Politique en matière de cookies : définition et contenu obligatoire
Une politique en matière de cookies est un document qui explique aux visiteurs de votre site quels cookies et technologies de suivi similaires votre site utilise, pourquoi il les utilise et comment les utilisateurs peuvent les contrôler. Il s'agit d'une obligation légale au titre de la directive ePrivacy et du GDPR, et d'un pilier d'un traitement des données transparent.
Ce guide explique ce qu'est une politique en matière de cookies, en quoi elle diffère d'une politique de confidentialité, ce qu'elle doit contenir selon la réglementation en vigueur et comment la maintenir à jour dans le temps.
Qu'est-ce qu'une politique en matière de cookies ?
Une politique en matière de cookies est un document dédié — soit une page autonome, soit une section clairement identifiable au sein de votre politique de confidentialité — qui fournit des informations complètes sur l'utilisation des cookies et des technologies similaires par votre site (stockage local, stockage de session, pixels espions, balises web, empreinte numérique, etc.).
La base juridique de l'obligation d'une politique en matière de cookies découle de deux réglementations qui se recoupent :
- Directive ePrivacy (2002/58/CE), article 5(3) — exige que les utilisateurs reçoivent des « informations claires et complètes » sur les finalités des cookies avant que le consentement ne soit obtenu.
- GDPR, articles 12 à 14 — exigent la transparence sur le traitement des données, notamment quelles données sont collectées, à quelles fins, avec qui elles sont partagées et pendant combien de temps elles sont conservées.
Ensemble, ces réglementations vous obligent à indiquer précisément à vos utilisateurs quelles technologies de suivi vous utilisez et à leur donner un réel contrôle sur ces technologies.
Politique en matière de cookies vs politique de confidentialité
Une politique en matière de cookies et une politique de confidentialité sont des documents complémentaires mais distincts. Il est important d'en comprendre la différence :
| Aspect | Politique en matière de cookies | Politique de confidentialité |
|---|---|---|
| Portée | Cookies et technologies de suivi spécifiquement | Tout traitement de données personnelles (formulaires, comptes, achats, etc.) |
| Base juridique | Directive ePrivacy + exigences de transparence du GDPR | Articles 12 à 14 du GDPR |
| Contenu principal | Noms des cookies, finalités, durées, types, catégories, mécanismes de contrôle | Catégories de données, bases juridiques, droits, transferts, DPO, conservation |
| Format | Page autonome ou section au sein de la politique de confidentialité | Page autonome (obligatoire) |
| Fréquence de mise à jour | À chaque changement de cookies (ajout/suppression d'outils, de fournisseurs) | À chaque changement des pratiques de traitement des données |
Vous pouvez intégrer votre politique en matière de cookies sous forme de section au sein de votre politique de confidentialité, mais elle doit être clairement identifiable et facilement accessible. De nombreuses organisations conservent une page distincte pour leur politique en matière de cookies, par souci de clarté et parce que les informations sur les cookies peuvent être très détaillées.
Votre bannière de cookies doit renvoyer vers votre politique en matière de cookies. Si vos informations sur les cookies constituent une section au sein de votre politique de confidentialité, le lien doit pointer directement vers cette section — n'obligez pas les utilisateurs à parcourir des pages d'informations sans rapport pour trouver les détails relatifs aux cookies.
Obligation légale d'une politique en matière de cookies
La directive ePrivacy exige des « informations claires et complètes » comme condition préalable à un consentement valide. Le principe de transparence du GDPR (article 5(1)(a)) et les exigences d'information (articles 13 et 14) imposent en outre que ces informations soient :
- Concises, transparentes et compréhensibles (article 12(1))
- Fournies dans un langage clair et simple (article 12(1))
- Facilement accessibles (article 12(1))
- Fournies gratuitement (article 12(5))
Concrètement : votre politique en matière de cookies doit être rédigée dans un langage compréhensible par une personne non technique, elle doit être accessible depuis votre bannière de cookies et le pied de page de votre site, et elle doit contenir des informations précises sur chaque cookie utilisé par votre site.
Ce que doit contenir une politique en matière de cookies
En vertu des exigences combinées de la directive ePrivacy, du GDPR et des orientations des autorités de protection des données, notamment l'ICO (Royaume-Uni), la CNIL (France) et le Groupe de travail « Article 29 », votre politique en matière de cookies doit inclure les informations suivantes :
1. Quels cookies vous utilisez
Fournissez une liste complète de tous les cookies et technologies similaires actifs sur votre site. Cela inclut les cookies déposés par votre propre code (propriétaires) ainsi que ceux déposés par les services tiers que vous utilisez (plateformes d'analyse, régies publicitaires, widgets de réseaux sociaux, contenus intégrés, chatbots, etc.).
Chaque cookie doit être identifié par son nom. « Nous utilisons des cookies d'analyse » ne suffit pas — vous devez lister les cookies spécifiques : _ga, _gid, _gat pour Google Analytics, par exemple.
2. Finalité de chaque cookie
Pour chaque cookie ou groupe de cookies apparentés, expliquez sa fonction en termes simples. Évitez le jargon technique. Voici des descriptions de finalités efficaces :
- « Enregistre vos préférences de consentement aux cookies afin de ne pas les redemander à chaque visite. »
- « Nous aide à compter le nombre de visiteurs de notre site et à identifier les pages les plus consultées. »
- « Nous permet de vous présenter des publicités pertinentes en fonction de vos centres d'intérêt sur d'autres sites. »
3. Cookies propriétaires vs tiers
Indiquez si chaque cookie est déposé directement par votre site (propriétaire) ou par un service externe (tiers). Pour les cookies tiers, identifiez le fournisseur et renvoyez vers sa politique de confidentialité. Les utilisateurs ont le droit de savoir non seulement que leurs données sont collectées, mais aussi par qui.
4. Durée / expiration
Indiquez combien de temps chaque cookie persiste. Il en existe deux types :
- Cookies de session — supprimés lorsque l'utilisateur ferme son navigateur. Précisez-le clairement : « Session (supprimé à la fermeture de votre navigateur). »
- Cookies persistants — restent sur l'appareil de l'utilisateur pendant une durée définie. Indiquez la durée précise : « 2 ans », « 30 jours », « 13 mois ». N'utilisez pas de termes vagues comme « long terme ».
Les autorités de protection des données ont examiné de près la durée des cookies. La CNIL, par exemple, recommande que les cookies de consentement (ceux qui enregistrent le choix de consentement de l'utilisateur) ne dépassent pas 13 mois.
5. Comment gérer et supprimer les cookies
Expliquez comment les utilisateurs peuvent contrôler les cookies via deux mécanismes :
- Votre bannière de consentement. Précisez que les utilisateurs peuvent modifier à tout moment leurs préférences en matière de cookies via vos paramètres de cookies (indiquez l'emplacement du lien/de l'icône des paramètres).
- Les paramètres du navigateur. Fournissez des instructions générales pour gérer les cookies dans les principaux navigateurs (Chrome, Firefox, Safari, Edge). Vous n'êtes pas tenu de fournir des instructions détaillées, mais vous devez expliquer que ces paramètres existent et renvoyer vers les pages d'aide correspondantes de chaque navigateur.
6. Comment retirer son consentement
L'article 7(3) du GDPR exige que le retrait du consentement soit aussi simple que son octroi, et que les utilisateurs soient informés de ce droit avant de donner leur consentement. Votre politique en matière de cookies doit expliquer :
- Que l'utilisateur a le droit de retirer son consentement à tout moment.
- Comment procéder (généralement : cliquer sur l'icône/le lien des paramètres de cookies visible sur chaque page, ou supprimer les cookies via les paramètres du navigateur).
- Que le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.
7. Catégories de cookies
Organisez les cookies selon les catégories standard utilisées par votre bannière de consentement. La catégorisation la plus répandue est la suivante :
- Strictement nécessaires — cookies indispensables au fonctionnement du site (sessions de connexion, paniers d'achat, jetons de sécurité). Ils ne nécessitent pas de consentement au titre de la directive ePrivacy.
- Préférences / fonctionnels — cookies qui mémorisent les choix de l'utilisateur (langue, région, paramètres d'affichage). Ils améliorent l'expérience mais ne sont pas essentiels.
- Analyse / statistiques — cookies utilisés pour collecter des données d'utilisation anonymes (pages vues, sources de trafic, comportements des utilisateurs).
- Marketing / publicité — cookies utilisés pour la publicité ciblée, le reciblage et la mesure des performances publicitaires.
Les catégories de votre politique en matière de cookies doivent correspondre à celles de votre bannière de consentement. Toute incohérence entre les deux documents nuit à la transparence.
8. Coordonnées de contact
Fournissez des coordonnées pour toute question relative à vos pratiques en matière de cookies. Cela inclut généralement :
- L'identité du responsable du traitement (le nom de votre entreprise et son adresse enregistrée)
- Une adresse e-mail pour les demandes relatives à la confidentialité
- Les coordonnées du délégué à la protection des données (DPO), si vous en avez désigné un
- Votre autorité de contrôle (l'autorité de protection des données compétente)
Où afficher votre politique en matière de cookies
Votre politique en matière de cookies doit être facilement accessible depuis plusieurs emplacements :
- Pied de page du site. Un lien « Politique en matière de cookies » dans votre pied de page, visible sur chaque page. C'est l'emplacement standard auquel les utilisateurs s'attendent.
- Bannière de cookies. Un lien direct depuis votre bannière de cookies vers la politique complète. C'est une obligation légale — les utilisateurs doivent pouvoir accéder à des informations détaillées depuis l'interface de consentement.
- Panneau de paramètres/préférences de cookies. Le second niveau de votre interface de consentement doit renvoyer vers la politique en matière de cookies pour les utilisateurs souhaitant plus d'informations.
- Politique de confidentialité. Si votre politique en matière de cookies est un document distinct, faites un renvoi croisé depuis votre politique de confidentialité et inversement.
Présenter les informations sur les cookies
Le format le plus efficace et le plus transparent pour présenter chaque cookie est un tableau. Les autorités de protection des données, dont l'ICO, recommandent ce format :
| Nom du cookie | Fournisseur | Finalité | Type | Durée |
|---|---|---|---|---|
_ga |
Google Analytics | Distingue les visiteurs uniques en leur attribuant un numéro généré aléatoirement | Tiers, analyse | 2 ans |
_gid |
Google Analytics | Distingue les visiteurs uniques pour la journée en cours | Tiers, analyse | 24 heures |
cookie_consent |
Ce site | Enregistre vos préférences de consentement aux cookies | Propriétaire, nécessaire | 12 mois |
Ce format est clair, facile à parcourir et présente toutes les informations requises en un coup d'œil.
À quelle fréquence la mettre à jour
Votre politique en matière de cookies doit être exacte en permanence. Mettez-la à jour dès que :
- Vous ajoutez un nouveau service tiers qui dépose des cookies (nouvel outil d'analyse, nouvelle plateforme marketing, nouveau chatbot).
- Vous supprimez un service qui déposait auparavant des cookies.
- Un service tiers modifie ses cookies (nouveaux noms, nouvelles durées, nouvelles finalités).
- Vous modifiez les catégories de votre bannière de consentement.
- Les orientations réglementaires évoluent (nouvelles exigences, nouvelles bonnes pratiques).
Indiquez une date de « Dernière mise à jour » en haut ou en bas de votre politique en matière de cookies. Cela démontre que la politique est activement maintenue et aide les utilisateurs à en évaluer l'actualité.
Le défi, bien sûr, est de savoir quand vos cookies changent. Les services tiers mettent fréquemment à jour leur suivi, et un cookie présent il y a trois mois peut avoir été remplacé ou renommé. Les audits manuels ne sont pas fiables, car ils dépendent du fait que quelqu'un pense à vérifier.
Maintenir votre politique à jour grâce à l'analyse automatisée
Le manquement le plus courant en matière de conformité des politiques de cookies n'est pas l'absence d'informations — ce sont des informations inexactes. Une politique qui liste des cookies que vous n'utilisez plus, ou qui omet de mentionner des cookies ajoutés par l'intégration récente d'un outil marketing, n'est pas conforme.
L'analyse automatisée des cookies résout ce problème. Un scanner visite votre site à intervalles réguliers, identifie tous les cookies déposés, les compare aux cookies que vous avez déclarés et vous alerte en cas d'écart.
Passiro analyse automatiquement votre site à la recherche de cookies, les catégorise et met en évidence tout cookie non déclaré qui n'apparaît pas encore dans votre politique. Ainsi, votre politique en matière de cookies reste exacte sans audits manuels. En savoir plus sur l'analyse automatisée des cookies de Passiro.
Dans cette section
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement