Un audit californien publié en mars 2026 montre que Google, Microsoft et Meta continuent de déposer des cookies de suivi après un refus explicite des utilisateurs, car payer les amendes leur revient moins cher que de se conformer aux règles.
Un audit publié en mars 2026 par la société californienne webXray révèle que plusieurs grandes entreprises de la publicité en ligne continuent de déposer des cookies de suivi sur les appareils des utilisateurs, même lorsque ceux-ci ont explicitement refusé leur consentement. Google, Microsoft et Meta figurent parmi les acteurs pointés du doigt.
Des bannières qui n’appliquent pas les choix des utilisateurs
Les bannières de consentement aux cookies sont apparues en réponse aux législations européennes sur la protection de la vie privée, qui imposent d’obtenir un accord explicite avant de placer des cookies publicitaires ou de suivi. Elles se sont ensuite répandues dans d’autres régions du monde, notamment aux États-Unis, où certains États comme la Californie ont adopté des règles similaires.
Selon l’audit de webXray, 55 % des sites analysés déposent des cookies après un refus de l’utilisateur, et 78 % des bannières de consentement ne font rien pour faire respecter le choix exprimé. Le rapport précise que ce comportement est directement observable dans le trafic réseau, sans qu’il soit particulièrement dissimulé.
Des chiffres détaillés par entreprise
L’audit distingue les trois entreprises sur la nature et l’ampleur du problème.
Chez Microsoft, le réseau publicitaire ignorerait environ la moitié des signaux de refus et continuerait à suivre les utilisateurs sur 35 % des sites clients. webXray estime que cela représente environ 390 millions de dollars d’amendes potentielles.
Chez Google, les chiffres sont plus élevés : 86 % des demandes de refus seraient ignorées, et le suivi resterait actif sur 77 % des sites concernés. L’amende estimée s’élèverait à 2,31 milliards de dollars.
Le cas de Meta est décrit différemment : son code de suivi ne vérifierait tout simplement pas les signaux de refus. Parmi les sites qui, eux, détectent ces signaux, 69 % les ignorent quand même, et 21 % procèdent activement au suivi. webXray estime que Meta aurait déjà payé jusqu’à 9,3 milliards de dollars d’amendes à ce jour.
Au total, le rapport évalue à 5,8 milliards de dollars les amendes que les entreprises du secteur pourraient préférer payer plutôt que de se mettre en conformité.
Une logique économique assumée ?
Timothy Libert, fondateur de webXray et ancien ingénieur spécialisé en protection de la vie privée chez Google, a déclaré au média 404 Media que, lors de son passage dans l’entreprise, la direction avait tendance à ne pas faire de distinction entre les amendes et les taxes. Une façon de dire que les sanctions financières étaient intégrées comme un simple coût d’exploitation, sans que cela entraîne de changement de pratiques.
Les entreprises contestent les conclusions
Google, Microsoft et Meta ont chacune répondu en contestant les conclusions du rapport. Microsoft a indiqué que certains cookies sont nécessaires au bon fonctionnement des sites. Meta a fait valoir que certaines configurations permettent aux sites web eux-mêmes de passer outre les signaux de refus. Les trois entreprises estiment que l’audit présente une vision inexacte de leurs technologies.
Le débat sur l’efficacité réelle des mécanismes de consentement n’est pas nouveau. Depuis plusieurs années, des régulateurs et des chercheurs soulignent que les interfaces de gestion des cookies sont souvent conçues de manière à décourager le refus plutôt qu’à le faciliter. Cet audit s’inscrit dans cette continuité, en apportant des données chiffrées sur ce qui se passe effectivement une fois que l’utilisateur a cliqué sur “refuser”.
