Skip to main content

Analyse et audit des cookies : sachez ce que votre site web dépose

Vous ne pouvez pas vous conformer aux réglementations sur les cookies si vous ignorez quels cookies votre site web dépose. Cela semble évident, et pourtant c'est la cause d'échec la plus fréquente en matière de conformité aux cookies. Les sites web évoluent en permanence — de nouveaux plugins sont installés, des balises marketing sont ajoutées, des scripts tiers sont mis à jour — et chaque changement peut introduire de nouveaux cookies. Un audit des cookies n'est pas une activité ponctuelle. C'est un processus continu qui doit suivre le rythme de l'évolution de votre site.

Pourquoi l'analyse des cookies est importante

Chaque obligation de conformité en matière de cookies repose sur un inventaire précis et complet de vos cookies. Sans cela :

  • Votre bandeau de cookies est incomplet. Si votre bandeau répertorie quatre catégories de cookies alors que votre site en dépose en réalité dans une cinquième catégorie, les utilisateurs ne peuvent pas donner un consentement éclairé. Leur consentement est invalide au regard du GDPR.
  • Votre politique de cookies est inexacte. Les autorités de protection des données attendent de votre politique de cookies qu'elle répertorie chaque cookie par son nom, sa finalité, son type et sa durée. Une politique incomplète ou obsolète constitue un manquement à la conformité que les APD recherchent activement lors des audits.
  • Votre mécanisme de consentement peut ne pas bloquer tous les cookies. Si un script récemment ajouté dépose des cookies qui ne figurent pas dans la configuration de votre gestion du consentement, ces cookies se déclenchent sans consentement — une violation directe de l'article 5(3) de la directive ePrivacy.
  • Vous ne pouvez pas répondre aux demandes des utilisateurs. En vertu du GDPR, les utilisateurs ont le droit de savoir quelles données vous collectez à leur sujet. Si vous ignorez quels cookies votre site dépose, vous ne pouvez pas fournir de réponses précises aux demandes d'accès des personnes concernées.

Ce que révèle une analyse des cookies

Une analyse approfondie des cookies identifie :

  • Les noms des cookies : l'identifiant exact de chaque cookie (par exemple, _ga, _fbp, JSESSIONID).
  • L'origine : le fait que le cookie soit interne (déposé par votre domaine) ou tiers (déposé par un domaine externe).
  • Le type : cookie de session (supprimé à la fermeture du navigateur) ou cookie persistant (conservé pendant une durée déterminée).
  • La durée : combien de temps le cookie persiste avant d'expirer (par exemple, 30 minutes, 1 an, 2 ans).
  • La finalité : ce que fait le cookie — gestion de session, mesure d'audience, publicité, personnalisation ou finalités fonctionnelles.
  • La catégorie : la catégorie de conformité à laquelle appartient le cookie — strictement nécessaire, fonctionnel, mesure d'audience/performance ou marketing/publicité.
  • Le fournisseur tiers : si le cookie est déposé par un tiers, à quel service il appartient (Google Analytics, Facebook, HubSpot, Hotjar, etc.).
  • Les données collectées : les informations que le cookie stocke ou dont il permet la collecte.

Analyse manuelle des cookies avec les outils de développement du navigateur

La méthode la plus élémentaire d'analyse des cookies utilise les outils de développement intégrés à tout navigateur moderne. Bien que l'analyse manuelle présente d'importantes limites, elle est utile pour des vérifications ponctuelles et pour comprendre le fonctionnement des cookies sur votre site.

Pas à pas : audit manuel des cookies dans Chrome

  1. Ouvrez une fenêtre de navigation privée. Cela garantit que vous partez d'une base vierge — sans aucun cookie provenant de visites précédentes.
  2. Ouvrez les outils de développement (appuyez sur F12 ou faites un clic droit et sélectionnez « Inspecter »).
  3. Accédez à l'onglet Application (dans Chrome) ou à l'onglet Stockage (dans Firefox).
  4. Déployez la section « Cookies » dans la barre latérale de gauche. Vous verrez une liste de domaines.
  5. Visitez votre site web sans interagir avec le bandeau de cookies. Notez quels cookies sont déposés immédiatement — ce sont les cookies déposés avant le consentement, qui ne devraient être que des cookies strictement nécessaires.
  6. Acceptez tous les cookies sur votre bandeau. Actualisez l'onglet Application/Stockage et notez les nouveaux cookies qui apparaissent.
  7. Parcourez les pages clés de votre site web (page d'accueil, pages produits, tunnel d'achat, formulaire de contact, blog). Certains cookies ne sont déposés que sur des pages spécifiques ou après des interactions précises.
  8. Documentez chaque cookie : pour chaque cookie trouvé, notez son nom, son domaine, son chemin, sa date d'expiration, sa taille et s'il est HTTP-only ou sécurisé.
  9. Vérifiez l'onglet Réseau pour repérer d'autres traceurs. Certaines technologies de suivi utilisent des pixels, des balises web ou des appels API plutôt que des cookies traditionnels. L'onglet Réseau révèle toutes les requêtes sortantes vers des domaines tiers.

Limites de l'analyse manuelle

L'analyse manuelle est précieuse pour l'apprentissage et les vérifications ponctuelles, mais elle présente de sérieuses limites à des fins de conformité :

  • Couverture incomplète. Vous ne pouvez vérifier que les pages que vous visitez manuellement. Un grand site web comptant des centaines de pages peut déposer des cookies différents selon les pages. L'analyse manuelle ne peut pas raisonnablement toutes les couvrir.
  • Absence de catégorisation. Les outils de développement affichent les données brutes des cookies, mais ne les classent pas par finalité ou catégorie de conformité. Vous devez rechercher chaque cookie individuellement.
  • Instantané uniquement. L'analyse manuelle vous donne une photographie à un instant T. Elle ne détecte pas les nouveaux cookies ajoutés après votre audit.
  • Aucune vérification du blocage des scripts. L'analyse manuelle ne permet pas de vérifier facilement que votre plateforme de gestion du consentement bloque correctement les scripts avant le consentement.
  • Chronophage. Pour un site ne comptant ne serait-ce que 20 pages, vérifier manuellement chaque page et documenter chaque cookie prend des heures.

Analyse automatisée des cookies

Les outils d'analyse automatisée des cookies répondent aux limites de l'analyse manuelle en explorant l'ensemble de votre site web, en identifiant tous les cookies et en les catégorisant systématiquement. Un bon outil d'analyse automatisée offre :

  • Une exploration exhaustive : le scanner visite chaque page de votre site (ou un sous-ensemble défini), y compris les pages accessibles uniquement par la navigation ou la recherche.
  • Avant et après le consentement : le scanner vérifie quels cookies sont déposés avant le consentement, lesquels apparaissent après le consentement, et si les catégories refusées sont correctement bloquées.
  • Une catégorisation automatique : les cookies connus (comme le _ga de Google Analytics ou le _fbp de Facebook) sont automatiquement catégorisés à partir de bases de données maintenues à jour sur les finalités des cookies.
  • L'identification des tiers : tous les domaines tiers déposant des cookies sont identifiés et documentés.
  • Une analyse programmée : les analyses s'exécutent automatiquement selon un calendrier (chaque semaine, après les déploiements) pour détecter les nouveaux cookies dès leur apparition.
  • La détection des changements : le scanner vous alerte lorsque de nouveaux cookies apparaissent ou que des cookies existants changent, afin que vous puissiez mettre à jour votre mécanisme de consentement et votre politique de cookies.
  • Des rapports de conformité : les résultats sont formatés de manière à soutenir votre documentation de conformité.

Que rechercher dans un outil d'analyse des cookies

Lorsque vous évaluez des solutions d'analyse automatisée des cookies, prenez en compte :

  1. Le rendu JavaScript : de nombreux cookies sont déposés par du JavaScript qui s'exécute après le chargement de la page. Le scanner doit exécuter le JavaScript (à l'aide d'un véritable moteur de navigateur) pour détecter ces cookies. Les simples robots d'exploration HTTP qui n'exécutent pas le JavaScript passeront à côté de la plupart des cookies tiers.
  2. La profondeur d'exploration : le scanner doit suivre les liens internes et explorer l'ensemble de votre site, pas seulement la page d'accueil. Les cookies déposés par des vidéos intégrées, des formulaires, des widgets de chat ou des prestataires de paiement sur des pages spécifiques seront ignorés si seule la page d'accueil est analysée.
  3. La simulation d'une première visite : le scanner doit simuler un visiteur venant pour la première fois (aucun cookie existant, aucun consentement donné) pour vérifier qu'aucun cookie non essentiel n'est déposé avant le consentement.
  4. La base de données de cookies : une base de données maintenue à jour des cookies connus avec leurs finalités et catégories réduit considérablement l'effort manuel de classification.
  5. Les rapports : des rapports clairs et exportables pouvant être partagés avec les équipes juridiques, marketing et de développement.
  6. La programmation et les alertes : une analyse automatique selon un calendrier configurable, avec des notifications lorsque de nouveaux cookies sont détectés.

Le processus d'analyse des cookies

Une analyse approfondie des cookies suit cinq étapes, qu'elle soit effectuée manuellement ou à l'aide d'outils automatisés :

Étape 1 : explorer toutes les pages

Commencez par établir une cartographie complète de votre site web. Cela inclut toutes les pages publiques, les pages authentifiées (le cas échéant), les pages d'atterrissage, les pages de remerciement, les pages d'erreur et toute page à laquelle un visiteur pourrait accéder. Ne limitez pas votre analyse à la page d'accueil — les cookies sont fréquemment déposés par des scripts tiers qui ne se chargent que sur des pages spécifiques (par exemple, une vidéo YouTube intégrée dans un article de blog, un prestataire de paiement sur la page de paiement, ou un widget de chat qui n'apparaît que sur les pages d'assistance).

Étape 2 : identifier tous les cookies

Pour chaque page, notez chaque cookie déposé. Cela inclut à la fois les cookies HTTP (visibles dans l'en-tête Set-Cookie et dans le stockage de cookies du navigateur) et les mécanismes de stockage côté client (localStorage, sessionStorage, IndexedDB) qui peuvent fonctionner comme des technologies de suivi bien qu'ils ne soient pas techniquement des cookies.

Étape 3 : déterminer l'origine des cookies

Pour chaque cookie, déterminez s'il est interne (déposé par votre propre domaine) ou tiers (déposé par un domaine externe). Les cookies tiers sont particulièrement importants pour la conformité, car ils impliquent généralement le partage de données avec des organisations externes, ce qui nécessite une divulgation dans votre politique de cookies et, dans de nombreux cas, un accord de traitement des données.

Étape 4 : classer les cookies par catégorie

Attribuez chaque cookie à une catégorie de conformité :

  • Strictement nécessaires : requis pour le fonctionnement du site web. Ne peuvent pas être désactivés par l'utilisateur. Exemples : cookies de session, jetons CSRF, cookies de répartition de charge, cookies de préférence de consentement aux cookies.
  • Fonctionnels : permettent des fonctionnalités améliorées et la personnalisation. Exemples : préférences de langue, sélection de région, articles récemment consultés (lorsqu'ils ne sont pas utilisés à des fins publicitaires).
  • Mesure d'audience/performance : collectent des informations sur la manière dont les visiteurs utilisent le site web. Exemples : cookies Google Analytics, Hotjar, Matomo.
  • Marketing/publicité : suivent les visiteurs à travers les sites web à des fins publicitaires. Exemples : Facebook Pixel, cookies Google Ads, cookies de reciblage, cookies de suivi d'affiliation.

Étape 5 : documenter la finalité, la durée et le type

Pour chaque cookie, documentez sa finalité dans un langage clair qu'une personne non technique peut comprendre, sa durée (session ou persistant, et si persistant, combien de temps) et son type (cookie HTTP, localStorage, etc.). Cette documentation constitue la base de votre politique de cookies et des informations fournies dans votre bandeau de cookies.

Surveillance continue

Une analyse des cookies n'est valable qu'à l'instant où elle est réalisée. Votre site web n'est pas statique — il évolue à chaque déploiement, mise à jour de plugin et campagne marketing. Une surveillance continue est essentielle, car :

  • Les nouveaux scripts introduisent de nouveaux cookies. Lorsqu'un développeur ajoute un nouvel outil d'analyse, qu'une équipe marketing installe un nouveau pixel de suivi ou qu'un plugin est mis à jour, de nouveaux cookies peuvent apparaître sur votre site sans que quiconque n'ait explicitement décidé de les ajouter.
  • Les scripts tiers changent. Même si vous ne modifiez pas votre site web, les services tiers que vous utilisez peuvent mettre à jour leurs scripts et introduire de nouveaux cookies. Une mise à jour de Google Analytics, une modification d'un widget de réseau social ou un changement de configuration d'un CDN peuvent tous affecter les cookies de votre site.
  • La conformité est continue. Les APD attendent de votre politique de cookies et de votre mécanisme de consentement qu'ils reflètent l'état actuel de votre site web. Une politique qui était exacte il y a six mois mais qui n'inclut pas les cookies ajoutés depuis n'est plus conforme aujourd'hui.

La bonne pratique consiste à exécuter des analyses automatisées après chaque déploiement et au minimum une fois par mois. Configurez des alertes pour les nouveaux cookies afin que votre équipe puisse les évaluer, les catégoriser et les ajouter à votre mécanisme de consentement avant qu'ils ne deviennent un problème de conformité.

L'analyse des cookies et votre politique de cookies

Votre politique de cookies et les résultats de votre analyse des cookies doivent rester synchronisés. Chaque cookie identifié lors d'une analyse doit être documenté dans votre politique, et chaque cookie répertorié dans votre politique doit effectivement être présent sur votre site. Un décalage dans un sens comme dans l'autre pose problème :

  • Cookies présents sur le site mais absents de la politique : cela signifie que les utilisateurs ne sont pas informés de l'ensemble du suivi sur votre site. Leur consentement, même donné, peut ne pas couvrir les cookies non divulgués.
  • Cookies présents dans la politique mais absents du site : bien que moins grave, répertorier des cookies qui n'existent pas crée de la confusion et nuit à la confiance dans l'exactitude de votre documentation.

L'approche la plus efficace consiste à intégrer votre outil d'analyse à votre politique de cookies, de sorte que la politique soit automatiquement mise à jour lorsque de nouveaux cookies sont détectés. Cela élimine l'étape manuelle de mise à jour de la politique après chaque analyse et réduit le risque de désynchronisation entre les deux.

Comment Passiro gère l'analyse des cookies

Le scanner de Passiro utilise un moteur de navigateur headless pour visiter chaque page de votre site web, exécutant le JavaScript exactement comme le ferait le navigateur d'un véritable visiteur. Cela garantit que les cookies déposés par des scripts chargés dynamiquement, du contenu intégré et des frameworks d'applications monopages sont tous détectés. Le scanner s'exécute avant et après un consentement simulé pour vérifier que votre gestion du consentement fonctionne correctement — que les cookies non essentiels sont réellement bloqués jusqu'à ce que le consentement soit donné.

Les résultats de l'analyse sont catégorisés automatiquement à l'aide d'une base de données de cookies connus continuellement mise à jour, avec la possibilité de classer ou reclasser manuellement n'importe quel cookie. Des analyses programmées s'exécutent selon un calendrier configurable, et vous recevez des alertes lorsque de nouveaux cookies apparaissent sur votre site afin de pouvoir agir avant qu'ils ne deviennent un risque de conformité.

À quelle fréquence devez-vous analyser ?

La bonne fréquence d'analyse dépend de la fréquence à laquelle votre site web change :

  • Après chaque déploiement : toute modification de code est susceptible d'introduire de nouveaux cookies. Intégrez l'analyse des cookies à votre pipeline CI/CD ou exécutez une analyse après chaque mise en production.
  • Après l'ajout de services tiers : chaque fois que vous ajoutez un nouvel outil d'analyse, une plateforme marketing, un widget de chat, un prestataire de paiement ou tout autre script tiers, effectuez une analyse immédiatement.
  • Au minimum une fois par mois : même si vous n'effectuez aucune modification, les scripts tiers de votre site peuvent se mettre à jour et introduire de nouveaux cookies. Une analyse mensuelle détecte ces changements.
  • Après les mises à jour du CMP : si vous mettez à jour votre plateforme de gestion du consentement ou modifiez vos catégories de cookies, effectuez une analyse pour vérifier que les changements fonctionnent comme prévu.
  • Revue trimestrielle : au-delà de l'analyse automatisée, effectuez une revue manuelle trimestrielle de votre inventaire de cookies pour vérifier que les catégorisations sont toujours exactes, que les fournisseurs tiers sont toujours nécessaires et que votre politique de cookies reflète la réalité.

Les organisations qui considèrent l'analyse des cookies comme une maintenance de routine plutôt que comme un audit périodique sont celles qui maintiennent une conformité continue — et qui évitent la mauvaise surprise de découvrir des cookies de suivi non documentés lors d'une enquête d'une APD.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement