Skip to main content

Ressources et glossaire de la conformité des cookies

La conformité des cookies fait appel à un vocabulaire spécialisé, issu de la réglementation européenne, du droit de la protection des données et des technologies web. Ce glossaire définit les termes clés que vous rencontrerez, suivi d'une sélection de ressources officielles et de références faisant autorité pour approfondir le sujet.

Glossaire des termes clés

A–C

CMP (Consent Management Platform, plateforme de gestion du consentement) : un outil logiciel ou un service qui gère la collecte, le stockage et l'application du consentement des utilisateurs aux cookies et autres technologies de suivi. Une CMP fournit généralement l'interface du bandeau de cookies, conserve les enregistrements de consentement et contrôle quels scripts sont autorisés à s'exécuter en fonction des choix de l'utilisateur. On peut citer par exemple Cookiebot, OneTrust, Usercentrics ou des solutions open source comme Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés) : l'autorité française de protection des données. La CNIL est le régulateur européen le plus actif en matière de contrôle des cookies : elle a prononcé les amendes les plus élevées liées aux cookies et publié les lignes directrices de conformité les plus détaillées. Ses interprétations et ses actions répressives établissent fréquemment la norme suivie par les autres autorités de protection des données.

Consentement : dans le cadre du RGPD, toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par un acte positif clair, le traitement de ses données. Pour les cookies, cela signifie que l'utilisateur doit choisir activement d'autoriser les cookies non essentiels par une action délibérée, comme cliquer sur un bouton « Accepter ». Le silence, les cases pré-cochées, l'inactivité ou la simple poursuite de la navigation ne constituent pas un consentement valide.

Cookie : un petit fichier texte déposé sur l'appareil d'un utilisateur par un site web. Les cookies servent à de multiples fins, du maintien des sessions de connexion (strictement nécessaires) au suivi du comportement de navigation sur le web (publicité). Techniquement, un cookie est une paire nom-valeur assortie de métadonnées, notamment le domaine, le chemin, l'expiration et les indicateurs de sécurité.

Bandeau de cookies : l'élément d'interface utilisateur (généralement une barre, une fenêtre modale ou une pop-up) qui apparaît lors de la première visite d'un utilisateur sur un site web, l'informant de l'utilisation des cookies et sollicitant son consentement. Un bandeau de cookies conforme fournit une information claire, offre de véritables choix (accepter, refuser, personnaliser) et ne dépose aucun cookie non essentiel tant que l'utilisateur n'a pas répondu.

Politique de cookies : un document (généralement une page web dédiée ou une section de la politique de confidentialité) qui fournit des informations détaillées sur tous les cookies utilisés sur un site web, notamment leurs noms, finalités, types, durées et les fournisseurs tiers qui les déposent. La politique de cookies remplit les obligations de transparence du RGPD et l'exigence de la directive ePrivacy relative à une « information claire et complète ».

Cookie wall (mur de cookies) : un mécanisme qui bloque l'accès au contenu d'un site web tant que l'utilisateur n'accepte pas tous les cookies. Les cookie walls font l'objet de controverses et leur légalité varie selon les juridictions. L'EDPB a déclaré que les cookie walls compromettent l'exigence de consentement « librement donné », l'utilisateur étant confronté à un choix à prendre ou à laisser. Certaines autorités nationales (notamment le Conseil d'État français) ont admis les cookie walls sous conditions limitées, dès lors que l'utilisateur dispose d'un véritable moyen alternatif d'accéder au contenu.

D–E

Dark pattern (interface trompeuse) : un choix de conception d'interface utilisateur qui manipule les utilisateurs pour les amener à prendre des décisions qu'ils n'auraient pas prises autrement. Dans le contexte des cookies, les dark patterns comprennent : la mise en avant visuelle du bouton « Accepter » tout en dissimulant l'option « Refuser », l'emploi d'un langage confus, l'exigence de plus de clics pour refuser que pour accepter, ou encore le recours à des tactiques de culpabilisation. L'EDPB a publié en février 2023 des lignes directrices spécifiques sur les dark patterns dans les interfaces de protection des données.

Responsable du traitement : l'entité qui détermine les finalités et les moyens du traitement des données personnelles. Pour les cookies déposés par un site web, l'exploitant du site est généralement le responsable du traitement. Pour les cookies tiers, il peut exister une responsabilité conjointe entre l'exploitant du site et le tiers, selon la mesure dans laquelle chaque partie influe sur les finalités et les moyens de la collecte de données.

Sous-traitant : une entité qui traite des données personnelles pour le compte d'un responsable du traitement, en suivant ses instructions. Un hébergeur ou un fournisseur de CMP agissant uniquement sur instruction de l'exploitant du site serait un sous-traitant. Cette distinction est importante, car les responsables du traitement assument la responsabilité première de la conformité, tandis que les sous-traitants doivent se conformer aux instructions du responsable et aux termes d'un accord de traitement des données.

Personne concernée : une personne physique dont les données personnelles font l'objet d'un traitement. Dans le contexte des cookies, les personnes concernées sont les visiteurs du site web dont les données sont collectées au moyen de cookies. Les personnes concernées disposent de droits au titre du RGPD, notamment le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et le droit d'opposition.

DPA (Data Protection Authority, autorité de protection des données) : l'autorité publique indépendante chargée de surveiller et de faire appliquer le droit de la protection des données dans chaque État membre de l'UE. Les autorités de protection des données ont le pouvoir d'instruire les plaintes, de mener des audits, d'émettre des recommandations et d'imposer des amendes. Chaque État membre dispose d'au moins une autorité (l'Allemagne en compte plusieurs, une par Land plus le BfDI fédéral). Exemples : CNIL (France), Garante (Italie), ICO (Royaume-Uni), Datatilsynet (Danemark/Norvège).

DPO (Data Protection Officer, délégué à la protection des données) : une personne désignée par un responsable du traitement ou un sous-traitant pour superviser la conformité au RGPD. Le RGPD impose à certaines organisations de nommer un DPO, notamment les autorités publiques et les organisations dont les activités principales impliquent un suivi à grande échelle des personnes concernées. Bien que sans lien direct avec les cookies, le DPO supervise généralement le programme de conformité des cookies de l'organisation.

EDPB (European Data Protection Board, Comité européen de la protection des données) : l'organe européen indépendant qui garantit l'application cohérente du RGPD et favorise la coopération entre les autorités nationales de protection des données. L'EDPB (qui a remplacé le Groupe de travail « Article 29 ») publie des lignes directrices, des recommandations et des décisions contraignantes. Ses lignes directrices sur le consentement (Lignes directrices 05/2020) et sur les dark patterns constituent des références clés pour la conformité des cookies.

Directive ePrivacy (directive 2002/58/CE) : la directive européenne régissant la protection de la vie privée dans les communications électroniques, y compris l'utilisation des cookies. L'article 5, paragraphe 3, constitue le fondement juridique principal de l'exigence de consentement aux cookies. En tant que directive, elle doit être transposée en droit national par chaque État membre, ce qui entraîne des variations d'application. Elle a vocation à être remplacée par le règlement ePrivacy, toujours en cours de négociation.

F–G

Cookie interne (first-party) : un cookie déposé par le domaine que l'utilisateur visite. Par exemple, si un utilisateur consulte exemple.com et qu'exemple.com dépose un cookie, il s'agit d'un cookie interne. Les cookies internes sont généralement utilisés pour des fonctions essentielles (sessions, préférences) et pour l'analyse interne. Ils sont en général considérés comme moins intrusifs que les cookies tiers, car ils ne peuvent pas suivre les utilisateurs à travers différents sites web.

RGPD (Règlement général sur la protection des données) : le règlement (UE) 2016/679, la législation européenne complète sur la protection des données en vigueur depuis le 25 mai 2018. Le RGPD fixe le cadre juridique définissant ce qui constitue un consentement valide (appliqué aux cookies par le renvoi de la directive ePrivacy), les droits des personnes concernées, les obligations des responsables du traitement et des sous-traitants, ainsi que le régime répressif comprenant des amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros.

GPC (Global Privacy Control) : un signal émis au niveau du navigateur qui communique la préférence d'un utilisateur de refuser la vente ou le partage de ses informations personnelles. Contrairement à l'ancien signal Do Not Track (DNT), le GPC bénéficie d'une reconnaissance juridique au titre du CCPA/CPRA et de plusieurs autres lois d'État américaines sur la vie privée. Lorsqu'un utilisateur active le GPC dans son navigateur, les sites web soumis à ces lois doivent le traiter comme une demande valide d'opposition. Le GPC est aussi de plus en plus reconnu en Europe, bien qu'il ne soit pas encore imposé par le droit de l'UE.

Google Consent Mode : une fonctionnalité de l'infrastructure de balises de Google qui adapte le comportement des balises Google (Analytics, Ads, etc.) en fonction de l'état du consentement communiqué par la CMP du site web. Consent Mode v2, requis pour la personnalisation publicitaire dans l'EEE depuis mars 2024, introduit les paramètres ad_user_data et ad_personalization aux côtés des paramètres existants ad_storage et analytics_storage. Lorsque le consentement est refusé, les balises Google adaptent leur comportement pour éviter de déposer des cookies, tout en pouvant continuer à envoyer des signaux limités sans cookies selon la configuration.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework) : un cadre développé par le secteur pour gérer le consentement dans l'écosystème de la publicité numérique. Le TCF offre un moyen standardisé permettant aux CMP, aux annonceurs et aux éditeurs de communiquer les signaux de consentement à travers la chaîne d'approvisionnement de l'ad tech. La version 2.2 est la norme actuelle. Le TCF a fait l'objet de contestations juridiques, notamment la décision de 2022 de l'autorité belge de protection des données selon laquelle le traitement de la chaîne TC par IAB Europe constituait un traitement de données personnelles. Ce cadre reste largement utilisé, mais son statut juridique continue d'évoluer.

Intérêt légitime : l'une des six bases légales de traitement des données personnelles prévues par l'article 6, paragraphe 1, point f), du RGPD. L'intérêt légitime nécessite une mise en balance entre les intérêts du responsable du traitement et les droits et libertés de la personne concernée. Pour les cookies, le recours à l'intérêt légitime comme base légale est fortement contesté. La position dominante des régulateurs européens est que le consentement (et non l'intérêt légitime) constitue la base appropriée pour les cookies non essentiels, car la directive ePrivacy exige spécifiquement le consentement pour tout stockage sur l'appareil de l'utilisateur.

O–P

Opt-in : un modèle de consentement dans lequel le traitement des données personnelles (ou le dépôt de cookies) n'a lieu que si l'utilisateur pose un acte positif pour l'autoriser. Le modèle européen des cookies repose sur l'opt-in : aucun cookie non essentiel n'est déposé tant que l'utilisateur n'a pas consenti. L'opt-in offre une protection de la vie privée plus forte, mais exige un mécanisme de consentement avant tout suivi.

Opt-out : un modèle de consentement dans lequel le traitement des données personnelles (ou le dépôt de cookies) a lieu par défaut, l'utilisateur devant agir pour l'arrêter. Le modèle américain des cookies (au titre du CCPA et de lois d'État similaires) repose généralement sur l'opt-out : le suivi a lieu sauf si l'utilisateur s'y oppose. L'opt-out fait peser la charge de l'action sur l'utilisateur plutôt que sur l'exploitant du site.

Cookie persistant : un cookie qui demeure sur l'appareil de l'utilisateur pendant une période déterminée après la fermeture du navigateur. Les cookies persistants servent à mémoriser des préférences, à maintenir les sessions de connexion d'une visite à l'autre et à suivre le comportement dans le temps. Ils comportent une date d'expiration fixée et subsistent jusqu'à ce que cette date soit atteinte ou que l'utilisateur les supprime. La durée des cookies persistants doit être proportionnée à leur finalité.

Données personnelles : au sens du RGPD, toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut les identifiants évidents (nom, adresse e-mail) comme les moins évidents (adresses IP, identifiants de cookies, empreintes d'appareils). Le considérant 30 du RGPD précise explicitement que les identifiants en ligne tels que les identifiants de cookies peuvent constituer des données personnelles. En pratique, la quasi-totalité des cookies qui identifient de manière unique un navigateur ou un utilisateur relèvent des données personnelles.

Consentement préalable : un consentement obtenu avant que l'action qu'il autorise ne se produise. Pour les cookies, le consentement préalable signifie obtenir l'accord de l'utilisateur avant qu'un quelconque cookie non essentiel ne soit déposé sur son appareil. Il s'agit d'une exigence fondamentale de l'article 5, paragraphe 3, de la directive ePrivacy. Déposer d'abord des cookies et solliciter le consentement ensuite, ou supprimer rétroactivement les cookies en cas de refus, ne satisfait pas à l'exigence de consentement préalable.

S–T

Cookie de session : un cookie qui n'existe que pour la durée de la session de navigation de l'utilisateur et qui est supprimé à la fermeture du navigateur. Les cookies de session servent couramment à maintenir l'état de connexion, le contenu du panier d'achat et d'autres données éphémères. De nombreux cookies de session relèvent des cookies strictement nécessaires et sont donc exemptés de l'exigence de consentement, ce qui dépend toutefois de leur finalité spécifique.

Cookie strictement nécessaire : un cookie indispensable au fonctionnement du site web et à la fourniture d'un service explicitement demandé par l'utilisateur. Les cookies strictement nécessaires sont exemptés de l'exigence de consentement au titre de l'article 5, paragraphe 3, de la directive ePrivacy. Il s'agit par exemple des cookies d'authentification, des cookies de sécurité (jetons CSRF), des cookies de répartition de charge et des cookies de préférences d'interface essentiels au service. Les cookies analytiques, publicitaires et de réseaux sociaux ne sont pas strictement nécessaires, quelle que soit l'utilité que l'exploitant du site leur accorde.

Cookie tiers : un cookie déposé par un domaine autre que celui que l'utilisateur visite. Par exemple, si un utilisateur consulte exemple.com et qu'un cookie est déposé par facebook.com (via un pixel Facebook intégré à exemple.com), le cookie Facebook est un cookie tiers. Les cookies tiers servent principalement au suivi intersites et à la publicité ciblée. Les principaux navigateurs restreignent ou éliminent les cookies tiers : Safari et Firefox les bloquent déjà par défaut, et Chrome a annoncé son intention de les abandonner (bien que le calendrier ait été reporté à plusieurs reprises).

Pixel de suivi : une image minuscule et invisible (généralement de 1x1 pixel) intégrée à une page web ou à un e-mail, qui transmet une information à un serveur lors de son chargement. Bien qu'il ne s'agisse pas techniquement d'un cookie, les pixels de suivi sont une technologie de suivi apparentée qui fonctionne souvent de concert avec les cookies pour tracer le comportement des utilisateurs. Ils sont soumis aux mêmes exigences de consentement que les cookies au titre de la directive ePrivacy, car ils impliquent un accès aux informations présentes sur l'appareil de l'utilisateur (la requête HTTP transmet l'adresse IP de l'utilisateur, les informations relatives à son navigateur et les cookies associés).

Ressources officielles

Législation et recommandations de l'UE

Recommandations nationales sur les cookies

Google Consent Mode

IAB Transparency and Consent Framework

Lois américaines sur la vie privée

Jurisprudence de la CJUE

Pour aller plus loin

Outils de conformité des cookies

Maintenir la conformité des cookies exige les bons outils. Passiro propose une analyse automatisée des cookies qui parcourt l'intégralité de votre site web à l'aide d'un véritable moteur de navigateur, identifie l'ensemble des cookies et technologies de suivi, les catégorise à partir d'une base de données continuellement mise à jour, et surveille les évolutions grâce à des analyses programmées et des alertes. Associée à la plateforme de gestion du consentement de Passiro, cette solution vous offre une vue complète et toujours actualisée de la conformité des cookies de votre site web.

Découvrez les capacités d'analyse de Passiro ou lancez une analyse gratuite de votre site web pour voir quels cookies votre site dépose aujourd'hui.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement