Que sont les cookies ?
Les cookies sont de petits fichiers texte que les sites web enregistrent dans votre navigateur. Lorsque vous visitez un site, le serveur peut envoyer un cookie en même temps que le contenu de la page. Votre navigateur conserve ce cookie et le renvoie au serveur à chaque requête ultérieure. Ce mécanisme tout simple — stocker une valeur, la renvoyer — constitue le fondement de presque toutes les expériences web personnalisées.
Comprendre ce que sont les cookies, comment ils fonctionnent et à quoi ils servent est la première étape essentielle vers la conformité en matière de cookies. On ne peut pas encadrer ce que l'on ne comprend pas.
Comment fonctionnent techniquement les cookies
Dans leur essence, les cookies sont des paires clé-valeur. Un cookie possède un nom, une valeur et un ensemble d'attributs qui régissent son comportement. Lorsqu'un serveur web souhaite définir un cookie, il inclut un en-tête Set-Cookie dans sa réponse HTTP :
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
Cela indique au navigateur : « Stocke un cookie nommé session_id ayant la valeur abc123. Renvoie-le à chaque requête vers n'importe quel chemin de ce domaine. Conserve-le jusqu'en mars 2027. Ne l'envoie que via HTTPS. Et ne laisse pas JavaScript y accéder. »
À chaque requête suivante vers ce domaine, le navigateur inclut automatiquement le cookie dans l'en-tête Cookie :
Cookie: session_id=abc123
Le serveur lit cette valeur et sait ainsi de qui provient la requête. C'est tout le mécanisme. Les cookies ne sont pas des programmes. Ils ne peuvent pas exécuter de code, accéder à votre système de fichiers ni installer quoi que ce soit. Ce sont des données passives — des chaînes de texte qui font des allers-retours entre le navigateur et le serveur.
À quoi servent les cookies
Les cookies remplissent quatre grandes fonctions sur le web moderne :
Authentification et gestion des sessions
Lorsque vous vous connectez à un site web, le serveur crée une session et stocke un identifiant de session unique dans un cookie. Sans ce cookie, le serveur n'aurait aucun moyen de savoir que votre prochaine requête de page provient du même utilisateur connecté. Chaque chargement de page donnerait l'impression d'une première visite. Paniers d'achat, comptes utilisateurs, tableaux de bord d'administration — rien de tout cela ne fonctionne sans cookies de session.
Préférences utilisateur
Les cookies mémorisent vos choix. Préférences de langue, paramètres de thème (mode sombre ou mode clair), sélection de devise, et même les choix de consentement aux cookies eux-mêmes — tout cela est généralement stocké dans des cookies. Lorsque vous revenez sur un site et qu'il sait déjà que vous préférez l'allemand, cette information est enregistrée dans un cookie.
Analyse d'audience et performance
Des services comme Google Analytics, Matomo et Plausible utilisent des cookies pour distinguer les visiteurs uniques des visiteurs récurrents, pour suivre les pages consultées au cours d'une même session et pour mesurer la façon dont les visiteurs naviguent sur un site. Le cookie d'analyse ne contient généralement pas d'informations personnelles directement — il contient un identifiant anonyme comme _ga=GA1.2.123456789.1710000000.
Publicité et suivi
C'est ici que les cookies deviennent une préoccupation pour la vie privée. Les régies publicitaires utilisent des cookies pour suivre les utilisateurs à travers plusieurs sites web, constituant des profils de comportement de navigation qui rendent possible la publicité ciblée. Lorsque vous visitez un site d'actualités et que vous voyez ensuite des publicités pour un produit que vous aviez consulté sur un autre site, ce sont les cookies de suivi intersites qui l'ont permis. Ces cookies tiers sont la cible principale de la réglementation moderne sur la vie privée.
Une brève histoire des cookies
Les cookies ont été inventés en 1994 par Lou Montulli, programmeur chez Netscape Communications. L'objectif initial était modeste : Netscape avait besoin d'un moyen de mettre en place un panier d'achat pour un client e-commerce sans stocker le contenu du panier de chaque utilisateur sur le serveur. Montulli a adapté le concept des « magic cookies » de l'informatique Unix — de petits jetons échangés entre programmes pour maintenir un état.
Les premiers cookies étaient une solution technique pragmatique. Mais leur potentiel de suivi a rapidement été reconnu. Dès 1996, le Financial Times publiait le premier article grand public soulevant des inquiétudes en matière de vie privée liées aux cookies. En 2002, l'UE avait adopté la directive ePrivacy qui les visait spécifiquement.
Au cours des deux décennies suivantes, les cookies sont passés d'un simple outil de gestion de session à la colonne vertébrale de l'industrie de la publicité numérique — et à la cible principale des législations sur la vie privée dans le monde entier.
Pourquoi les cookies posent problème pour la vie privée
Le problème de vie privée lié aux cookies ne tient pas à la technologie elle-même. Un cookie qui mémorise votre préférence de langue est inoffensif. La préoccupation naît de trois usages précis :
- Le suivi intersites. Les cookies tiers permettent aux régies publicitaires de suivre les utilisateurs sur le web, en constituant des profils détaillés de leur comportement de navigation. Un utilisateur qui visite un site d'information médicale, le site d'une organisation politique et un site de rencontres a révélé des informations sensibles — et tout cela peut être relié grâce aux cookies.
- Le manque de transparence. La plupart des utilisateurs ignorent combien de cookies sont déposés lorsqu'ils visitent un site web typique. Un seul site d'actualités peut déposer 50 à 100 cookies provenant de dizaines de domaines différents. L'utilisateur voit un seul site web ; en coulisses, des dizaines d'entreprises observent sa visite.
- La persistance. Les cookies peuvent durer des années. Un cookie de suivi déposé en 2024 peut toujours identifier le même utilisateur en 2026. Cette capacité de suivi à long terme, associée à une portée intersites, crée une infrastructure de surveillance qui fonctionne à l'insu de la plupart des utilisateurs et sans consentement réel.
Ce sont ces préoccupations qui expliquent pourquoi la directive ePrivacy (article 5, paragraphe 3) exige un consentement éclairé avant de déposer des cookies non essentiels, et pourquoi le GDPR (articles 4, paragraphe 11, et 7) fixe des conditions strictes quant à ce qui constitue un consentement valable.
Au-delà des cookies : les autres technologies de suivi
La réglementation moderne sur la vie privée ne couvre pas seulement les cookies. La directive ePrivacy fait référence à « le stockage d'informations, ou l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur ». Cette formulation vise délibérément tout mécanisme de stockage côté client, notamment :
- localStorage et sessionStorage — des API de stockage web qui permettent aux sites de stocker de plus grandes quantités de données dans le navigateur. Contrairement aux cookies, ces données ne sont pas envoyées automatiquement au serveur, mais elles peuvent tout de même servir au suivi et nécessitent un consentement selon les mêmes règles.
- IndexedDB — une base de données côté client plus puissante. Les mêmes règles de consentement s'appliquent.
- L'empreinte numérique du navigateur (fingerprinting) — la collecte de caractéristiques de l'appareil (résolution d'écran, polices installées, plugins du navigateur, fuseau horaire) afin de créer un identifiant unique sans rien stocker sur l'appareil. Même si le fingerprinting n'utilise pas de cookies, il est de plus en plus reconnu comme une technologie de suivi nécessitant un consentement. La CNIL française et plusieurs autres autorités de protection des données ont publié des lignes directrices confirmant ce point.
- Les pixels de suivi — de minuscules images invisibles chargées depuis un serveur tiers. La requête elle-même révèle l'adresse IP de l'utilisateur, son navigateur et la page sur laquelle il se trouve. Les pixels de suivi fonctionnent souvent en complément des cookies mais peuvent aussi fonctionner de manière autonome.
- ETags et suivi basé sur le cache — des techniques qui exploitent la mise en cache du navigateur pour stocker et récupérer des identifiants. Elles sont moins répandues mais illustrent pourquoi la réglementation se concentre sur le résultat (le suivi) plutôt que sur la technologie précise.
À retenir en pratique : si votre site web stocke ou consulte des informations sur l'appareil d'un utilisateur à des fins non essentielles, ou s'il emploie des techniques pour suivre les utilisateurs d'une session à l'autre, un consentement est presque certainement requis — que le mécanisme soit techniquement un « cookie » ou non.
Le scanner de cookies de Passiro détecte tous les cookies et technologies de suivi présents sur votre site web, y compris l'utilisation de localStorage, les scripts tiers et les pixels de suivi — vous offrant une vision complète de ce que votre site collecte.
Points clés à retenir
- Les cookies sont de petits fichiers texte stockés par le navigateur et renvoyés au serveur à chaque requête.
- Ils remplissent des fonctions légitimes (authentification, préférences) et des fonctions sensibles pour la vie privée (analyse d'audience, publicité).
- Les cookies de suivi tiers sont la principale préoccupation de la réglementation sur la vie privée.
- D'autres technologies (localStorage, fingerprinting, pixels) sont soumises aux mêmes exigences de consentement.
- Comprendre quels cookies utilise votre site web est la première étape vers la conformité.
Voyons maintenant en détail les différents types de cookies — car c'est le type qui détermine les exigences de consentement.
Dans cette section
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement