Fait partie de notre série Compliance & Regulation
Lire le guide completGuide de mise en œuvre du consentement aux cookies : gestion du consentement conforme à la loi
Plus de 400 millions d'euros d'amendes RGPD ont été infligées spécifiquement pour violations du consentement aux cookies depuis 2020. La CNIL française a infligé une amende de 150 millions d'euros à Google et à Facebook 60 millions d'euros pour avoir facilité l'acceptation des cookies plutôt que leur refus. Le consentement aux cookies n'est plus un exercice de case à cocher --- il s'agit d'un domaine de la loi sur la confidentialité fortement appliqué avec des exigences techniques spécifiques.
Ce guide couvre les exigences légales, la mise en œuvre technique et la gestion continue du consentement aux cookies pour les sites Web et les applications Web.
Points clés à retenir
- Conformément au RGPD et à ePrivacy, le consentement doit être obtenu AVANT de définir des cookies non essentiels --- pas après
- Le consentement doit être aussi simple à retirer qu'à donner (refuser en un clic, pas enterré dans les paramètres)
- Les cookies (« accepter ou quitter ») sont illégaux dans la plupart des États membres de l'UE.
- Le mode consentement de Google v2 est requis pour Google Analytics et Ads dans l'EEE depuis mars 2024.
Exigences légales par région
Comparaison des exigences de consentement aux cookies
| Exigence | UE (RGPD + ePrivacy) | Royaume-Uni (PECR + RGPD Royaume-Uni) | États-Unis (CCPA/lois des États) | Brésil (LGPD) | Canada (LPRPDE) |
|---|---|---|---|---|---|
| Consentement préalable pour les cookies non essentiels | Oui (inscription) | Oui (inscription) | Non (modèle de désinscription) | Oui (inscription) | Consentement implicite autorisé |
| Bannière de consentement requise | Oui | Oui | Non obligatoire (mais recommandé) | Oui | Recommandé |
| Choix granulaires (par catégorie) | Oui | Oui | Non requis | Oui | Recommandé |
| Priorité égale pour accepter/refuser | Oui | Oui | N/A | Oui | N/A |
| Mur de cookies autorisé | Non (dans la plupart des États) | Non | N/A | Non | N/A |
| Dossier de consentement requis | Oui | Oui | Non | Oui | Oui |
| Période de renouvellement du consentement | Maximum 12 mois | Maximum 12 mois | N/A | Non précisé | Non précisé |
| Politique de cookies requise | Oui (détaillé) | Oui (détaillé) | Oui (si suivi) | Oui | Oui |
Ce qui compte comme un cookie
La directive ePrivacy couvre non seulement les cookies HTTP, mais également toutes les technologies qui stockent ou accèdent à des informations sur l'appareil de l'utilisateur :
- Cookies HTTP (propriétaires et tiers)
- Stockage local et stockage de session
- Base de données indexée
- Empreinte digitale de l'appareil
- Suivi des pixels / balises Web
- ETags utilisés pour le suivi
Catégorisation des cookies
Catégories standards
| Catégorie | Consentement requis ? | Exemples | État par défaut |
|---|---|---|---|
| Strictement nécessaire | Non | Cookies de session, jetons CSRF, cookies d'équilibrage de charge, authentification | Toujours allumé |
| Fonctionnel / préférences | Oui | Préférence de langue, préférence de thème, panier enregistré | Désactivé (jusqu'au consentement) |
| Analyses / performances | Oui | Google Analytics, Hotjar, Plausible (avec cookies) | Désactivé (jusqu'au consentement) |
| Marketing / publicité | Oui | Google Ads, Facebook Pixel, cookies de reciblage | Désactivé (jusqu'au consentement) |
Audit de vos cookies
Avant de mettre en œuvre le consentement, vérifiez chaque cookie défini par votre site Web :
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
Documentez chaque cookie :
| Nom du cookie | Catégorie | Objectif | Durée | Première/tiers partie |
|---|---|---|---|---|
ecosire_auth | Strictement nécessaire | Authentification | Séance | Première partie |
ecosire_refresh | Strictement nécessaire | Actualisation du jeton | 7 jours | Première partie |
NEXT_LOCALE | Strictement nécessaire | Préférence linguistique | 1 an | Première partie |
_ga | Analyse | ID visiteur Google Analytics | 2 ans | Tiers (Google) |
_fbp | Commercialisation | Suivi des pixels Facebook | 90 jours | Tiers (Facebook) |
Implémentation technique
Option 1 : Plateforme de gestion du consentement (CMP)
| CMP | Niveau gratuit | Conforme au RGPD | Partenaire Google CMP | IAB TCF 2.2 |
|---|---|---|---|---|
| Cookiebot | Jusqu'à 1 page | Oui | Oui | Oui |
| OneTrust | Non | Oui | Oui | Oui |
| Osano | Jusqu'à 5 000 visiteurs | Oui | Oui | Non |
| Trimestriel | Forfait de base | Oui | Oui | Non |
| Cookie-Script | Jusqu'à 1 site | Oui | Oui | Non |
Option 2 : implémentation personnalisée
Pour les équipes qui souhaitent un contrôle total :
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
Mode Consentement de Google v2
Obligatoire pour Google Analytics et Google Ads dans l'EEE depuis mars 2024 :
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
Lorsque l'utilisateur donne son consentement :
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
Exigences de conception de bannière de consentement
Exigences légales de l'UE
- La bannière apparaît AVANT que des cookies non essentiels ne soient définis
- Les boutons « Tout accepter » et « Tout refuser » ont la même importance visuelle
- Sélection de catégories granulaires disponible (pas seulement tout ou rien)
- Pas de cases pré-cochées pour les catégories non essentielles
- Explication claire et simple de chaque catégorie
- Lien vers la politique complète en matière de cookies
- Retrait du consentement accessible à tout moment (par exemple, lien de pied de page)
- Pas de cookie wall (doit pouvoir utiliser le site sans consentement)
- Consentement enregistré avec horodatage et version
Exigences d'accessibilité
- La bannière est navigable au clavier
- Compatible lecteur d'écran (étiquettes ARIA)
- Contraste de couleurs suffisant
- Ne bloque pas le contenu essentiel de manière permanente
Alternative d'analyse sans cookies
Pour les sites Web souhaitant éviter complètement les bannières de consentement aux cookies :
| Outil | Biscuits | Consentement RGPD requis | Emplacement des données | Prix |
|---|---|---|---|---|
| Plausible | Aucun | Non | UE | 9$/mois |
| Brasse | Aucun | Non | UE/États-Unis/Canada | 14$/mois |
| Umami | Aucun | Non | Auto-hébergé | Gratuit |
| Analyses simples | Aucun | Non | UE | 9$/mois |
| Matomo (configuration sans cookies) | Facultatif | Non (sans cookies) | Auto-hébergé | Gratuit |
L'utilisation d'analyses sans cookies élimine le besoin de consentement analytique, simplifiant votre bannière de consentement pour couvrir uniquement les cookies marketing (s'ils sont utilisés).
Questions fréquemment posées
Avons-nous besoin d'une bannière de cookies si nous utilisons uniquement les cookies nécessaires ?
Non. Si vous n'utilisez que des cookies strictement nécessaires (authentification, CSRF, équilibrage de charge), aucun consentement n'est requis et aucune bannière n'est nécessaire. Cependant, vous devez quand même divulguer ces cookies dans votre politique de confidentialité. Dès que vous ajoutez des analyses (Google Analytics) ou tout suivi tiers, une bannière de consentement devient légalement requise dans l'UE.
Est-il légal d'utiliser un « soft opt-in » (continuer la navigation = consentement) ?
Non, pas sous le RGPD. Le Comité européen de la protection des données a explicitement déclaré que la poursuite de la navigation, du défilement ou d'actions passives similaires ne constituent pas un consentement valable. Le consentement doit être une action claire et positive : cliquer sur un bouton indiquant « Accepter » ou similaire. L’opt-in doux a été jugé non conforme dans l’affaire Planet49 (CJUE, 2019).
Comment gérons-nous le consentement pour les candidatures d'une seule page ?
Pour les SPA, vérifiez l’état du consentement lors du chargement initial de la page et à chaque changement d’itinéraire. Si le consentement n’a pas été donné, n’initialisez pas les scripts de suivi. Stockez les préférences de consentement dans un cookie propriétaire (qui est lui-même strictement nécessaire pour mémoriser le consentement). Lorsque l'utilisateur donne son consentement, initialisez les scripts de suivi sans nécessiter un rechargement de la page.
Avons-nous besoin du consentement des cookies pour notre site Web Odoo ?
Si votre site Web Odoo dessert les visiteurs de l'UE et utilise des analyses, des pixels marketing ou des cookies fonctionnels au-delà de ce qui est strictement nécessaire, oui. Odoo a une notification de base en matière de cookies, mais elle ne répond pas aux normes RGPD. Implémentez une CMP appropriée comme Cookiebot ou créez une solution personnalisée. ECOSIRE fournit des services du site Web Odoo qui incluent le consentement aux cookies conforme au RGPD.
Ce qui vient ensuite
Le consentement aux cookies est l’aspect le plus visible du respect de la confidentialité sur le Web. Combinez-le avec la confidentialité dès la conception pour votre architecture d'applications, la gouvernance des données pour votre programme de données complet et les réglementations en matière de cybersécurité pour une conformité plus large.
Contactez ECOSIRE pour la mise en œuvre du consentement aux cookies et des conseils en matière de conformité à la confidentialité.
Publié par ECOSIRE – aider les entreprises à mettre en œuvre une conformité en matière de confidentialité à laquelle les utilisateurs font confiance.
Rédigé par
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Développez votre entreprise avec ECOSIRE
Solutions d'entreprise pour l'ERP, le commerce électronique, l'IA, l'analyse et l'automatisation.
Articles connexes
ERP pour l'industrie chimique : sécurité, conformité et traitement par lots
Comment les systèmes ERP gèrent les documents FDS, la conformité REACH et GHS, le traitement des lots, le contrôle qualité, l'expédition des matières dangereuses et la gestion des formules pour les entreprises chimiques.
ERP pour le commerce import/export : multidevises, logistique et conformité
Comment les systèmes ERP gèrent les lettres de crédit, les documents douaniers, les incoterms, les comptes de résultat multidevises, le suivi des conteneurs et le calcul des droits pour les sociétés commerciales.
Reporting développement durable et ESG avec ERP : Guide de conformité 2026
Naviguez dans la conformité des rapports ESG en 2026 avec les systèmes ERP. Couvre les émissions CSRD, GRI, SASB, Scope 1/2/3, le suivi du carbone et la durabilité Odoo.
Plus de Compliance & Regulation
Cybersécurité pour le commerce électronique : protégez votre entreprise en 2026
Guide complet de cybersécurité du commerce électronique pour 2026. PCI DSS 4.0, configuration WAF, protection contre les robots, prévention de la fraude aux paiements, en-têtes de sécurité et réponse aux incidents.
ERP pour l'industrie chimique : sécurité, conformité et traitement par lots
Comment les systèmes ERP gèrent les documents FDS, la conformité REACH et GHS, le traitement des lots, le contrôle qualité, l'expédition des matières dangereuses et la gestion des formules pour les entreprises chimiques.
ERP pour le commerce import/export : multidevises, logistique et conformité
Comment les systèmes ERP gèrent les lettres de crédit, les documents douaniers, les incoterms, les comptes de résultat multidevises, le suivi des conteneurs et le calcul des droits pour les sociétés commerciales.
Reporting développement durable et ESG avec ERP : Guide de conformité 2026
Naviguez dans la conformité des rapports ESG en 2026 avec les systèmes ERP. Couvre les émissions CSRD, GRI, SASB, Scope 1/2/3, le suivi du carbone et la durabilité Odoo.
Liste de contrôle pour la préparation à l'audit : préparer vos livres
Liste de contrôle complète de préparation à l'audit couvrant la préparation des états financiers, les pièces justificatives, la documentation sur les contrôles internes, les listes PBC de l'auditeur et les conclusions d'audit courantes.
Guide australien de la TPS pour les entreprises de commerce électronique
Guide complet de la TPS australienne pour les entreprises de commerce électronique couvrant l'enregistrement ATO, le seuil de 75 000 $, les importations de faible valeur, le dépôt BAS et la TPS pour les services numériques.