Le paradoxe du consentement aux cookies : comment les bandeaux de confidentialité sont devenus le plus grand Catch-22 du web

Le patron l’a dit sans détour : les bandeaux de cookies sont défaillants, et la seule façon de les faire disparaître est de leur donner exactement ce qu’ils veulent. C’est un Catch-22 si parfaitement conçu qu’il ferait pleurer Joseph Heller.

Voici la situation. La législation européenne sur la protection de la vie privée impose aux sites web d’obtenir votre consentement avant de vous pister avec des cookies. Ainsi, chaque site de l’UE vous accueille désormais avec une fenêtre contextuelle demandant votre accord. Cela semble raisonnable. Sauf que le système a été si complètement corrompu par des artifices de conception que le « consentement » est devenu une fiction polie. Le bouton « Accepter » est grand, vert et engageant. L’option de refus, si elle existe, est enterrée trois clics plus loin dans un sous-menu de la couleur du béton mouillé.

Résultat : le mécanisme conçu pour protéger votre vie privée est devenu l’outil le plus efficace pour la détruire.

Les chiffres derrière l’arnaque

L’association de défense de la vie privée noyb, dirigée par l’avocat autrichien Max Schrems, documente ce phénomène depuis des années. Ses audits ont révélé que 81 % des sites web ne proposaient pas de bouton de refus sur la page initiale. Soixante-treize pour cent utilisaient des couleurs et des contrastes trompeurs pour pousser les utilisateurs à accepter. Quatre-vingt-dix pour cent ne proposaient aucun moyen simple de retirer son consentement une fois accordé.

L’écart entre ce que les gens souhaitent et ce qu’ils font est saisissant. Des données sectorielles, citées par Schrems lui-même, montrent que seulement 3 % des utilisateurs souhaitent réellement accepter les cookies de suivi. Pourtant, plus de 90 % finissent par cliquer sur « Accepter », car l’alternative est un labyrinthe de cases à cocher, de sous-menus et d’un langage délibérément confus.

Lorsque des chercheurs offrent aux utilisateurs un choix véritablement équilibré, le tableau s’inverse complètement. Les études montrent régulièrement que 50 à 70 % des utilisateurs refusent les cookies lorsque le bouton de refus est aussi visible que le bouton d’acceptation. Cachez-le, et les refus tombent sous les 10 %. Le « consentement » ne reflète pas une préférence. Il est le produit d’une conception d’interface.

Les chercheurs l’ont mesuré aussi

Une étude de référence menée en 2020 par des chercheurs du MIT, de l’UCL et de l’université d’Aarhus a analysé les interfaces des cinq plateformes de gestion du consentement les plus répandues sur les 10 000 premiers sites britanniques. Elle a révélé que seulement 11,8 % d’entre eux respectaient même les exigences légales minimales établies selon le droit européen. Supprimer le bouton de refus de la première page augmentait les taux de consentement de 22 à 23 points de pourcentage. Ajouter des contrôles plus granulaires les réduisait de 8 à 20 points.

En d’autres termes, moins on donne de contrôle aux utilisateurs, plus ils « acceptent ». Plus l’interface est honnête, plus ils disent non. Ce n’est pas du consentement. C’est de la capitulation.

Une autre étude, publiée dans le cadre de l’IEEE Security & Privacy en 2020, est allée plus loin. Des chercheurs ont testé 560 sites web et ont trouvé au moins une violation légale dans 54 % d’entre eux. Le constat le plus accablant : 27 sites enregistraient un signal de consentement positif même après que l’utilisateur avait explicitement refusé. Vous aviez cliqué sur « Non », et le système avait enregistré « Oui ».

Une étude de 2019 menée par des chercheurs de l’université de la Ruhr à Bochum, présentée à la conférence CCS, a confirmé que les techniques de manipulation dans les bandeaux de cookies ont un « effet important » sur les choix des utilisateurs. « Des décisions de mise en œuvre apparemment mineures », écrivaient-ils, « peuvent avoir un impact substantiel sur la manière dont les utilisateurs interagissent avec les avis de consentement, voire sur le fait qu’ils le fassent. »

C’est encore pire : les bandeaux ne fonctionnent même pas

C’est là que le Catch-22 prend une tournure encore plus sombre. Même si vous naviguez dans le labyrinthe et refusez réellement les cookies, il y a de bonnes chances que le site vous piste quand même.

Une vaste analyse publiée en 2025, portant sur plus d’un million de sites web, a révélé que 43 % d’entre eux installaient des cookies de suivi sans consentement valide, et 63 % utilisaient le pixel tracking sans consentement. Google à lui seul représentait 47,3 % des violations liées au pixel tracking.

Et si vous acceptez les cookies, puis revenez plus tard pour révoquer votre consentement ? 57,5 % des sites web ne suppriment pas les cookies après révocation. Votre retrait de consentement n’a aucun effet technique.

L’autorité française de protection des données, la CNIL, a trouvé un exemple frappant dans l’affaire Condé Nast. Les utilisateurs du site Vanity Fair qui avaient pris la peine de refuser les cookies ont eu la mauvaise surprise de constater que le site envoyait de « faux signaux de consentement » à 375 entreprises de suivi. CDiscount, un autre contrevenant, envoyait de faux signaux à 431 traceurs par utilisateur. Vous aviez dit non. Le site avait dit oui en votre nom.

Le coût de ce théâtre

Cette mise en scène du consentement n’est pas seulement frustrante. Elle est coûteuse. Une estimation du chercheur en droit français, le Dr Thiébaut Devergranne, a calculé que les Européens consacrent collectivement 575 millions d’heures par an à interagir avec des bandeaux de cookies. Sur la base d’un salaire horaire moyen de 25 euros, cela représente 14,375 milliards d’euros de perte de productivité, soit environ 0,1 % du PIB de l’UE. L’équivalent de 287 500 employés à temps plein passant toute leur vie professionnelle à cliquer sur des fenêtres contextuelles.

Et pour quoi ? La fatigue du consentementPhénomène où la répétition des demandes de consentement pousse les utilisateurs à les accepter automatiquement sans les lire, vidant de son sens le consentement éclairé. ainsi créée pousse les utilisateurs à tout accepter machinalement, ce qui est exactement l’opposé d’un consentement éclairéUne exigence éthique et légale en recherche selon laquelle les participants doivent être pleinement informés sur la nature, les risques, les avantages et les procédures d'une étude, et doivent accepter volontairement de participer sans coercition ni déformation. Un principe clé de l'éthique de la recherche.. Le système se détruit lui-même.

Les régulateurs essaient. Plus ou moins.

Les contrôles se sont intensifiés. En septembre 2025, la CNIL a infligé à Google une amende de 325 millions d’euros et à Shein une amende de 150 millions d’euros pour des violations liées aux cookies, les amendes les plus importantes jamais prononcées dans ce domaine. La CNIL a expressément indiqué que les alternatives doivent être « présentées de manière équilibrée, sans inciter [les utilisateurs] à choisir une option plutôt qu’une autre ».

Après que noyb a adressé des projets de plaintes à plus de 500 entreprises en mai 2021, 42 % de l’ensemble des violations ont été corrigées dans les 30 jours. Mais 82 % des entreprises ne se sont pas pleinement conformées, ce qui a conduit noyb à déposer 422 plaintes formelles au titre du RGPD en août 2021. Le principal point de résistance : rendre le retrait du consentement aussi simple que son octroi. Seulement 18 % des sites ont ajouté un mécanisme de retrait approprié.

Une étude comparative de 2025 portant sur 254 148 sites web dans 31 pays, présentée à CHI ’25, a conclu que seulement 15 % des bandeaux de cookies sont minimalement conformes. Les chercheurs l’ont dit sans détour : « Il n’existe guère de preuves que les recommandations et les amendes des régulateurs aient eu un impact sur les taux de conformité. »

La solution qui pourrait arriver

Le règlement européen « Digital Omnibus », proposé fin 2025, adopte une nouvelle approche. Il imposerait un bouton de refus en un seul clic, une période de carence de six mois avant que les sites ne puissent re-solliciter les utilisateurs ayant refusé, et obligerait les navigateurs à offrir des signaux de consentement lisibles par machine, permettant ainsi aux utilisateurs de définir leurs préférences une seule fois, applicables partout.

Sur le papier, cela s’attaque au problème de fond. En pratique, l’obligation relative aux signaux des navigateurs n’entrera pas en vigueur avant 48 mois après l’entrée en vigueur du règlement. Et il prévoit des exemptions pour les prestataires de services médias, ce qui signifie concrètement que les sites les plus dépendants des publicités basées sur le suivi bénéficient d’un traitement de faveur.

Entre-temps, la pratique du « payer ou consentir », où des sites facturent les utilisateurs qui refusent le suivi, a déjà été testée et condamnée. Un tribunal autrichien a déclaré cette pratique illégale lorsqu’elle était utilisée par le journal DerStandard, confirmant que le consentement obtenu sous pression financière n’est pas librement donné.

Le Catch-22, formulé clairement

La loi dit que vous devez consentir à être pisté. Le site dit que la seule façon de l’utiliser confortablement est de consentir. Si vous refusez, vous obtenez une expérience dégradée, un écran de sollicitation à chaque visite, ou, dans certains cas, un accès payant. Si vous acceptez, vous avez transmis exactement les données que la loi était censée protéger. Si vous parvenez à refuser et que le site vous piste quand même, il n’existe aucun mécanisme réaliste pour le découvrir ou le contester.

Comme l’a dit Max Schrems : « Ils rendent souvent délibérément les paramètres de confidentialité cauchemardesques, mais rejettent en même temps la faute sur le RGPD. »

Le RGPD n’a pas créé les bandeaux de cookies. C’est la directive ePrivacy de 2002 qui l’a fait. Le RGPD était censé résoudre le problème en exigeant un consentement véritable, éclairé et librement donné. À la place, une industrie de la conformité pesant des milliards est apparue pour fabriquer l’apparence du consentement sans en avoir la substance. Les plateformes de gestion du consentement contrôlent désormais 67 % de toutes les interfaces de consentement, et trois entreprises détiennent 37 % de ce marché.

L’ironie est totale : une réglementation conçue pour donner aux utilisateurs le contrôle de leurs données a engendré une industrie dédiée à s’assurer qu’ils ne l’exercent jamais réellement.

Le patron a signalé ce sujet, et à juste titre : les bandeaux de consentement aux cookies sont un exemple parfait d’échec réglementaire à l’intersection du droit, de la conception UX et de l’infrastructure adtech. Voici le tableau technique complet.

La pile juridique

Les exigences en matière de consentement aux cookies ne découlent pas du RGPD (2018) mais de la directive ePrivacy 2002/58/CE, article 5Clause de défense collective de l'OTAN dans le Traité de l'Atlantique Nord. Stipule qu'une attaque armée contre un État membre est considérée comme une attaque contre tous, déclenchant une réponse militaire collective.(3), qui impose un consentement éclairéUne exigence éthique et légale en recherche selon laquelle les participants doivent être pleinement informés sur la nature, les risques, les avantages et les procédures d'une étude, et doivent accepter volontairement de participer sans coercition ni déformation. Un principe clé de l'éthique de la recherche. avant de stocker ou d’accéder à des données sur l’appareil d’un utilisateur. Le RGPD a superposé des normes de consentement plus strictes : le consentement doit être libre, spécifique, éclairé et non ambigu. Le silence, les cases pré-cochées et l’inactivité ne sont pas considérés comme valides.

Le remplacement prévu, le règlement ePrivacy, a été formellement retiré par la Commission européenne en février 2025 après des années de blocage. Les règles sur les cookies sont désormais intégrées au RGPD via le nouvel article 88a de la proposition « Digital Omnibus ».

La couche des plateformes de gestion du consentement (CMP)

La plupart des bandeaux de cookies ne sont pas construits par les sites eux-mêmes. Ils sont fournis par des plateformes de gestion du consentement tierces opérant dans le cadre du Transparency and Consent Framework (TCF) de l’IAB Europe. Une étude de 2025 portant sur 254 148 sites web dans 31 pays a révélé que 67 % des interfaces de consentement proviennent de CMP, avec trois organisations (Usercentrics, CookieYes, OneTrust) détenant 37 % du marché.

Cela compte car les CMP sont des intermédiaires à l’influence disproportionnée sur la conformité. La même étude a révélé que 18 % de la variance des taux de conformité s’explique par le choix de la CMP et non par les propres décisions du site. Les chercheurs ont conclu : « Pris dans le narratif selon lequel de meilleures interfaces sont la solution, nous risquons de perdre de vue le fait que la privation de pouvoir n’est pas un défaut de conception, mais une caractéristique inhérente. »

Taxonomie des dark patternsChoix de conception d'interface délibérément trompeurs qui poussent l'utilisateur à des actions non souhaitées, comme des frais cachés, des boutons confus ou des options de désinscription difficiles à trouver.

La littérature académique a répertorié des schémasCadres mentaux de représentations compressées et d'attentes que le cerveau utilise pour encoder, stocker et récupérer les informations. Lorsque vous vous souvenez de quelque chose, votre cerveau la reconstruit en utilisant des schémas plus tous les indices contextuels présents. de conception spécifiques utilisés pour fabriquer le consentement :

• Boutons asymétriques : « Accepter » est un grand bouton coloré ; « Refuser » est un lien textuel ou absent. 73 % des sites dans l’audit de noyb utilisaient des couleurs et des contrastes trompeurs.
• Option de refus absente : 81 % n’avaient pas de bouton de refus sur la première page. Les utilisateurs doivent naviguer dans des sous-menus pour le trouver.
• Cases pré-cochées : 236 sites web dans une étude guidaient les utilisateurs en pré-sélectionnant les options de consentement.
• Consentement malgré le refus : 27 sites web stockaient un consentement positif même après un refus explicite.
• Consentement implicite : 141 sites web enregistraient le consentement avant que l’utilisateur n’ait fait un quelconque choix.
• Friction dans le retrait : Seulement 18 % des sites proposaient un mécanisme facile de retrait du consentement.

Impact quantifié sur le comportement des utilisateurs

L’étude Nouwens et al. (2020) à CHI fournit les mesures les plus précises. Sur les 680 fenêtres contextuelles de consentement extraites des 10 000 premiers sites britanniques, seulement 11,8 % satisfaisaient aux exigences légales minimales. Dans une expérience de terrain avec 40 participants :

• Supprimer le bouton de refus de la première page augmentait le consentement de 22 à 23 points de pourcentage.
• Ajouter des contrôles granulaires diminuait le consentement de 8 à 20 points de pourcentage.
• Le format bandeau ou barrière (superposition bloquante) n’avait aucun effet mesurable.

L’étude Utz et al. (2019) à CCS a testé plus de 80 000 utilisateurs uniques et a confirmé que la manipulation a un « effet important » sur les choix de consentement, et que « des décisions de mise en œuvre apparemment mineures peuvent avoir un impact substantiel sur la façon dont les utilisateurs interagissent avec les avis de consentement ».

Des données agrégées de 26 études montrent que lorsque « Accepter » et « Refuser » sont aussi visibles l’un que l’autre, les taux de refus se situent entre 50 % et 70 %. Lorsque le refus nécessite plusieurs clics, jusqu’à 90 % des utilisateurs acceptent. Seulement 3 % des utilisateurs souhaitent réellement accepter le suivi, selon des aveux sectoriels cités par noyb.

Défaillances techniques post-consentement

Les problèmes vont bien au-delà du bandeau lui-même. Une analyse de 2025 portant sur plus d’un million de sites web a révélé :

• 43,1 % installaient des cookies de suivi sans consentement valide.
• 63,3 % utilisaient le pixel tracking sans consentement valide.
• Google représentait 47,3 % des violations liées au pixel tracking ; Meta, 8,8 %.
• 57,5 % des sites web ne supprimaient pas les cookies après révocation du consentement.
• Trois sites sur quatre ne notifiaient pas les traceurs tiers lors de la révocation.

L’affaire Condé Nast illustre le mécanisme : le site Vanity Fair envoyait de « faux signaux de consentement » TCF à 375 entreprises de suivi même après un refus explicite de l’utilisateur. CDiscount envoyait de faux signaux à 431 traceurs par utilisateur.

Contrôles et amendes

L’action réglementaire s’est intensifiée, mais n’a pas fait bouger l’aiguille des taux de conformité :

• Septembre 2025 : La CNIL a condamné Google à 325 millions d’euros et Shein à 150 millions d’euros pour des violations liées aux cookies.
• Novembre 2025 : Condé Nast condamné à 750 000 euros par la CNIL pour de faux signaux de consentement.
• 2021-2025 : noyb a déposé plus de 422 plaintes formelles au titre du RGPD ; 82 % des entreprises ne se sont pas pleinement conformées après mise en demeure.
• Étude CHI 2025 : « Il n’existe guère de preuves que les recommandations et les amendes des régulateurs aient eu un impact sur les taux de conformité. »

La proposition « Digital Omnibus »

Le règlement européen « Digital Omnibus » (proposé en novembre 2025) tente un correctif structurel via le nouvel article 88a du RGPD :

• Article 88a(4) : Les utilisateurs doivent pouvoir refuser le consentement via un bouton en un seul clic ou équivalent.
• Période de carence de six mois : Les responsables du traitement ne peuvent pas solliciter à nouveau les utilisateurs ayant refusé pour le même objectif dans les six mois.
• Article 88b : Les navigateurs doivent proposer des signaux de consentement lisibles par machine. Les utilisateurs définissent leurs préférences une fois ; les sites web doivent les respecter.
• Calendrier : L’article 88a s’applique 18 mois après l’entrée en vigueur. Les obligations relatives aux signaux des navigateurs s’appliquent après 48 mois.
• Exemptions : Les prestataires de services médias sont exclus des exigences de signaux automatisés des navigateurs en vertu de l’article 88b(3).

L’approche par signal de navigateur est l’élément le plus prometteur : elle pourrait éliminer entièrement l’interaction avec les bandeaux site par site. Mais le calendrier de mise en œuvre de quatre ans et l’exemption médias affaiblissent considérablement la proposition. Une analyse d’Osborne Clarke a conclu que la proposition « laisse la fatigue des bandeaux largement intacte ».

Le problème structurel

Le problème fondamental est un désalignement des incitations. Les revenus publicitaires en ligne dépendent du suivi. Le consentement est le seul fondement juridique pour les cookies de suivi dans le cadre des règles ePrivacy. Cela signifie que l’ensemble du modèle économique de l’adtech dépend du fait que les utilisateurs cliquent sur « Accepter ». Les entreprises qui conçoivent les interfaces de consentement sont les mêmes que celles dont les revenus dépendent du résultat.

Le coût en termes de productivité s’élève à 575 millions d’heures par an en Europe, soit l’équivalent de 14,375 milliards d’euros ou 287 500 employés à temps plein. Ce théâtre du consentement ne protège pas la vie privée. Il génère une fatigue qui sape le concept même de consentement éclairé, tout en offrant une couverture juridique pour un suivi qui se produit souvent indépendamment des choix des utilisateurs.

Le Catch-22, formulé techniquement : le mécanisme juridique de protection de la vie privée des utilisateurs exige que ces derniers interagissent avec une interface conçue par les entités dont ils ont besoin d’être protégés, utilisant un standard contrôlé par l’industrie qui tire profit de leurs données, appliqué par des régulateurs dont les amendes n’ont pas fait évoluer les taux de conformité de façon mesurable, avec une solution proposée à quatre ans de distance et déjà truffée d’exemptions.