Transferts de données avant consentement, consentement aux cookies, adoption des CMP sur 816013 sites web de l'UE — mesurés, et non estimés.
45%
Bannière de cookies détectée
21%
Option de refus disponible
16%
Pré-consentement à haut risque
55%
Hébergement dont le siège est dans l'UE
561642 sites analysés · GDPR Art. 44
Resources loaded before cookie consent transfer the user's IP address to third parties — personal data under GDPR. International transfers require safeguards per GDPR Art. 44-49 and Schrems II (CJEU C-311/18). ePrivacy Art. 5(3) prohibits non-essential storage/access without prior consent.
16%
Sites with high-risk transfers
97%
Sites with medium-risk transfers
2.8
Avg transfers / site
35.9
Avg third-party requests
0.2
Avg high-risk / site
2.6
Avg medium-risk / site
Pre-consent transfers can be eliminated by self-hosting resources or using EU-based alternatives:
Google Consent Mode v2 with default 'denied' addresses data-collection-before-consent for Google tags (no data collection before consent), but the script itself still loads — transferring the user's IP. Server-side GTM eliminates this last transfer.
20719 sites with detected CMP
Consent Management Platforms (CMPs) implement the cookie consent requirements of ePrivacy Directive 2002/58/EC and GDPR. A CMP's quality directly affects legal compliance — misconfigured banners are a leading cause of GDPR enforcement actions.
Consent Management Platform distribution across 20719 sites with detected CMP
855847 sites with hosting data
GDPR Art. 28 requires processor agreements specifying data location. Art. 44-49 govern international transfers — the CLOUD Act gives US authorities access to data held by US companies regardless of server location. Schrems II (CJEU C-311/18) invalidated Privacy Shield and requires supplementary measures for US transfers.
73%
Hosted in EU/EEA
27%
Hosted outside EU
59%
Hosted domestically
55%
Fournisseur basé dans l’UE
45%
Fournisseur hors UE (CLOUD Act / Schrems II)
Localisation du serveur par géolocalisation IP (MaxMind GeoLite2). Siège social issu du registre ASN. Un site peut être physiquement hébergé dans l'UE mais utiliser un fournisseur américain soumis au CLOUD Act — selon Schrems II (CJUE C-311/18), cela nécessite des CCT avec des mesures supplémentaires. · GDPR Art. 44-49
Comment ces données ont été collectées et ce qu'elles représentent.
Toutes les données sont collectées via des analyses automatisées et non intrusives de sites web accessibles au public. Aucun identifiant n'est utilisé, aucun formulaire n'est soumis et aucune donnée privée n'est consultée.
Les mécanismes de consentement aux cookies sont testés à l'aide d'un navigateur headless (Playwright). Nous chargeons chaque site sans interagir avec la bannière de consentement et enregistrons tous les cookies déposés, les requêtes tierces effectuées et les ressources chargées avant toute interaction utilisateur — capturant ainsi l'état de pré-consentement.
La détection CMP identifie la plateforme de gestion du consentement utilisée (p. ex. Cookiebot, OneTrust, Usercentrics) via les signatures de scripts, les éléments du DOM et les endpoints d'API. La prise en charge de Google Consent Mode et du framework IAB TCF est détectée par sondage des API JavaScript.
Les transferts de données avant consentement sont classés par niveau de risque selon la juridiction de l'entreprise destinataire, l'ampleur du traitement et l'existence d'une alternative basée dans l'UE. Les transferts à haut risque concernent des services américains sans garanties appropriées.
Les données d'hébergement sont déterminées par géolocalisation IP (MaxMind GeoLite2) pour la localisation du serveur et par consultation du registre ASN pour le siège social du fournisseur.
Aucun site individuel n'est nommé. Toutes les statistiques sont agrégées et anonymisées. Les références réglementaires indiquent quelles exigences se rapportent à chaque constat — elles n'affirment pas la non-conformité d'une organisation spécifique.
Lancez une analyse gratuite de confidentialité et comparez votre consentement aux cookies, vos transferts avant consentement et la conformité de votre hébergement — en 30 secondes, sans inscription.
Basé sur des analyses automatisées de 816013 sites web européens. Mis à jour en continu.