Les bandeaux de consentement aux cookies sont devenus l'un des terrains d'affrontement principaux entre les autorités de protection des données et les grandes plateformes numériques. En France, la CNIL a infligé en 2021 et 2022 plus de 245 millions d'euros d'amendes cumulées à Google, Facebook et Amazon pour des bandeaux non conformes. Ces décisions ont établi une jurisprudence claire : les pratiques de conception délibérément trompeuses — les dark patterns — dans les interfaces de consentement constituent une violation caractérisée du RGPD.

Pourtant, l'analyse des sites web français en 2025 révèle que ces pratiques restent largement répandues, y compris chez des entreprises de taille intermédiaire qui n'ont pas les ressources juridiques pour suivre l'évolution rapide des exigences réglementaires. Ce guide recense les six dark patterns les plus fréquents, les textes qu'ils violent et les moyens de les détecter avant une inspection CNIL.

Qu'est-ce qu'un dark pattern dans le consentement aux cookies ?

Le terme dark pattern (ou « interface trompeuse ») désigne une technique de conception d'interface utilisateur qui manipule ou trompe l'utilisateur pour l'amener à prendre une décision qu'il n'aurait pas prise autrement. Dans le contexte du consentement aux cookies, ces techniques visent à maximiser les taux d'acceptation des traceurs en contournant ou en dégradant la qualité du consentement.

En mars 2022, le Comité Européen de la Protection des Données (CEPD / EDPB) a publié les lignes directrices 3/2022 sur les dark patterns dans les plateformes de réseaux sociaux, qui constituent la référence doctrinale principale pour l'ensemble des interfaces numériques. L'EDPB y identifie six catégories de dark patterns : « overloading » (surcharge informationnelle), « skipping » (omission délibérée), « stirring » (manipulation émotionnelle), « obstructing » (obstruction), « fickle » (interface incohérente) et « left in the dark » (opacité).

Au niveau français, la recommandation CNIL du 17 septembre 2020 (délibération n° 2020-091) a posé les bases des exigences applicables aux bandeaux cookies. Cette recommandation a été précisée et renforcée par les délibérations de sanction successives de 2021 à 2024. L'article 7 du RGPD exige un consentement libre, spécifique, éclairé et univoque — chacun de ces quatre adjectifs correspondant à des exigences concrètes que les dark patterns violent systématiquement.

Dark pattern #1 : Cases pré-cochées

Les cases pré-cochées sont l'une des violations les plus anciennes et les mieux documentées du droit du consentement numérique. Elles consistent à présenter à l'utilisateur un ou plusieurs cases déjà activées par défaut pour un ou plusieurs types de cookies, de sorte que la simple validation du formulaire (bouton « Continuer » ou « Fermer ») entraîne l'activation des traceurs correspondants.

Fondement juridique : L'article 7§2 du RGPD exige que, lorsque le consentement est donné dans le cadre d'une déclaration écrite, la demande de consentement soit présentée sous une forme « clairement distincte des autres matières ». Plus directement, la définition du consentement à l'art. 4§11 RGPD exige une manifestation de volonté « libre, spécifique, éclairé et univoque » exprimée par un « acte positif clair ». Une case pré-cochée ne constitue pas un acte positif.

Arrêt Planet49 (CJUE, C-673/17, 1er octobre 2019) : La Cour de Justice de l'Union Européenne a tranché définitivement la question en confirmant qu'une case pré-cochée ne satisfait pas aux exigences de consentement de la directive ePrivacy et du RGPD. La Cour a précisé qu'il n'y a pas de différence entre cookies de session et cookies persistants à cet égard — les deux nécessitent un consentement actif et non présumé.

La CNIL a sanctionné plusieurs entreprises françaises sur ce fondement dans ses délibérations de mise en demeure de 2022 et 2023. La détection automatisée de ce dark pattern repose sur l'analyse de l'état des éléments de formulaire au chargement initial de la page (attribut checked sur les inputs de type checkbox).

Dark pattern #2 : Bouton « Refuser » absent ou caché

L'exigence de symétrie entre l'acceptation et le refus est aujourd'hui l'un des piliers les mieux établis du droit des cookies en France. La recommandation CNIL de 2020 avait déjà posé ce principe, mais c'est la série de délibérations de sanction de 2021 et 2022 qui l'a rendu incontournable.

Délibération SAN-2021-023 : La CNIL a sanctionné Google LLC et Google Ireland Limited à hauteur de 150 millions d'euros, et Facebook Ireland Limited à 60 millions d'euros, notamment pour l'absence d'un mécanisme de refus aussi simple que le mécanisme d'acceptation. Sur les sites concernés, le bouton « Tout accepter » était affiché en premier plan, tandis que le refus nécessitait plusieurs clics à travers des menus imbriqués. La CNIL a qualifié cette asymétrie de violation du principe de liberté du consentement.

Délibération SAN-2022-021 : Amazon a été sanctionné à hauteur de 35 millions d'euros pour un bandeau cookies présentant le bouton « Accepter les cookies » en position dominante, sans bouton de refus équivalent accessible au premier niveau de l'interface.

En pratique, les formes les plus courantes de ce dark pattern sur les sites français sont :

• Absence totale d'un bouton « Refuser » ou « Tout refuser » au premier niveau du bandeau (le refus est accessible uniquement via un lien textuel discret)
• Bouton « Refuser » placé derrière un lien « Paramétrer » qui ouvre un panneau de gestion des préférences nécessitant de décocher manuellement chaque catégorie
• Bouton « Refuser » présent mais de taille significativement inférieure au bouton « Accepter »
• Absence de bouton « Refuser » sur mobile, avec renvoi vers un menu accessible uniquement sur desktop

Dark pattern #3 : Cookie wall (accès conditionné au consentement)

Le cookie wall est une pratique consistant à conditionner l'accès au contenu d'un site web à l'acceptation des cookies. L'utilisateur se voit présenter un choix binaire : accepter tous les traceurs ou ne pas accéder au site. Cette pratique met directement en cause le caractère « libre » du consentement.

Le considérant 42 du RGPD est explicite : le consentement ne peut pas être considéré comme « librement donné » lorsque « l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ». Or, les cookies analytiques et publicitaires ne sont pas nécessaires à la consultation d'un article de blog ou d'une fiche produit.

La CNIL a précisé sa doctrine sur les cookie walls dans ses lignes directrices modifiées (délibération n° 2020-091) : « Le fait de subordonner l'accès à un service ou à une fonctionnalité à l'acceptation de cookies ne saurait constituer un consentement libre et ne peut donc constituer une base légale valide. »

La jurisprudence récente de la CJUE sur le modèle « consentir ou payer » (pay-or-consent) introduit une nuance importante : la Cour a admis dans son arrêt IAB Europe (C-604/22, 7 mars 2024) qu'une alternative payante peut constituer un choix réel — à condition que le prix soit raisonnable et que l'alternative gratuite avec refus des cookies soit effectivement proposée. Cette jurisprudence ne vide pas le principe pour autant : un cookie wall pur, sans alternative payante ni option de refus, reste non conforme.

Dark pattern #4 : Formulations trompeuses

Les formulations trompeuses constituent l'une des catégories les plus subtiles de dark patterns dans les bandeaux cookies. Elles reposent sur l'utilisation d'un langage ambigu ou induisant en erreur pour obtenir un consentement que l'utilisateur n'aurait pas donné s'il avait compris ce à quoi il consentait réellement.

L'EDPB, dans ses lignes directrices 3/2022, identifie sous la catégorie « disguising » (déguisement) plusieurs formes de ce dark pattern :

• Boutons « Continuer » ou « Fermer » : Un bouton libellé « Continuer ma navigation » ou « Fermer » qui, sans que ce soit explicitement indiqué, déclenche l'activation de l'ensemble des cookies. L'utilisateur pense simplement fermer le bandeau alors qu'il donne un consentement à l'ensemble des traitements.
• « J'accepte la politique de confidentialité » : Un unique bouton qui regroupe l'acceptation de la politique de confidentialité et l'acceptation de tous les cookies, sans distinguer ce qui relève de l'information contractuelle et ce qui relève du consentement aux traceurs.
• Formulations positives sur le refus : Des libellés comme « Non, je ne veux pas profiter des offres personnalisées » qui, par leur formulation négative complexe, découragent psychologiquement le refus (catégorie « stirring » de l'EDPB).
• Vocabulaire technique incompréhensible : La description des finalités des traceurs dans un langage trop technique ou trop vague pour que l'utilisateur moyen comprenne réellement à quoi il consent — violation directe du critère d'information « éclairée » de l'art. 7 RGPD.

La CNIL précise dans sa recommandation que les finalités doivent être décrites en « langage clair et simple », compréhensible par un utilisateur non expert. Les descriptions génériques du type « amélioration de l'expérience utilisateur » sans précision des traitements sous-jacents sont considérées comme insuffisamment transparentes.

Dark pattern #5 : Manipulation visuelle de l'interface

La manipulation visuelle repose sur des choix graphiques délibérés visant à orienter le comportement de l'utilisateur vers l'acceptation. Ces techniques s'appuient sur les biais cognitifs documentés en psychologie comportementale pour maximiser les taux de consentement sans recourir à la contrainte explicite.

L'EDPB qualifie ces pratiques d'« interface interference » (interférence d'interface) dans ses lignes directrices 3/2022. Les formes les plus fréquentes relevées sur les sites français comprennent :

• Contraste de couleur asymétrique : Bouton « Accepter » affiché en couleur vive (vert, bleu, orange) dans un design attirant le regard, bouton « Refuser » affiché en gris pâle ou en couleur de fond peu contrastée. Le différentiel de visibilité est mesuré par le ratio de contraste WCAG — une pratique non conforme peut également violer les obligations d'accessibilité.
• Taille de police différenciée : Texte du bouton « Accepter » plus grand ou plus gras que le texte du bouton « Refuser », créant une hiérarchie visuelle artificielle.
• Positionnement stratégique : Bouton « Accepter » positionné en première position (haut gauche selon les conventions de lecture occidentales), bouton « Refuser » relégué en bas ou en bas à droite.
• Nudging émotionnel : Utilisation d'icônes positives (cœur, étoile, pouce levé) associées au bouton « Accepter » et d'icônes neutres ou absentes pour le « Refuser » — technique de conditionnement émotionnel documentée par l'EDPB.
• Urgence artificielle : Compteurs décomptant le temps avant expiration de l'offre, ou formulations suggérant que le refus entraîne la dégradation immédiate de l'expérience — sans que cette dégradation soit réelle ou proportionnée.

La CNIL n'a pas encore prononcé de sanction spécifiquement fondée sur la seule manipulation visuelle, mais les délibérations SAN-2021-023 et SAN-2022-021 ont explicitement mentionné l'asymétrie visuelle comme un facteur aggravant dans l'appréciation de la non-conformité. L'inspection visuelle systématique des bandeaux fait désormais partie des procédures standard de contrôle en ligne de la CNIL.

Dark pattern #6 : Consentement groupé (bundling)

Le consentement groupé — ou bundling — consiste à regrouper sous une seule case à cocher ou un seul bouton le consentement à plusieurs finalités distinctes de traitement, sans permettre à l'utilisateur d'accepter certaines finalités et d'en refuser d'autres.

Fondement juridique : L'article 7§4 du RGPD dispose que, pour apprécier si le consentement est donné librement, « il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ». Plus directement, l'exigence de consentement « spécifique » à l'art. 4§11 RGPD impose que le consentement soit donné séparément pour chaque finalité distincte.

En pratique, ce dark pattern prend plusieurs formes :

• Case unique pour analytics + marketing + profilage : Un seul bouton « Accepter » ou une seule case « J'accepte l'utilisation des cookies » qui recouvre simultanément des cookies de mesure d'audience, des cookies publicitaires et des cookies de personnalisation du contenu. L'utilisateur ne peut pas accepter la mesure d'audience tout en refusant le profilage publicitaire.
• Finalités mélangées avec des nécessités contractuelles : Le consentement aux cookies optionnels est présenté comme un prérequis à l'utilisation d'une fonctionnalité qui pourrait techniquement fonctionner sans ces traceurs — par exemple, conditionner l'accès à un espace personnel à l'acceptation de cookies publicitaires.
• Granularité insuffisante dans le panneau de préférences : Même lorsqu'un panneau « Paramétrer » est proposé, les catégories sont regroupées de façon trop large (ex. : « Partenaires » regroupant 200 prestataires) ou les cases sont interdépendantes de façon artificielle.

La CNIL a rappelé dans sa recommandation que « le consentement doit être recueilli séparément pour chaque finalité ». Les bannières proposant uniquement deux niveaux (tout accepter / tout refuser) sans possibilité de granularité par catégorie sont en principe non conformes pour les organisations qui traitent des données à des fins multiples et distinctes.

Détection automatique des dark patterns

La détection manuelle des dark patterns dans les bandeaux cookies est fastidieuse et incomplète : elle nécessite une inspection visuelle de l'interface sur différents appareils, une analyse du code HTML/CSS pour identifier les asymétries de contraste et de taille, et une analyse réseau pour vérifier les traceurs effectivement déposés avant et après consentement.

L'audit automatisé systématise ces vérifications. Juralex Audit détecte automatiquement les six types de dark patterns décrits dans ce guide à travers une combinaison d'analyse statique (HTML/CSS) et d'analyse dynamique (comportement du bandeau au chargement, traceurs réseau) :

• Présence ou absence d'un bouton « Refuser » au premier niveau de l'interface, avec évaluation de son accessibilité (texte du bouton, positionnement dans le DOM)
• Détection des traceurs tiers déposés avant tout clic sur le bandeau — violation directe du principe de consentement préalable de l'art. 82 de la loi Informatique et Libertés
• Identification des cookies dont l'état initial est actif (cases pré-cochées), par analyse des attributs d'état du DOM au chargement de la page
• Vérification de la présence d'un mécanisme de retrait du consentement (lien « Gérer les cookies » ou équivalent accessible depuis toutes les pages)
• Analyse de la cohérence entre les cookies déclarés dans la politique de confidentialité et les traceurs effectivement déposés (détection de cookies non déclarés)
• Génération d'un rapport PDF horodaté avec captures d'écran et preuves techniques, directement utilisable en cas d'inspection CNIL comme élément de l'accountability de l'art. 5§2 RGPD

La programmation d'audits automatiques réguliers — idéalement mensuels ou après chaque mise à jour significative du site — permet de détecter immédiatement toute régression introduite par une modification du CMP (Consent Management Platform), un changement de prestataire d'analytics ou l'ajout d'un nouveau pixel publicitaire. Elle constitue également un signal de bonne foi documenté en cas de contrôle CNIL.