Être rappelé
Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.
Directive ePrivacy : tout comprendre pour mettre votre entreprise en conformité
–
L’article en bref : La directive ePrivacy est le texte européen qui encadre la vie privée et communications électroniques. Adoptée le 12 juillet 2002 et modifiée en 2009, elle régit les cookies, la prospection commerciale par email/SMS et la confidentialité des échanges. En France, elle est transposée par l’article 82 de la loi Informatique et Libertés et l’article L.34-5 du CPCE. Elle complète le RGPD et reste pleinement applicable en 2026, le projet de règlement ePrivacy ayant été abandonné. Dipeeo prend en charge la conformité ePrivacy et RGPD des entreprises grâce à un juriste expert dédié et une plateforme intuitive boostée à l’IA.
Introduction – La directive ePrivacy, l’autre pilier de la protection des données
Quand on parle de protection des données, on pense immédiatement au RGPD. Pourtant, à ses côtés existe un autre texte tout aussi essentiel pour les organisations européennes : la directive ePrivacy. Adoptée le 12 juillet 2002, son entrée en vigueur date du 31 juillet 2002 ; elle devait être appliquée dans les États membres au plus tard le 31 octobre 2003. Elle a ensuite été modifiée par la [directive 2009/136/CE](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32009L0136) entrée en vigueur le 19 décembre 2009.
Sa logique : compléter le RGPD en encadrant un domaine très spécifique, celui des communications électroniques. Là où le RGPD pose les principes généraux de la protection des données et de l’utilisation des informations personnelles, la directive ePrivacy fixe des règles précises pour les cookies, la prospection par email et la confidentialité des échanges. Les deux textes s’appliquent cumulativement.
1. Directive ePrivacy : définition, origine et objectifs
1.1 Pourquoi la directive ePrivacy a été adoptée ?
Au début des années 2000, l’explosion des technologies numériques (internet, téléphonie mobile, email) a fait apparaître de nouveaux risques pour la vie privée que les législations existantes ne couvraient pas suffisamment. La directive 95/46/CE sur la protection des données ne traitait pas en détail des spécificités des communications électroniques.
La directive vie privée, officiellement directive 2002/58/CE « vie privée et communications électroniques », a donc été adoptée pour combler ce vide. Elle s’inscrit dans le « paquet Télécom » européen et abroge l’ancienne directive 97/66/CE. Cette nouvelle directive marque un tournant dans la régulation européenne du numérique.
1.2 Pourquoi on parle souvent de « directive cookies » (à tort)
La directive ePrivacy est fréquemment surnommée « directive cookies » dans le langage courant. C’est réducteur : si elle encadre effectivement les cookies et autres traceurs (article 5(3)), son champ est bien plus large. Elle couvre aussi :
- la confidentialité des communications ;
- les données de trafic et de localisation ;
- la prospection directe par email, SMS ou fax ;
- les annuaires d’abonnés.
L’appellation « directive cookies » s’est imposée dans le grand public car l’obligation de consentement aux cookies est la disposition la plus visible au quotidien sur Internet.
1.3 Le rôle spécifique de la directive ePrivacy dans l’écosystème européen
Dans l’écosystème européen des données, la directive ePrivacy joue le rôle de lex specialis : pour tout ce qui touche aux communications électroniques, ce sont ses règles qui s’appliquent en priorité, comme l’a confirmé la CJUE dans son arrêt Inteligo Media du 13 novembre 2025.
2. À qui s’applique la directive « vie privée et communications électroniques » ?
2.1 Quelles entreprises sont concernées par les exigences européennes ?
Le champ d’application de la directive vie privée et communications électroniques est très large. Sont concernés :
- les éditeurs de sites web et de blogs (qu’il s’agisse d’un site web vitrine ou marchand) ;
- les applications mobiles ;
- les plateformes en ligne (e-commerce, marketplaces, SaaS) ;
- les fournisseurs de services de communication (messageries, emailing) ;
- les annonceurs et régies publicitaires qui déposent des traceurs ;
- toute entreprise faisant de la prospection commerciale électronique, en B2C comme en B2B.
2.2 Quels services et canaux sont visés ?
La directive ePrivacy s’applique à un large éventail de canaux :
- les sites web et leurs technologies de suivi (cookies, pixels, fingerprinting) ;
- les applications mobiles (SDK, identifiants publicitaires) ;
- les emails commerciaux et newsletters ;
- les SMS et MMS marketing ;
- les automates d’appel et les fax ;
- l’Internet des objets (montres connectées, objets domotiques).
2.3 Portée territoriale : Union européenne et acteurs hors UE ciblant des utilisateurs européens
La directive ePrivacy n’a pas, dans son texte, le mécanisme d’extraterritorialité aussi explicite que celui de l’article 3 du RGPD. Toutefois, en pratique, la CNIL a sanctionné à plusieurs reprises des acteurs étrangers (comme Google ou Shein) sur le fondement de l’article 82 de la loi Informatique et Libertés, dès lors que leur site web ciblait des utilisateurs situés en France, quelle que soit la région où l’entreprise est implantée.
3. Quelles données et quels usages sont encadrés par la directive ePrivacy ?
3.1 Données de communications électroniques
La directive ePrivacy protège la confidentialité des communications : interdiction d’écouter, d’intercepter ou de stocker les communications sans consentement de l’utilisateur, sauf exception légale. Cela inclut le contenu des messages, mais aussi les données de trafic (qui communique avec qui, quand, combien de temps) et les données de localisation, dont la conservation des données est strictement encadrée.
3.2 Accès au terminal de l’utilisateur
C’est l’un des piliers de la directive. L’article 5(3) impose le consentement des utilisateurs avant toute opération de lecture ou d’écriture d’informations sur leur terminal (ordinateur, smartphone, tablette, objet connecté). Cette règle vaut quel que soit le type de réseau utilisé, y compris dans les environnements intranet ou hors connexion.
3.3 Cookies, traceurs et types de cookies concernés
L’article 82 de la loi Informatique et Libertés (transposition française) couvre les différents types de cookies et traceurs susceptibles d’être déposés depuis un site web :
- les cookies HTTP classiques ;
- les cookies tiers (publicité, analytics, réseaux sociaux) ;
- les pixels de suivi ;
- le fingerprinting (empreinte du terminal) ;
- les identifiants techniques (numéros de série, adresses MAC, IDFV, etc.).
3.4 Usages marketing, analytiques et techniques concernés
Tous les usages ne sont pas soumis au consentement. Selon la [**recommandation** de la CNIL](https://www.cnil.fr/fr/cookies-et-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation) relative aux cookies et traceurs, sont dispensés sous conditions strictes :
- les cookies strictement nécessaires au fonctionnement du service (panier, authentification) ;
- les cookies de mesure d’audience strictement limités à des statistiques anonymes ;
- les préférences linguistiques.
À l’inverse, tous les cookies publicitaires nécessitent un consentement préalable : publicité ciblée, retargeting, boutons sociaux, partage de données entre partenaires, personnalisation des contenus à des fins commerciales. Les personnes concernées doivent pouvoir donner un consentement éclairé avant tout dépôt.
4. Quels sont les risques en cas de non-conformité à la directive ePrivacy ?
4.1 Sanctions encourues
En France, les sanctions sont prononcées par la CNIL sur le fondement des textes nationaux de transposition. Les amendes peuvent être très lourdes : selon la jurisprudence CNIL récente, elles peuvent atteindre plusieurs centaines de millions d’euros pour les manquements graves, témoignant d’une législation désormais pleinement opérationnelle.
4.2 Exemples de sanctions prononcées
Les dernières années ont vu se multiplier les sanctions « ePrivacy » :
- Shein : 150 millions d’euros (CNIL) pour non-respect des règles applicables aux cookies ;
- Google : 325 millions d’euros (CNIL) pour publicités affichées dans Gmail sans accord et dépôt de traceurs sans consentement valide (lien de la sanction) ;
- Vanity Fair : 750 000 € (CNIL, 20 novembre 2025) car le bouton « Tout refuser » ne refusait pas réellement les cookies ;
- Brico Privé : 500 000 € pour prospection sans consentement ;
- Nestor : 20 000 € pour prospection B2B hors lien avec l’activité du destinataire.
4.3 Risques réputationnels
Au-delà du montant financier, ces sanctions sont systématiquement publiées et largement relayées. Pour une entreprise, l’impact en termes d’image et de confiance peut être considérable, en particulier auprès des clients soucieux de la sécurité et de la confidentialité des données.
4.4 Impacts business
Une non-conformité peut également bloquer des appels d’offres (notamment dans les secteurs publics et régulés), retarder des levées de fonds (questions des investisseurs sur la conformité) ou compromettre des partenariats stratégiques. À l’inverse, la conformité devient un véritable levier commercial.
5. Directive ePrivacy et RGPD : quelles différences et quelles complémentarités ?
5.1 Tableau comparatif
| Critère | Directive ePrivacy | RGPD |
|---|---|---|
| Nature du texte | Directive (2002/58/CE) | Règlement (UE 2016/679) |
| Année d’adoption | 2002 (modifiée en 2009) | 2016 (applicable depuis 2018) |
| Périmètre | Communications électroniques (cookies, prospection, confidentialité) | Toutes données personnelles |
| Application | Via lois nationales (article 82 LIL, L.34-5 CPCE en France) | Directe dans tous les États |
| Base légale principale | Consentement préalable (sauf exceptions) | Six bases légales (consentement, contrat, intérêt légitime…) |
| Droits des personnes | Confidentialité, opposition à la prospection | Accès ([**article 15**](https://gdpr-info.eu/art-15-gdpr/)), rectification, effacement, portabilité… |
| Autorité de contrôle | CNIL | CNIL (et CEPD au niveau européen) |
| Sanctions | Jusqu’à plusieurs centaines de M€ via la CNIL | Jusqu’à 20 M€ ou 4 % du CA mondial |
5.2 Pourquoi la directive ePrivacy ne disparaît pas avec le RGPD
Beaucoup d’entreprises pensent à tort que le RGPD a remplacé la directive ePrivacy. C’est faux. Selon plusieurs sources spécialisées, le projet de règlement ePrivacy lancé en 2017 — après une consultation publique européenne — a été abandonné dans le programme de travail 2025 de la Commission européenne.
La directive 2002/58/CE reste donc pleinement applicable. Elle complète le RGPD : pour les sujets qu’elle couvre spécifiquement (cookies, prospection électronique), ses règles priment sur celles du RGPD, comme l’a confirmé la CJUE dans l’[arrêt Inteligo Media du 13 novembre 2025](https://www.haas-avocats.com/protection-des-donnees/sanctions-cnil-et-cookies-comment-sont-fixees-les-amendes/).
6. Mise en conformité ePrivacy : les 4 étapes clés pour les entreprises
Étape 1 – Identifier les usages concernés
Première étape : cartographier l’ensemble des points où votre entreprise est susceptible d’entrer dans le champ de la directive ePrivacy. Site web, applications mobiles, campagnes emailing, SMS marketing, formulaires d’inscription, intégrations tierces (CRM, marketing automation, analytics, publicité)… Tous ces points doivent être identifiés afin de préparer la mise en place d’un dispositif conforme.
Étape 2 – Auditer les cookies et traceurs
Réalisez un audit technique complet de votre site web et de vos applications :
- liste exhaustive des traceurs déposés ;
- finalité de chaque traceur ;
- identification des traceurs nécessitant un consentement et de ceux qui en sont exemptés ;
- vérification du bandeau cookies (présence d’un bouton « Tout refuser » au même niveau que « Tout accepter ») ;
- vérification du respect réel du choix de l’utilisateur sur votre site (l’affaire Vanity Fair rappelle que le bouton « Tout refuser » doit effectivement refuser les cookies).
L’objectif est de mettre en place une plateforme de gestion du consentement (CMP) conforme aux exigences de la CNIL.
Étape 3 – Encadrer la prospection électronique
Pour vos campagnes d’email marketing :
- en B2C, recueillir un consentement préalable clair et spécifique (case à cocher non pré-cochée) ;
- en B2B, vérifier que l’objet du message est en lien avec l’activité professionnelle du destinataire ;
- offrir la possibilité de se désinscrire via un lien simple et gratuit dans chaque message ;
- mentionner clairement l’identité de l’expéditeur ;
- conserver la preuve du consentement.
Étape 4 – Documenter et prouver la conformité
La conformité ne se présume pas, elle se démontre. Il est essentiel de :
- documenter la mise en œuvre de votre conformité dans le registre des activités de traitement ;
- conserver les preuves de consentement (logs horodatés, captures d’écran des formulaires) ;
- mettre à jour la politique de confidentialité ;
- former les équipes marketing et IT à la gestion quotidienne des cookies et de la prospection.
7. Comment Dipeeo accompagne les entreprises dans leur conformité ePrivacy
7.1 Une expertise juridique appliquée à vos sujets ePrivacy
La directive ePrivacy n’est pas un texte figé : son interprétation évolue en continu, au gré des décisions de la CNIL, des arrêts de la CJUE et des nouvelles lignes directrices européennes. Or il s’agit avant tout de droit, une matière vivante et complexe que seuls des juristes spécialisés ou d’anciens avocats sont en mesure d’interpréter avec rigueur, puis de traduire en obligations concrètes pour votre entreprise.
C’est précisément la promesse de Dipeeo : un juriste spécialisé ou ex-avocat dédié pilote au quotidien l’ensemble de votre conformité RGPD, ePrivacy et AI Act. En tant que DPO externe déclaré à la CNIL pour votre entreprise, nous prenons en charge votre conformité de A à Z et assumons pleinement cette responsabilité à vos côtés, sur l’ensemble du droit applicable.
7.2 Notre accompagnement : une solution tout-en-un pour une conformité totale
Tout commence par une analyse de vos pratiques : cookies et traceurs utilisés sur votre site web, outils marketing et analytics, campagnes de prospection, utilisation des données collectées, sous-traitants, formulaires, CRM… via un questionnaire rapide et intuitif. Vous identifiez ainsi les liens entre vos différents traitements et les obligations qui en découlent.
À la suite de cet audit initial, Dipeeo prend en charge votre conformité de A à Z :
- Un juriste ou ex-avocat dédié répond en illimité à toutes vos questions ePrivacy et RGPD ;
- Vos documents juridiques sont rédigés sur mesure : politique cookies, mentions d’information, règles de prospection commerciale, registre des traitements, procédures internes… ;
- Une plateforme SaaS centralise l’ensemble de votre conformité et facilite le suivi des actions par vos équipes ;
- Un trust center public vous permet de prouver facilement votre conformité auprès de vos prospects, clients et partenaires.
Vous bénéficiez ainsi de ressources juridiques, techniques et opérationnelles centralisées dans un seul environnement.
7.3 Ce que Dipeeo fait concrètement pour votre conformité ePrivacy
✔️ Audit de vos cookies, traceurs, outils analytics et pratiques de prospection
✔️ Plan d’actions priorisé pour réduire vos risques de non-conformité
✔️ Rédaction de l’ensemble de vos documents ePrivacy et RGPD
✔️ Vérification de vos mécanismes de consentement et de la présentation de vos bandeaux cookies
✔️ Encadrement de vos sous-traitants marketing, CRM, emailing et publicitaires
✔️ Accompagnement en cas de contrôle CNIL, plainte ou incident lié à la prospection ou aux cookies
Notre conviction : la conformité n’est pas une contrainte, c’est votre meilleur allié business.
FAQ – Tout ce que vous devez savoir sur la directive ePrivacy
Qu’est-ce que la directive ePrivacy ?
La directive ePrivacy, officiellement directive 2002/58/CE « vie privée et communications électroniques », est un texte européen adopté le 12 juillet 2002. Elle encadre la protection de la vie privée dans le secteur des communications électroniques : cookies et traceurs, prospection commerciale par email ou SMS, confidentialité des communications, données de trafic et de localisation. Modifiée en 2009 par la directive 2009/136/CE, elle reste pleinement en vigueur en 2026.
Que réglemente la directive ePrivacy dans l’UE ?
La directive ePrivacy encadre principalement les cookies et traceurs, la prospection électronique (email, SMS, appels automatisés), la confidentialité des communications et l’utilisation des données de trafic ou de localisation. Elle concerne les sites web, applications mobiles, plateformes en ligne et services de communication électronique.
Quand le règlement e-privacy est-il entré en vigueur ?
La directive 2002/58/CE est entrée en vigueur le 31 juillet 2002 et devait être transposée par les États membres avant le 31 octobre 2003. En France, elle a été transposée par la loi n° 2004-575 du 21 juin 2004 (LCEN), la loi n° 2004-669 du 9 juillet 2004 et la loi n° 2004-801 du 6 août 2004. Elle a été modifiée par la directive 2009/136/CE.
La directive ePrivacy s’applique-t-elle aux entreprises B2B ?
Oui, mais les règles diffèrent. En B2B, le consentement préalable n’est pas exigé pour la prospection si le message est en lien avec l’activité professionnelle du destinataire. En revanche, les obligations sur les cookies s’appliquent de la même manière en B2B et en B2C dès qu’un terminal est concerné.
Quelles sont les sanctions encourues ?
En cas de non-respect des règles, la CNIL peut prononcer des sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Pour les manquements les plus graves, ce plafond monte à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Conclusion : Pourquoi la directive ePrivacy est un enjeu stratégique durable
La directive ePrivacy n’est pas un texte du passé. Plus de 23 ans après son adoption, elle reste pleinement applicable et constitue le fondement juridique de certaines des sanctions CNIL les plus médiatiques. En 2025-2026, les amendes prononcées sur le seul fondement de l’article 82 LIL ont dépassé le demi-milliard d’euros cumulés.
Avec l’abandon du règlement ePrivacy, la directive de 2002 reste la boussole des entreprises pour leurs cookies, leur navigation des utilisateurs et leurs campagnes marketing. Loin d’être un sujet technique secondaire, sa conformité est aujourd’hui un enjeu stratégique : elle protège votre entreprise des sanctions, sécurise vos relations clients et renforce votre attractivité commerciale.
Vous souhaitez auditer votre conformité à la directive ePrivacy ? Échangez avec un expert Dipeeo et bénéficiez d’un premier diagnostic gratuit.
