Cookies, RGPD et consentement — Ce qu’un site doit vraiment afficher
Conformité RGPD Web

Cookies, RGPD et consentement
Ce qu’un site doit vraiment afficher

Un bandeau cookies ne suffit pas à rendre un site conforme. Le vrai sujet est de savoir quels traceurs sont déposés, lesquels nécessitent un consentement, comment respecter le refus, et comment conserver la preuve des choix.

Lecture approfondie≈ 9 minPublié en juillet 2026

Étude informative : les règles, sources et pratiques citées peuvent évoluer et doivent être vérifiées avant toute décision.

L’essentiel en 2 minutes

La conformité ne se limite pas à une bannière cookies

Sur un site web, les cookies et traceurs peuvent servir à faire fonctionner le site, mesurer l’audience, suivre les conversions publicitaires, personnaliser des contenus, intégrer des vidéos, afficher une carte, déclencher un chat ou alimenter des outils marketing.

Le point essentiel est simple : tous les cookies ne suivent pas les mêmes règles. Certains traceurs sont nécessaires au fonctionnement du service et peuvent être déposés sans consentement. D’autres, notamment les cookies publicitaires, les traceurs de réseaux sociaux ou certains outils de mesure, nécessitent une information claire et un consentement préalable.

La CNIL rappelle qu’en application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement avant le dépôt ou la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement. En droit français, ces règles sont notamment transposées à l’article 82 de la loi Informatique et Libertés.[1]

Pour une PME, la bonne question n’est donc pas seulement : avons-nous une bannière cookies ? La vraie question est : savons-nous quels traceurs sont réellement présents, à quoi ils servent, lesquels nécessitent un consentement, et comment nous pouvons prouver que le choix utilisateur est respecté ?

Le bon objectif n’est pas de tout mesurer à tout prix. Il est de collecter moins, collecter mieux, avec des choix respectés et des données exploitables légalement.

Introduction

Une bannière cookies ne prouve pas la conformité

Beaucoup de sites affichent aujourd’hui une bannière cookies. Pourtant, cela ne signifie pas forcément que le site est conforme.

Une bannière peut être présente mais mal configurée. Elle peut proposer un bouton “Tout accepter” plus visible que le refus, déposer des traceurs avant le choix de l’utilisateur, oublier les scripts chargés via Google Tag Manager, ne pas permettre de revenir facilement sur son choix, ou présenter des catégories trop vagues.

Pour un dirigeant de PME, le sujet n’est pas de devenir spécialiste du RGPD. Le sujet est de comprendre ce qui doit être vérifié : quels traceurs sont présents, pourquoi ils sont là, qui les dépose, à quel moment, avec quelle information, avec quel consentement, et avec quelle preuve.

Le bon arbitrage n’est pas “conformité ou performance marketing”. Le bon arbitrage est : collecter moins, mais collecter mieux.
Définitions

Cookie, traceur, pixel, script : de quoi parle-t-on ?

Le mot “cookie” est souvent utilisé pour désigner des réalités différentes. La CNIL précise que les termes “cookie” ou “traceur” recouvrent notamment les cookies HTTP, les pixels invisibles, les identifiants générés par un logiciel ou un système d’exploitation, ainsi que certaines techniques comme le fingerprinting.[1]

TermeExempleUsage fréquent
Cookie techniqueSession, panier, authentificationFaire fonctionner le site
Cookie de préférenceLangue, affichage, choix utilisateurPersonnaliser l’interface
Cookie de mesure d’audienceStatistiques de consultationAnalyser la fréquentation
Cookie publicitaireRetargeting, ciblage, conversionMesurer ou personnaliser la publicité
PixelMeta Pixel, LinkedIn Insight TagSuivre une conversion ou une audience
Script tiersChat, carte, vidéo, A/B testingAjouter un service externe
FingerprintingEmpreinte du terminalIdentifier ou suivre sans cookie classique
CMPConsent Management PlatformGérer les choix de consentement

Le risque est de croire que seuls les cookies visibles dans le navigateur comptent. En réalité, un site peut intégrer des traceurs via le thème, un plugin WordPress, Google Tag Manager, un formulaire, un outil de chat, une vidéo intégrée, un module de réservation, une carte interactive ou un outil publicitaire.

Règle de base

Tous les cookies ne nécessitent pas un consentement

La règle n’est pas : “tout cookie est interdit sans consentement”. Certains traceurs sont nécessaires au fonctionnement du service.

La CNIL indique que le consentement préalable est requis pour les cookies qui ne sont pas strictement nécessaires à la fourniture d’un service demandé par l’utilisateur ou qui n’ont pas pour finalité exclusive de permettre ou faciliter une communication électronique. Elle cite notamment les cookies publicitaires et certains cookies de réseaux sociaux comme nécessitant une information et un consentement préalables.[1]

Type de traceurConsentement généralement requis ?Exemple
AuthentificationNon, si nécessaire au serviceConnexion compte client
Panier e-commerceNon, si nécessaire à l’achatContenu du panier
SécuritéNon, si nécessaireLimitation des tentatives de connexion
Préférence d’interfaceParfois non, si attendu par l’utilisateurLangue ou présentation
Mesure d’audience strictement limitéeParfois non, sous conditionsStatistiques exemptées
Publicité personnaliséeOuiRetargeting, profilage
Réseaux sociauxOui dans la plupart des casBoutons de partage traçants
Vidéo ou carte tierce avec traceursSouvent ouiYouTube, Google Maps selon configuration

Point de départ

Le premier livrable utile n’est pas une bannière. C’est un inventaire des traceurs réellement présents sur le site.

Interface

Ce qu’un site doit vraiment afficher

Un site ne doit pas seulement afficher une bannière. Il doit fournir une information claire et permettre un choix réel.

La CNIL précise que l’information doit être visible, mise en évidence, complète, rédigée en termes simples et compréhensibles, et permettre aux internautes d’être informés des finalités des cookies ainsi que de l’identité des responsables des traitements.[1]

ÉlémentRôle
Bandeau de premier niveauInformer rapidement et proposer un choix.
Bouton accepterPermettre l’acceptation explicite.
Bouton refuserPermettre le refus aussi simplement que l’acceptation.
Bouton personnaliserPermettre le choix par finalité.
Détail des finalitésExpliquer statistiques, publicité, personnalisation, réseaux sociaux.
Liste des partenairesIdentifier les tiers concernés lorsque nécessaire.
Lien de gestion des cookiesPermettre de modifier ou retirer le consentement.
Politique cookiesDocumenter les traceurs, finalités, durées et tiers.
Politique de confidentialitéExpliquer les traitements de données personnelles au-delà des cookies.
Preuve du consentementConserver la configuration et les choix de manière démontrable.

La bannière n’est donc qu’un point d’entrée. La conformité dépend aussi de ce qui se passe derrière : blocage préalable, gestion des choix, preuve, documentation et maintenance.

Choix utilisateur

Accepter et refuser : le même niveau de simplicité

La CNIL indique que l’utilisateur doit pouvoir accepter ou refuser le dépôt et la lecture des cookies avec le même degré de simplicité. Elle précise aussi que le consentement doit pouvoir être retiré simplement et à tout moment.[1]

Mauvaise pratiquePourquoi c’est problématique
Bouton “Tout accepter” visible, refus cachéChoix déséquilibré.
Refus accessible seulement après plusieurs clicsRefus plus complexe que l’acceptation.
Cases précochéesConsentement non réellement actif.
Poursuite de navigation assimilée à un accordConsentement insuffisant.
Couleurs trompeusesIncitation artificielle à accepter.
Absence de bouton “Tout refuser”Choix incomplet.
Retrait du consentement introuvableChoix non réversible.
Point de vigilanceUn bandeau peut sembler propre visuellement tout en orientant fortement le choix de l’utilisateur. Le design doit servir l’information et le choix, pas contourner le refus.
Blocage préalable

Quels traceurs bloquer avant consentement ?

Tant que l’utilisateur n’a pas donné son consentement, les cookies soumis au consentement ne peuvent pas être déposés ou lus sur son terminal. La CNIL le rappelle explicitement dans ses règles sur les cookies et traceurs.[1]

Traceur ou servicePoint de vigilance
Google Ads / remarketingNe doit pas se déclencher sans consentement si finalité publicitaire.
Meta PixelTraçage publicitaire à bloquer avant consentement.
LinkedIn Insight TagMesure publicitaire et audience B2B.
Google AnalyticsÀ analyser selon configuration et finalité.
Hotjar / Microsoft ClarityAnalyse comportementale potentiellement intrusive.
Chat marketingPeut déposer des traceurs tiers.
YouTube / Google MapsPeuvent entraîner des appels tiers selon l’intégration.
Boutons sociauxSouvent liés à des traceurs tiers.
A/B testing marketingPeut nécessiter consentement selon finalité.

Le piège fréquent vient de Google Tag Manager : la bannière peut sembler fonctionner, mais des balises se déclenchent quand même avant le consentement. Il faut tester le site en conditions réelles, avec un navigateur propre, sans avoir déjà accepté les cookies.

Mesure d’audience

Consentement obligatoire ou exemption possible ?

La mesure d’audience est l’un des sujets les plus mal compris. Certains outils de statistiques peuvent être exemptés de consentement s’ils respectent des conditions strictes. Cela ne signifie pas que tous les outils d’analytics sont exemptés.

SituationLecture pratique
Statistiques internes limitéesExemption possible sous conditions.
Analytics avec finalité marketingConsentement souvent nécessaire.
Reciblage publicitaireConsentement requis.
Partage large avec des tiersAttention forte.
Données croisées avec publicitéConsentement requis.
Outil configuré pour exemptionÀ vérifier précisément, finalités et paramètres compris.
Google Analytics classiquePrudence : consentement généralement nécessaire selon configuration.

Pour une PME, le bon réflexe est de ne pas supposer qu’un outil est exempté parce qu’il “fait seulement des statistiques”. Il faut vérifier la finalité réelle, les données collectées, les tiers impliqués et la configuration.

Documentation

Politique cookies, politique de confidentialité : ne pas confondre

DocumentRôle
Politique cookiesExpliquer les traceurs, finalités, durée, tiers et gestion du consentement.
Politique de confidentialitéExpliquer plus largement les traitements de données personnelles.
Mentions légalesIdentifier l’éditeur, l’hébergeur et les responsables.
CGV / CGUEncadrer la relation contractuelle ou l’usage du service.

Un site peut avoir une politique de confidentialité correcte mais une gestion cookies insuffisante. La politique cookies doit être adaptée au site réel : traceurs utilisés, finalités, durées, tiers, moyens de retrait et coordonnées de contact.

WordPress

Plugins et CMP : les erreurs fréquentes

Sur WordPress, les erreurs viennent souvent de l’empilement d’outils. La conformité dépend rarement d’un seul plugin. Elle dépend de la façon dont le thème, les extensions, les scripts tiers et la CMP sont configurés ensemble.

Erreur fréquenteConséquence
Installer une CMP sans scanner le siteTraceurs oubliés.
Laisser les scripts dans le thèmeScripts chargés malgré le refus.
Ajouter Tag Manager sans règles de consentementBalises déclenchées trop tôt.
Activer plusieurs plugins cookiesConflits et choix incohérents.
Oublier les iframes YouTube ou MapsTraceurs tiers non maîtrisés.
Oublier les pixels publicitairesCollecte avant consentement.
Ne pas tester en navigation privéeRésultat faussé.
Copier un texte génériqueInformation non adaptée au site.
Ne pas prévoir de lien “Gérer mes cookies”Retrait difficile.
Preuve

Ce qu’il faut prouver

La CNIL indique que chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Elle cite notamment la conservation d’éléments horodatés, des captures d’écran du rendu affiché, des audits réguliers ou les informations relatives aux outils de recueil du consentement et à leurs configurations successives.[1]

PreuveExemple
Version de la bannièreCapture écran desktop et mobile.
Configuration CMPCatégories, finalités, scripts associés.
Historique des changementsDate de modification des réglages.
Politique cookiesVersion publiée et date de mise à jour.
Liste des traceursScan ou inventaire périodique.
Tests avant consentementPreuve que les scripts soumis au consentement sont bloqués.
Tests après refusPreuve que le refus est respecté.
Tests après acceptationPreuve que seuls les scripts autorisés partent.
Registre ou fiche interneResponsable, outil, finalité, base légale.
Contrats sous-traitantsCMP, analytics, emailing, hébergement.

Durées à maîtriser

La durée de conservation du choix utilisateur doit être documentée. En pratique, une durée de l’ordre de 6 mois pour conserver le choix de consentement ou de refus est couramment retenue comme bonne pratique. Pour certains traceurs de mesure d’audience exemptés, la durée de vie du traceur doit rester limitée, avec une référence pratique de 13 mois maximum lorsque les conditions d’exemption sont respectées.

Marketing

Consentement et conversion : éviter les faux arbitrages

Certaines entreprises craignent qu’une bannière conforme réduise les données analytics ou publicitaires. C’est possible. Mais une bannière agressive ou trompeuse crée un autre risque : perte de confiance, non-conformité, mauvaise expérience utilisateur.

Mauvaise approcheMeilleure approche
Forcer l’acceptationExpliquer clairement les finalités.
Cacher le refusProposer un vrai choix.
Charger tous les scriptsDéclencher selon consentement.
Mesurer sans contrôleDistinguer analytics exemptés et marketing.
Accumuler les pixelsAuditer les outils réellement utiles.
Copier une bannière génériqueConfigurer selon le site réel.

Pour un dirigeant, c’est aussi un sujet de qualité de pilotage. Des données collectées dans de mauvaises conditions peuvent être difficiles à exploiter sereinement.

Risques

Les sanctions et contrôles : un risque réel, à proportionner

Les cookies restent un sujet de contrôle important pour la CNIL. En 2025, des sanctions élevées ont été prononcées contre de grands acteurs pour des manquements liés aux cookies, à l’information et au consentement, notamment Google et Shein selon la presse économique et généraliste.[6]

Pour une PME, l’enjeu n’est pas de comparer son risque à celui d’un géant du numérique. L’enjeu est de comprendre que les traceurs sont un sujet contrôlé, documenté et sanctionnable. Les manquements peuvent entraîner des demandes de mise en conformité, des contrôles, des mises en demeure ou des sanctions selon le contexte.

À retenirUn bandeau visible ne suffit pas si les traceurs publicitaires partent avant consentement, si le refus est plus difficile que l’acceptation, ou si l’entreprise ne peut pas démontrer sa configuration.
Méthode

Méthode simple pour auditer son site

1

Lister les outils installés

WordPress, thème, plugins, CMP, Tag Manager, Analytics, pixels, chat, formulaires, cartes, vidéos, newsletter, CRM.

2

Scanner les traceurs

Utiliser la CMP, les outils navigateur, un scanner cookies ou un audit manuel pour repérer les cookies et scripts réellement présents.

3

Classer par finalité

Technique, préférences, audience, publicité, réseaux sociaux, personnalisation, sécurité, formulaire, paiement.

4

Identifier les traceurs soumis au consentement

Publicité, retargeting, réseaux sociaux, analytics non exemptés, mesure comportementale, A/B testing marketing.

5

Vérifier le blocage avant consentement

Tester en navigation privée, vider les cookies, refuser, accepter, personnaliser, puis observer les scripts déclenchés.

6

Corriger la bannière

Boutons équilibrés, langage clair, refus aussi simple que l’acceptation, personnalisation, retrait accessible.

7

Mettre à jour les documents

Politique cookies, politique de confidentialité, mentions de tiers, durées, finalités, lien de gestion.

8

Documenter la preuve

Captures, configuration CMP, liste des traceurs, date de test, responsable, résultats.

9

Refaire le contrôle après chaque évolution

Nouveau plugin, campagne Ads, pixel, formulaire, vidéo, module de réservation ou changement Tag Manager.

À éviter

Les pièges à éviter

  • Penser qu’une bannière suffitLa conformité reste seulement apparente si les scripts partent avant le choix.
  • Copier le texte d’un autre siteL’information devient inexacte et non adaptée aux traceurs réels.
  • Oublier Google Tag ManagerLes balises peuvent se déclencher hors contrôle.
  • Ne pas proposer “Tout refuser”Le choix peut devenir déséquilibré.
  • Déposer des pixels avant choixLa collecte peut intervenir sans consentement valable.
  • Oublier le retrait du consentementLe choix n’est pas réellement réversible.
  • Ne pas documenter les preuvesLa conformité devient difficile à démontrer.
  • Ne jamais refaire d’auditUn site conforme hier peut ne plus l’être demain.
Checklist

Checklist dirigeant : que vérifier maintenant ?

Visuel de contenu à créer : image-cookies-rgpd-consentement-site-web-checklist.webpSchéma recommandé : inventaire, consentement, blocage, preuve, maintenance.
QuestionSi la réponse est floue
Savons-nous quels cookies et traceurs sont présents ?Impossible de vérifier la conformité.
Les traceurs sont-ils classés par finalité ?Information utilisateur imprécise.
Les scripts publicitaires sont-ils bloqués avant consentement ?Risque de dépôt non autorisé.
Le refus est-il aussi simple que l’acceptation ?Consentement contestable.
L’utilisateur peut-il modifier son choix à tout moment ?Retrait du consentement insuffisant.
Google Tag Manager respecte-t-il les choix ?Balises déclenchées trop tôt.
Les outils analytics sont-ils exemptés ou soumis au consentement ?Configuration incertaine.
Consent Mode v2 est-il correctement configuré si Google Ads est utilisé ?Mesure et ciblage publicitaire dégradés ou mal pilotés.
La politique cookies est-elle à jour ?Information incorrecte.
Une preuve des choix et réglages est-elle conservée ?Conformité difficile à démontrer.
La durée de conservation du choix est-elle documentée ?Gestion du consentement insuffisamment maîtrisée.
Un contrôle est-il prévu après ajout d’un plugin ou pixel ?Dérive dans le temps.
FAQ dirigeants

Ce que les dirigeants demandent souvent

Conclusion — Le vrai sujet n’est pas la bannière, c’est la maîtrise des traceurs

Un site conforme n’est pas un site qui affiche simplement une fenêtre cookies. C’est un site qui sait quels traceurs il utilise, pourquoi il les utilise, lesquels nécessitent un consentement, comment le choix est recueilli, comment il est respecté, comment il peut être retiré et comment la preuve est conservée.

Pour une PME, la démarche peut rester pragmatique : inventorier, classer, bloquer, informer, tester, documenter et maintenir.

La bonne question finale n’est donc pas : “avons-nous une bannière cookies ?” Mais plutôt : “savons-nous vraiment ce que notre site dépose sur le terminal de nos visiteurs, et pouvons-nous prouver que leurs choix sont respectés ?”

Vous souhaitez aller plus loin ?

Un diagnostic de 30 minutes peut suffire pour identifier les traceurs réellement présents sur votre site, vérifier votre bannière et prioriser les corrections utiles.

Discutons de votre projet

Sources et références

  1. CNIL — Cookies et traceurs : que dit la loi ? : article 82, consentement préalable, traceurs exemptés, preuve du consentement.
  2. CNIL — Cookies et traceurs : comment mettre mon site web en conformité ? : recommandations pratiques pour les sites web.
  3. CNIL — Cookies : solutions pour les outils de mesure d’audience : conditions d’exemption et outils de mesure.
  4. Directive ePrivacy 2002/58/CE, modifiée notamment par la directive 2009/136/CE, à l’origine du principe de consentement préalable pour les traceurs non nécessaires.
  5. RGPD — articles 4(11) et 7 : définition et conditions du consentement.
  6. Reuters — France fines Shein over cookies, 2025 et presse généraliste sur les sanctions cookies Google / Shein.

Laisser un commentaire

Secret Link

Message envoyé

Votre message a été envoyé.
Il sera traité dans les meilleurs délais