Un guide pratique de regles sur les cookies

Ce guide explique regles sur les cookies de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Les règles en matière de cookies existent car un petit fichier de navigateur peut effectuer des tâches très différentes. Un cookie peut garder un utilisateur connecté. Un autre peut suivre cet utilisateur sur des milliers de sites Web à des fins publicitaires. Traiter les deux comme de « simples cookies » ne tient pas compte du problème de confidentialité.

Un cookie Internet est un petit élément de données stocké par le navigateur d'un site Web. Lorsque le navigateur demande ultérieurement une page ou une ressource du même domaine, il peut renvoyer le cookie. Cela permet aux sites Web de mémoriser les sessions, les préférences, les paniers, les choix de consentement et les identifiants.

Principaux types de cookies

Les cookies propriétaires sont définis par le site que le visiteur utilise. Ils peuvent prendre en charge la connexion, les paniers d'achat, les préférences, les analyses ou l'état du produit.

Les cookies tiers sont définis par un autre domaine intégré à la page, tel qu'un réseau publicitaire, un plugin social ou un fournisseur d'analyses. Ceux-ci sont souvent utilisés pour le suivi intersites.

Les cookies de session expirent à la fin de la session du navigateur. Les cookies persistants restent jusqu'à une date d'expiration définie ou jusqu'à leur suppression.

Les cookies essentiels sont nécessaires à un service demandé par l'utilisateur, tel que l'authentification, la sécurité, l'équilibrage de charge ou un panier d'achat. Les cookies non essentiels prennent en charge l'analyse, la publicité, la personnalisation ou d'autres fins facultatives.

Les attributs Secure, HttpOnly et SameSite sont des contrôles de sécurité. Ils affectent la manière dont les cookies sont transmis et consultés, mais ils ne garantissent pas à eux seuls un objectif de suivi respectueux de la vie privée.

Pourquoi les cookies sont devenus controversés

Les cookies ne sont pas mauvais en soi. La controverse vient de l’identification persistante et du suivi inter-sites.

Un cookie publicitaire third-party peut reconnaître le même navigateur sur de nombreux sites. Au fil du temps, cela peut révéler des intérêts, des habitudes, des achats, des problèmes de santé, des lectures politiques, des modèles de localisation et des événements de la vie. Même les cookies first-party peuvent être risqués si les scripts third-party les écrivent ou les lisent à des fins de profilage.

Les navigateurs ont répondu. Le WebKit de Safari dispose de fonctionnalités de prévention du suivi et bloque les cookies third-party par défaut dans les contextes modernes (WebKit). La protection totale des cookies de Firefox isole les cookies par site pour réduire le suivi intersites (Mozilla).

Chrome est différent de Safari et Firefox. Google ne prévoit plus la même invite complète de suppression progressive des cookies third-party évoquée précédemment; en avril 2025, il a déclaré que Chrome maintiendrait l'approche actuelle de choix de l'utilisateur dans les paramètres de confidentialité et de sécurité (Privacy Sandbox update). Cela ne rend pas le suivi third-party durable. Cela signifie que Chrome reste plus dépendant des paramètres de l'utilisateur, du consentement, de la politique de la plate-forme et des futures modifications de confidentialité, tandis que Safari et Firefox restreignent déjà de manière plus agressive le suivi intersites par défaut.

Règles de consentement aux cookies

Dans les lois EU et UK, les règles en matière de cookies proviennent principalement des lois ePrivacy, GDPR établissant la norme de consentement lorsque des données personnelles sont impliquées. Le principe clé est que le stockage ou l'accès aux informations sur l'appareil d'un utilisateur nécessite le consentement, sauf si cela est strictement nécessaire pour le service demandé.

Le UK ICO indique que les organisations ont besoin d'un mécanisme de consentement permettant aux utilisateurs de contrôler les cookies non essentiels et les technologies similaires (ICO). Le EDPB explique le consentement de GDPR comme étant donné librement, spécifique, éclairé et sans ambiguïté, avec retrait libre ultérieur (EDPB).

Cela signifie qu'une bannière de cookies conforme ne doit pas :

• Définir des cookies facultatifs avant le consentement.
• Utilisez des cases pré-cochées.
• Rendre « accepter » beaucoup plus facile que « rejeter ».
• Regroupez l'analyse et la publicité en un seul choix vague.
• Masquer le retrait.
• Décrivez le suivi dans un langage peu clair.

## Cookies d'analyse

Les cookies analytiques ne sont souvent pas essentiels car le site Web peut fonctionner sans eux. Certains régulateurs autorisent des exemptions limitées pour la mesure d'audience lorsque des conditions strictes sont remplies, telles que first-party mesure limitée, rétention courte, pas de suivi inter-sites et pas de partage à d'autres fins. CNIL décrit de telles conditions pour les outils de mesure d'audience (CNIL).

La plupart des configurations d'analyse et de publicité grand public ne sont pas automatiquement éligibles à ces exemptions. Si les données analytiques sont partagées avec un écosystème third-party ou utilisées à des fins publicitaires, les obligations de consentement et de divulgation augmentent.

Ce que les propriétaires de sites Web devraient auditer

Créez un inventaire de cookies et de suivi :

• Nom du cookie.
• Fournisseur.
• Domaine.
• But.
• Expiration.
• Si c'est essentiel.
• S'il s'agit de données personnelles.
• Si les données sont partagées avec des tiers.
• Si le consentement est requis.
• Comment les utilisateurs peuvent se retirer.

Vérifiez ensuite le site Web dans une nouvelle session de navigateur avant d'accepter la bannière. Les cookies facultatifs ne doivent pas apparaître avant que l'utilisateur n'ait fait un choix valable.

Sans cookies ne signifie pas automatiquement privé

Certains systèmes de suivi évitent les cookies mais utilisent le stockage local, les pixels, les empreintes digitales, les identifiants server-side ou les e-mails hachés. La loi sur les cookies peut couvrir des technologies similaires, et la loi sur la confidentialité peut toujours s'appliquer lorsque les données concernent une personne identifiable.

Une approche véritablement axée sur la confidentialité évite de remplacer les cookies par des identifiants plus sournois. Il utilise des mesures globales, une minimisation des données, une conservation courte et aucun profilage intersites.

Les cookies sont un outil. La vraie question est de savoir si votre site Web les utilise pour quelque chose que les visiteurs attendent raisonnablement et peuvent contrôler.

Un audit rapide du navigateur

Vous pouvez apprendre beaucoup sans outils spéciaux. Ouvrez le site dans une fenêtre privée, videz le stockage et chargez la page d'accueil avant d'interagir avec la bannière. Dans les outils de développement, vérifiez le stockage de l'application pour les cookies, localStorage et sessionStorage. Vérifiez ensuite Réseau pour les appels vers les domaines d'analyse, de publicité, de carte thermique, de chat et de gestionnaire de balises.

Répétez le test après avoir refusé les cookies facultatifs et après les avoir acceptés. La différence doit correspondre aux catégories de bannières. Si les appels publicitaires ont lieu avant le consentement, ou si le rejet laisse toujours des identifiants analytiques persistants, la bannière ne contrôle pas la mise en œuvre. Conservez des captures d'écran et des journaux de demandes avec votre inventaire de cookies. Ils constituent de meilleures preuves qu’une feuille de calcul remplie à partir des pages marketing des fournisseurs.

Liste de contrôle d'audit des cookies

Pour chaque cookie ou technologie similaire, enregistrez :

• Nom, domaine, fournisseur, objectif, expiration et catégorie.
• Que ce soit first-party ou third-party en contexte.
• Qu'il prenne en charge un service demandé ou un objectif facultatif.
• Si un stockage similaire existe dans localStorage, sessionStorage, pixels, SDKs ou décoration de lien.
• Que Safari, Firefox, Chrome en mode normal et Chrome Incognito se comportent différemment.
• Si le rejet du consentement empêche réellement le stockage et les demandes facultatifs.

Si l'outil revendique une exemption d'analyse, documentez la configuration exacte : objectif limité de mesure d'audience, pas de suivi inter-sites, pas de réutilisation publicitaire, rétention courte, informations utilisateur claires et aucune réorientation du fournisseur au-delà des besoins de mesure de l'éditeur.