Cookies et traceurs

Les cookies et traceurs ne se résument pas à un bandeau. Il faut distinguer le cadre juridique, les exemptions réelles et les points de contrôle techniques.

Demander un audit du site Voir les audits RGPD

consentementexemptionscontrôle réel

Cadre à connaître

Le cadre juridique repose d’abord sur l’article 82 de la loi Informatique et Libertés

En pratique, un site doit distinguer deux niveaux. Le premier concerne l’accès ou l’écriture d’informations sur le terminal de l’utilisateur, avec la logique de consentement préalable issue du droit ePrivacy et de l’article 82 de la loi Informatique et Libertés. Le second concerne le traitement ultérieur des données personnelles, qui reste soumis au RGPD, notamment aux exigences de licéité, de transparence, de protection dès la conception et de sécurité.

Ce qu’un site doit respecter concrètement

Le contrôle ne porte pas sur un seul bouton. Il porte sur l’ensemble du dispositif visible et technique.

Consentement préalable

Les traceurs non exemptés ne doivent pas être déposés avant un choix valable de l’utilisateur. Un simple affichage de bandeau sans blocage réel est insuffisant.

Information claire

La personne doit comprendre quelles catégories de traceurs sont proposées, pour quelles finalités et avec quelles conséquences sur son expérience.

Refus simple

Le refus doit être présenté de manière lisible et praticable. Une architecture qui pousse artificiellement à accepter reste mauvaise, même si elle paraît habillée juridiquement.

Vérité technique

Le rendu visuel doit correspondre aux scripts réellement chargés. Un CMP ou bandeau apparemment propre ne suffit pas si les dépôts commencent malgré tout.

Traceurs exemptés et traceurs soumis au consentement

La mauvaise pratique classique consiste à traiter toute la mesure d’audience comme automatiquement exemptée. Ce n’est pas exact.

Peuvent relever d’une exemption

traceurs strictement nécessaires au service demandé par l’utilisateur ;
certains traceurs de mesure d’audience interne, sous conditions strictes rappelées par la CNIL ;
préférences utiles à la navigation, lorsque la finalité reste limitée et cohérente.

Pour rester exemptée, la mesure d’audience doit rester strictement interne, sans recoupement avec d’autres traitements, sans transmission exploitable à des tiers et sans suivi global intersites. La CNIL recommande en outre une durée de vie des traceurs limitée à treize mois et une conservation des données n’excédant pas vingt-cinq mois.

Supposent en principe un consentement préalable

publicité ciblée, personnalisation publicitaire et retargeting ;
pixels, balises et tags d’analyse marketing non exemptés ;
mesure d’audience sortant du cadre strictement exempté ;
embeds, widgets, vidéos, cartes ou outils tiers déposant leurs propres traceurs ;
mécanismes de suivi multi-sites ou multi-appareils non couverts par une exemption réelle.

Dès qu’une solution tierce, un réseau social, un outil analytics ou un tag publicitaire intervient, la vérification doit être technique et non seulement visuelle. Un bandeau n’a de valeur que s’il correspond au comportement réel du site.

Les articles du RGPD qui comptent vraiment sur cette page

Même si les cookies relèvent d’abord du régime ePrivacy, les obligations publiées sur le site reposent aussi sur plusieurs articles structurants du RGPD.

Articles 5 et 6

Finalités déterminées, minimisation, licéité du traitement et base légale du traitement ultérieur des données personnelles liées aux traceurs.

Articles 12 et 13

Information concise, compréhensible et accessible. Un bandeau ou une politique cookies confuse, noyée ou générique expose rapidement le site à la critique.

Articles 25 et 32

Protection des données dès la conception, paramétrage par défaut, maîtrise technique des scripts, sécurité du traitement et documentation des choix mis en place.

Ce que la CNIL peut contrôler

Les cookies et traceurs font partie des sujets les plus visibles et les plus facilement contrôlables sur un site public.

Constat visible

Bandeau, wording, symétrie du refus, politique cookies, présence de catégories, canal de retrait du choix.

Contrôle technique

Lecture du comportement réel des scripts, tags, pixels, embeds, CMP et chargements tiers avant ou après consentement.

Examen documentaire

Inventaire des traceurs, preuve du consentement, paramétrage de la solution, cohérence avec les textes publiés et avec les prestataires impliqués.

Mesures correctrices

En vertu de l’article 58 du RGPD, l’autorité de contrôle peut notamment ordonner une mise en conformité, limiter un traitement ou prononcer une injonction.

Sanctions

L’article 83 du RGPD prévoit des amendes administratives qui doivent être effectives, proportionnées et dissuasives. Le défaut de maîtrise des traceurs peut aussi dégrader fortement la crédibilité commerciale du site.

Points de contrôle utiles dans un audit de site public

Voici le type de vérifications qui permettent d’objectiver vite le niveau réel du dispositif.

Avant le clic

des scripts déposent-ils déjà des traceurs avant toute action ;
des vidéos, cartes ou widgets tiers chargent-ils des éléments non exemptés ;
la bannière apparaît-elle au bon moment et au bon niveau.

Au moment du choix

le refus est-il aussi visible que l’acceptation ;
les catégories sont-elles compréhensibles ;
les intitulés évitent-ils les formulations vagues ou artificiellement rassurantes.

Après le choix

le site respecte-t-il effectivement le refus ;
un mécanisme de retrait est-il accessible ;
la preuve du consentement et des versions de la CMP est-elle documentée.

Situations fréquentes à traiter

Les mêmes erreurs reviennent très souvent lorsque le site a évolué par ajouts successifs.

Le bandeau paraît correct, mais les scripts démarrent quand même

Le problème se situe souvent dans le chargement du gestionnaire de tags, d’un outil analytics, d’un pixel publicitaire ou d’un composant tiers avant que le choix ne soit effectivement pris. L’audit doit alors vérifier le comportement réseau et le chargement réel, pas seulement la présentation visible.

La mesure d’audience est présentée comme exemptée sans vérifier les conditions

Il faut examiner la finalité réelle, l’absence de recoupement avec d’autres traitements, l’absence de transmission à des tiers, le caractère strictement interne du dispositif et les durées retenues. Sans cela, l’exemption est fragile.

La politique cookies est trop générique

Une politique qui ne reflète pas les outils réellement présents, les catégories effectives, les durées ou les prestataires utilisés affaiblit immédiatement la crédibilité de l’ensemble. Le texte doit coller au site réel.

Des traceurs tiers sont présents via des services annexes

Cartes, vidéos, polices, chat, boutons sociaux, outils de réservation, widgets de réassurance ou services marketing peuvent introduire des traceurs qu’il faut inventorier et traiter proprement. Le site public révèle alors un défaut plus global de gouvernance.

Un bon audit cookies doit dépasser le simple regard sur le bandeau

Le bon travail consiste à relier le visible, le juridique et le technique : ce qui s’affiche, ce qui se dépose réellement, ce qui est documenté et ce que l’organisme peut démontrer en cas de contrôle.

Lancer un audit du site Parler du cas concret

Ce qu’il faut retenir

les cookies ne sont pas un sujet cosmétique ;
le dispositif doit être lisible et techniquement vrai ;
les exemptions doivent être réellement justifiées ;
la preuve du consentement et la cohérence documentaire comptent ;
ce contrôle est très souvent un révélateur de la maturité globale du site.

Point de méthode La CNIL recommande notamment de pouvoir démontrer le consentement, de conserver des captures horodatées des interfaces, de tracer les versions de la solution de recueil et de procéder à des audits réguliers des mécanismes en place.

Suite logique

Si les cookies et traceurs posent déjà difficulté, il faut souvent vérifier dans la foulée la sécurité visible du site, les formulaires, la documentation de conformité et les droits des personnes.

Voir la sécurité des données