannière.</li> </ul> </div> <div className="rounded-lg border border-rose-200 bg-rose-50 p-4"> <div className="mb-2 flex items-center gap-2 text-rose-700 font-semibold"> <svg width="20" height="20" viewBox="0 0 20 20" fill="none" xmlns="http://www.w3.org/2000/svg" aria-hidden="true"> <circle cx="10" cy="10" r="9" stroke="currentColor" strokeWidth="2" /> <path d="M7 7l6 6M13 7l-6 6" stroke="currentColor" strokeWidth="2" strokeLinecap="round" strokeLinejoin="round" /> </svg> <span>À éviter</span> </div> <ul className="list-disc space-y-1 pl-5 text-sm text-rose-900"> <li>Utiliser un gros bouton vert « Accepter » avec un petit lien gris « Refuser ».</li> <li>Pré-cocher les catégories analytics ou marketing dans le panneau de paramètres.</li> <li>Compter sur l'icône de fermeture (X) comme bouton de refus.</li> <li>Bloquer l'accès au contenu tant que les cookies ne sont pas acceptés.</li> </ul> </div> </div>

---

Erreurs fréquentes des PME belges

Erreur 1 : « J'ai une bannière, donc je suis en conformité. » Avoir une bannière ne suffit pas. La bannière doit fonctionner correctement. Notre scanner gratuit teste si les scripts de suivi s'arrêtent réellement après un clic sur « Refuser ».

Erreur 2 : Plugin de bannière cookies gratuit sans configuration. Beaucoup de plugins WordPress sont livrés par défaut avec des cases pré-cochées ou des boutons de refus manquants. Les paramètres par défaut sont rarement conformes à la Recommandation 01/2020.

Erreur 3 : Bannière installée mais Google Analytics se charge immédiatement. C'est l'erreur technique la plus courante. La plateforme de gestion du consentement ne bloque pas correctement les scripts. Vérifiez que Google Analytics dans votre conteneur Tag Manager est configuré comme un tag « consent mode ».

Erreur 4 : Paramètres de consentement non enregistrés. La bannière réapparaît à chaque visite et les visiteurs doivent choisir à nouveau. Le consentement doit être enregistré, en pratique 6 à 12 mois selon la finalité.

Erreur 5 : Une seule case « Accepter » dans la première couche. C'était précisément le grief contre Mediahuis : l'option de refus était cachée derrière un menu de paramètres, alors que le bouton d'acceptation était immédiatement visible. L'APD considère cela comme un dark pattern, indépendamment du sort procédural de la décision.

---

Quels cookies sont autorisés sans consentement ?

Pas de consentement nécessaire :

• Cookies de session (connexion, panier)
• Cookies de répartition de charge
• Cookies de sécurité CSRF
• Cookies d'authentification
• Cookies pour enregistrer la préférence de bannière cookies

Consentement toujours obligatoire :

• Google Analytics, Matomo (sauf anonymisé et hébergé localement, sans transfert vers des tiers)
• Facebook Pixel, LinkedIn Insight Tag
• Hotjar, Microsoft Clarity
• Cookies publicitaires et pixels de retargeting
• Boutons de partage social qui placent des cookies pour le compte de tiers

En cas de doute sur la qualification « strictement nécessaire », appliquez la règle suivante : si le site fonctionne techniquement sans ce cookie, il n'est pas strictement nécessaire.

---

Plateformes externes : Cookiebot, OneTrust, Axeptio

Beaucoup de sites belges utilisent un consent management platform externe comme Cookiebot, OneTrust, Axeptio ou CookieYes. L'usage d'une telle plateforme n'offre aucune garantie automatique de conformité. Vous restez responsable de la configuration en tant qu'éditeur du site.

Vérifiez sur chaque plateforme les réglages suivants : les cookies analytics sont-ils décochés par défaut, le bouton de refus est-il affiché au même niveau que le bouton d'acceptation, les scripts ne se chargent-ils qu'après consentement. Même les plateformes payantes sont livrées dans des configurations par défaut qui ne respectent pas les attentes de l'APD. Lisez la documentation de configuration et adaptez les réglages à votre cas concret.

---

Notre scanner teste si votre bannière fonctionne vraiment

La plupart des outils vérifient uniquement si votre bannière cookies est présente. Notre scanner va plus loin. Nous cliquons sur « Refuser » et nous mesurons ensuite quels scripts et cookies sont encore actifs.

C'est exactement la méthode utilisée par l'APD pour examiner les plaintes.

Lancer le scan gratuit →

Résultat en 60 secondes. Aucun compte requis.

---

Sources

• APD, Recommandation 01/2020 sur les cookies (PDF)
• APD Décision 85/2022, Roularta (25 mai 2022, PDF)
• APD, communiqué Mediahuis (6 septembre 2024)
• APD, Cookies pour les citoyens
• CEPD Lignes directrices 03/2022, interfaces trompeuses (FR)
• Directive ePrivacy 2002/58/CE, version consolidée sur EUR-Lex
• Loi du 13 juin 2005 relative aux communications électroniques (Justel)

---

Ceci est une analyse technique, pas un avis juridique.