RGPD9 min de lectureMis à jour mars 2026

Conformité cookies RGPD : au-delà de la bannière

Les cookies et technologies de tracking similaires représentent un domaine significatif de mise en application du RGPD. Une bannière cookies seule n'est pas suffisante. Une conformité appropriée nécessite des mécanismes de consentement valides, des explications claires et une mise en œuvre technique qui respecte réellement les choix des utilisateurs.

Alban Veauté

•

Security Engineer

Alban is a security engineer at Bastion with deep expertise in information security, SOC 2, and ISO 27001. He also specializes in data protection and privacy compliance, including GDPR requirements, and helps companies build robust security programs.

SOC 2ISO 27001GDPRCyber Essentials

Points clés

Point	Résumé
Cookies essentiels	N'ont pas besoin de consentement (authentification, sécurité, équilibrage de charge)
Cookies non essentiels	Nécessitent un consentement opt-in explicite (analytics, marketing, réseaux sociaux)
Exigences de consentement	Langage clair, choix séparés par catégorie, pas de cases pré-cochées, retrait facile
Violation courante	Charger les cookies de tracking avant que l'utilisateur ne consente
Documentation	Conserver les enregistrements du consentement : qui, quand, ce à quoi ils ont consenti

Réponse rapide : Seuls les cookies essentiels (login, sécurité) n'ont pas besoin de consentement. Les cookies analytics, marketing et réseaux sociaux nécessitent un opt-in explicite avant chargement. Les bannières cookies doivent offrir de vrais choix sans cases pré-cochées.

Comment le RGPD s'applique aux cookies

Le consentement cookies est régi par deux réglementations européennes complémentaires qui fonctionnent ensemble :

Framework de réglementation des cookies :

Directive ePrivacy (Article 5(3)) :

La base légale principale exigeant le consentement pour les cookies
S'applique au stockage ou à l'accès à toute information sur l'appareil d'un utilisateur
Souvent appelée la "Loi cookies", spécifique aux technologies de tracking
Sera éventuellement remplacée par le futur Règlement ePrivacy

RGPD :

Définit le consentement valide (Article 7) : Le consentement doit être libre, spécifique, éclairé et univoque
S'applique quand les cookies traitent des données personnelles : La plupart des cookies (analytics, marketing) collectent des données qui identifient les individus
Fournit les exigences de transparence et les droits des personnes concernées
Établit les pouvoirs d'application et les sanctions

Comment ils fonctionnent ensemble :

La directive ePrivacy exige d'obtenir le consentement avant de placer des cookies non essentiels
Le RGPD définit à quoi ce consentement doit ressembler pour être légalement valide
Les autorités nationales de protection des données appliquent les deux réglementations
Résultat : La plupart des cookies nécessitent un consentement opt-in répondant aux standards de consentement du RGPD

Catégories de cookies

Comprendre les types de cookies détermine les exigences de consentement :

Catégorie	Exemples	Consentement requis ?
Strictement nécessaires	Cookies de session, cookies de sécurité, équilibrage de charge	Non
Fonctionnalité	Préférences de langue, paramètres utilisateur	Oui
Performance/Analytics	Google Analytics, Mixpanel	Oui
Marketing/Publicité	Tracking publicitaire, retargeting, réseaux sociaux	Oui

Cookies strictement nécessaires

Ceux-ci ne nécessitent pas de consentement car le service ne peut pas fonctionner sans eux :

Ce qui qualifie de "strictement nécessaire" :

Cookies de panier d'achat
Cookies d'authentification
Cookies de sécurité (protection CSRF)
Équilibrage de charge
Stockage des préférences de consentement

PAS strictement nécessaire (nécessitent consentement) :

Analytics (même first-party)
Personnalisation
Toute publicité/marketing
Plugins de réseaux sociaux
A/B testing

Exigences de consentement cookies

Un consentement cookies valide doit être :

Exigence	Mise en œuvre
Préalable	Obtenu avant que les cookies ne soient placés
Éclairé	Explication claire de ce que font les cookies
Spécifique	Consentement séparé pour différentes finalités
Libre	Pas de murs de cookies bloquant l'accès
Univoque	Action affirmative claire
Révocable	Facile de changer les préférences

Mise en œuvre du consentement cookies

Flux de consentement cookies approprié :

Chargement de page :

Bloquer les cookies non essentiels
Afficher la bannière/notice cookies
Charger uniquement les cookies strictement nécessaires

Action utilisateur :

Tout accepter → Placer tous les cookies, enregistrer le consentement
Tout rejeter → Ne placer aucun cookie optionnel, enregistrer le choix
Personnaliser → Afficher les options granulaires
Pas d'action → Pas de cookies optionnels placés

Options granulaires :

Analytics : [Accepter/Rejeter]
Fonctionnalité : [Accepter/Rejeter]
Marketing : [Accepter/Rejeter]
Enregistrer les préférences

Après consentement :

Placer les cookies autorisés
Enregistrer l'horodatage du consentement
Enregistrer la version du consentement
Fournir un moyen de changer les préférences

Bonnes pratiques de bannière cookies

À faire et ne pas faire

À faire :

Afficher la bannière avant de placer les cookies non essentiels
Fournir un véritable choix (Accepter/Rejeter de même importance)
Offrir des options granulaires
Expliquer les finalités clairement
Rendre "gérer les préférences" facile à trouver
Permettre le retrait à tout moment
Fonctionner sur mobile

À ne pas faire :

Pré-cocher les cases de consentement
Utiliser des dark patterns pour encourager l'acceptation
Rendre "rejeter" plus difficile qu'"accepter"
Exiger le consentement pour accéder au site
Placer des cookies avant le consentement
Ignorer les signaux "Do Not Track"
Rendre le retrait difficile

Design de bannière

Exemple de bannière cookies (bon) :

Text

1Préférences cookies
2
3Nous utilisons des cookies pour améliorer votre expérience
4et analyser l'utilisation du site. Vous pouvez personnaliser
5vos préférences ci-dessous.
6
7[Tout accepter]  [Tout rejeter]  [Gérer les paramètres]
8
9[Politique de confidentialité]
10
11Note : Accepter et Rejeter ont la même importance visuelle

Exemple de bannière cookies (mauvais) :

Text

1Nous utilisons des cookies pour améliorer votre expérience.
2
3[        ACCEPTER TOUS LES COOKIES        ]
4
5[gérer les préférences - petit lien]
6
7Problèmes : Pas d'option rejeter, accepter mis en avant,
8préférences cachées

Exigences de politique cookies

Votre politique cookies devrait inclure :

Section	Contenu
Que sont les cookies	Explication en langage simple
Types que nous utilisons	Catégories et finalités
Tableau des cookies	Cookies spécifiques, finalités, expiration
Comment contrôler	Paramètres du navigateur, gestion du consentement
Cookies tiers	Qui les place, leurs politiques
Mises à jour	Comment vous communiquez les changements
Contact	Comment vous joindre avec des questions

Exemple de tableau cookies

Nom du cookie	Fournisseur	Finalité	Type	Expiration
session_id	Nous	Authentification utilisateur	Nécessaire	Session
csrf_token	Nous	Sécurité	Nécessaire	Session
_ga	Google	Analytics	Analytics	2 ans
_fbp	Facebook	Publicité	Marketing	3 mois

Mise en œuvre technique

Blocage des cookies avant consentement

JavaScript

1// Approche conceptuelle - bloquer les scripts jusqu'au consentement
2
3// Ne pas charger les analytics automatiquement
4// À la place, charger après le consentement
5
6function loadAnalytics() {
7  // Appeler ceci uniquement après que l'utilisateur consent
8  const script = document.createElement('script');
9  script.src = 'https://analytics-provider.com/script.js';
10  document.head.appendChild(script);
11}
12
13// Au chargement de page - vérifier le consentement stocké
14const consent = getStoredConsent();
15if (consent.analytics) {
16  loadAnalytics();
17}

Plateforme de gestion du consentement (CMP)

Envisagez d'utiliser une CMP pour une mise en œuvre plus facile :

Fonctionnalités CMP	Avantages
Gestion des bannières	Bannières pré-construites et personnalisables
Enregistrement du consentement	Documentation automatique du consentement
Blocage de scripts	Blocage technique des cookies non consentis
Centre de préférences	Interface de paramètres conviviale
Mises à jour de conformité	Reste à jour avec les changements réglementaires

CMP populaires : Cookiebot, OneTrust, Usercentrics, CookieYes

Problèmes courants de conformité cookies

Problème 1 : Murs de cookies

Problème : "Acceptez les cookies ou partez"

Pourquoi c'est faux : Le RGPD exige un consentement libre. Refuser le service pour avoir refusé les cookies n'est pas un choix libre.

Solution : Permettre l'accès avec uniquement les cookies strictement nécessaires.

Problème 2 : Options pré-sélectionnées

Problème : Analytics et marketing pré-cochés dans les paramètres.

Pourquoi c'est faux : Le consentement doit être opt-in, pas opt-out.

Solution : Toutes les catégories optionnelles désactivées par défaut.

Problème 3 : Cookies placés avant le consentement

Problème : Les analytics chargent immédiatement à la visite de page.

Pourquoi c'est faux : Le consentement doit être préalable au traitement.

Solution : Bloquer les cookies non essentiels jusqu'à ce que le consentement soit donné.

Problème 4 : "Accepter" affiché de manière proéminente

Problème : Gros bouton vert "Accepter", petit lien "Rejeter".

Pourquoi c'est faux : Dark pattern qui influence le choix.

Solution : Importance visuelle égale pour les options accepter et rejeter.

Problème 5 : Difficile à retirer

Problème : Impossible de trouver où changer les préférences cookies.

Pourquoi c'est faux : Le retrait doit être aussi facile que de donner le consentement.

Solution : Lien visible "Paramètres cookies" dans le footer ou le menu.

Considérations cookies tiers

Gérer les scripts tiers

Type de script	Considérations
Analytics (Google, etc.)	Configurer pour la confidentialité, anonymisation IP
Boutons réseaux sociaux	Charger uniquement sur consentement ou utiliser des versions privacy-friendly
Publicité	Bloquer jusqu'au consentement, respecter les opt-outs
Contenu intégré (YouTube, etc.)	Utiliser les modes améliorés pour la confidentialité

Considérations Google Analytics

Configuration confidentialité Google Analytics :

Paramètres recommandés :

Activer l'anonymisation IP
Désactiver le partage de données avec Google
Définir une période de conservation des données appropriée
Désactiver la fonction User-ID si non nécessaire
Configurer le mode consentement

Mode consentement (GA4) :

Par défaut : refusé
Mise à jour sur consentement
Permet la modélisation sans cookies

Application et sanctions

La conformité cookies est fortement appliquée :

Pays	Actions notables
France (CNIL)	Amende de 150M€ à Google, 60M€ à Facebook pour violations cookies
Espagne (AEPD)	Multiples amendes pour problèmes de consentement cookies
Italie	Amendes pour bannières cookies inappropriées
Belgique	Application contre des sites d'actualités

Checklist conformité cookies

Bannière/Notice :

Affichée avant que les cookies non essentiels ne soient placés
Explication claire des finalités
Accepter et Rejeter également visibles
Lien pour gérer les préférences
Fonctionne sur mobile
Ne bloque pas le contenu (pas de mur de cookies)

Consentement :

Opt-in (pas opt-out)
Granulaire par catégorie
Préalable au placement des cookies
Enregistré avec horodatage
Facile à retirer

Technique :

Cookies non essentiels bloqués jusqu'au consentement
Préférences de consentement respectées
Scripts tiers contrôlés
État du consentement persisté

Documentation :

Politique cookies publiée
Tous les cookies listés
Tiers divulgués
Audits cookies réguliers

Comment Bastion peut vous aider

La conformité cookies se situe à l'intersection de la mise en œuvre technique, des exigences légales et de l'expérience utilisateur. Travailler avec des partenaires expérimentés aide à s'assurer que votre approche est à la fois conforme et pratique.

Défi	Comment nous aidons
Audit cookies	Identification complète de tous les cookies et technologies de tracking sur votre site
Mise en œuvre	Conseils sur la configuration des mécanismes de consentement répondant aux standards RGPD
Création de politique	Templates de politique cookies adaptés à votre utilisation spécifique des cookies
Gestion des fournisseurs	Revue et suivi des cookies et scripts tiers
Conformité continue	Audits périodiques pour détecter les nouveaux cookies à mesure que votre site évolue

La conformité cookies est un domaine où bien faire les choses dès le départ aide à éviter les actions d'application, car les régulateurs ont montré une attention particulière aux problèmes de consentement cookies ces dernières années.

Vous cherchez de l'aide pour la conformité cookies ? Parlons-en →

← PrécédentAccords de traitement des données : gérer les relations fournisseurs Suivant →Checklist de conformité RGPD : guide étape par étape

Retour aux guides RGPD

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company