Recherche
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min lecture
Le GDPR est un seul règlement. Un seul texte. Directement applicable dans chaque État membre de l'UE sans nécessité de transposition nationale (contrairement à la directive ePrivacy, qui l'exige, ajoutant une couche de variation supplémentaire). En théorie, un site web en Hongrie fait face aux mêmes obligations juridiques qu'un site web en Allemagne. En pratique, l'écart entre la théorie et la réalité est énorme.
Lorsque nous avons scanné 97 304 sites web dans 25 des 27 États membres de l'UE, nous avons constaté que la part des sites web à haut risque varie de 20,9 % en Autriche à 58,8 % en Hongrie -- un rapport de presque trois à un. Le même règlement, la même méthodologie de scan, les mêmes critères de classification, des résultats sensiblement différents. Les données suggèrent que la conformité est moins liée à ce que dit la loi qu'à la manière dont elle est appliquée.
Le classement complet
Le tableau ci-dessous montre chaque pays de notre étude, classé par le pourcentage de sites web scannés classés à haut risque. Haut risque signifie que le site présentait des violations significatives du consentement : suivi pré-consentement, échecs du flux de refus, mécanismes de consentement manquants avec suivi actif, ou des combinaisons de ces éléments. Nous montrons également le score de risque moyen (une métrique continue de 0 à 100) et le taux de détection de bannière -- le pourcentage de sites scannés où notre système a identifié une bannière de consentement.
| Rang | Pays | % Haut risque | Score de risque moyen | Taux de détection de bannière |
|---|---|---|---|---|
| 1 | Autriche | 20,9 % | 31,2 | -- |
| 2 | Allemagne | 23,7 % | 33,9 | 46,1 % |
| 3 | Suède | 33,4 % | 49,0 | -- |
| 4 | Finlande | 40,3 % | 46,4 | 54,6 % |
| 5 | Belgique | 42,1 % | 47,4 | -- |
| 6 | Danemark | 42,1 % | 48,3 | 57,0 % |
| 7 | Pays-Bas | 43,5 % | 53,1 | 40,3 % |
| 8 | France | 44,1 % | 49,7 | -- |
| 9 | Espagne | 44,1 % | 50,2 | -- |
| 10 | Italie | 44,6 % | 51,8 | -- |
| 11 | Grèce | 52,5 % | 54,9 | -- |
| 12 | Pologne | 53,3 % | 56,1 | -- |
| 13 | Roumanie | 53,9 % | 56,2 | -- |
| 14 | Tchéquie | 55,1 % | 59,0 | -- |
| 15 | Hongrie | 58,8 % | 60,1 | -- |
Le score de risque moyen fournit une vue plus nuancée que la classification binaire haut risque. Notez que les Pays-Bas ont un taux de haut risque relativement modéré (43,5 %) mais un score de risque moyen comparativement élevé (53,1), suggérant que si moins de sites néerlandais franchissent le seuil de haut risque, ceux qui le font tendent à être plus sévèrement non conformes. La Suède montre un schéma similaire en sens inverse : un taux de haut risque plus bas (33,4 %) mais un score moyen relativement élevé (49,0), indiquant une large distribution de violations modérées.
Tier 1 : Les leaders -- Allemagne et Autriche
L'Allemagne (23,7 % haut risque) et l'Autriche (20,9 % haut risque) sont des valeurs aberrantes claires. Leurs sites web sont environ deux fois moins susceptibles d'être classés à haut risque comparé à la moyenne européenne de 41 %. Comprendre pourquoi nécessite d'examiner l'écosystème d'application dans les deux pays.
Allemagne : profondeur et étendue de l'application
Le paysage de la protection des données en Allemagne est unique en Europe. En plus du BfDI fédéral (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), chacun des seize États allemands a sa propre autorité de protection des données indépendante. Cela signifie que l'Allemagne dispose de dix-sept autorités de protection des données au total, dont plusieurs figurent parmi les plus actives en Europe sur l'application du consentement.
Le BayLDA bavarois a mené un audit sectoriel du consentement aux cookies sur les sites web en 2020-2021, envoyant des questionnaires formels à des centaines d'entreprises et assurant le suivi avec des mesures d'application. L'autorité de protection des données de Hambourg a publié des orientations détaillées sur Google Analytics et les exigences de consentement. Plusieurs autorités régionales ont mené des campagnes d'application coordonnées ciblant des violations spécifiques -- suivi pré-consentement, options de refus manquantes et bannières de cookies non conformes.
Cette densité d'application crée un calcul de risque différent pour les opérateurs de sites web allemands. Quand vos pairs de l'industrie ont reçu des demandes formelles de l'autorité de protection des données, et que les orientations d'application sont suffisamment spécifiques pour vous dire exactement ce qui est et n'est pas acceptable, le coût de la non-conformité devient concret plutôt que théorique.
Il y a aussi une dimension culturelle. La conscience de la protection des données en Allemagne est plus profonde que le GDPR. L'arrêt Volkszählung (recensement) de 1983 par la Cour constitutionnelle fédérale a établi l'autodétermination informationnelle comme un droit constitutionnel des décennies avant que le GDPR n'existe. Cela a créé une attente sociétale autour de la protection des données qui influence à la fois le comportement des entreprises et les attentes des consommateurs de manières plus difficiles à quantifier mais clairement reflétées dans les données.
Autriche : application précoce post-Schrems II
La DSB autrichienne (Datenschutzbehörde) a attiré l'attention internationale en rendant l'une des premières décisions d'application dans l'après-Schrems II, constatant que l'utilisation de Google Analytics par un site web violait le GDPR parce que les transferts de données vers les États-Unis manquaient de garanties adéquates. Cette décision -- ultérieurement reprise par la CNIL française et le Garante italien -- a envoyé un signal clair aux opérateurs de sites web autrichiens que le consentement et le suivi étaient des priorités d'application actives.
Le taux de 20,9 % de haut risque de l'Autriche, le plus bas de notre étude, suggère que ce signal a été reçu. Quand une autorité de protection des données démontre par des décisions spécifiques et publiées que les violations de consentement seront poursuivies, le taux de conformité répond. L'Autriche est l'un des exemples les plus clairs dans nos données d'une corrélation entre application et changement de comportement mesurable, même si d'autres facteurs -- structure du marché, attitudes culturelles -- y contribuent probablement aussi.
Tier 2 : Le juste milieu nordique -- Suède, Finlande, Danemark
La Suède (33,4 %), la Finlande (40,3 %) et le Danemark (42,1 %) occupent une bande intermédiaire qui est meilleure que la moyenne de l'UE mais significativement derrière les leaders germano-autrichiens.
Les pays nordiques partagent de fortes valeurs culturelles autour de la vie privée et de la confiance institutionnelle, mais leurs autorités de protection des données ont généralement adopté une posture d'application moins agressive sur le consentement spécifiquement. L'IMY suédoise (Integritetsskyddsmyndigheten) a rendu des décisions notables -- dont une amende significative contre Google pour des manquements au droit à l'oubli -- mais son application spécifique au consentement a été plus limitée. Le tietosuojavaltuutettu finlandais et le Datatilsynet danois se sont similairement concentrés sur la notification des violations de données et les orientations sectorielles plutôt que sur des campagnes de consentement aux cookies à grande échelle.
Le taux de 33,4 % de haut risque de la Suède est néanmoins nettement meilleur que la moyenne d'Europe occidentale, suggérant que les attitudes culturelles envers la vie privée peuvent partiellement compenser une application moins fréquente. Les internautes nordiques sont, dans l'ensemble, plus sensibilisés à la vie privée, ce qui peut créer une pression de marché pour de meilleures implémentations de consentement même en l'absence de pression réglementaire.
Les taux de détection de bannière sont instructifs ici. Le Danemark montre un taux de détection de bannière de 57,0 % -- le plus élevé pour tout pays où nous disposons de ce point de données -- et la Finlande montre 54,6 %. Cela signifie que les sites nordiques sont plus susceptibles de déployer une bannière de consentement, même si l'implémentation derrière cette bannière n'est pas toujours entièrement conforme. Cela suggère une prise de conscience de l'obligation même là où l'exécution est en retard.
Tier 3 : Europe occidentale -- France, Pays-Bas, Belgique, Espagne, Italie
Cinq pays d'Europe occidentale se regroupent étroitement entre 42,1 % et 44,6 % de haut risque : la Belgique (42,1 %), les Pays-Bas (43,5 %), la France (44,1 %), l'Espagne (44,1 %) et l'Italie (44,6 %). Ce groupe se situe proche de la moyenne européenne de 41 % et pourrait représenter une ligne de base de conformité -- le niveau atteint quand l'application existe mais n'est pas suffisamment fréquente ou ciblée pour faire bouger significativement le curseur.
France : le paradoxe de l'application à haute visibilité
La France est notable car la CNIL est sans doute l'autorité de protection des données la plus internationalement visible d'Europe. Elle a infligé des amendes record à Google (150 millions d'euros pour violations de consentement en 2022), Amazon (35 millions d'euros) et Microsoft (60 millions d'euros). Elle a publié des lignes directrices détaillées sur les cookies et le consentement en 2020 et a accordé aux sites web français un délai de grâce de six mois pour se conformer. Elle a mené des vagues d'application coordonnées ciblant les sites qui n'avaient pas implémenté d'options de refus.
Pourtant, la France se situe à 44,1 % de haut risque -- exactement dans la moyenne de l'Europe occidentale. Comment l'applicateur le plus actif peut-il ne produire qu'une conformité moyenne ?
La réponse réside probablement dans la structure du web français. La France a une économie numérique vaste et diversifiée avec des centaines de milliers de sites web exploités par des petites et moyennes entreprises, des collectivités locales et des organisations qui ne suivent peut-être pas attentivement l'actualité de l'application de la CNIL. Les actions à haute visibilité de la CNIL contre les géants technologiques génèrent des gros titres internationaux mais ne changent peut-être pas le comportement des milliers de sites de petites entreprises utilisant des installations WordPress par défaut avec des plugins de consentement non configurés. L'application qui cible la tête de la distribution ne déplace pas nécessairement la queue.
C'est un enseignement important pour toutes les autorités de protection des données : les amendes à la une dissuadent les grandes entreprises mais ne déplacent peut-être pas le taux de conformité agrégé, qui est dominé par la longue traîne des petits et moyens sites. Un changement comportemental large nécessite soit une application de masse (impraticable avec les ressources actuelles des autorités) soit des outils qui font de la conformité la règle plutôt que l'exception.
Pays-Bas : faible taux de bannière, risque modéré
Les Pays-Bas montrent un schéma intéressant : un taux de haut risque de 43,5 % (modéré) mais seulement un taux de détection de bannière de 40,3 % -- le plus bas parmi les pays où nous disposons de ces données. Cela signifie que les sites néerlandais sont moins susceptibles de déployer une bannière de consentement mais, parmi ceux qui le font, la qualité d'implémentation pourrait être quelque peu meilleure. Cela peut aussi refléter un écosystème web néerlandais qui inclut de nombreux sites avec un suivi minimal (pas de bannière nécessaire) aux côtés de sites qui suivent fortement sans se soucier d'une bannière.
L'AP néerlandaise (Autoriteit Persoonsgegevens) a été active sur l'application du GDPR en général mais a rendu moins de décisions spécifiques au consentement comparé aux autorités allemandes ou à la CNIL. Les priorités d'application de l'AP se sont centrées sur le traitement des données gouvernementales, les données de santé et la surveillance à grande échelle, le consentement recevant relativement moins d'attention.
Tier 4 : Europe de l'Est et du Sud -- Grèce, Pologne, Roumanie, Tchéquie, Hongrie
Le bas du classement est dominé par les pays d'Europe centrale et orientale, avec des taux de haut risque allant de 52,5 % (Grèce) à 58,8 % (Hongrie). Dans ces pays, plus de la moitié des sites web scannés présentent un profil de conformité à haut risque.
| Pays | % Haut risque | Score de risque moyen |
|---|---|---|
| Grèce | 52,5 % | 54,9 |
| Pologne | 53,3 % | 56,1 |
| Roumanie | 53,9 % | 56,2 |
| Tchéquie | 55,1 % | 59,0 |
| Hongrie | 58,8 % | 60,1 |
Le dénominateur commun n'est pas un manque d'obligation juridique -- le GDPR s'applique de manière identique -- mais un schéma d'autorités de protection des données sous-dotées en ressources avec moins d'actions d'application ciblant spécifiquement le consentement. Le NAIH hongrois, l'UODO polonais, l'ANSPDCP roumain et l'UOOU tchèque ont tous concentré leurs budgets d'application limités sur des domaines comme la notification des violations de données, les demandes d'accès et les plaintes à haute visibilité plutôt que sur des audits proactifs de consentement aux cookies.
C'est un comportement rationnel pour des régulateurs sous-dotés en ressources. Quand vous avez une petite équipe et une grande économie à superviser, vous priorisez les plaintes plutôt que l'application proactive, et les plaintes concernant le consentement aux cookies sont relativement rares comparées aux plaintes concernant les violations de données ou les refus d'accès. Le résultat est que les violations de consentement restent largement non surveillées, et les opérateurs de sites web ne font face à aucun risque significatif d'application.
Ces données ne reflètent pas la compétence ou le dévouement de ces autorités. Plusieurs autorités d'Europe centrale et orientale fonctionnent avec des ratios personnel/population qui sont une fraction de ce dont disposent les autorités régionales allemandes. Le NAIH hongrois, par exemple, supervise un pays de 10 millions d'habitants. Le BayLDA bavarois, supervisant une population de taille similaire au sein d'un seul État allemand, a historiquement disposé de plus de ressources et d'un mandat plus ciblé.
L'enseignement est structurel : une réglementation uniforme sans application uniforme produit une conformité non uniforme. C'est un constat important dans les données par pays.
La corrélation avec l'application
Si vous tracez l'intensité d'application des autorités de protection des données par rapport aux taux de conformité (de manière narrative, car nous ne publions pas de graphique ici), la relation est apparente. Les pays avec le plus d'actions d'application ciblant spécifiquement le consentement -- Allemagne, Autriche -- ont les taux de haut risque les plus bas. Les pays avec une application à la une mais concentrée (France) montrent une conformité moyenne. Les pays avec une application spécifique au consentement minimale montrent les taux de violation les plus élevés.
Cette corrélation ne prouve pas la causalité -- les facteurs culturels, la structure du marché et la maturité du secteur technologique local jouent tous un rôle. Mais la force du schéma à travers 25 pays est difficile à expliquer sans l'application comme moteur principal.
Quelques actions d'application notables qui semblent avoir fait bouger les choses :
- Allemagne (2020-2022) : Plusieurs autorités régionales ont mené des audits coordonnés de consentement aux cookies, envoyant des lettres formelles à des centaines de sites web. Le BayLDA a publié une FAQ sur le consentement qui est devenue un standard de conformité de facto.
- Autriche (2022) : La décision de la DSB sur Google Analytics a été largement couverte dans les médias tech et business autrichiens, provoquant une vague visible de migrations de GA vers Matomo.
- France (2021-2022) : La vague d'application cookies de la CNIL a ciblé plus de 100 sites web pour des implémentations de consentement non conformes, bien que l'impact semble concentré sur les plus gros opérateurs.
- Italie (2022) : Le Garante a émis des lignes directrices cookies mises à jour qui ont stimulé l'activité de conformité parmi les plus grands sites italiens, bien que le taux de 44,6 % de haut risque suggère que l'effet ne s'est pas propagé largement.
Taux de détection de bannière par pays
Le taux de détection de bannière -- le pourcentage de sites où notre scanner a identifié un mécanisme de consentement -- varie significativement entre les pays :
| Pays | Taux de détection de bannière |
|---|---|
| Danemark | 57,0 % |
| Finlande | 54,6 % |
| Allemagne | 46,1 % |
| Pays-Bas | 40,3 % |
Le Danemark est en tête avec 57,0 %, suggérant que les sites web danois sont les plus susceptibles de déployer une forme de mécanisme de consentement même si leur qualité de conformité globale (42,1 % haut risque) est moyenne. Le 46,1 % de l'Allemagne est plus bas qu'on pourrait l'attendre étant donné son faible taux de violation, mais c'est cohérent : les sites allemands qui suivent sont plus susceptibles de le faire avec un consentement approprié, tandis que les sites allemands qui ne suivent pas peuvent raisonnablement fonctionner sans bannière.
Le 40,3 % des Pays-Bas est le chiffre le plus bas que nous ayons, ce qui s'aligne avec le schéma néerlandais noté ci-dessus : moins de bannières dans l'ensemble, mais pas nécessairement une pire conformité parmi ceux qui en déploient.
Ces taux reflètent aussi la réalité méthodologique. Un site qui ne définit aucun cookie non essentiel et ne contacte aucun domaine de suivi tiers n'a véritablement pas besoin de bannière de consentement en vertu de l'exemption ePrivacy pour les cookies strictement nécessaires. Une certaine variation dans les taux de bannière est donc attendue et légitime.
Ce que cela signifie pour les entreprises transfrontalières
Si vous exploitez un site web ou un service numérique servant des utilisateurs dans plusieurs pays de l'UE, ces données ont des implications pratiques directes.
Votre risque de conformité est déterminé par votre marché à l'application la plus forte. Si votre site sert des utilisateurs allemands, la barre est effectivement fixée par les attentes des autorités allemandes, indépendamment de l'endroit où votre entreprise a son siège. Sous le mécanisme du guichet unique du GDPR, votre autorité de contrôle chef de file peut être dans votre pays d'origine, mais toute autorité peut agir sur les plaintes de ses propres résidents. Un site web hongrois servant des visiteurs allemands peut faire l'objet d'un examen par les autorités allemandes. Se comparer à la moyenne de votre propre pays est insuffisant. Si vous êtes un opérateur de site web polonais et que 53,3 % de vos pairs sont à haut risque, être « moyen » signifie toujours que vous n'êtes pas conforme à la lettre du GDPR. Le règlement n'ajuste pas ses exigences par pays. Seule la probabilité d'application varie -- et les tendances d'application vont dans une direction. Les autorités qui n'ont pas encore priorisé le consentement le feront probablement à mesure que la coordination au niveau européen augmente. L'EDPB pousse vers la convergence. Les lignes directrices spécifiques aux cookies, les activités de groupe de travail et les avis de cohérence du Comité européen de la protection des données visent à réduire l'écart d'application entre les États membres. Le rapport 2023 du groupe de travail sur les bannières de consentement de l'EDPB a identifié des violations courantes et appelé à une application coordonnée, et plusieurs autorités auparavant moins actives ont signalé une attention accrue au consentement en réponse. Une application faible dans un marché donné ne devrait pas rester le status quo indéfiniment.Le problème d'harmonisation du GDPR
Les données par pays de cette étude sont, à certains égards, un défi à l'objectif d'harmonisation du GDPR. Le règlement était censé créer un standard unique à travers l'UE, remplaçant le patchwork des lois nationales de protection des données. En termes de texte juridique, il a réussi. En termes de réalité de conformité, pas encore.
Un site web en Autriche est trois fois moins susceptible d'être à haut risque qu'un site web en Hongrie. Un utilisateur français cliquant sur « Refuser » fait face au même taux d'échec de 80,4 % qu'un utilisateur polonais. La bannière de consentement est plus susceptible d'apparaître au Danemark qu'aux Pays-Bas. Aucune de ces différences n'a de base juridique -- elles sont toutes des conséquences d'une application différentielle.
Cela soulève une question difficile : un cadre réglementaire qui dépend d'autorités nationales d'application, avec des ressources et des priorités très différentes, peut-il offrir une protection uniforme ? Les données suggèrent que la réponse est actuellement non. L'écart entre l'Allemagne/Autriche et la Hongrie/Tchéquie ne se comble pas -- et il ne se comblera pas sans un rééquilibrage significatif des ressources des autorités ou un passage à une application au niveau de l'UE pour les violations courantes et techniquement mesurables comme le suivi pré-consentement.
Le consentement aux cookies est, ironiquement, l'une des obligations du GDPR les plus faciles à vérifier à grande échelle. Contrairement à l'évaluation de la licéité d'une activité de traitement des données ou de l'adéquation d'une analyse d'impact sur la protection des données, vérifier si un site web définit des cookies de suivi avant le consentement est une mesure objective et automatisable. Si l'UE ne peut pas atteindre la convergence d'application sur cette violation la plus mesurable, les perspectives de convergence sur des questions plus difficiles sont sombres.
Note méthodologique
La sélection des sites web a été tirée de la liste Tranco Top 1M, filtrée par association de pays. L'attribution de pays a utilisé les TLD de code pays comme signal principal, complété par les données d'enregistrement et d'hébergement lorsque les TLD étaient ambigus (par ex., les domaines `.com`). Les sites avec une affiliation de pays peu claire ont été exclus de l'analyse par pays mais inclus dans les chiffres agrégés à l'échelle de l'UE.
Chaque site a été scanné selon des critères identiques : comportement pré-consentement, détection de bannière, test du flux de refus (lorsqu'un bouton de refus a été identifié), analyse de la durée de vie des cookies et évaluation de l'accessibilité. Le scanner n'a fait aucun ajustement en fonction du pays d'origine -- un site hongrois a été évalué avec la même méthodologie et les mêmes seuils qu'un site allemand.
Les tailles d'échantillon varient selon les pays, reflétant la distribution des sites web de l'UE dans la liste Tranco. Les pays avec des économies numériques plus importantes (Allemagne, France, Pays-Bas) contribuent plus de sites. Tous les pourcentages sont calculés par rapport à l'échantillon par pays, pas par rapport au total à l'échelle de l'UE.
Voyez où se situe votre site web. Lancez un scan gratuit sur gdprmonitor.eu pour obtenir la même évaluation de conformité que celle que nous avons appliquée à chaque site de cette étude -- avec des preuves complètes, un score de risque et des constats exploitables.
Vérifiez votre site web
Lancez un scan de conformité RGPD gratuit — sans inscription.
Scanner votre site gratuitement