Puis-je utiliser Google Analytics sans consentement cookies ?

Non. Google Analytics place des cookies analytiques qui nécessitent un consentement. Vous ne pouvez collecter des données qu'après que le visiteur a activement accepté. Une alternative est un outil d'analytics sans cookies, mais même dans ce cas, vérifiez qu'aucun cookie n'est placé.

Que sont les cookies strictement nécessaires ?

Les cookies essentiels au fonctionnement de votre site, comme les cookies de session pour un panier d'achat, les cookies de connexion et le cookie qui mémorise le choix cookies du visiteur. Ceux-ci peuvent être placés sans consentement.

À quelle fréquence dois-je mettre à jour mon bandeau cookies ?

Après chaque modification du site introduisant de nouveaux cookies : un nouveau plugin, outil d'analytics, widget de chat ou intégration de réseaux sociaux. Effectuez un audit complet des cookies au moins une fois par an.

Que se passe-t-il si un visiteur refuse les cookies ?

Vous ne pouvez alors placer que les cookies strictement nécessaires. Le site doit fonctionner normalement sans cookies analytiques ou marketing. Vous ne pouvez pas bloquer ou pénaliser le visiteur pour son refus.

Cookies et Consentement - Ce Que Vous Devez Savoir (RGPD)

Placer des cookies sans consentement valide est l'une des violations RGPD les plus courantes. Cet article explique quels cookies nécessitent un consentement, comment configurer un bandeau cookies correct et quelles erreurs éviter.

Que sont les cookies exactement ?

Les cookies sont de petits fichiers texte qu’un site web place sur l’appareil du visiteur. Ils servent à divers usages : du mémorisation d’un panier d’achat au suivi du comportement de navigation pour la publicité. En vertu du RGPD et de la directive ePrivacy, des règles strictes s’appliquent quant au moment où vous pouvez placer des cookies.

Le problème : beaucoup d’entrepreneurs placent un bandeau cookies sur leur site et pensent que c’est réglé. Mais un bandeau seul ne suffit pas. Ce qui compte, c’est de demander le bon consentement, au bon moment, pour les bons cookies.

Trois catégories de cookies

Tous les cookies ne sont pas égaux. La réglementation distingue trois catégories principales, avec des règles différentes pour chacune.

1. Cookies strictement nécessaires (pas de consentement requis)

Ce sont les cookies sans lesquels votre site ne fonctionne pas :

Cookies de session pour un panier d’achat ou une connexion
Le cookie qui enregistre le choix cookies du visiteur
Cookies de sécurité (ex. jetons CSRF)

Ceux-ci peuvent être placés sans consentement, mais doivent figurer dans votre politique cookies.

2. Cookies analytiques (consentement requis)

Cookies mesurant le comportement des visiteurs, comme Google Analytics, Hotjar ou Matomo (avec les paramètres par défaut). Même si vous n’utilisez les données qu’en interne, un consentement préalable est nécessaire.

Attention : certains outils d’analytics proposent un “mode sans cookies”. Vérifiez toujours qu’aucun cookie n’est effectivement placé, car le nom peut être trompeur.

3. Cookies marketing (consentement requis)

Cookies utilisés pour la publicité, le reciblage et la création de profils visiteurs. Exemples :

Facebook Pixel (_fbp)
Google Ads remarketing
LinkedIn Insight Tag
Autres réseaux publicitaires

Les cookies marketing sont les plus strictement réglementés. Le consentement doit être spécifique, éclairé et actif.

À quoi ressemble un bandeau cookies correct ?

Un bandeau cookies conforme au RGPD répond à ces exigences :

Pas de cookies chargés d’avance. Les cookies non essentiels ne peuvent être placés qu’après le consentement actif du visiteur. Cela signifie : pas de Google Analytics, pas de Facebook Pixel, pas de scripts marketing tant que le visiteur n’a pas cliqué sur “Accepter”.

Offrir un vrai choix. Le visiteur doit pouvoir refuser aussi facilement qu’accepter. Les deux boutons doivent être également visibles. Un grand bouton vert “Tout accepter” à côté d’un petit lien gris “Plus d’infos” n’est pas un vrai choix.

Demander le consentement par catégorie. Le visiteur doit pouvoir choisir quelles catégories de cookies sont placées. L’acceptation des cookies analytiques doit être séparée des cookies marketing.

Mémoriser le choix. Un visiteur qui refuse ne doit pas être sollicité à chaque visite de page. Enregistrez le choix (ironiquement, dans un cookie strictement nécessaire).

Rendre le consentement révocable. Il doit y avoir un moyen de modifier le choix cookies ultérieurement, par exemple via un lien dans le pied de page.

Le dark pattern “tout accepter”

L’une des erreurs les plus courantes est le bandeau cookies qui oriente fortement vers “tout accepter”. La CNIL a sérieusement traité cette question.

En 2022, la CNIL a sanctionné Google (150 millions d’euros) et Facebook (60 millions d’euros) parce que leurs bandeaux cookies rendaient le refus inutilement difficile. Accepter prenait un clic, mais refuser nécessitait plusieurs étapes dans des sous-menus.

Cela ne concerne pas que les géants technologiques. La CNIL et d’autres autorités examinent aussi les sites plus petits. Le principe est simple : si “Refuser” n’est pas aussi facile qu‘“Accepter”, le consentement n’est pas valide.

Concrètement : si votre bandeau comporte un bouton “Tout accepter”, il doit y avoir un bouton “Tout refuser” tout aussi visible à côté. Pas caché dans un sous-menu.

Erreurs courantes

Charger des cookies avant le consentement. Google Analytics tourne déjà avant que le visiteur n’ait fait de choix. C’est une violation directe.
Proposer uniquement “Accepter”. Pas d’option de refus, ou celle-ci est cachée derrière plusieurs clics.
Bandeau cookies inexact. Le bandeau mentionne trois cookies, mais un scan en révèle vingt. Cela arrive quand aucun audit cookies n’a été effectué.
Cases précochées. Des catégories activées par défaut. Ce n’est pas un consentement actif.
Pas de politique cookies. Un bandeau existe, mais nulle part d’explication sur les cookies placés et leur finalité.
Cookie wall. Bloquer le site jusqu’à ce que le visiteur accepte les cookies. Ce n’est pas autorisé dans la plupart des pays de l’UE.

Faites un audit cookies

La première étape vers une conformité cookies correcte est de savoir quels cookies votre site place. Ouvrez votre site dans une fenêtre de navigation privée, ouvrez les outils de développement (F12) et consultez l’onglet Application > Cookies. Vous serez probablement surpris de ce que vous y trouverez.

description

Modèle : Audit Cookies

Cartographiez systématiquement tous les cookies : quel cookie, de qui, pour quelle finalité, combien de temps actif, et si un consentement est requis.

Voir le modèle arrow_forward

Que faire maintenant ?

Inventoriez tous les cookies de votre site avec un audit cookies
Catégorisez-les comme strictement nécessaires, analytiques ou marketing
Vérifiez que votre bandeau cookies demande un consentement correct et actif par catégorie
Assurez-vous que les cookies non essentiels ne se chargent qu’après consentement
Rendez le refus aussi facile que l’acceptation
Répétez l’audit après chaque modification du site et au moins une fois par an

auto_awesome Scan automatique des cookies ?

GDPRWise scanne votre site et détecte automatiquement quels cookies, traceurs et tiers sont actifs. Vous savez exactement ce qui doit changer, sans recherche manuelle.

Lancez votre scan gratuit

Cookies et Consentement : Ce Que Vous Devez Savoir