Comment rédiger une politique de cookies : guide étape par étape
Une politique de cookies ne vaut que par son exactitude et sa clarté. Ce guide vous accompagne dans la création d'une politique de cookies conforme aux exigences légales, utile à vos utilisateurs et qui reste exacte dans le temps. Suivez ces neuf étapes pour élaborer une politique complète, transparente et facile à maintenir.
Étape 1 : auditez vos cookies
Avant de pouvoir décrire vos cookies, vous devez savoir exactement lesquels votre site web dépose. C'est le fondement de toute votre politique — et l'étape que la plupart des organisations négligent.
Un audit approfondi des cookies implique de :
- Analyser chaque page. Les cookies peuvent varier d'une page à l'autre. Votre page d'accueil peut déposer des cookies différents de votre page de paiement, de votre blog ou de vos pages de compte. Un audit complet doit couvrir tous les types de pages.
- Recenser les cookies internes et tiers. Les cookies internes sont déposés par votre propre domaine. Les cookies tiers sont déposés par des services externes : plateformes d'analyse, réseaux publicitaires, widgets de réseaux sociaux, vidéos intégrées, widgets de chat, prestataires de paiement, etc.
- Identifier les autres formes de stockage. Les sites web modernes utilisent aussi le localStorage, le sessionStorage, l'IndexedDB et les balises pixel. Une politique complète couvre tous les mécanismes de stockage côté client, pas seulement les cookies HTTP.
- Tester avec et sans consentement. Certains cookies sont déposés indépendamment du consentement (cookies strictement nécessaires). D'autres ne devraient apparaître qu'après l'octroi du consentement. Votre audit doit vérifier que les cookies non essentiels sont réellement bloqués tant que le consentement n'est pas donné.
Les audits manuels ne sont pas fiables. Ouvrir manuellement les outils de développement du navigateur sur quelques pages ne permettra pas de repérer les cookies déposés par des scripts tiers chargés de manière asynchrone, les cookies déposés uniquement lors d'actions spécifiques de l'utilisateur, ou les cookies qui n'apparaissent qu'aux visites suivantes. Utilisez des outils d'analyse automatisés pour obtenir un panorama complet.
Le scanner de cookies automatisé de Passiro parcourt l'ensemble de votre site web, identifie chaque cookie et mécanisme de stockage, et fournit un rapport catégorisé — le point de départ idéal pour votre politique.
Étape 2 : catégorisez chaque cookie
Une fois que vous disposez d'une liste complète de cookies, organisez-les en catégories standard. La catégorisation la plus largement reconnue, utilisée par l'IAB Transparency and Consent Framework et recommandée par la plupart des autorités de protection des données, est la suivante :
Strictement nécessaires
Cookies sans lesquels le site web ne peut pas fonctionner. Exemples : cookies de session pour l'état de connexion, cookies de panier d'achat, jetons de protection CSRF, cookies de répartition de charge, cookies de préférences de consentement aux cookies. Ils sont exemptés de l'obligation de consentement au titre de l'article 5, paragraphe 3, de la directive ePrivacy, mais vous devez tout de même les divulguer dans votre politique.
Préférences / Fonctionnels
Cookies qui permettent des fonctionnalités améliorées et la personnalisation. Exemples : sélection de la langue, préférence de région/devise, réglages de la taille de police, articles récemment consultés. Ils ne sont pas strictement nécessaires — le site fonctionnerait sans eux — mais ils améliorent l'expérience utilisateur. Ils nécessitent un consentement.
Analyse / Statistiques
Cookies utilisés pour collecter des données sur la manière dont les visiteurs interagissent avec le site web. Exemples : cookies Google Analytics (_ga, _gid), cookies de session Hotjar, Plausible Analytics. Ils nécessitent un consentement dans la plupart des juridictions de l'UE, bien que certaines autorités de protection des données (notamment la CNIL française) aient prévu des exemptions limitées pour les outils de mesure d'audience qui remplissent des conditions strictes.
Marketing / Publicité
Cookies utilisés pour la publicité ciblée, le reciblage et la mesure de la performance publicitaire. Exemples : Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies de réseaux publicitaires. Ils nécessitent toujours un consentement et constituent la catégorie la plus surveillée.
Pour chaque cookie, attribuez une catégorie et vérifiez que la catégorisation est exacte. Une erreur fréquente consiste à classer des cookies d'analyse ou de marketing comme « fonctionnels » afin d'éviter l'obligation de consentement — cette pratique n'est pas conforme et est facilement détectée par les régulateurs.
Étape 3 : rédigez l'introduction
Votre politique de cookies devrait s'ouvrir sur une brève introduction couvrant :
- Qui vous êtes. L'entité juridique qui exploite le site web (nom de la société, adresse enregistrée).
- Ce que couvre ce document. « Cette politique de cookies explique comment [Nom de la société] utilise les cookies et technologies similaires sur [URL du site web]. »
- La date de dernière mise à jour. Indiquez une date bien visible.
- Comment vous contacter. Fournissez une adresse e-mail de contact et, le cas échéant, les coordonnées de votre délégué à la protection des données.
Limitez l'introduction à deux ou trois phrases. Les utilisateurs viennent chercher une information précise, pas un préambule d'entreprise.
Étape 4 : expliquez ce que sont les cookies
Incluez une explication brève et non technique de ce que sont les cookies. Beaucoup de vos visiteurs ne le savent pas. Une bonne explication est la suivante :
Les cookies sont de petits fichiers texte qui sont stockés sur votre appareil (ordinateur, tablette ou téléphone) lorsque vous visitez un site web. Ils sont largement utilisés pour faire fonctionner les sites web, améliorer leur efficacité et fournir des informations aux propriétaires de sites. Les cookies déposés par le site que vous visitez sont appelés « cookies internes ». Les cookies déposés par d'autres entreprises (par exemple, des services d'analyse ou de publicité) sont appelés « cookies tiers ».
Si votre site utilise des technologies autres que les cookies HTTP — comme le localStorage, les balises pixel ou l'empreinte numérique (fingerprinting) — mentionnez-les également. « Dans cette politique, nous utilisons le terme "cookies" pour désigner les cookies et technologies similaires, sauf indication contraire. »
Étape 5 : listez les cookies sous forme de tableau
Présentez vos cookies dans un tableau structuré, organisé par catégorie. Pour chaque cookie, incluez :
| Champ | Description | Exemple |
|---|---|---|
| Nom | Le nom technique du cookie | _ga |
| Fournisseur | Qui dépose ce cookie | Google Analytics (google.com) |
| Finalité | Ce que fait le cookie, en langage clair | Génère un identifiant unique pour enregistrer des données statistiques sur votre utilisation du site web |
| Type | Interne ou tiers ; cookie HTTP, localStorage, etc. | Cookie HTTP tiers |
| Durée | Durée de conservation du cookie | 2 ans |
Voici un exemple de tableau de cookies bien structuré pour la catégorie analyse :
| Nom du cookie | Fournisseur | Finalité | Type | Durée |
|---|---|---|---|---|
_ga |
Google Analytics | Attribue un identifiant unique pour distinguer les visiteurs et compiler des rapports statistiques | Tiers | 2 ans |
_gid |
Google Analytics | Attribue un identifiant unique pour chaque session de navigation afin de compiler des rapports statistiques | Tiers | 24 heures |
_gat_UA-* |
Google Analytics | Limite le débit de collecte de données sur les sites à fort trafic | Tiers | 1 minute |
Reproduisez ce tableau pour chaque catégorie : strictement nécessaires, préférences, analyse et marketing.
Étape 6 : décrivez chaque catégorie
Avant chaque tableau de cookies, fournissez une brève description de la catégorie :
- Ce que font les cookies de cette catégorie — en termes généraux.
- Si le consentement est requis — les cookies strictement nécessaires ne requièrent pas de consentement ; tous les autres si.
- Ce qui se passe si l'utilisateur refuse — « Si vous refusez les cookies d'analyse, nous ne collecterons pas de données sur vos visites. Le site web fonctionnera normalement. »
Ces informations contextuelles aident les utilisateurs à prendre des décisions éclairées et répondent aux exigences de transparence du RGPD.
Étape 7 : expliquez comment les utilisateurs peuvent contrôler les cookies
Cette section doit couvrir deux mécanismes de contrôle :
Via votre bandeau de consentement
Expliquez que les utilisateurs peuvent gérer leurs préférences en matière de cookies à tout moment en cliquant sur votre lien ou votre icône de paramètres de cookies. Précisez où le trouver (par exemple, « Cliquez sur l'icône de cookie en bas à gauche de chaque page » ou « Cliquez sur "Paramètres des cookies" dans le pied de page »). Soyez précis — ne dites pas simplement « via notre bandeau de cookies ».
Via les paramètres du navigateur
Fournissez des liens vers les instructions de gestion des cookies pour les principaux navigateurs :
Précisez les conséquences : « Veuillez noter que la désactivation des cookies via les paramètres de votre navigateur peut affecter le fonctionnement de ce site et d'autres sites web que vous visitez. »
Étape 8 : ajoutez les coordonnées de contact et du DPO
Fournissez des coordonnées de contact claires pour les demandes liées à la protection de la vie privée :
- Identité du responsable de traitement : nom de la société, adresse enregistrée, numéro d'immatriculation.
- Adresse e-mail de contact pour la vie privée : une adresse e-mail surveillée (par exemple, [email protected]).
- Délégué à la protection des données : si vous avez désigné un DPO (obligatoire pour certaines organisations en vertu de l'article 37 du RGPD), indiquez son nom et ses coordonnées.
- Autorité de contrôle : identifiez l'autorité de protection des données compétente et fournissez un lien vers son mécanisme de réclamation. Par exemple : « Vous avez le droit d'introduire une réclamation auprès de [Nom de l'autorité] à l'adresse [URL]. »
Étape 9 : datez la politique et planifiez les mises à jour
Indiquez une date claire de « Dernière mise à jour ». Engagez-vous à réviser et à mettre à jour la politique à intervalles réguliers et chaque fois que votre utilisation des cookies évolue.
Envisagez d'ajouter une mention telle que : « Nous révisons régulièrement cette politique de cookies et la mettrons à jour lorsque cela sera nécessaire. Tout changement important sera communiqué au moyen d'un avis sur notre site web. »
En pratique, prévoyez au moins une révision trimestrielle. Les services tiers modifient fréquemment leurs cookies, et même une simple mise à jour d'intégration peut introduire de nouveaux cookies qui doivent être déclarés.
Erreurs courantes à éviter
Même les politiques de cookies soigneusement rédigées contiennent souvent ces erreurs :
- Descriptions de finalité vagues. « Ce cookie améliore votre expérience » n'apporte aucune information à l'utilisateur. Soyez précis : quelles données le cookie collecte-t-il, et à quoi servent-elles ?
- Listes de cookies obsolètes. Si votre politique répertorie des cookies d'un outil que vous avez retiré il y a six mois, ou omet des cookies d'un outil que vous avez ajouté la semaine dernière, elle est inexacte. Une divulgation inexacte compromet la transparence.
- Cookies tiers manquants. De nombreuses organisations répertorient leurs propres cookies mais oublient de documenter les cookies tiers déposés par du contenu intégré (vidéos YouTube, boutons de réseaux sociaux, widgets de chat, etc.). Ce sont souvent les cookies les plus intrusifs pour la vie privée sur le site.
- Erreurs de catégorisation. Classer des cookies de marketing ou d'analyse comme « fonctionnels » ou « nécessaires » pour éviter l'obligation de consentement. Les autorités de protection des données recherchent spécifiquement cette pratique.
- Absence de mécanisme pour modifier les préférences. Indiquer que les utilisateurs peuvent gérer leurs préférences sans pour autant fournir un mécanisme clairement décrit et toujours disponible pour le faire.
- Copier un modèle sans le personnaliser. Des modèles génériques de politique de cookies qui ne reflètent pas vos cookies réels, vos services réels ou votre traitement de données réel. Un modèle est un point de départ, pas un document abouti.
- Un langage inaccessible. Jargon juridique, terminologie technique et structures de phrases inutilement complexes. Le RGPD exige un langage clair et simple. Écrivez pour un public non spécialiste.
Maintenir votre politique en phase avec vos cookies réels
Le plus difficile dans la tenue d'une politique de cookies n'est pas de la rédiger — c'est de la maintenir exacte. Les sites web sont dynamiques. Les équipes marketing ajoutent de nouveaux outils, les développeurs intègrent de nouveaux services, les systèmes de gestion de contenu installent des extensions dotées de capacités de suivi. Chaque changement peut introduire des cookies que votre politique ne mentionne pas.
La solution réside dans une surveillance automatisée et continue. Plutôt que de vous fier à des audits manuels (peu fréquents, incomplets et sujets aux erreurs), utilisez un outil d'analyse qui parcourt régulièrement votre site web, identifie tous les cookies actifs et les compare à votre liste de cookies déclarés.
Passiro analyse votre site web automatiquement, détecte les cookies non déclarés et vous alerte lorsque votre politique doit être mise à jour. Vous garantissez ainsi que votre politique de cookies reflète toujours la réalité — et non un instantané datant de la dernière fois que quelqu'un a pensé à vérifier. Découvrez la conformité automatisée des cookies de Passiro.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement