Les principes de protection des données dès la conception et de protection des données par défaut ont été consacrés par l’article 25 du règlement (UE) 2016/679. Or le paramétrage par défaut des cookies consiste, dans la plupart des navigateurs actuels, à «accepter tous les cookies». Par conséquent, les fournisseurs de logiciels permettant la récupération et la présentation d'informations sur Internet devraient être tenus de configurer les logiciels de manière à ce qu'ils offrent la possibilité d'empêcher les tiers de stocker des informations sur les équipements terminaux. Cette option correspond souvent à la formule «rejeter les cookies de tiers». Les utilisateurs finaux devraient disposer d'un éventail de réglages de confidentialité, depuis les plus restrictifs (par exemple, «ne jamais accepter les cookies») jusqu'aux plus permissifs (par exemple, «toujours accepter les cookies»), en passant par des options intermédiaires (par exemple, «rejeter les cookies de tiers» ou «accepter uniquement les cookies propres»). Ces paramètres de confidentialité devraient se présenter sous une forme facile à visualiser et à comprendre.