Skip to main content

Catégories de cookies : comment classer les cookies pour le consentement

Le consentement aux cookies n'est pas une décision de type « tout ou rien ». Les réglementations sur la vie privée exigent que les utilisateurs puissent faire des choix granulaires quant aux types de cookies qu'ils acceptent. Pour rendre cela possible, les cookies sont organisés en catégories — des groupes établis en fonction de leur finalité, chacun ayant ses propres exigences de consentement.

Réussir la catégorisation est essentiel. Classer par erreur un cookie marketing comme « strictement nécessaire » n'est pas seulement une erreur technique — c'est une infraction à la conformité que les régulateurs recherchent activement et sanctionnent.

Pourquoi la catégorisation est importante

Le RGPD exige que le consentement soit « spécifique » (article 4, point 11). Le groupe de travail Article 29 (désormais l'EDPB) a précisé que cela signifie que le consentement doit être donné séparément pour chaque finalité distincte. Regrouper tous les cookies sous un seul bouton « tout accepter » sans proposer de choix par catégorie ne satisfait pas à cette exigence.

En pratique, cela signifie que votre mécanisme de consentement aux cookies doit présenter les cookies regroupés par finalité et permettre aux utilisateurs d'accepter ou de refuser chaque catégorie indépendamment. La norme qui s'est imposée dans le secteur — et que les régulateurs attendent — repose sur quatre catégories.

Les quatre catégories standard de cookies

1. Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement de base du site web. Sans eux, le service explicitement demandé par l'utilisateur ne peut être fourni.

Consentement requis : Non. Les cookies strictement nécessaires sont exemptés de l'obligation de consentement en vertu de l'article 5, paragraphe 3, de la directive ePrivacy, qui dispose que le consentement n'est pas requis pour les cookies « strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ».

Exemples de cookies strictement nécessaires :

  • Les cookies de session qui maintiennent l'état de connexion
  • Les cookies de panier d'achat sur un site e-commerce
  • Les jetons de protection CSRF (falsification de requête intersites)
  • Les cookies de répartition de charge qui distribuent le trafic entre les serveurs
  • Les cookies de préférence de consentement (le cookie qui mémorise votre choix de consentement)
  • Les cookies de sécurité qui détectent les abus d'authentification

Ce qui n'est PAS strictement nécessaire :

  • Les cookies analytiques — même ceux de première partie. Mesurer le trafic est utile pour l'exploitant du site, mais ce n'est pas nécessaire à la fourniture du service demandé par l'utilisateur.
  • Les plugins de réseaux sociaux — les boutons de partage et les fils intégrés servent les intérêts du propriétaire du site, et non une fonction explicitement demandée par l'utilisateur.
  • Les cookies publicitaires — par définition, ils servent une finalité qui va au-delà du service auquel l'utilisateur accède.
  • Les cookies de test A/B — ils servent les objectifs d'optimisation de l'exploitant du site, et non la demande explicite de l'utilisateur.

Le critère clé est celui de la perspective : nécessaire pour qui ? Si le cookie sert les intérêts de l'exploitant du site plutôt qu'une fonction explicitement demandée par l'utilisateur, il n'est pas strictement nécessaire — quelle que soit son importance pour l'entreprise.

2. Cookies analytiques / de statistiques

Ces cookies collectent des informations sur la façon dont les visiteurs utilisent le site web : quelles pages sont consultées, combien de temps les utilisateurs restent, d'où ils viennent et à quel moment ils quittent le site. Les données sont généralement agrégées et utilisées pour améliorer le site.

Consentement requis : Oui, dans la plupart des juridictions. Toutefois, certaines autorités de protection des données (notamment la CNIL française et l'AP néerlandaise) ont indiqué que certains outils d'analyse de première partie pouvaient bénéficier d'une exemption limitée, à condition de remplir des conditions spécifiques (voir notre section sur quand le consentement est requis).

Cookies analytiques courants :

Cookie Service Finalité Durée de vie par défaut
_ga Google Analytics Distingue les utilisateurs uniques 2 ans
_ga_* Google Analytics 4 Maintient l'état de la session 2 ans
_gid Google Analytics Distingue les utilisateurs (24 h) 24 heures
_pk_id.* Matomo Identifiant de visiteur 13 mois
_pk_ses.* Matomo Suivi de session 30 minutes
_hjSessionUser_* Hotjar Identifiant d'utilisateur 1 an

Notez que les cookies de Google Analytics sont de nature tierce même s'ils peuvent apparaître comme des cookies de première partie — car Google traite les données sur ses propres serveurs et peut les utiliser à ses propres fins. Cette distinction a joué un rôle important dans plusieurs actions coercitives en Europe.

3. Cookies marketing / publicitaires

Ces cookies suivent les visiteurs à travers différents sites web afin de constituer un profil de leur comportement de navigation. Ce profil est utilisé pour diffuser de la publicité ciblée, mesurer l'efficacité des campagnes publicitaires et limiter le nombre de fois qu'un utilisateur voit une publicité donnée.

Consentement requis : Toujours. Il n'existe aucune exception pour les cookies publicitaires, quelle que soit l'interprétation de la directive ePrivacy ou du RGPD.

Cookies marketing courants :

Cookie Service Finalité Durée de vie par défaut
_fbp Meta (Facebook) Suit les visites pour le ciblage publicitaire 3 mois
_gcl_au Google Ads Suivi des conversions 3 mois
IDE Google DoubleClick Reciblage et diffusion publicitaire 13 mois
_uetsid Microsoft Advertising Suivi des conversions 1 jour
li_fat_id LinkedIn Identifiant indirect de membre 30 jours

Les cookies marketing sont presque toujours des cookies tiers. Ils représentent le risque le plus élevé pour la vie privée et constituent la catégorie la plus strictement réglementée. Tout mécanisme de consentement qui facilite l'acceptation des cookies marketing plus que leur refus s'expose à une action réglementaire.

4. Cookies de préférences / de fonctionnalité

Ces cookies permettent des fonctionnalités améliorées et une personnalisation qui vont au-delà du strictement nécessaire. Ils mémorisent les choix effectués par l'utilisateur mais ne sont pas indispensables au fonctionnement du service principal.

Consentement requis : Oui, bien que le niveau de risque soit inférieur à celui des cookies analytiques ou marketing. Certains régulateurs traitent les cookies de préférences avec plus de souplesse, mais la position juridique est que le consentement reste requis.

Exemples :

  • La préférence de langue (lorsque le site fonctionne sans, en utilisant simplement une autre langue par défaut)
  • La sélection de la région ou de la devise
  • Le pré-remplissage du nom d'utilisateur sur les formulaires de connexion
  • Les préférences du lecteur vidéo (volume, qualité)
  • L'état du widget de chat (ouvert/fermé, historique des conversations)
  • La taille de police ou les préférences d'accessibilité

La distinction entre « strictement nécessaire » et « préférences » peut être subtile. Un cookie de langue sur un site monolingue n'a aucun sens. Un cookie de langue sur un site multilingue qui bascule par défaut vers une langue fonctionnelle sans lui relève des préférences. Un cookie de langue sur un site qui ne peut pas du tout fonctionner sans lui — parce que le contenu ne se charge pas sans sélection de langue — pourrait, à la rigueur, être considéré comme strictement nécessaire. Le contexte est déterminant.

Comment catégoriser correctement vos cookies

Suivez ce processus pour chaque cookie de votre site web :

  1. Identifiez le cookie. Quel est son nom, qui le dépose (première partie ou tiers) et quelle est sa durée de vie ?
  2. Déterminez sa finalité. Pourquoi ce cookie existe-t-il ? Que se passe-t-il s'il est supprimé ?
  3. Appliquez le test du strictement nécessaire. Ce cookie est-il indispensable à une fonction explicitement demandée par l'utilisateur ? Si l'utilisateur a demandé à se connecter, un cookie de session est nécessaire. Si vous souhaitez suivre son comportement, c'est votre besoin, pas le sien.
  4. Attribuez la catégorie. S'il n'est pas strictement nécessaire, classez-le en fonction de sa finalité principale : analytique, marketing ou préférences.
  5. Documentez votre raisonnement. Pour chaque cookie, consignez la raison pour laquelle vous l'avez catégorisé de telle manière. Cette documentation est précieuse si un régulateur vient à le demander.

Erreurs de catégorisation courantes

D'après les actions coercitives des régulateurs et les constats d'audit, voici les erreurs les plus fréquentes :

  • Classer Google Analytics comme strictement nécessaire. C'est l'erreur la plus fréquente. GA est un outil d'analyse. Il n'est jamais strictement nécessaire à la fourniture d'un service à l'utilisateur. Plusieurs autorités de protection des données l'ont explicitement souligné.
  • Placer tous les cookies tiers dans la catégorie « fonctionnalité ». Les vidéos YouTube intégrées, les boutons de partage social et les widgets de chat ne sont pas strictement nécessaires, et leurs cookies servent généralement des finalités analytiques ou marketing qui dépassent la fonctionnalité visible.
  • Ignorer les cookies déposés par les plugins et les intégrations. Un site WordPress équipé de 20 plugins peut déposer des dizaines de cookies dont l'exploitant du site n'a même pas connaissance. Vous restez néanmoins responsable de chacun d'eux.
  • Traiter les cookies marketing comme des cookies analytiques. Le suivi des conversions du Pixel Facebook et de Google Ads relève des cookies marketing, et non analytiques — leur finalité principale est publicitaire, même si vous utilisez les données à des fins d'analyse.
  • Mal catégoriser les cookies de test A/B. Des outils comme Optimizely et VWO déposent des cookies pour répartir les utilisateurs dans des groupes de test. Ces cookies ne sont pas strictement nécessaires et doivent être classés comme analytiques ou de préférences.

Automatisez le processus

Les audits manuels de cookies sont chronophages et sujets aux erreurs. Les sites web évoluent constamment — un nouveau plugin, un script mis à jour, une équipe marketing qui ajoute un pixel de suivi — et chaque changement peut introduire de nouveaux cookies à catégoriser.

Passiro analyse et catégorise automatiquement tous les cookies de votre site web, détecte les nouveaux cookies dès leur apparition et signale les erreurs potentielles de catégorisation. Cela garantit que votre mécanisme de consentement aux cookies reflète toujours les cookies réellement utilisés par votre site — et non uniquement ceux que vous connaissiez lors de votre dernière vérification.

Maintenant que nous comprenons les catégories, examinons ce que signifie réellement le consentement aux cookies sur le plan juridique — les exigences sont plus précises que la plupart des gens ne l'imaginent.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement