Dark patterns dans les bannières de cookies : ce qui est illégal, ce qui est risqué et comment rester conforme
Les régulateurs européens ne vérifient plus seulement si vous avez une bannière de cookies — ils vérifient comment elle se comporte. Les dark patterns — des choix de conception trompeurs qui manipulent les utilisateurs pour qu'ils donnent un consentement qu'ils n'avaient pas l'intention de donner — sont devenus la cible principale des autorités de protection des données en 2025-2026. Les amendes sont réelles, elles augmentent et touchent des entreprises de toutes tailles.
Que sont les dark patterns dans le consentement aux cookies ?
Un dark pattern est tout choix de conception qui pousse les utilisateurs vers le consentement alors qu'une conception neutre les amènerait à refuser ou à faire un choix véritablement libre. Le Comité européen de la protection des données (EDPB) a émis des lignes directrices contraignantes en 2023 définissant des catégories spécifiques de dark patterns. Ce ne sont pas des suggestions — elles ont force de loi dans tous les États membres de l'UE.
Les 7 dark patterns les plus courants (et pourquoi ils sont illégaux)
1. Bouton de refus caché
"Tout accepter" est un bouton vert bien visible tandis que "Refuser" est un petit lien texte gris enfoui dans un second niveau. Plusieurs APD ont déclaré cela invalide. La CNIL a infligé une amende de €60 millions à une grande entreprise technologique en partie pour cette pratique.
2. Cases précochées
La bannière de consentement se charge avec toutes les catégories de cookies déjà cochées. La CJUE a statué dans l'affaire Planet49 (2019) que les cases précochées ne constituent pas un consentement valide. C'est un droit établi.
3. Cookie walls
Bloquer entièrement l'accès au site web jusqu'à ce que l'utilisateur consente. Les lignes directrices de l'EDPB précisent que le consentement n'est pas librement donné si l'accès au service y est conditionné. La plupart des APD de l'UE ont confirmé cette position.
4. Langage confus
Utiliser du jargon juridique, des doubles négations ou des formulations intentionnellement complexes pour confondre les utilisateurs. "En ne vous désabonnant pas des cookies non essentiels, vous acceptez..." est un dark pattern. Un langage clair et simple est requis.
5. Manipulation émotionnelle
Culpabiliser les utilisateurs avec des phrases comme "Je ne me soucie pas de mon expérience" pour l'option de refus, ou utiliser des icônes tristes et des couleurs d'avertissement sur le bouton de refus. Les régulateurs l'ont spécifiquement dénoncé.
6. Effort asymétrique
Un clic pour accepter, cinq clics pour refuser. Si refuser le consentement nécessite de naviguer à travers plusieurs écrans, boutons et boîtes de dialogue de confirmation tandis qu'accepter est un seul bouton, c'est un dark pattern.
7. Sollicitations répétées
Afficher à nouveau la bannière de consentement aux utilisateurs qui ont déjà refusé, en espérant qu'ils finiront par cliquer sur accepter par fatigue. Une fois qu'un utilisateur a fait un choix, ce choix doit être respecté jusqu'à ce qu'il le modifie activement.
Amendes réelles pour dark patterns
- CNIL (France) : amendes de €60M et €40M contre de grandes entreprises technologiques pour des bannières de consentement où refuser était plus difficile qu'accepter
- APD italienne : amende de €20M pour des cases de consentement précochées et des cookie walls
- AEPD espagnole : amende de €2,5M pour une conception manipulatrice de bannière de cookies
- APD belge : a statué que la mise en œuvre originale du TCF d'IAB Europe impliquait des dark patterns
- DSB autrichienne : plusieurs décisions contre des conceptions de consentement asymétriques
Comment auditer votre bannière pour les dark patterns
Appliquez cette liste de contrôle à votre bannière de consentement actuelle :
- Les boutons Accepter et Refuser sont de même taille, même prominence de couleur et même nombre de clics
- Aucune case n'est précochée — toutes les catégories de consentement commencent comme désactivées
- Le site web est accessible sans consentir (pas de cookie wall)
- Le langage est simple, clair et dans la langue du visiteur
- Aucun texte culpabilisant ni manipulation émotionnelle sur l'option de refus
- Les choix précédents sont mémorisés — la bannière ne réapparaît pas pour les utilisateurs qui ont refusé
- Une option "Gérer les préférences" existe à côté d'Accepter et Refuser
- Retirer le consentement est aussi facile que de le donner
FlexyConsent : sans dark patterns dès la conception
FlexyConsent est conçu avec la conformité réglementaire comme valeur par défaut. Des boutons égaux, pas de cases précochées, pas de cookie walls, un langage simple dans plus de 43 langues et un respect automatique des choix précédents. En tant que Google Certified CMP enregistré auprès d'IAB Europe, FlexyConsent suit l'interprétation la plus stricte des lignes directrices de l'EDPB — afin que vous n'ayez jamais à vous soucier de l'application des dark patterns.