Cookies analytics: exemption CNIL/CNPD, consentement ICO confirmé

Extrait — Le 29 avril 2026, l’ICO (R.-U.) a finalisé sa « Storage and Access Technologies guidance », confirmant que les cookies analytics non essentiels requièrent un consentement préalable au titre du PECR. En France et au Luxembourg, des exemptions limitées existent pour certaines mesures d’audience.

L’affaire

• Royaume‑Uni — L’ICO réaffirme que, hors exceptions strictement nécessaires, le dépôt de cookies (y compris de mesure d’audience) suppose un consentement valable au sens du PECR/UK GDPR, avec bannière et opt‑in clair. Source officielle : Final storage and access technologies guidance published — 29/04/2026 et le chapitre Cookies and similar technologies du Guide to PECR.
• France — La CNIL (Délibération n° 2020‑092 du 17/09/2020) admet une exemption de consentement pour certaines mesures d’audience strictement limitées (première partie, paramètres restreints, pas de recoupement, durée courte, etc.). Sources : Délibération n° 2020‑092 et recommandation cookies (PDF).
• Luxembourg — La CNPD confirme que certains cookies analytiques peuvent, dans des cas précis, être considérés comme nécessaires à la fourniture du service (p. ex. dimensionnement serveur, détection d’incidents), et donc exemptés de consentement. Sources : Contexte juridique, Principes applicables et mise en pratique et Lignes directrices « Cookies » (PDF).

Ce contraste crée une divergence notable : l’ICO exige un consentement pour l’analytics « non essentiel », là où la CNIL et la CNPD admettent une exemption très encadrée pour certaines mesures d’audience.

Le raisonnement juridique

• Droit applicable
  • ePrivacy (UE) — L’article 5(3) de la Directive 2002/58/CE impose le consentement préalable pour le stockage/accès à des informations sur le terminal, sauf si le cookie est strictement nécessaire à un service expressément demandé. Texte : EUR‑Lex — Directive 2002/58/CE, art. 5(3).
  • RGPD — L’article 6 fixe les bases légales. ePrivacy est lex specialis : si l’art. 5(3) requiert le consentement, l’intérêt légitime (art. 6(1)(f)) ne peut s’y substituer. Texte : EUR‑Lex — RGPD, art. 6.
  • EDPB — Les Guidelines 05/2020 sur le consentement précisent les exigences (acte positif clair, refus aussi simple que l’acceptation, etc.).
• Interprétations des autorités
  • ICO (R.-U., PECR) — Position ferme : consentement requis pour tout cookie non essentiel, y compris l’analytics. Voir Guide PECR — Cookies.
  • CNIL (FR) — Exemption « mesures d’audience » possible si l’outil est strictement configuré (première partie, finalité purement statistique, conservation limitée, pas de reciblage ni recoupement). Réf. : Délibération n° 2020‑092.
  • CNPD (LU) — Exemption possible pour des analytiques nécessaires à la qualité/sécurité du service (capacité, bugs), hors marketing/profilage. Réf. : Principes applicables.

Conclusion juridique : en France et au Luxembourg, l’intérêt légitime peut fonder l’exploitation statistique des données issues d’une mesure d’audience exemptée par ePrivacy, si — et seulement si — les traceurs entrent dans l’exemption. Au Royaume‑Uni, l’ICO considère que l’analytics n’est pas « strictly necessary » : le consentement PECR demeure requis.

Ce que ça change concrètement

• Multinationaux opérant au Luxembourg/UE et au Royaume‑Uni
  • Luxembourg/France : possible d’exempter certaines mesures d’audience des bannières d’opt‑in si vous respectez strictement les critères CNPD/CNIL (première partie, finalité statistique, pas de tiers, durée ≤ 13 mois, IP tronquée, pas d’ID cross‑site). En aval RGPD : intérêt légitime documenté. Pour cadrer cette base, vous pouvez documenter votre intérêt légitime dans votre registre.
  • Royaume‑Uni : bannière avec opt‑in requise même pour l’analytics ; pas de consentement implicite ni cases pré‑cochées. Voir ICO — Cookies and similar technologies et la guidance du 29/04/2026.
• Décision tree opérationnel (résumé) pour un site luxembourgeois
  1. Le traceur est‑il strictement nécessaire au service expressément demandé (panier, authentification, sécurité, équilibre de charge) ? Si oui, exemption ePrivacy → pas de consentement ; base RGPD en aval selon le cas. CNPD : Principes applicables.
  2. S’agit‑il d’une mesure d’audience « pure » en première partie, paramétrée strictement (pas de pub, pas de recoupement, durée courte) ? En FR/LU : exemption possible ; en UK : consentement requis. CNIL 2020‑092 ; ICO PECR.
  3. Toute autre finalité (marketing, retargeting, partage avec des tiers, enrichissement CRM, analytics tiers) → consentement ePrivacy obligatoire (UE et UK). EDPB « Consent » 05/2020.

Pièges fréquents

1. Confondre base RGPD et règle ePrivacy : invoquer l’intérêt légitime pour déposer un cookie non essentiel reste illicite si ePrivacy exige le consentement. Voir ePrivacy art. 5(3) et RGPD art. 6.
2. « Analytics » ≠ exemption par nature : en UK, l’ICO rappelle que l’analytics n’est pas strictement nécessaire ; bannière d’opt‑in obligatoire. Guide PECR.
3. Oublier la configuration stricte des mesures d’audience exemptées (FR/LU) : identifiants longue durée, recoupement multi‑sites, export vers des tiers ou usages publicitaires font perdre l’exemption. CNIL 2020‑092 (PDF).
4. Bannières trompeuses ou « dark patterns » : le consentement doit être libre, spécifique, éclairé et univoque ; le refus doit être aussi simple que l’acceptation. EDPB — Guidelines 05/2020.
5. Réutiliser un outil tiers « analytics/marketing » sans cloisonnement : si l’outil dépose des traceurs pour d’autres finalités (advertising, attribution externe), le consentement est requis, même si certaines options ne sont pas activées. CNPD — mise en pratique.

Aller plus loin

Pour sécuriser vos choix de paramétrage et vos notices cookies, l’appui d’un DPO Luxembourg peut accélérer la mise en conformité. Pour une revue pragmatique et la mise en œuvre, vous pouvez nous contacter.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.