Skip to main content

Bonnes pratiques du consentement aux cookies

Connaître la loi est nécessaire. La mettre en œuvre correctement, c'est là que le véritable travail commence. Cette section présente les bonnes pratiques concrètes du consentement aux cookies — comment concevoir une expérience de consentement qui soit juridiquement conforme, techniquement solide et respectueuse de vos utilisateurs.

1. Rendre le consentement réellement volontaire

L'article 7(4) du RGPD précise que, pour déterminer si le consentement est donné librement, « il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ».

En pratique, cela signifie :

  • Ne pas utiliser de murs de cookies (cookie walls) qui bloquent l'accès au contenu tant que l'utilisateur n'accepte pas tous les cookies. L'EDPB a indiqué que les cookie walls empêchent généralement le consentement d'être donné librement. Si un utilisateur ne peut pas accéder à votre site sans accepter le suivi, son « consentement » est contraint, et non volontaire.
  • Ne pas dégrader l'expérience des utilisateurs qui refusent. Afficher une superposition persistante, réduire les fonctionnalités de la page ou diffuser des messages culpabilisants (« Nous constatons que vous n'avez pas accepté les cookies — votre expérience risque d'en pâtir ») porte atteinte au caractère volontaire du consentement.
  • Proposer de véritables alternatives. Si vous utilisez un modèle « consentir ou payer », l'alternative payante doit être réellement raisonnable — et non tarifée de manière à sanctionner le refus.

2. Éliminer les dark patterns

Les dark patterns dans le consentement aux cookies sont spécifiquement ciblés par les autorités de contrôle. L'EDPB a publié des lignes directrices sur les interfaces de conception trompeuses, et la CNIL, le Garante et d'autres autorités ont sanctionné des organisations précisément pour des interfaces de consentement manipulatrices.

Évitez ces pratiques :

  • Boutons asymétriques. « Tout accepter » sous la forme d'un grand bouton coloré et « Gérer les paramètres » sous la forme d'un petit lien texte. Les deux options doivent être tout aussi visibles. Plusieurs autorités ont spécifiquement exigé que « Tout refuser » soit disponible dès le premier niveau, avec le même poids visuel que « Tout accepter ».
  • Formulations confuses. « Continuer sans accepter » face à « Accepter et continuer » — lorsque les deux boutons se ressemblent, les utilisateurs ne peuvent pas les distinguer rapidement. Utilisez des libellés clairs et sans ambiguïté : « Tout accepter », « Tout refuser », « Personnaliser ».
  • Options de refus dissimulées. Obliger les utilisateurs à cliquer jusqu'à un deuxième ou troisième niveau pour refuser les cookies, alors que « Tout accepter » ne requiert qu'un seul clic. La CNIL a infligé à Google une amende de 150 millions d'euros en partie pour cette pratique.
  • Boutons pré-cochés. Des interrupteurs de catégorie activés par défaut pour l'analytique et le marketing. L'arrêt Planet49 de la CJUE interdit explicitement cette pratique.
  • Couleurs trompeuses. Le vert pour « Accepter » et le rouge ou le gris pour « Refuser » suggère qu'accepter est le bon choix et que refuser est une erreur. Utilisez un style neutre et cohérent.
  • Culpabilisation du refus. Des formulations comme « Non merci, je me moque de mon expérience » pour l'option de refus sont manipulatrices et portent atteinte au caractère volontaire du consentement.
  • Sollicitations répétées. Réafficher le bandeau de consentement à chaque page consultée après le refus de l'utilisateur, dans l'espoir de le lasser. Une fois qu'un utilisateur a fait un choix, respectez-le.

3. Faire preuve de transparence

Un consentement éclairé suppose que les utilisateurs comprennent ce qu'ils acceptent. La transparence ne tient pas au volume d'informations, mais à leur clarté.

  • Employez un langage clair. « Nous utilisons des cookies pour suivre votre comportement de navigation sur le web à des fins publicitaires » est clair. « Nous exploitons des technologies avancées d'analyse de données pour enrichir votre expérience numérique personnalisée » ne l'est pas.
  • Listez tous les cookies. Votre politique de cookies doit inclure un inventaire complet : nom du cookie, fournisseur, finalité, type (session/persistant, première/tierce partie) et durée de conservation. Cet inventaire doit être tenu à jour.
  • Nommez les tiers. Si vous partagez des données avec des réseaux publicitaires, nommez-les. « Nous partageons des données avec nos partenaires publicitaires » est insuffisant. « Nous partageons des données avec Google Ads, Meta (Facebook) et LinkedIn » est transparent.
  • Expliquez les conséquences. Que se passe-t-il si l'utilisateur accepte les cookies analytiques ? Que se passe-t-il s'il les refuse ? Les utilisateurs doivent comprendre l'impact concret de leur choix.

4. Offrir un contrôle granulaire

Le RGPD exige que le consentement soit « spécifique » — donné séparément pour chaque finalité. Votre mécanisme de consentement devrait offrir :

  • Des interrupteurs par catégorie. Les utilisateurs doivent pouvoir accepter les cookies analytiques tout en refusant les cookies marketing. Les quatre catégories standard (nécessaires, analytique, marketing, préférences) constituent le minimum.
  • Des raccourcis « Tout accepter » et « Tout refuser ». Bien que le contrôle granulaire soit obligatoire, proposer des options groupées en tant que raccourcis est à la fois légal et pratique pour l'utilisateur — tant que l'option granulaire reste tout aussi accessible.
  • Un contrôle par fournisseur (recommandé mais pas toujours obligatoire). Pour une transparence maximale, envisagez de permettre aux utilisateurs de voir et de contrôler les cookies par fournisseur — par exemple, accepter Google Analytics tout en refusant Hotjar, ou accepter le suivi LinkedIn tout en refusant Facebook. Certaines plateformes de gestion du consentement qualifient ce niveau de granularité de « IAB TCF Level 2 ».

5. Rendre le retrait aussi simple que le consentement

L'article 7(3) du RGPD est explicite : « La personne concernée a le droit de retirer son consentement à tout moment. [...] Il est aussi simple de retirer que de donner son consentement. »

Cette exigence est fréquemment enfreinte. Parmi les manquements courants :

  • Aucun moyen visible de modifier les préférences de cookies une fois le bandeau fermé.
  • Un lien « Paramètres des cookies » enfoui dans la politique de confidentialité, elle-même enfouie dans le pied de page.
  • Exiger de l'utilisateur qu'il supprime les cookies de son navigateur pour réinitialiser ses préférences (ce n'est pas un mécanisme de retrait — c'est un contournement).

Les mises en œuvre conformes aux bonnes pratiques incluent :

  • Un lien « Paramètres des cookies » persistant dans le pied de page du site.
  • Une petite icône flottante (souvent une icône de cookie ou de bouclier) qui rouvre le gestionnaire de consentement.
  • Une section dans les paramètres du compte utilisateur (pour les utilisateurs connectés) où les préférences de cookies peuvent être gérées.

Lorsqu'un utilisateur retire son consentement, vous devez cesser immédiatement d'utiliser les cookies concernés. Supprimez les cookies du navigateur et arrêtez les scripts associés. Le retrait doit être effectif, et non simplement enregistré.

6. Conserver des preuves du consentement

Article 7(1) du RGPD : « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel. »

Vos enregistrements de consentement devraient inclure :

  • L'horodatage du moment où le consentement a été donné ou refusé.
  • Les catégories acceptées et refusées.
  • La version du mécanisme de consentement affiché (à quoi ressemblait le bandeau, quel texte était présenté). Si vous modifiez votre bandeau de consentement, vous devez savoir avec quelle version chaque utilisateur a interagi.
  • La méthode de consentement (quel bouton a été cliqué, quelles options ont été sélectionnées).
  • Un identifiant anonymisé reliant l'enregistrement à l'appareil ou à la session (et non le nom ou l'e-mail de l'utilisateur — l'enregistrement du consentement ne doit pas lui-même devenir un problème de confidentialité).

Stockez ces enregistrements côté serveur. Un simple cookie côté client ne constitue pas une preuve suffisante — l'utilisateur peut le supprimer, et vous ne disposez alors d'aucun enregistrement indépendant. La bonne pratique consiste à consigner les événements de consentement sur votre serveur et à les conserver pendant la durée recommandée par votre autorité de protection des données (généralement la même période que la durée de conservation de vos cookies, plus une marge raisonnable).

7. Redemander le consentement après des modifications

Le consentement est spécifique aux finalités et aux cookies pour lesquels il a été donné. Si vous ajoutez de nouveaux cookies, de nouvelles catégories, de nouveaux fournisseurs tiers ou si vous modifiez sensiblement l'usage des cookies existants, le consentement recueilli précédemment peut ne plus couvrir le nouveau traitement.

Redemandez le consentement des utilisateurs lorsque :

  • Vous ajoutez une nouvelle catégorie de cookies non couverte auparavant.
  • Vous introduisez un nouveau service de suivi tiers.
  • Vous modifiez la finalité de cookies existants (par exemple, en utilisant des données analytiques à des fins publicitaires).
  • Un délai important s'est écoulé depuis le dernier consentement (la CNIL recommande de ne pas dépasser 13 mois).
  • Des exigences réglementaires évoluent d'une manière qui affecte la validité du consentement existant.

Mettez en place un système de versionnage du consentement. Attribuez un numéro de version à votre configuration de consentement. Lorsque la version change (parce que vous avez ajouté ou modifié des cookies), redemandez le consentement des utilisateurs qui avaient consenti sous une version antérieure.

8. Réaliser des tests A/B des taux de consentement de manière éthique

Il est légitime d'optimiser votre expérience de consentement — en testant différentes mises en page, formulations et conceptions pour trouver ce qui fonctionne le mieux. Mais « fonctionne le mieux » doit signifier « aboutit à un consentement réellement éclairé à un taux raisonnable », et non « maximise les clics sur "Tout accepter" par la manipulation ».

Lignes directrices pour des tests A/B éthiques :

  • Toutes les variantes doivent être conformes. Chaque version testée doit satisfaire aux exigences légales de validité du consentement. Vous ne pouvez pas tester une version conforme contre une version non conforme pour voir laquelle obtient le plus d'acceptations.
  • Testez la clarté, pas la manipulation. Reformuler l'explication améliore-t-il la compréhension et donc le consentement ? Repositionner le bandeau améliore-t-il l'engagement ? Ce sont des tests légitimes.
  • N'optimisez pas le taux de « Tout accepter ». Un taux élevé d'acceptation totale obtenu par une conception trompeuse n'est pas un succès — c'est un risque de non-conformité. Optimisez le taux d'utilisateurs qui font un choix actif et éclairé, quel qu'il soit.
  • Surveillez les taux de refus. Si un changement de conception réduit fortement les refus, demandez-vous s'il les a réduits par plus de clarté ou par l'obstruction.

9. Bonnes pratiques de mise en œuvre technique

Le mécanisme de consentement n'est pas qu'un composant d'interface — il nécessite une mise en œuvre technique appropriée pour fonctionner réellement.

Bloquer les scripts jusqu'au consentement

L'exigence technique la plus critique : les scripts non essentiels ne doivent pas s'exécuter tant que l'utilisateur n'a pas consenti à la catégorie concernée. Plusieurs approches existent :

  • Manipulation du type de script. Remplacez type="text/javascript" par type="text/plain" et ajoutez un attribut de données indiquant la catégorie. Lorsque le consentement est donné, un script de gestion du consentement rétablit le type et déclenche l'exécution.
  • Intégration avec un gestionnaire de balises. Utilisez un gestionnaire de balises (Google Tag Manager, Tealium, etc.) prenant en charge les modes de consentement. Les balises sont configurées pour ne se déclencher que lorsque le consentement de leur catégorie est présent.
  • Rendu côté serveur. N'incluez les balises de script dans le HTML de la page que si le consentement est déjà enregistré (via une vérification côté serveur du cookie de consentement). C'est l'approche la plus fiable, mais elle nécessite une logique côté serveur.

Gérer correctement l'état du consentement

  • Première visite (aucun consentement enregistré) : Ne chargez que les scripts strictement nécessaires. Affichez le mécanisme de consentement.
  • Visite récurrente (consentement enregistré) : Lisez le cookie de consentement. Chargez les scripts correspondant aux catégories acceptées. Ne réaffichez pas le mécanisme de consentement sauf si un renouvellement est dû.
  • Consentement retiré : Arrêtez tous les scripts de la catégorie retirée. Supprimez les cookies concernés. Mettez à jour l'enregistrement du consentement.
  • Consentement renouvelé : Traitez comme une première visite pour toute nouvelle catégorie. Chargez immédiatement les catégories précédemment acceptées.

Tester rigoureusement

  • Vérifiez qu'aucun cookie non essentiel n'est déposé avant le consentement. Utilisez les outils de développement du navigateur (onglet Application > Cookies) pour le vérifier.
  • Vérifiez que les scripts s'arrêtent réellement lorsque le consentement est retiré — non seulement que le cookie est supprimé, mais que les scripts ne s'exécutent plus.
  • Testez avec JavaScript désactivé. Le mécanisme de consentement doit se dégrader gracieusement, et aucun script de suivi ne doit se charger.
  • Testez sur appareils mobiles. Le mécanisme de consentement doit être pleinement fonctionnel et utilisable sur petits écrans.

10. Utiliser une plateforme de gestion du consentement (CMP)

Construire un mécanisme de consentement pleinement conforme à partir de zéro est possible, mais implique une maintenance continue importante. Une plateforme de gestion du consentement gère la complexité à votre place : recueil du consentement, conservation des preuves, blocage des scripts, ciblage géographique et mises à jour réglementaires.

Lors de l'évaluation d'une CMP, prenez en compte :

  • L'analyse automatique des cookies. La CMP détecte-t-elle tous les cookies présents sur votre site, ou devez-vous les répertorier manuellement ?
  • Le blocage des scripts. La CMP bloque-t-elle réellement les scripts avant le consentement, ou se contente-t-elle d'afficher un bandeau ?
  • Les enregistrements de consentement. La CMP stocke-t-elle la preuve du consentement côté serveur ?
  • La prise en charge d'IAB TCF. Si vous faites de la publicité programmatique, la prise en charge de TCF 2.2 peut être nécessaire.
  • L'impact sur les performances. Le script de la CMP se charge sur chaque page. Quelle est sa taille ? Bloque-t-il le rendu ?
  • La personnalisation. Pouvez-vous adapter le bandeau de consentement à la charte graphique de votre marque ?
  • L'accessibilité. Le mécanisme de consentement lui-même est-il accessible ? Peut-il être parcouru au clavier ? Fonctionne-t-il avec les lecteurs d'écran ? Un bandeau de consentement inaccessible sur un site qui prétend se soucier de l'accessibilité fait mauvaise impression.

Passiro analyse votre site web pour identifier tous les cookies et technologies de suivi, les catégorise automatiquement et fournit des recommandations concrètes pour votre mise en œuvre du consentement — que vous la construisiez vous-même ou que vous utilisiez une CMP.

Récapitulatif : la checklist du consentement

Une référence rapide pour évaluer votre mise en œuvre actuelle du consentement :

  1. Aucun cookie non essentiel n'est déposé avant le consentement.
  2. Le mécanisme de consentement propose « Tout accepter » et « Tout refuser » avec une visibilité équivalente.
  3. Les utilisateurs peuvent faire des choix par catégorie (au minimum : nécessaires, analytique, marketing, préférences).
  4. Les informations présentées sont claires, spécifiques et rédigées en langage simple.
  5. Les cases et interrupteurs pré-cochés ne sont pas utilisés pour les catégories non essentielles.
  6. Une méthode persistante et facilement accessible permet de retirer ou de modifier le consentement.
  7. Les enregistrements de consentement sont stockés côté serveur, avec horodatages et détails des catégories.
  8. Le consentement est renouvelé au moins tous les 13 mois (ou plus tôt si l'usage des cookies change).
  9. Le mécanisme de consentement est accessible (navigable au clavier, compatible avec les lecteurs d'écran).
  10. La mise en œuvre est testée régulièrement pour vérifier sa conformité (nouveaux cookies, scripts modifiés).

Un consentement aux cookies bien réalisé n'est pas un obstacle pour votre activité. C'est un fondement de la confiance entre vous et vos utilisateurs — et, de plus en plus, c'est ce qui distingue les entreprises conformes de celles exposées à des sanctions réglementaires.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement