Veracly
Multi-jurisdiction

Conformité web aux Pays-Bas : cookies, RGPD et accessibilité

Les Pays-Bas appliquent les mêmes règles européennes que tout le monde, mais via leurs propres textes et autorités. La règle cookies est dans la Telecommunicatiewet, le régulateur est l’Autoriteit Persoonsgegevens, et l’accessibilité est désormais la loi.

Par Veracly Compliance Team7 min de lecture

Les Pays-Bas sont membres de l’UE : les règles principales sont donc les mêmes que dans tout le marché — le RGPD pour les données personnelles, la directive ePrivacy pour les cookies et le stockage, et l’European Accessibility Act pour l’accessibilité numérique. La difficulté est que chacune atteint un site néerlandais via un texte national et une autorité différents. Ce guide cartographie les trois cadres tels qu’ils s’appliquent réellement aux Pays-Bas en 2026.

Les trois cadres applicables

  • RGPD + UAVG. Le RGPD s’applique directement ; l’Uitvoeringswet AVG (UAVG) précise le détail national. L’autorité de contrôle est l’Autoriteit Persoonsgegevens (AP).
  • ePrivacy via la Telecommunicatiewet. La règle de consentement cookies est l’article 11.7a de la Telecommunicatiewet, en vigueur depuis 2012. C’est elle qui impose le bandeau — pas le RGPD.
  • EAA via l’Implementatiewet. L’European Accessibility Act est transposé par l’Implementatiewet toegankelijkheidsvoorschriften producten en diensten, applicable aux produits et services grand public visés à partir du 28 juin 2025.

Cookies : article 11.7a Telecommunicatiewet

L’article 11.7a exige qu’avant de stocker ou de lire des informations sur l’équipement terminal de l’utilisateur, le site informe clairement et complètement des finalités et obtienne le consentement. Deux exceptions étroites s’appliquent : un cookie strictement nécessaire à la transmission de la communication, et un cookie strictement nécessaire à un service explicitement demandé (par exemple un cookie de session ou de panier).

Tout le reste — analytics, pixels publicitaires, intégrations sociales, tests A/B, enregistrement de session — requiert un consentement opt-in préalable. Comme dans le reste de l’UE, la règle est neutre technologiquement : remplacer un cookie par du localStorage ou un pixel n’y échappe pas.

La campagne cookies de l’AP

En 2025, l’Autoriteit Persoonsgegevens a fait des bandeaux cookies une priorité de contrôle affichée. Plusieurs organisations ont reçu une « lettre cookies » leur demandant de corriger des bandeaux non conformes, et l’AP a examiné les déploiements de Google Analytics 4. Sa position sur le design du bandeau est précise :

  • S’il y a un bouton « Tout accepter » au premier niveau, il doit y avoir un « Tout refuser » à ce même niveau, aussi visible.
  • Un lien « Paramètres » ou « Gérer » ne compte pas comme un refus — refuser doit être aussi simple qu’accepter.
  • Aucun cookie ou traceur non essentiel ne peut se déclencher avant le consentement actif.

Cela reflète le consensus européen (voir notre article sur la parité du refus) et c’est de loin le défaut reproductible le plus fréquent que Veracly détecte sur les sites néerlandais.

Accessibilité : l’EAA en droit néerlandais

L’European Accessibility Act s’applique dans toute l’UE à partir du 28 juin 2025. Aux Pays-Bas, il est transposé par l’Implementatiewet toegankelijkheidsvoorschriften producten en diensten, qui modifie plusieurs lois existantes dont la Warenwet, la Telecommunicatiewet et le Code civil. Pour les services numériques, les sites, apps et boutiques en ligne grand public doivent être accessibles — mesurés en pratique au regard de WCAG 2.1 AA via la norme harmonisée EN 301 549.

L’application est répartie entre superviseurs selon le produit ou service ; l’Authority for Consumers and Markets (ACM) supervise l’e-commerce. Un allègement microentreprise existe pour les services (moins de 10 salariés et chiffre d’affaires ou bilan jusqu’à 2 M€), mais il est étroit et ne couvre pas les produits. Le secteur public était déjà couvert séparément par la directive sur l’accessibilité du web.

Une checklist pratique pour un site néerlandais

  1. Aucun cookie, pixel ou écriture de stockage non essentiel ne se déclenche avant le consentement.
  2. Le bandeau propose « Tout refuser » au premier niveau, aussi visible que Tout accepter.
  3. Une politique de confidentialité nomme les traceurs et la base légale RGPD/UAVG.
  4. L’analytics (dont GA4) est conditionné au consentement, et tout transfert vers les États-Unis repose sur un mécanisme valide du chapitre V.
  5. Le site respecte WCAG 2.1 AA (EN 301 549) pour le contenu grand public.

Comment Veracly contrôle un site néerlandais

Veracly évalue une URL néerlandaise au regard des trois cadres en un seul scan. Le module cookies enregistre chaque requête réseau, cookie et écriture de stockage survenant avant l’interaction avec le bandeau et signale les problèmes liés à l’article 11.7a (déclenchement avant consentement, absence de voie de refus, bandeau absent). Le module accessibilité exécute axe-core sur le DOM rendu pour WCAG 2.1 AA. Chaque constat est rattaché au cadre réellement concerné et reproductible par vous dans les DevTools de votre navigateur.

À lire aussi : Conformité web en Finlande · RGPD vs ePrivacy : qui régit les cookies ? · L’EAA pour les PME

Questions fréquentes

Ai-je besoin d’un bandeau cookies pour un site néerlandais ?+

Si votre site dépose un cookie non essentiel ou lit un stockage non essentiel : oui. L’article 11.7a de la Telecommunicatiewet exige un consentement préalable et éclairé avant de déposer ou de lire des informations sur l’appareil, avec des exceptions étroites pour les cookies strictement nécessaires et de transmission. Les lignes directrices 2026 de l’Autoriteit Persoonsgegevens sont claires : s’il y a un bouton « Tout accepter » au premier niveau, il doit y avoir un « Tout refuser » au même niveau, aussi visible.

Quelle autorité applique les règles cookies aux Pays-Bas ?+

L’Autoriteit Persoonsgegevens (AP), l’autorité néerlandaise de protection des données, pilote les cookies et le RGPD ; l’Authority for Consumers and Markets (ACM) partage la compétence sur la Telecommunicatiewet. En 2025, l’AP a mené une campagne très visible sur les bandeaux cookies — envoi de « lettres cookies » et examen des déploiements de Google Analytics 4 — et a demandé à être désignée superviseur compétent pour l’art. 11.7a.

L’European Accessibility Act s’applique-t-il à mon site néerlandais ?+

Pour la plupart des services et produits numériques grand public mis sur le marché à partir du 28 juin 2025 : oui. L’EAA est transposé par l’Implementatiewet toegankelijkheidsvoorschriften producten en diensten, qui modifie notamment la Warenwet, la Telecommunicatiewet et le Code civil. Les sites et applications doivent en pratique respecter WCAG 2.1 AA via EN 301 549. Un allègement microentreprise existe pour les services (moins de 10 salariés et 2 M€ de CA), mais pas pour les produits.

Voyez où en est votre site.

Lancez un scan Veracly gratuit et obtenez un rapport multi-juridictions — EAA, RGPD, ADA, UK Equality Act, AODA — avec des correctifs prêts à coller pour les développeurs.

Lancer un scan gratuit

À lire aussi