La gestion des cookies est l'un des points de conformité les plus visibles sur un site web — et l'un des plus souvent mal traités. Depuis les recommandations actualisées de la CNIL en 2020, les règles ont changé, et un simple bandeau informatif ne suffit plus. Voici ce que la loi impose concrètement, les erreurs les plus fréquentes et comment s'y conformer.
Qu'est-ce qu'un cookie, concrètement ?
Un cookie est un petit fichier texte déposé sur l'appareil de l'utilisateur lorsqu'il visite un site. Tous les cookies ne se valent pas :
Cookies strictement nécessaires — gestion de la session, mémorisation du panier, préférences de langue. Ils ne nécessitent pas de consentement car ils sont indispensables au fonctionnement du site.
Cookies de mesure d'audience — Google Analytics et équivalents. Ils collectent des données de navigation pour analyser le trafic. Soumis au consentement depuis 2020.
Cookies tiers — boutons de partage réseaux sociaux, vidéos YouTube ou Vimeo embarquées, chatbots. Ils déposent des traceurs au nom de sociétés tierces. Soumis au consentement.
Ce que la CNIL impose depuis 2020
La règle est claire depuis les recommandations actualisées de la CNIL : aucun cookie non essentiel ne peut être déposé avant que l'utilisateur n'ait donné son accord explicite.
Un bandeau conforme doit obligatoirement proposer trois options :
- Accepter tout — l'utilisateur consent à tous les cookies
- Refuser tout — aucun cookie non essentiel n'est déposé
- Personnaliser — l'utilisateur choisit cookie par cookie
Ce qui n'est plus accepté :
- Un bandeau qui dit simplement "ce site utilise des cookies"
- Des cases pré-cochées sur "accepter"
- Un bouton "Accepter" bien visible et un bouton "Refuser" caché ou difficile d'accès
- Considérer que la navigation sur le site vaut consentement
Qui est concerné ?
Tout le monde. Le RGPD s'applique à toutes les organisations qui collectent des données de résidents européens — entreprises, associations, et organismes publics. Une mairie qui utilise Google Analytics est soumise aux mêmes obligations qu'un site e-commerce.
Les collectivités ont en outre une responsabilité particulière : en tant qu'organismes publics, elles traitent des données d'administrés et doivent donner l'exemple en matière de respect de la vie privée.
Les erreurs les plus fréquentes
En analysant des dizaines de sites dans le cadre de nos bilans de santé, nous constatons régulièrement les mêmes problèmes :
1. Bandeau informatif sans possibilité de refus Le plus courant : un bandeau qui informe de l'utilisation de cookies sans proposer de refus. Non conforme depuis 2020.
2. Google Analytics actif avant consentement Très fréquent. Le script GA se charge dès l'arrivée sur le site, avant que l'utilisateur n'ait eu le temps d'accepter ou refuser. C'est une violation directe du RGPD.
3. Boutons de réseaux sociaux sans opt-in Un bouton "Partager sur Facebook" ou une vidéo YouTube embarquée dépose des traceurs tiers dès le chargement de la page — même si l'utilisateur n'interagit pas.
4. Pas de politique de confidentialité La politique de confidentialité est un document obligatoire qui explique quelles données sont collectées, pourquoi, pour combien de temps et quels sont les droits des utilisateurs. Son absence est une non-conformité en soi.
Comment se mettre en conformité
La mise en conformité suit un processus en 4 étapes :
1. Audit des traceurs présents
Inventaire complet de tous les cookies et traceurs actifs sur votre site — souvent plus nombreux qu'on ne le croit.
2. Mise en place d'une CMP
Une Consent Management Platform (CMP) est la solution technique qui gère le recueil, la mémorisation et la révocation du consentement. Elle s'interface avec tous les outils tiers utilisés sur le site.
3. Conditionnement des scripts tiers
Reconfiguration des outils analytics, des boutons sociaux et des contenus embarqués pour qu'ils ne se chargent qu'après consentement explicite.
4. Mise à jour des documents légaux
Rédaction ou mise à jour de la politique de confidentialité, des mentions légales et de la politique cookies.
Ces éléments sont systématiquement intégrés dans nos projets de refonte. Sur un site existant, nous pouvons intervenir ponctuellement pour mettre en conformité la gestion des cookies sans refonte complète.
Questions fréquentes
Notre site n'a pas de boutique en ligne, le RGPD s'applique quand même ?
Oui. Dès lors que votre site utilise un outil d'analytics (Google Analytics, Matomo…), des boutons de réseaux sociaux ou un formulaire de contact, il collecte des données personnelles et est soumis au RGPD.
Google Analytics est-il légal en France ?
C'est une question complexe. Depuis les décisions de la CNIL en 2022, l'utilisation de Google Analytics dans sa configuration standard pose des problèmes de conformité liés au transfert de données vers les États-Unis. Des alternatives hébergées en Europe comme Matomo sont de plus en plus recommandées.
Peut-on continuer à utiliser Google Analytics en le configurant correctement ?
Oui, avec certaines précautions : anonymisation de l'IP, désactivation du partage de données avec Google, et bien sûr recueil du consentement avant activation. Nous configurons ces paramètres dans nos projets.
Nos mentions légales sont en place, est-ce suffisant ?
Non. Les mentions légales et la politique de confidentialité sont deux documents distincts. Les mentions légales identifient l'éditeur du site. La politique de confidentialité explique comment les données personnelles sont traitées. Les deux sont obligatoires.
Votre site n'est pas conforme RGPD ?
C'est un problème courant et corrigeable. Contactez-nous pour un audit de votre situation et une mise en conformité adaptée — que vous ayez besoin d'une intervention ponctuelle ou d'une refonte complète.
À lire aussi : Accessibilité RGAA · Refonte de site web