Recherche
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min lecture
Huit ans après l'entrée en vigueur du GDPR, nous avons décidé d'arrêter de spéculer sur la conformité du consentement et de la mesurer. Nous avons dirigé notre scanner vers 97 304 sites web dans 25 des 27 États membres de l'UE et enregistré exactement ce qui se passe dans un vrai navigateur avant, pendant et après le consentement. Pas ce que la politique de confidentialité promet. Pas ce que le tableau de bord CMP rapporte. Ce qui se déclenche réellement dans le navigateur lorsqu'un visiteur arrive pour la première fois sur une page.
Dans notre jeu de données, le suivi avant consentement était courant : deux tiers des sites web de l'UE commencent à suivre les visiteurs avant toute interaction de consentement. Plus de la moitié n'affichent aucune bannière de consentement. Et lorsque les sites web proposent un bouton de refus, celui-ci ne parvient pas à arrêter le suivi dans 80 % des cas. Ce ne sont pas des cas isolés ou des subtilités techniques. C'est l'état de référence de la conformité du consentement dans l'Union européenne en 2026.
Méthodologie : Comment nous avons mesuré
Avant de plonger dans les résultats, il importe de savoir comment nous avons collecté ces données, car la méthodologie détermine si des chiffres comme ceux-ci sont significatifs ou trompeurs.
La liste des sites web
Notre échantillon provient de la liste Tranco Top 1M, un classement de domaines de qualité recherche produit en combinant les données d'plusieurs sources de classement indépendantes. Tranco a été spécifiquement conçu pour résister à la manipulation et fournir des classements stables pour les études de mesure du web, ce qui en fait la source standard pour la recherche web à grande échelle. Nous avons filtré les domaines associés à 25 des 27 États membres de l'UE sur la base des TLD de code pays et des données d'enregistrement, ce qui a donné 114 748 URL candidates. Parmi celles-ci, 97 304 ont été complétées avec succès -- le reste a échoué en raison d'erreurs DNS, de délais de connexion dépassés ou de sites entièrement inaccessibles.
Ce que fait le scanner
Chaque scan utilise notre moteur de scanner de production : une application Go pilotant un navigateur Chromium headless complet via le Chrome DevTools Protocol. Ce n'est pas un scraper HTML statique ou une consultation de base de données de cookies. Pour chaque site web, le scanner :
1. Lance une instance Chromium propre sans cookies stockés, sans stockage local et sans historique de navigation -- simulant un véritable visiteur pour la première fois.
2. Navigue vers l'URL cible et attend le chargement de la page.
3. Prend un instantané pré-consentement : chaque cookie défini, chaque requête réseau effectuée, chaque domaine tiers contacté -- le tout avant toute interaction de consentement.
4. Tente de détecter la bannière de consentement à l'aide d'une bibliothèque couvrant 45 CMP connus plus des heuristiques génériques.
5. Interagit avec la bannière (accepter ou refuser) et enregistre l'état post-interaction.
6. Pour le test du flux de refus : recharge la page et vérifie si le refus a été respecté ou si les cookies réapparaissent.
Chaque étape produit des preuves horodatées : inventaires complets de cookies, journaux de requêtes réseau et captures d'écran. Lorsque nous disons qu'un site web « active le suivi avant le consentement », nous voulons dire que nous avons observé des requêtes HTTP réelles vers des domaines de suivi connus et des cookies réels définis dans le navigateur -- pas que nous l'avons déduit d'une balise script dans le HTML.
Ce que signifie « pré-consentement » techniquement
C'est le concept critique. Le comportement pré-consentement est tout ce qui se passe entre le moment où la page commence à se charger et le moment où l'utilisateur interagit pour la première fois avec un mécanisme de consentement. En pratique, cette fenêtre est typiquement de 2 à 5 secondes, mais sur de nombreux sites elle s'étend davantage à mesure que la page charge des ressources supplémentaires. Pendant cette fenêtre, le visiteur n'a eu aucune opportunité d'accepter ou de refuser quoi que ce soit. En vertu de l'article 5(3) de la directive ePrivacy (tel qu'interprété par le CJEU dans Planet49, C-673/17), le stockage d'informations sur l'appareil d'un utilisateur ou l'accès à des informations déjà stockées nécessite un consentement préalable -- à l'exception des cookies strictement nécessaires au service demandé par l'utilisateur. Tout ce qui est non essentiel et qui se déclenche pendant cette fenêtre fonctionne, par définition, sans consentement valide.
Constat 1 : Le suivi pré-consentement est la norme, pas l'exception
Le chiffre le plus important de cette étude : 68 % des sites web scannés activent le suivi par des tiers avant que l'utilisateur n'ait donné son consentement. Étroitement lié : 66,6 % définissent des cookies avant le consentement.
Ce ne sont pas les mêmes métriques. Un site web peut contacter un domaine de suivi tiers (déclencher un pixel, charger un script) sans que ce domaine ne parvienne à définir un cookie -- par exemple, si le navigateur bloque les cookies tiers. À l'inverse, un cookie d'analyse first-party peut être défini sans contacter un domaine externe. Les deux comportements sont problématiques, mais ils représentent des mécanismes techniques différents et des expositions juridiques différentes.
L'ampleur de l'activité pré-consentement est considérable :
| Métrique | Valeur |
|---|---|
| Domaines tiers contactés en moyenne avant le consentement | 10,4 |
| Médiane des domaines tiers contactés avant le consentement | 6 |
| Maximum de domaines tiers contactés avant le consentement | 171 |
La médiane de 6 est sans doute plus informative que la moyenne. La moitié de tous les sites scannés contactent au moins six domaines externes avant que l'utilisateur n'ait la moindre opportunité de consentir. Ce ne sont pas des réseaux de diffusion de contenu ou des serveurs de polices (que nous excluons de la classification de suivi). Ce sont des plateformes publicitaires, des services d'analyse et des courtiers en données.
La ventilation de l'activité pré-consentement par catégorie de cookie révèle à quoi sert ce suivi :
| Catégorie de cookie | Sites affectés | % de tous les sites |
|---|---|---|
| Cookies d'analyse définis avant le consentement | 30 239 | 31,1 % |
| Cookies marketing définis avant le consentement | 17 793 | 18,3 % |
| Traceurs pré-consentement actifs (tout type) | 42 904 | 44,1 % |
Près d'un site web européen sur trois définit des cookies d'analyse avant le consentement. Près d'un sur cinq définit des cookies marketing. La position juridique sur ces points est sans ambiguïté : l'EDPB a confirmé à plusieurs reprises que les cookies d'analyse et de marketing nécessitent un consentement en vertu de l'article 5(3) ePrivacy. L'arrêt Planet49 du CJEU a clarifié que le consentement doit être un acte actif et affirmatif -- et il ne peut pas être affirmatif s'il n'a pas encore eu lieu.
L'implication pratique est qu'au moment où un visiteur voit une bannière de cookies et envisage d'accepter ou de refuser, son navigateur a déjà été identifié, sa visite a déjà été enregistrée par des plateformes d'analyse et, dans de nombreux cas, son profil de navigation a déjà été mis à jour par des réseaux publicitaires. Le choix du consentement, lorsqu'il arrive, est partiellement rétroactif -- et un consentement rétroactif n'est pas un consentement du tout.
Constat 2 : L'écart des bannières de consentement
Plus de la moitié des sites web que nous avons scannés -- 53 508 sur 97 304, soit 55 % -- n'affichaient aucune bannière de consentement que notre système de détection pouvait identifier.
Ce chiffre nécessite une interprétation prudente. Tous les sites sans bannière ne violent pas nécessairement la loi. Un site web qui ne définit aucun cookie non essentiel et ne contacte aucun service de suivi tiers peut légitimement fonctionner sans mécanisme de consentement. L'exemption ePrivacy pour les cookies « strictement nécessaires » signifie qu'un site utilisant uniquement des cookies de session pour la connexion ou la fonctionnalité du panier n'a pas d'obligation de consentement pour ces cookies spécifiques.
Mais ce n'est pas ce que nous observons. Parmi les 53 508 sites sans bannière détectable, 18 026 définissent activement des cookies non essentiels et contactent des domaines de suivi tiers. Ces sites n'ont pas de mécanisme de consentement et suivent les visiteurs dès le premier chargement de page. Nous n'avons pas connaissance d'une base juridique valide pour cela au titre du GDPR ou de la directive ePrivacy.
Les sites restants sans bannière se répartissent en plusieurs catégories : des sites qui ne définissent véritablement aucun cookie non essentiel (et n'ont donc peut-être pas besoin de bannière), des sites utilisant des mécanismes de consentement que notre système de détection n'a pas pu identifier, et des sites simplement non fonctionnels ou à contenu minimal. Notre bibliothèque de détection de 45 CMP plus les heuristiques génériques couvrent la grande majorité des solutions de consentement connues, mais les implémentations personnalisées dans des frameworks ou des langues peu courants peuvent être manquées.
Néanmoins, le chiffre de 18 026 est le plancher, pas le plafond, pour les sites sans bannière avec suivi. Ce sont des sites où nous avons des preuves positives à la fois d'activité de suivi et d'absence de bannière.
Constat 3 : Les boutons de refus échouent 80 % du temps
Nous avons consacré un article séparé à ce constat, mais il mérite une couverture substantielle ici car il frappe au cœur du modèle de consentement.
Parmi les 28 891 sites web où nous avons détecté et interagi avec succès avec un bouton de refus, 80,4 % ont continué le suivi après que l'utilisateur a cliqué sur refuser. Seuls 5 650 sites (19,6 %) ont réussi le test du flux de refus -- ce qui signifie que le suivi s'est effectivement arrêté et est resté arrêté.
Les échecs se répartissent en catégories qui se chevauchent :
| Type d'échec | Sites affectés |
|---|---|
| Cookies non essentiels toujours présents après le refus | 10 848 |
| Services de suivi toujours actifs après le refus | 14 547 |
| Réapparition du consentement détectée (cookies reviennent après rechargement) | 1 642 |
| Cookies individuels réapparus | 4 932 |
La réapparition du consentement est un schéma que nous avons identifié au cours de cette recherche. L'utilisateur clique sur refuser, le CMP supprime les cookies, puis lors du chargement de page suivant, ces cookies réapparaissent. Sur 1 642 sites, nous avons observé 4 932 cookies individuels présentant ce comportement. Le mécanisme varie -- scripts tiers qui se relancent indépendamment de l'état du consentement, gestionnaires de balises qui ne propagent pas le refus à tous les services intégrés, en-têtes Set-Cookie côté serveur qui ignorent les décisions de consentement côté client -- mais l'effet est le même. Le bouton de refus devient une pause temporaire, pas un choix permanent.
En vertu de l'article 7(3) du GDPR, le retrait du consentement doit être aussi simple que son octroi, et le responsable du traitement doit agir sur ce retrait. Un bouton de refus qui n'arrête pas réellement le suivi ne satisfait pas à cette exigence, quelle que soit la cause technique.
Constat 4 : Comparaison pays par pays
Le GDPR est un règlement unique, mais la conformité n'est pas uniforme. Le pourcentage de sites web à haut risque varie de près de trois à un entre les États membres de l'UE.
| Pays | % Haut risque | Score de risque moyen |
|---|---|---|
| Hongrie | 58,8 % | 60,1 |
| Tchéquie | 55,1 % | 59,0 |
| Roumanie | 53,9 % | 56,2 |
| Pologne | 53,3 % | 56,1 |
| Grèce | 52,5 % | 54,9 |
| Italie | 44,6 % | 51,8 |
| Espagne | 44,1 % | 50,2 |
| France | 44,1 % | 49,7 |
| Pays-Bas | 43,5 % | 53,1 |
| Belgique | 42,1 % | 47,4 |
| Danemark | 42,1 % | 48,3 |
| Finlande | 40,3 % | 46,4 |
| Suède | 33,4 % | 49,0 |
| Allemagne | 23,7 % | 33,9 |
| Autriche | 20,9 % | 31,2 |
Le schéma est cohérent avec les différences dans l'activité de mise en application. L'Allemagne et l'Autriche -- siège du BfDI, de seize autorités de protection des données régionales et de la DSB respectivement -- figurent parmi les autorités européennes les plus actives ciblant spécifiquement les violations de consentement et de cookies. La DSB a rendu l'une des premières décisions d'application post-Schrems II. Les autorités allemandes régionales ont mené des audits sectoriels de cookies et émis des orientations prescriptives sur ce qui constitue un consentement valide.
À l'autre extrémité, la Hongrie, la Tchéquie, la Roumanie et la Pologne ont des autorités de protection des données typiquement sous-dotées en ressources par rapport à la taille de leurs économies numériques et ont historiquement concentré l'application sur les violations de données et les demandes d'accès plutôt que sur le consentement aux cookies. Ce n'est pas une critique de ces autorités -- elles fonctionnent avec les budgets qui leur sont alloués -- mais c'est une démonstration claire que l'application favorise la conformité. Le même texte juridique, appliqué avec une intensité d'application différente, produit des résultats sensiblement différents.
La France est instructive. La CNIL a été l'un des organismes d'application les plus visibles d'Europe, infligeant des amendes record à de grandes entreprises technologiques. Pourtant, les sites web français se situent à 44,1 % de haut risque, proche de la moyenne européenne. L'explication réside probablement dans la stratégie d'application de la CNIL : les actions à grande visibilité contre les grandes plateformes génèrent des gros titres mais ne changent pas directement le comportement de milliers de petites et moyennes entreprises qui constituent la longue traîne du web. Un changement comportemental large nécessite soit des campagnes d'application sectorielles (comme l'Allemagne l'a poursuivi), soit une augmentation générale du risque d'application perçu.
Nous couvrons les données par pays plus en détail dans notre article de comparaison par pays.
Constat 5 : Parts de marché des CMP et ce qu'elles nous apprennent
Parmi les 43 796 sites web (45 %) qui présentaient une bannière de consentement détectable, nous avons identifié 45 plateformes de gestion du consentement distinctes. Le marché est concentré au sommet mais fragmenté dans la longue traîne.
| CMP | Sites | Part de marché |
|---|---|---|
| Cookiebot | 6 481 | 14,8 % |
| OneTrust | 3 101 | 7,1 % |
| Usercentrics | 1 820 | 4,2 % |
| Complianz | 1 590 | 3,6 % |
| Didomi | 1 472 | 3,4 % |
| iubenda | 1 250 | 2,9 % |
| Générique / non identifié | 15 179 | 34,7 % |
La plus grande catégorie unique est « Générique / non identifié » à 34,7 %. Ce sont des sites utilisant des solutions de consentement qui ne correspondaient à aucune des 45 signatures CMP de notre bibliothèque de détection. Ils incluent des barres de cookies personnalisées, des plugins WordPress peu reconnus, des fournisseurs CMP régionaux et des implémentations si minimales qu'elles consistent en un seul div masquable avec un bouton « Compris ». La qualité de conformité de cette catégorie est, en moyenne, significativement inférieure à celle des CMP établis, bien que nous n'ayons pas encore publié les taux de conformité par CMP.
Les données d'interaction avec les bannières révèlent une autre préoccupation. Parmi les 43 796 bannières détectées :
| Caractéristique de la bannière | Prévalence |
|---|---|
| Option de refus dans la première couche | 56,3 % |
| Aucune option de refus visible | 19,6 % |
| Incertain (interface ambiguë) | 24,1 % |
Près d'une bannière de consentement sur cinq n'offre aucun moyen visible de refuser les cookies non essentiels sans naviguer vers une deuxième couche de paramètres. Les lignes directrices 05/2020 de l'EDPB sur le consentement stipulent que refuser le consentement ne devrait pas nécessiter plus d'efforts que le donner. Un design qui nécessite des clics supplémentaires pour refuser mais offre une acceptation en un clic est, selon ces lignes directrices, un dark pattern qui compromet la validité du consentement.
Nous avons également détecté des implémentations spécifiques de dark patterns : 3 454 sites (7,9 % de ceux avec des bannières) plaçaient l'option de refus uniquement dans une deuxième couche, 84 sites utilisaient des murs de cookies (bloquant le contenu jusqu'au consentement), et 137 sites pratiquaient l'évasion de consentement par bot -- cachant délibérément la bannière aux scanners automatisés tout en la montrant aux visiteurs humains.
Constat 6 : Abus de la durée de vie des cookies
La CNIL recommande une durée de vie maximale des cookies de 13 mois — une norme que plusieurs autres autorités nationales de protection des données ont adoptée ou référencée. Ce n'est pas une limite juridique stricte dans le texte du GDPR, mais cela reflète une interprétation du principe de limitation de la conservation (article 5(1)(e)) appliqué aux identifiants de suivi.
Notre scan a trouvé 26 250 sites web (27 %) avec au moins un cookie dépassant le seuil de 13 mois, comprenant 58 127 cookies individuels au total.
Le contrevenant le plus courant est le cookie `_ga` utilisé par Google Analytics, qui est défini avec une durée de vie par défaut de deux ans. Cela signifie que même les sites avec des mécanismes de consentement par ailleurs fonctionnels sont souvent en violation simplement parce qu'ils n'ont pas modifié la durée d'expiration par défaut du cookie GA. C'est un problème de configuration, pas une limitation technique -- Google Analytics permet des durées de vie de cookies personnalisées -- mais la valeur par défaut n'est pas conforme aux recommandations de l'EDPB, et la plupart des opérateurs de sites ne la changent jamais.
Les cookies à longue durée de vie créent un risque de confidentialité cumulatif. Un cookie de deux ans n'est pas juste « un peu plus long que 13 mois ». Cela signifie qu'un utilisateur qui visite un site une fois, consent et ne revient jamais peut toujours être identifié et suivi par les analyses de ce site pendant deux ans. Si l'utilisateur retire ultérieurement son consentement ou si la base juridique change, le cookie persiste comme identifiant fantôme jusqu'à son expiration.
Résultats supplémentaires
Plusieurs autres résultats de l'étude méritent une brève mention :
Empreinte numérique. Nous avons détecté des signaux d'empreinte de navigateur (empreinte canvas, empreinte WebGL, empreinte de contexte audio) sur 4 114 sites web (4,2 %). L'empreinte numérique est particulièrement préoccupante car elle ne peut pas être effacée en supprimant les cookies -- elle utilise les caractéristiques inhérentes du navigateur et de l'appareil comme identifiants. La directive ePrivacy traite l'empreinte numérique comme équivalente au suivi basé sur les cookies aux fins du consentement. Décalages de Google Consent Mode. Parmi les sites implémentant Google Consent Mode, 28,4 % l'utilisaient, tandis que 13,7 % des sites utilisant les services Google ne montraient aucune implémentation de Consent Mode. Plus préoccupant, 11,9 % montraient des décalages -- l'état de consentement signalé à l'API de Google ne correspondait pas au comportement de suivi réel observé dans le navigateur. Cela signifie que le CMP dit à Google que le consentement a été refusé, mais les requêtes de suivi continuent de se déclencher. Accessibilité. Les bannières de consentement sont des éléments d'interface utilisateur légalement requis, et si elles sont inaccessibles, une partie des utilisateurs ne peut pas exercer ses droits. Parmi les bannières détectées : 25 % avaient des cibles tactiles inférieures aux tailles minimales recommandées, 15,2 % avaient du texte à faible contraste et 3,4 % n'étaient pas accessibles au clavier. Une bannière qui ne peut pas être utilisée au clavier refuse effectivement le choix de consentement aux utilisateurs qui dépendent de la technologie d'assistance -- une violation qui chevauche à la fois le GDPR et les réglementations sur l'accessibilité.Distribution globale du risque
En rassemblant le tout, la classification de risque agrégée des 97 304 sites scannés :
| Niveau de risque | Pourcentage |
|---|---|
| Risque élevé | 41,0 % |
| Risque faible | 27,6 % |
| Risque moyen | 16,8 % |
| Non concluant | 14,9 % |
Le taux de 14,9 % non concluant reflète les sites où le scanner n'a pas pu atteindre une détermination fiable -- typiquement en raison de la détection de bots, d'architectures d'applications monopage complexes ou de comportements dépendants du temps. Nous les rapportons honnêtement plutôt que de les forcer dans une classification réussite/échec, car la fausse confiance dans les données de conformité est pire que l'incertitude admise.
Ce que cela signifie pour les propriétaires de sites web
Si vous exploitez un site web desservant des visiteurs de l'UE, quatre actions répondent aux constats les plus courants et les plus risqués :
1. Auditez ce qui se charge avant le consentement. Ouvrez votre site dans une fenêtre de navigation privée, ouvrez les outils de développement et observez les onglets Réseau et Application avant d'interagir avec une bannière. Si vous voyez des requêtes vers des domaines d'analyse ou de publicité, ou des cookies de ces services apparaître, votre comportement pré-consentement n'est pas conforme. La solution est typiquement la configuration du gestionnaire de balises : assurez-vous que les scripts non essentiels sont bloqués jusqu'à ce qu'un consentement affirmatif soit enregistré. 2. Testez votre flux de refus de bout en bout. Cliquez sur refuser sur votre propre bannière, puis vérifiez si les cookies non essentiels ont disparu. Puis rechargez la page et vérifiez à nouveau. Si les cookies réapparaissent, vous avez un problème de réapparition du consentement qui nécessite d'investiguer quels scripts contournent votre mécanisme de consentement. Nos données montrent que cela affecte un nombre étonnamment important de sites, même ceux utilisant des CMP réputés. 3. Vérifiez les durées de vie de vos cookies. Si vous utilisez Google Analytics avec les paramètres par défaut, votre cookie `_ga` a une durée de vie de deux ans. Changez-la à 13 mois ou moins. Examinez tous les cookies que votre site définit et assurez-vous qu'aucun ne dépasse la durée maximale recommandée de 13 mois. C'est un correctif de configuration rapide qui élimine un constat de conformité courant. 4. Assurez-vous que votre bannière est accessible et offre un refus en première couche. Si votre option de refus nécessite de naviguer vers une deuxième page de paramètres tandis que « Tout accepter » est en un clic, votre mécanisme de consentement peut ne pas répondre aux lignes directrices de l'EDPB. Vérifiez la bannière pour l'accessibilité au clavier, la taille des cibles tactiles et les ratios de contraste.Notes méthodologiques et limitations honnêtes
Nous voulons être transparents sur ce que cette étude peut et ne peut pas vous dire.
Ce qu'elle mesure bien : Le comportement pré-consentement, les inventaires de cookies, les requêtes réseau vers des domaines de suivi connus, la présence et la structure des bannières, les résultats du flux de refus et les durées de vie des cookies. Ce sont des mesures objectives, basées sur des preuves, enregistrées à partir du comportement réel du navigateur. Ce qu'elle mesure imparfaitement : La détection CMP n'est pas exhaustive à 100 %. Les sites utilisant des solutions de consentement absentes de notre bibliothèque de 45 CMP peuvent être mal catégorisés comme n'ayant pas de bannière. Les bannières dépendant du GeoIP peuvent s'afficher différemment selon l'emplacement réseau du scanner. Les applications monopage qui gèrent le consentement dans l'état côté client sans modifications DOM sont plus difficiles à évaluer. Certains sites détectent les navigateurs automatisés et modifient leur comportement en conséquence (nous en avons trouvé 137 le faisant délibérément). Ce qu'elle ne mesure pas : Les revendications d'intérêt légitime (qui nécessitent une évaluation juridique plutôt que technique), la qualité des politiques de confidentialité, si les enregistrements de consentement sont correctement stockés ou si les activités de traitement des données sont proportionnées. Ce sont des dimensions de conformité importantes qui ne sont pas observables à partir du seul comportement du navigateur.Le taux de 14,9 % non concluant est notre soupape de sécurité pour les sites où nous n'avons pas pu atteindre une détermination technique fiable. Nous préférons l'incertitude honnête à la fausse précision.
Vérifiez votre propre site web. Lancez un scan gratuit sur gdprmonitor.eu et voyez exactement ce qui se passe avant, pendant et après le consentement sur votre site. Le scanner produit les mêmes preuves que celles présentées dans cette étude -- instantanés pré-consentement, inventaires de cookies, résultats du flux de refus et classification des risques -- pour toute URL que vous soumettez.
Vérifiez votre site web
Lancez un scan de conformité RGPD gratuit — sans inscription.
Scanner votre site gratuitement