Skip to content
Obligations RGPD calendar_today Mis à jour: 6 juillet 2026 schedule 6 min de lecture

Que Doit Contenir Votre Politique de Cookies ?

verified Dernière révision 6 juillet 2026 · l'équipe juridique GDPRWise

Une politique de cookies, c'est bien plus qu'un simple paragraphe. Pour chaque cookie, vous devez indiquer le nom, le fournisseur, la finalité, la durée de conservation et la base juridique. Cet article explique précisément ce qui doit y figurer, pourquoi un modèle générique ne suffit généralement pas, et comment la maintenir à jour.

summarize Points clés
  • check_circle Une politique de cookies indique, pour chaque cookie : nom, fournisseur, finalité, durée de conservation et base juridique
  • check_circle L'obligation d'information découle de la combinaison du RGPD et des règles ePrivacy : le consentement n'est valable que si le visiteur a été correctement informé au préalable
  • check_circle La plupart des sites ignorent quels cookies ils déposent ; les gestionnaires de balises, widgets de chat et intégrations ajoutent des cookies à votre insu
  • check_circle Une politique de cookies n'est jamais terminée : chaque nouvel outil sur votre site peut introduire de nouveaux cookies
  • check_circle Un bandeau cookies et une politique de cookies sont deux choses différentes ; vous avez besoin des deux

Presque tous les sites en ont une, mais peu d’entrepreneurs savent ce qu’elle doit exactement contenir : la politique de cookies. Il s’agit souvent d’un texte générique de trois paragraphes, copié un jour depuis un autre site. Cela ne suffit pas. Une politique de cookies doit décrire quels cookies votre site dépose réellement, et indiquer un certain nombre d’informations obligatoires pour chacun d’eux.

Pourquoi vous avez besoin d’une politique de cookies

L’obligation provient de deux directions à la fois.

Les règles ePrivacy (transposées dans les législations nationales de toute l’UE) exigent un consentement avant de déposer des cookies non essentiels. Ce consentement doit être éclairé : un visiteur ne peut valablement accepter que ce qui lui a été clairement expliqué.

Le RGPD ajoute par-dessus une obligation de transparence pour chaque traitement de données personnelles. De nombreux cookies collectent des données identifiables comme un identifiant unique de visiteur ou une adresse IP ; ils relèvent donc de cette obligation.

La Cour de justice de l’Union européenne l’a rendu concret dans l’arrêt Planet49 (2019) : les visiteurs doivent savoir, entre autres, combien de temps les cookies restent actifs et si des tiers y ont accès. Exactement les informations qui doivent figurer dans une politique de cookies.

Une bonne politique de cookies contient un tableau reprenant, pour chaque cookie déposé par votre site :

Nom. Le nom technique du cookie, comme _ga ou PHPSESSID. Cela permet à un visiteur (ou à une autorité) de vérifier que votre politique correspond à ce qu’affiche le navigateur.

Fournisseur. Qui dépose le cookie ? Vous (première partie) ou un service externe comme Google, Meta ou HubSpot (tierce partie) ? Pour les cookies tiers, les lecteurs attendent aussi un renvoi vers la politique de confidentialité de cette partie.

Finalité. À quoi sert le cookie ? “Marketing” seul est trop vague ; mieux vaut, par exemple, “mesure l’efficacité publicitaire en reconnaissant les visiteurs d’un site à l’autre”.

Catégorie. Nécessaire, fonctionnel, analytique ou marketing. Cette classification doit correspondre aux choix proposés dans votre bandeau cookies : un visiteur qui refuse les cookies analytiques ne doit en recevoir aucun.

Durée de conservation. Combien de temps le cookie reste-t-il sur l’appareil ? Une session, 24 heures, 13 mois, 2 ans ? C’est l’information que la Cour de justice a explicitement rendue obligatoire.

Base juridique. Pour les cookies nécessaires, il s’agit généralement de l’intérêt légitime ; pour toutes les autres catégories, c’est le consentement.

La politique doit également couvrir : comment les visiteurs peuvent retirer ou modifier leur consentement, si des données sont transférées hors de l’EEE, et à quelle date la politique a été mise à jour pour la dernière fois.

Le vrai problème : savez-vous quels cookies vous déposez ?

C’est là que la plupart des sites échouent. Non pas parce que les propriétaires veulent cacher quoi que ce soit, mais parce que les sites modernes déposent des cookies dont le propriétaire n’a pas conscience.

Quelques exemples tirés de la pratique :

  • Un gestionnaire de balises (comme Google Tag Manager) charge des scripts qui déposent leurs propres cookies. Il suffit qu’un collègue du marketing ajoute une balise pour que votre paysage de cookies change.
  • Un widget de chat comme Intercom ou Tawk.to dépose des cookies pour relier les conversations aux visiteurs.
  • Une vidéo YouTube intégrée peut déposer des cookies de suivi Google, même si le visiteur ne lance jamais la lecture.
  • Les boutons de partage social et les pixels de Meta ou LinkedIn déposent des cookies qui suivent les visiteurs d’un site à l’autre.

Rédiger une politique de cookies à partir de ce que vous pensez utiliser aboutit donc presque à coup sûr à une politique inexacte. Et une politique inexacte n’est pas un détail : cela signifie que le consentement recueilli n’est pas valablement éclairé.

La seule approche fiable consiste à mesurer plutôt qu’à deviner : analysez votre site tel qu’un vrai visiteur l’expérimente, et construisez votre tableau de cookies à partir de ce qui se passe réellement. Vous pouvez utiliser notre générateur de politique de cookies gratuit pour cela, ou le faire manuellement avec notre modèle d’audit de cookies.

Politique de cookies et bandeau cookies : deux choses différentes

Les termes sont souvent confondus, mais chacun résout une partie différente du puzzle :

  • Le bandeau cookies demande le consentement avant que des cookies non essentiels ne soient déposés, et mémorise le choix du visiteur.
  • La politique de cookies documente quels cookies existent, avec toutes les informations obligatoires, afin que le consentement soit éclairé.

Un bandeau sans politique correcte recueille un consentement juridiquement fragile. Une politique sans bandeau signifie que vous déposez des cookies sans consentement. Vous avez besoin des deux, et ils doivent se renvoyer l’un à l’autre : votre bandeau doit renvoyer directement à votre politique de cookies.

Une politique de cookies n’est jamais terminée

C’est peut-être l’enseignement le plus important : une politique de cookies n’est pas un document que l’on rédige une fois pour toutes. Chaque modification de votre site peut changer le paysage des cookies. Le nouveau module de réservation, l’outil d’analytics remplacé, le pixel de campagne ajouté “temporairement” : autant de nouveaux cookies potentiels qui doivent figurer dans votre politique.

Planifiez donc une vérification périodique, ou mieux : automatisez-la. GDPRWise réanalyse votre site à intervalles réguliers et met à jour votre politique de cookies automatiquement lorsque de nouveaux cookies apparaissent. Ainsi, ce que vous publiez reste conforme à ce que fait votre site, y compris des mois après la mise en ligne.

auto_awesome Générez votre politique de cookies à partir d'un vrai scan

Indiquez votre domaine et nous détectons chaque cookie de votre site, y compris le fournisseur, la finalité, la durée de conservation et la classification. Le scan est gratuit ; générez la politique avec un compte gratuit.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.