Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

L’ePrivacy est le texte européen qui encadre les cookies, les traceurs et la prospection électronique, un domaine que le RGPD ne couvre pas entièrement. Le règlement censé la moderniser et la remplacer a été officiellement abandonné en 2025 après huit ans de blocage. Aujourd’hui, ses règles ne disparaissent pas : elles sont en train de migrer directement dans le RGPD via le Digital Omnibus. Voici ce qu’il faut comprendre pour rester conforme.

Qu’est-ce que la directive ePrivacy et en quoi diffère-t-elle du RGPD ?

La directive 2002/58/CE, dite « directive ePrivacy » ou « vie privée et communications électroniques », a été adoptée le 12 juillet 2002 et modifiée en 2009 pour intégrer les règles sur les cookies (la « directive cookies »). Elle complète le RGPD sur un point précis que ce dernier ne couvre pas : la confidentialité des communications électroniques elles-mêmes, et l’accès aux informations stockées sur le terminal d’un utilisateur.

La différence est souvent mal comprise :

  • Le RGPD encadre le traitement des données personnelles, une fois qu’elles sont collectées.
  • L’ePrivacy encadre l’accès et le dépôt d’informations sur le terminal de l’utilisateur (cookies, pixels, SDK mobiles) et la confidentialité des communications (emails, SMS, appels), qu’il s’agisse ou non de données personnelles.

C’est cette distinction qui explique pourquoi un cookie purement technique (panier d’achat, préférence de langue) échappe au consentement RGPD mais reste soumis à l’ePrivacy, tandis qu’un traceur publicitaire ou un pixel de suivi email relève des deux textes à la fois.

Ce que la directive ePrivacy impose concrètement

En pratique, l’ePrivacy structure l’essentiel de ce que vos utilisateurs voient au quotidien :

  • Cookies et traceurs : consentement préalable obligatoire pour tout cookie non strictement nécessaire au fonctionnement du service (mesure d’audience non anonymisée, publicité, réseaux sociaux).
  • Prospection électronique : opt-in obligatoire pour l’emailing et les SMS en B2C ; règles plus souples mais encadrées en B2B.
  • Confidentialité des communications : interdiction d’intercepter ou de surveiller le contenu des communications électroniques sans base légale.
  • Annuaires et données de localisation : information et consentement pour l’inscription dans un annuaire public, encadrement strict des données de géolocalisation.

Contrairement au RGPD, l’ePrivacy est une directive : chaque État membre l’a transposée dans son droit national, avec des variations. C’est pourquoi les règles de bandeaux cookies peuvent légèrement différer d’un pays européen à l’autre, alors que le RGPD, lui, s’applique uniformément en tant que règlement.

Pourquoi le règlement ePrivacy censé la remplacer a été abandonné

Depuis 2017, la Commission européenne travaillait sur un règlement ePrivacy destiné à remplacer la directive de 2002 par un texte unique, directement applicable dans tous les États membres, sur le modèle du RGPD.

L’objectif : moderniser les règles pour couvrir les services de messagerie (WhatsApp, Messenger), harmoniser les sanctions avec celles du RGPD, et clarifier le régime des cookies.

Après huit ans de négociations sans accord entre le Parlement européen et le Conseil, la Commission a officiellement retiré cette proposition :

  • 11 février 2025 : annonce du retrait dans le programme de travail 2025 de la Commission, motivé par l’absence d’accord prévisible entre co-législateurs et le caractère jugé dépassé du texte face aux évolutions technologiques et législatives récentes (DSA, DMA notamment).
  • 16 juillet 2025 : la Commission approuve formellement le retrait.
  • 6 octobre 2025 : publication du retrait au Journal officiel de l’Union européenne.

Conséquence directe : la directive ePrivacy de 2002 reste en vigueur, avec ses transpositions nationales existantes. Il n’y aura pas de règlement ePrivacy unique et directement applicable.

Ce qui se prépare à la place : l’intégration dans le RGPD via le Digital Omnibus

Plutôt qu’un texte séparé, la Commission a choisi une autre voie avec le Digital Omnibus présenté en novembre 2025 : faire basculer les règles de consentement aux cookies directement dans le texte du RGPD, et non plus dans une directive séparée. Les changements envisagés :

  • Fin annoncée des bandeaux cookies systématiques : introduction de signaux de consentement automatisés et lisibles par les machines, permettant à un navigateur d’exprimer une fois pour toutes les préférences de l’utilisateur.
  • Consentement valable 6 mois en un clic, ou mémorisé au niveau du navigateur/système.
  • Publicité contextuelle encouragée plutôt que comportementale, via une exception entourée de garanties.
  • Coexistence de deux régimes (données personnelles / non personnelles) sur laquelle l’EDPB a déjà exprimé des réserves techniques et juridiques.

Ce texte est actuellement en discussion au Parlement européen, avec un calendrier serré : le rapport ITRE-LIBE et sa deadline d’amendements au 15 juillet 2026 sont à surveiller de près pour savoir si ces dispositions seront maintenues, modifiées ou supprimées avant l’adoption définitive.

Illustration du Digital Omnibus européen montrant la régulation du numérique, l’intelligence artificielle, le RGPD et l’AI Act en Europe
Le Digital Omnibus marque un tournant dans la régulation numérique européenne, entre RGPD, intelligence artificielle et cybersécurité.

Ce que les organisations doivent retenir aujourd’hui

En attendant l’issue de ces discussions, la règle reste simple : la directive ePrivacy de 2002 continue de s’appliquer sans changement. Concrètement, pour votre stratégie marketing digital et votre gestion des cookies :

  • Continuez à recueillir un consentement explicite pour tout cookie non essentiel.
  • Documentez vos bases légales pour la prospection électronique (opt-in B2C, encadrement B2B).
  • Ne relâchez pas votre vigilance sur les pixels de tracking et autres traceurs invisibles, qui restent soumis aux mêmes règles que les cookies classiques.
  • Anticipez : si les dispositions du Digital Omnibus sont adoptées, vos bandeaux cookies et vos parcours de consentement devront être revus en profondeur.

FAQ – ePrivacy

La directive ePrivacy est-elle toujours en vigueur en 2026 ?

Oui. Après l’abandon du projet de règlement censé la remplacer, la directive 2002/58/CE et ses transpositions nationales restent pleinement applicables. Aucune date de remplacement n’est fixée à ce jour.

Quelle est la différence entre ePrivacy et RGPD ?

Le RGPD encadre le traitement des données personnelles une fois collectées. L’ePrivacy encadre l’accès et le dépôt d’informations sur le terminal de l’utilisateur (cookies, traceurs) ainsi que la confidentialité des communications électroniques, que les données concernées soient personnelles ou non. Les deux textes s’appliquent souvent simultanément à une même situation, comme les cookies publicitaires.

Pourquoi le règlement ePrivacy a-t-il été abandonné ?

La Commission européenne a retiré sa proposition en 2025 après huit ans de blocage entre le Parlement européen et le Conseil, faute d’accord prévisible. Le texte était également jugé dépassé face à des législations plus récentes comme le Digital Services Act et le Digital Markets Act.

Les règles sur les cookies vont-elles changer ?

Oui, potentiellement. Le Digital Omnibus propose d’intégrer les règles de consentement aux cookies directement dans le RGPD, avec des mécanismes de consentement automatisés destinés à réduire la fatigue des bandeaux cookies. Ces dispositions sont en cours d’examen au Parlement européen et pourraient être modifiées avant adoption définitive.

Dois-je continuer à afficher un bandeau cookies aujourd’hui ?

Oui, absolument. Tant que le Digital Omnibus n’est pas formellement adopté et entré en application, les obligations actuelles de consentement issues de la directive ePrivacy restent pleinement en vigueur. Aucun changement n’est encore effectif.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

L’ePrivacy encadre les cookies, les traceurs et la prospection électronique, en complément du RGPD. Le règlement censé la remplacer a été officiellement abandonné en 2025 après huit ans de blocage. La directive de 2002 reste donc pleinement en vigueur aujourd’hui. Ses règles sont toutefois en train de migrer vers le RGPD via le Digital Omnibus, actuellement en discussion au Parlement européen. Les organisations doivent continuer à appliquer les règles existantes tout en anticipant une possible révision de leurs parcours de consentement.

Faire le point sur votre conformité cookies et ePrivacy !

Sources


Pour aller plus loin


Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?


À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.