Un guide pratique de Comprendre les cookies du navigateur
TL;DR — Réponse rapide
5 min de lectureLes cookies du navigateur peuvent maintenir un site fonctionnel, mémoriser les préférences, mesurer l'utilisation ou suivre les personnes sur le Web. Le risque pour la vie privée dépend de l’objectif, de la conception de l’identifiant, de la conservation, du partage et de la nécessité ou non du consentement.
Ce guide explique Comprendre les cookies du navigateur de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
Un cookie de navigateur est un petit morceau de texte qu'un site Web demande à votre navigateur de stocker. Lors de demandes ultérieures, le navigateur peut renvoyer ce cookie au domaine concerné. Ce mécanisme simple rend possibles les sessions de connexion, les paniers d'achat, les préférences linguistiques, les analyses et le suivi des publicités.
Les cookies ne sont pas automatiquement mauvais. Un cookie de session sécurisé peut vous permettre de rester connecté. Un cookie de préférence peut mémoriser le mode sombre. Le problème de la confidentialité commence lorsque les cookies deviennent des identifiants persistants utilisés pour observer les personnes au fil du temps, des pages, des appareils ou des sites Web.
Cookies propriétaires et cookies tiers
Un cookie propriétaire est défini par le site que vous visitez. Si vous visitez example.com et que example.com définit un cookie, il s'agit d'un cookie propriétaire. Les cookies propriétaires sont couramment utilisés pour les sessions, les préférences, la prévention de la fraude et les analyses.
Un cookie tiers est défini par un domaine différent intégré à la page, tel qu'un réseau publicitaire, un widget social ou un fournisseur d'analyse tiers. Les cookies tiers permettaient historiquement le suivi entre sites, car le même domaine externe pouvait reconnaître le navigateur sur de nombreux sites Web.
Le comportement du navigateur a changé. La prévention de suivi WebKit de Safari explique que l'accès aux cookies tiers est fortement restreint et que certains stockages inscriptibles par script peuvent être plafonnés, y compris un plafond de 7 jours dans certains contextes ITP. La protection totale des cookies de Firefox isole les cookies par site et est activée dans la protection améliorée contre le pistage standard pour de nombreux utilisateurs, selon la documentation Firefox de Mozilla. Chrome a changé de cap en 2025 et a déclaré qu'il maintiendrait son approche actuelle de choix de cookies tiers plutôt que de déployer une nouvelle invite autonome, selon la mise à jour Privacy Sandbox de Google.
Le point pratique : les cookies tiers ne constituent plus une base stable de mesure, et les cookies propriétaires sont davantage surveillés lorsqu’ils sont utilisés à des fins de suivi.
Cookies de session, persistants et sécurisés
Les cookies de session expirent à la fin de la session du navigateur. Ils sont souvent utilisés pour l’état de connexion ou l’état temporaire du flux de travail.
Les cookies persistants restent jusqu'à leur date d'expiration ou jusqu'à ce que l'utilisateur les supprime. Ils peuvent durer des minutes, des jours, des mois ou des années. Les cookies persistants de longue durée sont plus sensibles à la confidentialité car ils facilitent la reconnaissance des navigateurs qui reviennent.
Les cookies sécurisés sont envoyés uniquement via HTTPS. Les cookies HttpOnly ne peuvent pas être lus par JavaScript, ce qui permet de protéger les cookies de session de certaines attaques. SameSite contrôle si les cookies sont envoyés dans des contextes intersites. Ces attributs sont des contrôles de sécurité et non une autorisation de confidentialité.
Cookies essentiels et non essentiels
La question juridique est généralement celle du but. En Europe, l'article 5(3) du ePrivacy Directive exige le consentement avant de stocker ou d'accéder à des informations sur l'appareil d'un utilisateur, sauf si le stockage est strictement nécessaire à un service demandé par l'utilisateur. Les régulateurs tels que ICO de UK résument cela comme suit : les cookies non strictement nécessaires nécessitent un moyen de consentement approprié, contrairement aux cookies strictement nécessaires. Consultez les directives publiques de ICO sur les cookies.
Cookies typiques strictement nécessaires :
- Cookies de session de connexion.
- Cookies du panier d'achat.
- Cookies de sécurité pour la prévention de la fraude.
- Cookies d’équilibrage de charge.
- Cookies de préférences utilisateur qui prennent en charge un paramètre demandé.
Cookies non essentiels typiques :
- Cookies d'analyse.
- Cookies publicitaires.
- A/B teste les cookies pour l’optimisation commerciale.
- Cookies de suivi des réseaux sociaux.
- Cookies de personnalisation intersites.
Certains pays autorisent des exemptions de consentement limitées pour la mesure d’audience lorsque des conditions strictes sont remplies. CNIL, par exemple, décrit la mesure d'audience sans consentement comme limitée aux statistiques pour l'éditeur, sans suivi inter-sites ni réutilisation à d'autres fins, dans ses orientations sur les solutions de mesure d'audience. Cela ne revient pas à dire que tous les cookies analytiques sont essentiels.
Cookies et données personnelles
Une valeur de cookie peut être une donnée aléatoire et néanmoins personnelle si elle identifie un navigateur ou peut être liée à d'autres informations. Sous GDPR, les identifiants en ligne peuvent être des données personnelles lorsqu'ils concernent une personne identifiée ou identifiable. C'est pourquoi l'analyse unique IDs, la publicité IDs et l'utilisateur pseudonyme IDs méritent un traitement attentif.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Ne mettez pas de noms, d'adresses e-mail, de numéros de téléphone, de compte IDs, de détails de santé ou de réponses dans les cookies, sauf si vous avez une raison très spécifique et une conception de sécurité. Même dans ce cas, évitez-le autant que possible.
Cookies dans l'analyse Web
L'analyse Web traditionnelle utilise des cookies pour distinguer les utilisateurs et les sessions. Google indique que les balises GA4 JavaScript utilisent des cookies propriétaires tels que _ga pour distinguer les utilisateurs et les sessions dans sa documentation sur les cookies GA4. Cette conception peut prendre en charge des rapports familiers, mais elle soulève également des questions sur le consentement, la rétention, le fournisseur et plusieurs produits.
L'analyse sans cookies emprunte un chemin différent : comptez les pages vues, les référents, les campagnes, les pays, les appareils et les événements sans stocker l'identifiant du navigateur. Le compromis est moins de détails sur le parcours de l'utilisateur, mais l'avantage est une conformité plus simple, moins de lacunes dans les bannières de consentement et moins de risques de transformer des mesures de base en surveillance.
Un simple audit des cookies
Pour chaque cookie, enregistrez :
| Champ | Que capturer |
|---|---|
| Nom | Le nom du cookie tel qu'indiqué dans les outils de développement du navigateur |
| Domaine | Domaine propriétaire ou tiers |
| But | Session, préférence, analyses, publicités, sécurité |
| Durée | Session uniquement ou expiration exacte |
| Type de données | Aléatoire ID, valeur de préférence, jeton, données de campagne |
| Fournisseur | Système interne ou fournisseur tiers |
| Catégorie de consentement | Strictement nécessaire, préférences, analyses, marketing |
Supprimez ensuite ce dont vous n’avez pas besoin. Réduisez la rétention si possible. Bloquez les cookies non essentiels jusqu'à ce que le consentement soit requis. Si la seule raison de votre bannière est l'analyse, envisagez de remplacer l'analyse basée sur les cookies par une configuration axée sur la confidentialité.
Questions des débutants que les équipes manquent souvent
Une bannière de cookies n'est pas la même chose qu'une politique de confidentialité. La bannière collecte un choix avant que le stockage facultatif ne se produise ; la politique explique le traitement plus large. Vous aurez peut-être besoin des deux.
Un script sans cookie n'est pas automatiquement sans consentement. S'il lit le stockage du navigateur, crée une empreinte digitale ou envoie un identifiant unique depuis l'appareil, il peut toujours relever des règles ePrivacy.
La suppression des cookies ne supprime pas les enregistrements côté serveur déjà créés. Si un outil d'analyse a reçu des événements avant leur suppression, ces événements peuvent rester dans le système du fournisseur jusqu'à ce que les règles de conservation ou de suppression s'appliquent.
Liste de contrôle d'audit des cookies
Auditez chaque page avant tout choix de consentement et à nouveau après le rejet. Inspectez les appels réseau, les cookies, le stockage local et de session, les pixels, les déclencheurs du gestionnaire de balises et les événements côté serveur. Si des analyses ou des publicités facultatives se déclenchent toujours avant un choix valide, la bannière est cosmétique. Si un outil revendique une exemption d'analyse, documentez la configuration exacte et assurez-vous que la configuration est limitée, axée sur l'éditeur et exempte de réutilisation publicitaire.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de Comment créer des analyses de site Web
Découvrez comment Comment créer des analyses de site Web influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Marketing direct sous GDPR
Marketing direct sous GDPR : règles, bases juridiques et exigences de conformité explique quand le consentement est nécessaire, quand un intérêt légitime peut s'appliquer et comment les règles ePrivacy limitent vos options.
Un guide pratique de Exigences de politique de confidentialité lorsque
Exigences de politique de confidentialité lorsque vous utilisez Google Analytics sur votre site explique ce que vous devez divulguer sur les cookies, la collecte de données, les transferts, les fonctionnalités publicitaires et les droits des utilisateurs.