Nous contacter
Nous contacter
Cookies et consentement RGPD : guide pratique - Blog DMOuvrard
Cookies et consentement RGPD : guide pratique

Cookies et consentement RGPD : principes essentiels

Cookies et consentement RGPD vont de pair. En effet, en dehors de quelques traceurs exemptés, le dépôt de traceur impose, au préalable, d’en informer l’utilisateur et d’obtenir son consentement libre, spécifique, éclairé et univoque avant tout dépôt. Les règles s’appuient sur l’article 82 de la loi Informatique et Libertés1, sur la directive ePrivacy2, sur le RGPD3 et sur les lignes directrices de la CNIL. Des sanctions récentes démontrent la fermeté de la CNIL à l’encontre des pratiques non conformes…

Comment configurer une bannière de cookie (cookie banner) conforme ?

  1. Bloquer les traceurs non exemptés avant consentement.
  2. Proposer un choix granulaire (catégories : strictement nécessaires, statistiques, marketing).
  3. Ne pas utiliser de cookie walls : l’accès conditionné au site contre le consentement est interdit.
  4. Faciliter le retrait du consentement aussi simplement que son octroi.

Contenu minimal du bandeau

  • Finalités claires et compréhensibles.
  • Boutons « Accepter », « Refuser » et « Paramétrer ».
  • Blocage effectif des scripts avant consentement.
  • Lien vers une politique de cookies détaillée.

Alternatives à Google Analytics (table comparative non exhaustive !)

SolutionRespect vie privéeSelf‑hostableCoût
MatomoÉlevéOuiVariable
PlausibleÉlevéOptionnelAbonnement
FathomÉlevéNonAbonnement

Choix : privilégiez une solution self‑hostée ou avec hébergement UE et anonymisation IP pour réduire les risques de transferts hors UE.

Conformité des traceurs et preuves de consentement

  • Journaliser chaque consentement : horodatage, version de la politique, identifiant anonyme du visiteur, choix (catégories).
  • Conserver les logs pendant la durée nécessaire à la preuve (prévoir export et audit).
  • Fournir un mécanisme d’export des preuves pour répondre aux demandes de la CNIL.
  • Documenter les tests montrant que les scripts sont bloqués avant consentement.

Audit cookies : checklist opérationnelle

  1. Recenser tous les traceurs et finalités.
  2. Vérifier les finalités et durées de conservation.
  3. Vérifier le blocage effectif avant consentement.
  4. Tester le cookie banner (flux Accepter/Refuser/Paramétrer).
  5. Vérifier les transferts hors UE et leurs bases légales.
  6. Exporter les preuves horodatées pour chaque consentement.

Sanctions et risques

La CNIL a sanctionné des acteurs majeurs pour non‑respect des règles. Les amendes peuvent être très élevées ; la vigilance est donc impérative.

Recommandations rapides

  • Prioriser la transparence et la minimisation des données.
  • Installez un CMP conforme qui bloque les scripts.
  • Préférez Matomo/Plausible si vous voulez réduire les risques.
  • Ne mettez pas de cookie wall.
  • Conservez les preuves de consentement.
  • Mettez à jour la politique et les scripts après chaque changement.

Pour un audit cookies complet ou l’implémentation d’un cookie banner conforme, je peux vous fournir une checklist détaillée et un plan d’action adapté à votre site.

Quelques définitions essentielles autour des cookies et du consentement RGPD

🍪 Cookie

Un cookie est un petit fichier texte déposé sur le terminal d’un utilisateur (ordinateur, smartphone, tablette) lors de la consultation d’un site web. Il permet de stocker des informations, par exemple pour mémoriser une session, analyser la navigation ou afficher de la publicité ciblée.
Dans ce cadre, la majorité des cookies nécessite un consentement préalable de l’utilisateur.

🧭 Traceur

Un traceur est un terme plus large que le cookie. Il désigne tout dispositif permettant de suivre ou d’analyser le comportement d’un utilisateur. Il peut s’agir :
– de cookies,
– de pixels invisibles,
– de scripts JavaScript,
– d’empreintes numériques (fingerprinting).
👉 Tous les cookies sont des traceurs, mais tous les traceurs ne sont pas des cookies.

🚫 Cookie wall

Un cookie wall est un mécanisme qui bloque l’accès à un site ou à un service tant que l’utilisateur n’a pas accepté les cookies.
Selon la CNIL et les principes de la protection des données personnelles, cette pratique est interdite, car elle ne permet pas un consentement libre. L’utilisateur doit pouvoir refuser les cookies sans subir de préjudice.

🏠 Self‑hosté

Une solution self‑hostée est un outil installé et exploité directement sur les serveurs du responsable de traitement.
Dans le contexte des cookies, un outil analytics self‑hosté (comme Matomo) :
– permet un meilleur contrôle des données,
– limite les transferts hors UE,
– et facilite la conformité RGPD.

⚙️ CMP (Consent Management Platform)

Une CMP est une plateforme de gestion du consentement. Elle permet :
– d’afficher une bannière de cookies conforme,
– de recueillir le consentement explicite de l’utilisateur,
– de bloquer les traceurs avant consentement,
– de conserver les preuves du consentement.
Une CMP bien configurée est un pilier central du cookies consentement RGPD.

Les cookies exemptés de consentement

Tous les cookies ne nécessitent pas un consentement préalable. La CNIL reconnaît une liste limitée de cookies exemptés, à condition qu’ils soient strictement nécessaires au fonctionnement du service.

✅ Cookies exemptés (sans consentement) :

  • Cookies de session utilisateur (authentification).
  • Cookies de panier d’achat.
  • Cookies de préférence de langue.
  • Cookies de sécurité (détection de fraude, protection contre les attaques).
  • Cookies de mesure d’audience strictement anonymisés, sous conditions très strictes.

👉 Même exemptés, ces cookies doivent être mentionnés dans la politique de cookies.

❌ Cookies non exemptés (consentement obligatoire) :

  • Cookies publicitaires.
  • Cookies de ciblage ou de personnalisation marketing.
  • Cookies de réseaux sociaux.
  • Cookies de mesure d’audience non anonymisés (ex. Google Analytics par défaut).

Conclusion

Cookies et consentement RGPD doivent aller de pair. Mettez en place un cookie banner bloquant, documentez chaque consentement, évitez les cookie walls, et préférez des outils analytics respectueux de la vie privée.

Pour vous accompagner, je propose des audits cookies et des formations pratiques adaptées aux sites français. Contactez‑nous sur https://dmouvrard.com/nous-contacter/ ou prenez rendez-vous sur https://meet.brevo.com/mickael-ouvrard/diagnostic-flash pour un diagnostic rapide et priorisé.

Découvrez également ici l’ensemble de nos services.

  1. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, révisée à de nombreuses reprises depuis. ↩︎
  2. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ↩︎
  3. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). ↩︎

Retrouvez moi sur LinkedIn