Bandeaux cookies et dark patterns en Belgique: les pratiques interdites en 2026

Depuis 2024, les autorites europeennes de protection des donnees ne traitent plus le design des bandeaux cookies comme une question de gout. La CNIL a inflige le 3 septembre 2025 des amendes de 325 millions d'euros a Google et 150 millions d'euros a Shein pour des infractions liees aux bandeaux cookies. L'APD belge a impose a Mediahuis une astreinte de EUR 25,000 par jour par site sur quatre sites de presse. Cet article cartographie douze dark patterns, classes par consensus des autorites de controle, et les relie a ce que le CEPD qualifie de interdit, deconseille ou bonne pratique.

Pour les regles specifiques de l'APD belge et la decision Mediahuis, consultez l'article sur la banniere cookies Belgique et l'APD. Pour le cadre juridique du RGPD pour les PME belges, consultez Obligations RGPD PME Belgique.

La taxonomie du CEPD: six categories

Le Comite europeen de la protection des donnees a publie en 2022 les Lignes directrices 03/2022 (version 2.0, 14 fevrier 2023) avec une taxonomie de six categories de dark patterns. La Cookie Banner Taskforce (rapport du 18 janvier 2023) les a appliquees specifiquement aux bandeaux cookies.

Overloading signifie submerger l'utilisateur d'informations, de demandes ou d'options pour provoquer de la fatigue. Pour les bandeaux cookies, cela se traduit par des listes interminables de cookies individuels pour lesquels l'utilisateur doit donner son consentement un par un, alors que "tout accepter" se fait en un clic.

Skipping consiste a concevoir l'interface de sorte que l'utilisateur passe a cote du choix. Un bandeau qui disparait automatiquement apres quelques secondes et enregistre cela comme un consentement en est un exemple.

Stirring joue sur les emotions ou utilise le nudging visuel. Le bouton vert classique "accepter" a cote du petit lien gris "refuser" est l'exemple le plus connu.

Hindering rend plus difficile le choix favorable a la vie privee que le choix par defaut. Trois clics pour refuser, un seul pour accepter.

Fickle signifie un design incoherent: l'explication sur les cookies dit une chose, le traitement effectif en fait une autre.

Left in the dark retient des informations ou les presente de maniere confuse. Qualifier des cookies marketing de "fonctionnels" en est un exemple.

Les douze dark patterns, classes par consensus

Trackers avant consentement est le dark pattern le plus lourdement sanctionne. La CNIL a inflige a Yahoo une amende de 10 millions d'euros en 2023 et a Google une amende de 325 millions d'euros en 2025, parce que des trackers etaient deja actifs avant que le visiteur n'ait fait un choix.

Cases precochees sont sans equivoque interdites depuis l'arret Planet49 (CJUE C-673/17). Le consentement exige une action affirmative. Des cases cochees par defaut ne constituent pas un consentement.

Pas de "tout refuser" sur la premiere couche est un point majoritaire, pas une position unanime. La Cookie Banner Taskforce du CEPD le mentionne explicitement comme un point sur lequel toutes les autorites ne sont pas d'accord. L'APD belge l'a impose dans la decision Mediahuis (113/2024). La CNIL l'exige. L'honnetete epistemique veut que nous mentionnions qu'il ne s'agit pas d'une exigence unanime.

Boutons asymetriques posent unanimement probleme. Il n'y a pas de seuil WCAG fixe dans le texte du CEPD, mais la difference de couleur, le type d'element (lien vs. bouton), la taille de police et la position sont utilises de maniere repetee comme preuves.

Interet legitime pour les cookies publicitaires et de tracking est unanimement interdit. La Taskforce indique au paragraphe 3.6 que l'interet legitime n'est pas une base juridique valable pour le placement de cookies non fonctionnels. L'APD l'a confirme dans la decision Mediahuis.

Cookie wall sans alternative payante est interdit par la majorite. La CNIL considere qu'un cookie wall n'est autorise que s'il existe une alternative payante raisonnable. Toutes les autorites ne partagent pas ce point de vue.

Belgique: l'APD et la saga IAB Europe

L'APD belge est l'une des autorites les plus actives en matiere de bandeaux cookies. La decision Mediahuis 113/2024 du 6 septembre 2024 a impose une astreinte de EUR 25,000 par jour par site sur quatre sites de presse (De Standaard, Het Nieuwsblad, Gazet van Antwerpen, Het Belang van Limburg). Les deux principaux constats: pas de bouton "tout refuser" visible sur la premiere couche et utilisation de l'interet legitime pour des cookies publicitaires.

La decision RTL Belgium 131/2024 a confirme la meme ligne pour les sites francophones.

La Belgique est aussi le theatre de la saga IAB Europe. L'APD a rendu la decision 21/2022 contre le Transparency & Consent Framework (TCF) de IAB Europe, jugeant que la TC String constitue une donnee personnelle et qu'IAB Europe agit en tant que responsable conjoint du traitement. La CJUE a confirme cette analyse dans l'arret C-604/22 du 7 mars 2024. Le Tribunal de l'entreprise de Bruxelles a rendu un arret le 14 mai 2025 dans le cadre de la mise en conformite. Le TCF 2.2, actuellement en vigueur, n'a pas encore ete teste par une autorite de controle.

Pour les PME belges, la consequence pratique est claire: si votre CMP utilise le TCF, la base juridique de vos cookies marketing repose sur un cadre dont la legalite reste contestee.

Ce que le scanner teste concretement

Le scanner TrustYourWebsite possede une fonctionnalite unique qui correspond directement au dark pattern le plus sanctionne: apres avoir clique sur "tout refuser", le scanner verifie a nouveau le trafic reseau pour detecter les trackers persistants. Nous detectons specifiquement si Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag ou Criteo continuent d'envoyer des donnees apres une action de refus. Cela correspond au constat central dans l'affaire CNIL Yahoo (10 millions d'euros).

Le scanner detecte egalement les boutons asymetriques (ratio de contraste CSS, type d'element a vs. button, font-weight), la presence d'un bouton de refus sur la premiere couche, les cases precochees, les cookie walls, l'absence de mecanisme de retrait et l'utilisation de l'interet legitime pour les cookies publicitaires.

Toutes les conclusions sont des signaux techniques, pas des verdicts juridiques. Le scanner peut constater qu'un tracker est actif apres un refus. Le scanner ne peut pas evaluer si la base juridique de ce tracker est correcte.

Interdit, deconseille ou bonne pratique

Interdit (decisions explicites d'autorites de controle ou de tribunaux): cases precochees, trackers avant consentement, trackers persistants apres refus, interet legitime pour les cookies marketing, consentement par continuation de navigation, mecanisme de retrait absent.

Consensus majoritaire, pas unanime: bouton "tout refuser" sur la premiere couche. La Taskforce note specifiquement ce point comme sujet de divergence. L'honnetete epistemique exige que nous le mentionnions.

Au cas par cas: couleur, taille et contraste des boutons. Il n'y a pas de seuil WCAG fixe dans le texte du CEPD. Les parametres sont toutefois utilises de maniere repetee comme preuves.

Bonne pratique: icone de retrait persistante (petit pictogramme en bas a gauche ou a droite, toujours visible), rafraichissement du consentement tous les six mois, transparence en couches.

La machine est en marche

L'application des regles contre les dark patterns a franchi un seuil. En 2024, la question etait de savoir si les autorites allaient agir. En 2026, la question est de savoir a quelle vitesse elles peuvent monter en puissance. L'amende Google de 325 millions d'euros et l'astreinte Mediahuis de EUR 25,000 par jour montrent le prix de l'inaction. La decision RTL Belgium confirme que les sites francophones ne sont pas epargnes.

---

Cet article est une analyse technique, pas un avis juridique. Consultez un juriste pour des conseils adaptes a votre situation specifique.