Privacy Statnive Live · Parhum Khoshbakht

Pays par pays : une carte fonctionnelle des règles européennes 2026 sur l'analyse web sans cookies

Un tableau, onze juridictions, une réponse honnête par cellule. Ce que chaque régulateur de l'UE (et du Royaume-Uni) dit actuellement sur l'analyse web sans consentement — avec citations.

Il s’agit de recherche sur la vie privée, et non d’un conseil juridique. Voir l’avertissement complet en pied de page.

TL;DR

  • Onze juridictions, quatre niveaux de signal d’application, deux ancres. La France est la plus favorable à l’opérateur (exemption de la Fiche 16) ; l’Allemagne est la plus stricte (pas d’exemption, server-side uniquement).
  • Configurer pour l’Allemagne ; le reste de l’UE compose vers le haut. Une configuration qui survit au § 25 TDDDG survit par construction à la Fiche 16 de la France, aux lignes directrices Garante 2021 d’Italie, au guide de l’AEPD d’Espagne et à la position de l’AP des Pays-Bas.
  • L’application 2026 s’intensifie, elle ne se relâche pas — Garante italien : 40+ inspections au S1 2026 avec l’appui de la Guardia di Finanza ; AP néerlandaise : surveillance de 10 000 sites/an + reclassification du suivi en ligne comme « surveillance de masse » ; CNIL : 475 M€ de sanctions cookies à son actif.
  • Le seau « OTHER-EU » suit par défaut la base la plus stricte. Les opérateurs avec du trafic provenant d’États membres non modélisés spécifiquement déploient l’architecture grade-Allemagne et s’appuient sur le cadrage no-déclenchement-de-l’article-5(3).
  • IR / OTHER-NON-EU est configurable, pas certifié. Statnive ne revendique pas la conformité PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA prête à l’emploi — il s’agit de configurations propres à l’opérateur nécessitant l’examen d’un conseil local.

Comment lire cette carte

La position 2026 de l’UE/Royaume-Uni sur l’analyse web sans consentement n’est pas une règle unique mais un patchwork — onze juridictions avec onze façons différentes d’interpréter la même directive ePrivacy et le même RGPD sous-jacents. Cet article est la référence de l’opérateur. Une ligne par juridiction, une colonne par couche réglementaire, une réponse honnête par cellule. Les articles compagnons de la série — le manuel pilier, l’analyse approfondie de la Fiche 16 de la CNIL, l’analyse approfondie du § 25 TDDDG allemand, l’article sur les points d’accès DSAR, l’article sur GPC et mode hybride, et l’angle d’actualité Digital Omnibus — couvrent les spécificités que cette carte regroupe en une seule ligne.

Avant le tableau, un rappel de la règle à deux couches. L’article 5(3) ePrivacy gouverne le stockage et l’accès sur l’équipement terminal. L’article 6 du RGPD gouverne la base légale pour tout traitement ultérieur de données à caractère personnel. Les deux couches se composent et ne se substituent pas. Selon l’avis 5/2019 du CEPD et réaffirmé par les orientations Storage and Access Technologies de l’ICO britannique d’avril 2026, l’article 5(3) ePrivacy est lex specialis sur le RGPD pour tout stockage/accès sur l’équipement terminal. L’intérêt légitime au titre de l’article 6(1)(f) RGPD ne peut pas se substituer au consentement de l’article 5(3) ePrivacy.

La position d’une juridiction sur l’analyse web sans consentement est donc le produit de (a) la manière dont cet État membre a transposé l’article 5(3) ePrivacy en droit national, (b) si le régulateur national a publié une interprétation spécifique d’exemption de mesure d’audience, et (c) le palmarès d’application du régulateur signalant à quel point la position est tenue strictement en pratique.

La carte

JuridictionTransposition nationale ePrivacyExemption de mesure d’audiencePlafond de sanctionSignal d’application
France (CNIL)Article 82 Loi 78-17OuiFiche n°16 + auto-évaluation du 4 juillet 2025 + Recommandation cookies consolidée du 16 janvier 2026Jusqu’à 4 % du chiffre d’affaires mondial (art. 83 RGPD)475 M€ de sanctions cookies 2020-2025 ; amende de 3,5 M€ publiée le 22 janvier 2026 (coordonnée avec 16 homologues APD européens) ; programme d’évaluation hérité retiré le 1 janvier 2026 — régime d’auto-évaluation opérationnel
Allemagne (DSK)§ 25 TDDDGNon300 000 € par § 28(1) No. 13 ; amendes RGPD en parallèleOrientation DSK v1.2 de novembre 2024 : l’intérêt légitime ne se substitue pas au § 25
Italie (Garante)DLgs. 196/2003 art. 122Oui — Lignes directrices cookies du 10 juin 2021 (en vigueur le 10 janvier 2022)Jusqu’à 4 % du chiffre d’affaires mondial (art. 83 RGPD)Décision Caffeina Media du 9 juin 2022 interdisant le transfert GA UE→US ; plan d’inspection 2026 : 40+ inspections ciblées au S1 2026 avec l’appui de la Guardia di Finanza ; l’Italie est 2ᵉ en UE en nombre d’actions d’application
Espagne (AEPD)LSSI Article 22.2 + LOPD-GDDOui — Guide mesure d’audience (2024)30 000 € d’amendes cookies (LOPD-GDD) ; amendes RGPD pour données à caractère personnelGuide cookies mis à jour en juillet 2023, appliqué depuis le 11 janvier 2024
Pays-Bas (AP)Article 11.7a TelecommunicatiewetOui« Les cookies analytiques … ne nécessitent pas de consentement s’ils sont utilisés uniquement pour compter les visiteurs »900 000 € ou 1-10 % du chiffre d’affaires (art. 15.4 Loi Telecom)Surveillance automatisée de l’AP sur 10 000 sites/an ; priorités stratégiques 2026-2028 reclassifiant le suivi en ligne comme « surveillance de masse » ; amende de 600 000 € contre Kruidvat du 16 juillet 2024 ; vague d’avertissements d’avril 2025 à 50 organisations
Belgique (APD)Loi du 13 juin 2005Non« les cookies de mesure d’audience ne sont pas exemptés de l’exigence de consentement au titre du cadre juridique actuel »Jusqu’à 4 % du chiffre d’affaires mondial (art. 83 RGPD)Décision 85/2022 50 000 € contre Roularta Media Group ; Plan stratégique APD/GBA 2026-2028 : passage à une application proactive à grande échelle
Irlande (DPC)SI 336/2011Aucune exemption publiéeJusqu’à 4 % du chiffre d’affaires mondial (art. 83 RGPD)La note d’orientation 2020 s’aligne sur les lignes directrices 5/2020 du CEPD
Royaume-Uni (ICO)PECR 2003 (telles que modifiées par la DUAA 2025)Non — « priorité d’application faible » pour l’analyse first-party à faible intrusion17,5 M£ ou 4 % du chiffre d’affaires mondialOrientation ICO sur l’utilisation des Storage and Access Technologies du 29 avril 2026
Autriche (DSB)TKG 2021 § 165Aucune exemption autonomeJusqu’à 4 % du chiffre d’affaires mondial (art. 83 RGPD)Décision NetDoktor du 22 décembre 2021 (dossier 2021-0.586.257, D155.027)
OTHER-EU (19 États membres restants)Transpositions nationales de 2002/58/CEMixte — voir notesSpécifique à l’État membreL’opérateur devrait consulter l’orientation spécifique du régulateur national
OTHER-NON-EU (incl. IR)Le droit national s’appliqueAucune exemption UE ne s’appliqueSpécifique à l’État membreL’opérateur devrait consulter un conseil local

La carte regroupe beaucoup de détails en cellules uniques. Les sections restantes de cet article décomposent chaque ligne et expliquent ce qu’un opérateur déployant dans cette juridiction doit faire.

France — le régulateur UE le plus favorable à l’opérateur

La Fiche n°16 de la CNIL, avec sa mise à jour d’auto-évaluation du 4 juillet 2025 et son échéance de mise en conformité au 1 janvier 2026, est l’exemption de mesure d’audience la plus favorable à l’opérateur dans l’UE. Les conditions sont cumulatives et étroites : portée mono-site, maximum trois types d’événements (présence sur la page, interaction avec une fonctionnalité, chronométrage), troncature du dernier octet IPv4, User-Agent réduit aux versions majeures, référent réduit à l’hôte, pas de session replay, pas d’identifiant cross-domain, durée de vie du traceur de 13 mois, conservation des données de 25 mois, agrégation à la dizaine la plus proche.

Le palmarès d’application de la CNIL est lourd sur l’UX de consentement cookies. 100 M€ contre Google (décembre 2020), 150 M€ contre Google + 60 M€ contre Facebook (janvier 2022), 325 M€ contre Google + 150 M€ contre Shein (1 septembre 2025). Tous sur des défaillances d’UX de bandeau de consentement, pas sur la publicité programmatique en aval.

Le programme d’évaluation hérité — la voie antérieure à 2026 où la CNIL évaluait et listait des outils d’analyse web spécifiques — est retiré le 1 janvier 2026. Le remplacement est l’auto-évaluation par l’opérateur : le fournisseur publie une attestation datée utilisant la formulation recommandée par la CNIL, et l’opérateur déployant l’outil documente sa propre configuration au regard des conditions de la Fiche 16.

Pour la démonstration complète de la Fiche 16 et la configuration Statnive Live qui qualifie, voir l’analyse approfondie CNIL.

Allemagne — la contrainte contraignante

Le § 25 TDDDG ferme l’intérêt légitime comme base pour le stockage ou l’accès sur l’équipement terminal. L’Orientierungshilfe de la Datenschutzkonferenz du 20 novembre 2024 (Version 1.2) est sans ambiguïté : une AILI au titre de l’article 6(1)(f) couvre la couche de traitement RGPD mais ne déverrouille pas une exemption § 25. Sanctions jusqu’à 300 000 € par violation au titre du § 28(1) No. 13 ; amendes RGPD au titre de l’article 83 en parallèle.

La seule architecture sans consentement en Allemagne est celle où aucun stockage ni accès sur l’équipement terminal n’a lieu — un traitement purement server-side des données de requête HTTP que le navigateur envoie par défaut. Une AILI documentée doit néanmoins exister pour la couche de traitement RGPD au-dessus.

Pour l’analyse complète du TDDDG, le texte verbatim du § 25, le bloc de politique de confidentialité en langue allemande et le validateur de règle stricte de Statnive Live qui empêche les déploiements DE permissifs, voir l’analyse approfondie TDDDG.

Italie — les lignes directrices cookies 2021 du Garante

Les Lignes directrices cookies du Garante italien du 10 juin 2021 (en vigueur le 10 janvier 2022) reconnaissent une exemption pour cookies analytiques lorsque quatre conditions sont remplies cumulativement :

  1. L’identification directe du visiteur est impossible.
  2. Le cookie est structuré de sorte que le même cookie puisse se rapporter à plusieurs appareils (obtenu en masquant au moins le dernier octet de l’IPv4 ou en effectuant une troncature IPv6 analogue).
  3. Les cookies sont utilisés exclusivement pour des statistiques agrégées mono-site.
  4. Aucune combinaison avec d’autres données et aucune transmission à des tiers.

La décision n° 224 du 9 juin 2022 du Garante contre Caffeina Media a interdit l’utilisation de Google Analytics pour transfert illicite vers les États-Unis. Le Garante a estimé que la fonctionnalité d’anonymisation IP de Google relevait de la pseudonymisation, et non de l’anonymisation — un constat qui a des implications bien au-delà de Google Analytics pour tout opérateur s’appuyant sur des IP hachées.

Le Garante est explicite sur le fait que l’intérêt légitime n’est pas une base valide pour les cookies et mécanismes de suivi — une position plus stricte que celle de la CNIL. Les opérateurs italiens ont un chemin plus étroit : l’exemption pour cookies existe, mais l’article 6(1)(f) ne peut être invoqué pour éluder la règle de consentement cookies lorsque la règle s’applique.

Un déploiement Statnive Live consent-free avec juridiction IT satisfait les quatre conditions du Garante par construction. L’architecture sans cookies contourne entièrement l’analyse cookie-ou-pas-cookie ; la signature BLAKE3-HMAC quotidienne-rotative est l’identifiant compatible multi-appareils que la condition (2) du Garante exige.

Espagne — guide AEPD de mesure d’audience

Le Guide de l’AEPD sur l’utilisation des cookies a été mis à jour en juillet 2023 et appliqué depuis le 11 janvier 2024. Le Guide complémentaire 2024 sur les cookies de mesure d’audience s’aligne étroitement sur l’approche de la Fiche 16 de la CNIL : mono-site, statistiques agrégées anonymes, pas de recoupement, conservation ≤ 25 mois, durée de vie du traceur dans les 13 mois, information utilisateur obligatoire.

L’article 22.2 de la LSSI est la disposition sous-jacente. Les amendes maximales pour manquements aux cookies au titre de la LOPD-GDD atteignent 30 000 € — inférieures au plafond de l’article 83 RGPD mais appliquées en parallèle avec lui pour la couche de traitement des données à caractère personnel.

La configuration de l’opérateur espagnol est essentiellement celle de l’opérateur français avec un langage de divulgation localisé. Un déploiement Statnive Live en mode consent-free avec juridiction ES satisfait le guide AEPD par construction.

Pays-Bas — les cookies analytiques ne nécessitent pas de consentement

L’Autoriteit Persoonsgegevens néerlandaise est explicite : « Les cookies analytiques, qui fournissent un éclairage sur le fonctionnement d’un site web, ne nécessitent pas de consentement s’ils sont utilisés uniquement pour compter les visiteurs. » Base juridique : article 11.7a de la Telecommunicatiewet.

Le signal d’application de l’AP est tranchant. L’amende de 600 000 € contre AS Watson (Health & Beauty Continental Europe) B.V., maison mère de Kruidvat, du 16 juillet 2024 portait sur des cookies de suivi placés sans consentement, y compris des cases de consentement pré-cochées. Les amendes maximales au titre de l’article 15.4 de la Loi Telecom atteignent 900 000 € ou 1-10 % du chiffre d’affaires. L’AP a construit un système de balayage automatisé qui surveille structurellement 10 000 sites néerlandais par an pour la conformité cookies — une échelle 20× plus grande que l’engagement antérieur de 500 sites. Le gouvernement néerlandais a alloué 500 000 € par an pour l’application cookies spécifiquement, avec une augmentation permanente de 350 000 €/an à partir de 2027. En avril 2025, l’AP a averti 50 organisations (détaillants en ligne, médias, assureurs) sur des bandeaux cookies trompeurs ; fin 2025, trois quarts des 200+ sites avertis avaient procédé aux ajustements. Les priorités stratégiques 2026-2028 de l’AP reclassifient le suivi en ligne comme « surveillance de masse » — un changement de positionnement majeur qui signale une intensification continue de l’application.

Les Pays-Bas se situent dans le groupe favorable à l’opérateur avec la France, l’Italie et l’Espagne sur l’exemption de mesure d’audience elle-même, mais l’appétit d’application de l’AP — particulièrement contre les cases pré-cochées et contre les cookies de suivi déployés sans analyse d’exemption — est parmi les plus élevés de l’UE. Un déploiement consent-free avec juridiction NL est le défaut sûr ; un déploiement consent-required doit avoir une UX de refus aussi simple que l’acceptation.

Belgique — pas d’exemption reconnue

L’Orientation cookies consolidée d’avril 2020 et la Cookies Checklist du 20 octobre 2023 de l’APD/GBA belge ne reconnaissent pas d’exemption de consentement pour cookies analytiques : « les cookies de mesure d’audience ne sont pas exemptés de l’exigence de consentement au titre du cadre juridique actuel. »

Palmarès d’application : la décision 85/2022 de l’APD a infligé à Roularta Media Group une amende de 50 000 € pour avoir placé des cookies statistiques sans consentement. Une décision de 2019 a infligé une amende de 15 000 € à un site d’actualités juridiques. Les deux sont des chiffres absolus plus petits que le palmarès de la CNIL mais signalent que l’APD audite la couche cookies et assigne des amendes spécifiques.

Le chemin consent-free de l’opérateur belge est l’architecture server-side uniquement — même base que l’Allemagne. La configuration qui survit en DE survit en BE ; une configuration d’exemption de mesure d’audience calée sur la Fiche 16 ne le fait pas.

Irlande — pas d’exemption publiée

La note d’orientation 2020 de la Data Protection Commission irlandaise sur les cookies et autres technologies de suivi exige un consentement opt-in pour les cookies non essentiels et s’aligne sur les lignes directrices 5/2020 du CEPD. Il n’y a pas d’exemption de mesure d’audience publiée équivalente à la Fiche 16 française ou à la position de l’AP néerlandaise.

L’application irlandaise est dominée par le rôle d’autorité chef de file pour les contrôleurs internationaux transfrontaliers dont le siège est en Irlande (Meta, Google, TikTok). Pour les opérateurs irlandais nationaux, le signal d’application spécifique aux cookies est plus discret que celui de la CNIL, de l’AP ou du Garante. La position robuste reste la base server-side uniquement — l’absence d’exemption reconnue signifie que la charge de la preuve pour toute revendication « sans consentement » repose sur l’AILI propre de l’opérateur et l’absence de stockage/accès sur l’équipement terminal.

Royaume-Uni — « priorité d’application faible » n’est pas une exemption légale

L’Information Commissioner’s Office britannique a finalisé son Guidance on the use of Storage and Access Technologies le 29 avril 2026 à l’issue de deux consultations et de la Data (Use and Access) Act 2025. PECR (Privacy and Electronic Communications Regulations 2003) telles que modifiées par la DUAA 2025 sont la disposition sous-jacente.

Position verbatim de l’ICO : « Les cookies analytiques ne relèvent pas de l’exemption “strictement nécessaire”. Cela signifie que vous devez informer les personnes au sujet des cookies analytiques et obtenir leur consentement pour leur utilisation. »

L’ICO concède que « l’ICO ne peut pas exclure la possibilité d’une action formelle dans quelque domaine que ce soit, cela peut ne pas toujours être le cas lorsque la pose d’un cookie analytique first-party résulte en un faible niveau d’intrusion et un faible risque de préjudice pour les individus » — une priorité d’application faible pour les analyses first-party à faible intrusion. Ce n’est pas une exemption légale ; c’est une dépriorisation d’application déclarée. Les opérateurs britanniques devraient toujours mettre en œuvre le consentement ou migrer vers une configuration strictement essentielle s’ils veulent zéro bandeau.

La DUAA 2025 a ajouté des exemptions étroites (cookies de sécurité, vérification d’âge) mais n’a pas créé d’exemption pour l’analyse. La revue de conformité de janvier 2025 par l’ICO sur les 1 000 premiers sites web britanniques — et les communications résultantes à 134 organisations énonçant des attentes réglementaires claires — confirme que l’ICO audite la couche même là où l’application formelle est rare.

Un déploiement consent-free avec juridiction UK repose sur l’architecture server-side uniquement (pas de déclenchement PECR car pas de stockage/accès sur l’équipement terminal) plus une AILI au titre de l’article 6(1)(f) RGPD. L’opérateur bénéficie de l’avantage de priorité-d’application-faible de l’ICO mais n’obtient pas la certitude juridique qu’une exemption reconnue fournirait.

Autriche — NetDoktor et la ligne Schrems-II

La décision NetDoktor de la Datenschutzbehörde autrichienne du 22 décembre 2021 (dossier 2021-0.586.257, D155.027) a été la première décision coordonnée par NOYB constatant que l’utilisation de Google Analytics par un opérateur violait le Chapitre V du RGPD car les adresses IP, les identifiants uniques et les paramètres du navigateur étaient transférés à Google aux États-Unis sans garanties adéquates. Les CCT et les mesures complémentaires de Google (y compris l’anonymisation IP) ont été jugées insuffisantes car Google se qualifie comme fournisseur de services de communications électroniques au titre du 50 USC § 1881(b)(4) (FISA 702).

Aucune amende n’a été imposée (séparation procédurale autrichienne entre le constat et toute amende subséquente), mais la décision a établi le précédent que les décisions ultérieures de la CNIL (10 février 2022) et du Garante (Caffeina Media du 9 juin 2022) ont prolongé.

L’Autriche n’a pas d’exemption de mesure d’audience autonome équivalente à la Fiche 16 française. Le chemin sans consentement de l’opérateur autrichien est l’architecture server-side uniquement plus une AILI documentée — essentiellement la même posture que le chemin de l’opérateur allemand ou belge.

Le seau « OTHER-EU » — les 19 États membres restants

Les 19 États membres restants de l’UE ont des transpositions nationales de l’article 5(3) ePrivacy mais, dans la plupart des cas, aucune exemption de mesure d’audience publiée équivalente au cadre Fiche 16 de la CNIL. La valeur de juridiction OTHER-EU de Statnive Live est le sélecteur de l’opérateur pour les sites dont le trafic principal provient d’États membres de l’UE non spécifiquement modélisés dans l’énumération à 11 juridictions.

Le défaut robuste pour les déploiements OTHER-EU est le mode consent-free avec l’architecture server-side uniquement et une AILI documentée au titre de l’article 6(1)(f). La configuration survit dans les 27 États membres car elle satisfait la cellule actuelle la plus stricte (le § 25 TDDDG d’Allemagne) ; elle ne dépend d’aucune exemption nationale spécifique reconnue.

Les opérateurs avec un trafic significatif provenant d’une juridiction UE spécifique non listée devraient consulter l’orientation spécifique du régulateur national et confirmer avec un conseil local. La carte regroupe ces 19 juridictions en une seule cellule précisément parce que la charge de conformité de l’opérateur est bornée par la cellule la plus stricte — et cette cellule la plus stricte est déjà modélisée par le comportement de la juridiction DE.

Le seau « OTHER-NON-EU » — y compris l’Iran (IR)

Statnive Live expose IR et OTHER-NON-EU comme valeurs de juridiction car le binaire est exploité par des opérateurs avec des déploiements hors UE et car l’architecture sans consentement est utile — et fréquemment légalement compatible — quelle que soit la juridiction. Les exemptions UE de mesure d’audience ne s’appliquent pas en dehors de l’UE/EEE. Un déploiement consent-free dans une juridiction non-UE est configurable d’un point de vue architecture-préservatrice-de-la-vie-privée, mais n’est pas légalement exempté au titre du droit de l’UE car le droit de l’UE ne s’applique pas.

La cellule iranienne (IR) spécifiquement : Statnive Live opère un chemin de déploiement dédié dans un centre de données iranien qui gère les exigences air-gap, l’absence de dépendance à Cloudflare, l’absence d’ACME-depuis-l’Iran, NTP iranien uniquement, dépendances vendor-isées, licences Ed25519 hors-ligne, et le bundle IDN .ir / .ایران. L’architecture est ce qu’elle est — mais le cadre juridique est le droit iranien, pas le droit de l’UE. Les opérateurs servant du trafic iranien devraient consulter un conseil local pour les règles applicables.

Le seau OTHER-NON-EU couvre tout le reste : sites US sous CCPA / lois d’États, sites canadiens sous PIPEDA, sites australiens sous le Privacy Act, sites brésiliens sous LGPD, sites indiens sous DPDP, sites chinois sous PIPL, etc. Statnive Live ne revendique pas la conformité PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA prête à l’emploi — il s’agit de configurations propres à l’opérateur nécessitant l’examen d’un conseil local. L’architecture sans consentement par défaut est configurable pour qualifier au titre des équivalents de nombre de ces régimes (la plupart des juridictions reconnaissent la mesure d’audience first-party server-side comme à faible risque), mais la position marketing est « configurable, non certifié » — pas « conforme » ni « certifié ».

Comment l’énumération à 11 juridictions de Statnive Live mappe vers cette carte

Le panneau de politique du site expose onze valeurs :

  • DE — le validateur de règle stricte interdit permissive ; défaut à consent-free avec respect_gpc = true.
  • FR — défaut à consent-free ; langage d’attestation Fiche 16 exposé à /legal/privacy-policy/en et /legal/privacy-policy/fr (cette dernière lorsque le mirror locale FR est câblé).
  • IT, ES, NL — défaut à consent-free ; s’aligne sur les exemptions nationales respectives.
  • BE, IE, AT — défaut à consent-free avec l’architecture server-side uniquement ; pas d’exemption nationale reconnue, donc l’opérateur s’appuie sur le cadrage no-déclenchement-de-l’article-5(3) plus AILI au titre de l’article 6(1)(f).
  • UK — défaut à consent-free avec l’architecture server-side uniquement ; la priorité-d’application-faible de l’ICO n’exempte pas légalement mais l’architecture survit à PECR en évitant le stockage/accès sur l’équipement terminal.
  • OTHER-EU — défaut à consent-free ; même posture que BE / IE / AT.
  • IR — chemin de déploiement en centre de données iranien ; défaut à permissive car les règles de consentement UE ne s’appliquent pas (le validateur l’autorise pour cette juridiction).
  • OTHER-NON-EU — défaut à permissive ; l’opérateur est responsable de l’examen par un conseil local.

Le validateur de règle stricte s’exécute à la sauvegarde de la politique et au chargement de la politique à chaque requête d’ingest. Les combinaisons valides pour chaque juridiction sont appliquées par le validateur, pas par convention de l’opérateur. Les opérateurs qui essaient de mettre un site DE en mode permissive obtiennent l’erreur explicite et la requête est rejetée.

Où la carte changera

Une courte liste de surveillance pour les opérateurs suivant le dossier :

  1. Article 88a(3)(c) du Digital Omnibus — s’il est adopté intact, harmonise l’exemption de mesure d’audience dans les 27 États membres. Statut à la mi-mai 2026 : proposition de la Commission, pas de vote en plénière du Parlement. Voir le post Digital Omnibus pour le statut législatif.
  2. Garante italien — peut publier des orientations actualisées post-Digital-Omnibus. Surveillez toute mise à jour des Lignes directrices cookies 2021.
  3. ICO britannique — la mise en œuvre de la DUAA 2025 est en cours. Surveillez tout rétrécissement ou élargissement de la position de « priorité d’application faible ».
  4. Appel Latombe CJUE — conteste le cadre de protection des données UE-US. Si le DPF tombe, la ligne Schrems-II se resserre encore ; l’architecture UE-uniquement de Statnive Live est la réponse défensive.
  5. Reconnaissance EinwV (Allemagne) — le chemin de reconnaissance de l’Ordonnance sur la gestion du consentement peut s’élargir à des PIMS reconnus qui simplifient l’UX de consentement pour les déploiements consent-required.
  6. Rapports d’inspection des APD nationales — le balayage de 1 000 sites de l’APD de Hambourg, la surveillance de 500 sites de l’AP, le programme d’audit de la CNIL — tous publient périodiquement et peuvent déplacer le signal de priorité d’application par juridiction.

Cette carte porte un champ updatedDate — référez-vous à cet horodatage pour la version de la carte que vous lisez. Nous republions à chaque changement matériel dans une cellule.

Ce que cela apporte à l’opérateur

Le résultat pratique pour l’opérateur en consultant cette carte :

  • Une référence en une page pour les 11 juridictions modélisées par l’énumération de Statnive Live, avec la transposition nationale sous-jacente, la position d’exemption de mesure d’audience, le plafond de sanction et le signal d’application en une ligne chacun.
  • Un arbre de décision de configuration. Configurer pour l’Allemagne ; la configuration survit au reste de l’UE. Configurer pour la juridiction principale de l’opérateur ; documenter cette décision et l’AILI qui la sous-tend.
  • Une liste de contrôle pré-déploiement. Pour chaque juridiction dans laquelle l’opérateur a du trafic : quelle exemption nationale s’applique (le cas échéant), à quoi doit ressembler le langage de divulgation, où la configuration est appliquée (le validateur de règle stricte de Statnive Live fait l’essentiel du travail).
  • Un cadre de compatibilité ascendante. Lorsque le Digital Omnibus passera par le Parlement, l’opérateur peut relire cette carte aux côtés du statut législatif et mettre à jour la configuration une fois l’exemption stabilisée.

Ce que cela n’apporte pas : un conseil juridique pour un déploiement spécifique. La carte est le point de départ de l’opérateur ; l’AILI, la politique de confidentialité, l’examen DPA et la consultation par juridiction d’un conseil sont le travail de finition de l’opérateur.

Quoi faire, et quoi éviter

À faireÀ éviter
Configurer pour la cellule la plus stricte avec trafic — typiquement l’Allemagne — et laisser le reste de l’UE composer vers le haut.Faire tourner 27 configurations séparées par État membre. La base stricte subsume le reste par construction.
Documenter une Analyse d’Intérêt Légitime selon les lignes directrices 1/2024 du CEPD couvrant la base de l’article 6(1)(f) RGPD.S’appuyer sur l’intérêt légitime comme substitut au consentement § 25 TDDDG en Allemagne — la DSK a explicitement fermé cette voie.
Borner la conservation au plafond de 25 mois de la CNIL, même en dehors de la France — il satisfait le plafond de tous les autres États membres par composition.Faire tourner une conservation ouverte. La minimisation des données de l’article 5(1)(e) + l’objectif de transparence du CEPD 2026 s’appliquent dans toutes les cellules.
Pour les opérateurs aux Pays-Bas : le système de balayage automatisé de l’AP atteint désormais 10 000 sites/an. Obtenez le bon UX de bandeau.Traiter la position de l’AP néerlandaise comme un signal souple. La vague d’avertissements d’avril 2025 + la reclassification « surveillance de masse » 2026-2028 signifient que l’application s’intensifie.
Dans le seau OTHER-NON-EU : énoncez explicitement votre posture spécifique à la juridiction ; consultez un conseil local ; marquez « configurable, non certifié ».Revendiquer la conformité PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA prête à l’emploi. Statnive ne le fait pas, et la position marketing doit le refléter.

La conclusion

La carte 2026 UE de l’analyse web sans consentement est un patchwork — onze cellules modélisées par l’énumération de juridictions de Statnive Live, avec sept positions réglementaires distinctes et quatre niveaux de signal d’application. La France est la plus favorable à l’opérateur. L’Allemagne est la plus stricte et la contrainte contraignante pour tout déploiement paneuropéen. Les cellules UE/EEE restantes se situent entre ces deux ancres avec des deltas spécifiques aux régulateurs nationaux.

La configuration qui satisfait l’Allemagne satisfait le reste de l’UE par composition. La configuration qui satisfait proprement la Fiche 16 de la France couvre la France, l’Italie, l’Espagne et les Pays-Bas mais nécessite toujours l’architecture grade-Allemagne pour le trafic allemand. Le déploiement robuste est la base la plus stricte avec des localisations par juridiction par-dessus — qui est exactement ce que l’énumération à 11 juridictions + matrice à 4 modes de consentement de Statnive Live expose.

Pour le cadre plus large, le manuel pilier est la référence canonique. Pour les analyses approfondies spécifiques aux pays, les articles Fiche 16 CNIL et § 25 TDDDG décortiquent la France et l’Allemagne. Pour les flux de travail jour-1 de l’opérateur — points d’accès DSAR, GPC et mode hybride — les articles associés couvrent la surface technique. Pour l’angle d’actualité législative, le post Digital Omnibus suit le dossier au Parlement.

Si quelque chose dans cette carte est erroné, les citations ci-dessus sont les URL à vérifier. Nous mettons la carte à jour à chaque changement matériel dans une cellule — l’updatedDate en haut reflète la version que vous lisez.

Il s’agit de recherche sur la vie privée, et non d’un conseil juridique. La carte regroupe des tests à conditions cumulatives en cellules uniques. Chaque client de Statnive demeure le responsable de traitement et porte la responsabilité de sa propre configuration et analyse par juridiction. Les cellules IR et OTHER-NON-EU sont configurables, non certifiées — Statnive ne revendique pas la conformité PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA. À recouper avec un conseil qualifié dans chaque juridiction avant publication.

Statut des références réglementaires au 13 mai 2026 : CNIL Fiche n°16 + mise à jour du 4 juillet 2025 + Recommandation cookies consolidée du 16 janvier 2026 + Recommandation pixels de suivi du 14 avril 2026 ; programme d’évaluation hérité retiré le 1 janvier 2026 ; amende de 3,5 M€ publiée le 22 janvier 2026 (FR) ; § 25 TDDDG + DSK Orientierungshilfe v1.2 du 20 novembre 2024 (toujours opérationnel à la date de mai 2026) ; application continue 2024-2026 par BayLDA / NRW / Berlin / Hambourg (DE) ; Lignes directrices cookies Garante du 10 juin 2021 en vigueur le 10 janvier 2022 + décision n. 224 du 9 juin 2022 + plan d’inspection 2026 (40+ inspections ciblées au S1 2026, Guardia di Finanza) (IT) ; Guide AEPD sur les cookies (juillet 2023, appliqué le 11 janvier 2024) + Guide AEPD mesure d’audience (2024) (ES) ; position cookies de l’Autoriteit Persoonsgegevens + article 11.7a Telecommunicatiewet + amende de 600 000 € contre Kruidvat du 16 juillet 2024 + surveillance AP 10 000 sites/an + positionnement 2026-2028 « surveillance de masse » + vague d’avertissements d’avril 2025 à 50 organisations (NL) ; Orientation cookies APD d’avril 2020 + Décision 85/2022 + Plan stratégique APD/GBA 2026-2028 (BE) ; Note d’orientation DPC (2020) (IE) ; Orientation ICO sur l’utilisation des Storage and Access Technologies du 29 avril 2026 + DUAA 2025 (UK) ; décision NetDoktor DSB du 22 décembre 2021 (AT). CCPA § 7025(c)(6) effectif le 1 janvier 2026 — indication visible du respect de GPC requise (transversal pour la cellule OTHER-NON-EU). Digital Omnibus COM(2025) 837 final — proposition de la Commission du 19 novembre 2025, pas de vote en plénière du Parlement européen sur COM(2025) 837 à la date du 13 mai 2026. Avis conjoint CEPD-CEPD 2/2026 du 11 février 2026 ; lignes directrices 2/2023 v2.0 du CEPD du 7 octobre 2024 ; lignes directrices 1/2024 du CEPD du 8 octobre 2024 ; projet de lignes directrices 01/2025 du CEPD sur la pseudonymisation (l’équipe sprint vise l’achèvement à l’été 2026) ; avis 5/2019 du CEPD. Objectif du cadre d’application coordonné CEPD 2026 : transparence + obligations d’information (transversal).

Installer Statnive gratuitement