Fait partie de notre série Compliance & Regulation
Lire le guide completGuide de mise en œuvre du consentement aux cookies : gestion du consentement conforme à la loi
Plus de 400 millions d'euros d'amendes RGPD ont été infligées spécifiquement pour violations du consentement aux cookies depuis 2020. La CNIL française a infligé une amende de 150 millions d'euros à Google et à Facebook 60 millions d'euros pour avoir facilité l'acceptation des cookies plutôt que leur refus. Le consentement aux cookies n'est plus un exercice de case à cocher --- il s'agit d'un domaine de la loi sur la confidentialité fortement appliqué avec des exigences techniques spécifiques.
Ce guide couvre les exigences légales, la mise en œuvre technique et la gestion continue du consentement aux cookies pour les sites Web et les applications Web.
Points clés à retenir
- Conformément au RGPD et à ePrivacy, le consentement doit être obtenu AVANT de définir des cookies non essentiels --- pas après
- Le consentement doit être aussi simple à retirer qu'à donner (refuser en un clic, pas enterré dans les paramètres)
- Les cookies (« accepter ou quitter ») sont illégaux dans la plupart des États membres de l'UE.
- Le mode consentement de Google v2 est requis pour Google Analytics et Ads dans l'EEE depuis mars 2024.
Exigences légales par région
Comparaison des exigences de consentement aux cookies
| Exigence | UE (RGPD + ePrivacy) | Royaume-Uni (PECR + RGPD Royaume-Uni) | États-Unis (CCPA/lois des États) | Brésil (LGPD) | Canada (LPRPDE) |
|---|---|---|---|---|---|
| Consentement préalable pour les cookies non essentiels | Oui (inscription) | Oui (inscription) | Non (modèle de désinscription) | Oui (inscription) | Consentement implicite autorisé |
| Bannière de consentement requise | Oui | Oui | Non obligatoire (mais recommandé) | Oui | Recommandé |
| Choix granulaires (par catégorie) | Oui | Oui | Non requis | Oui | Recommandé |
| Priorité égale pour accepter/refuser | Oui | Oui | N/A | Oui | N/A |
| Mur de cookies autorisé | Non (dans la plupart des États) | Non | N/A | Non | N/A |
| Dossier de consentement requis | Oui | Oui | Non | Oui | Oui |
| Période de renouvellement du consentement | Maximum 12 mois | Maximum 12 mois | N/A | Non précisé | Non précisé |
| Politique de cookies requise | Oui (détaillé) | Oui (détaillé) | Oui (si suivi) | Oui | Oui |
Ce qui compte comme un cookie
La directive ePrivacy couvre non seulement les cookies HTTP, mais également toutes les technologies qui stockent ou accèdent à des informations sur l'appareil de l'utilisateur :
- Cookies HTTP (propriétaires et tiers)
- Stockage local et stockage de session
- Base de données indexée
- Empreinte digitale de l'appareil
- Suivi des pixels / balises Web
- ETags utilisés pour le suivi
Catégorisation des cookies
Catégories standards
| Catégorie | Consentement requis ? | Exemples | État par défaut |
|---|---|---|---|
| Strictement nécessaire | Non | Cookies de session, jetons CSRF, cookies d'équilibrage de charge, authentification | Toujours allumé |
| Fonctionnel / préférences | Oui | Préférence de langue, préférence de thème, panier enregistré | Désactivé (jusqu'au consentement) |
| Analyses / performances | Oui | Google Analytics, Hotjar, Plausible (avec cookies) | Désactivé (jusqu'au consentement) |
| Marketing / publicité | Oui | Google Ads, Facebook Pixel, cookies de reciblage | Désactivé (jusqu'au consentement) |
Audit de vos cookies
Avant de mettre en œuvre le consentement, vérifiez chaque cookie défini par votre site Web :
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
Documentez chaque cookie :
| Nom du cookie | Catégorie | Objectif | Durée | Première/tiers partie |
|---|---|---|---|---|
ecosire_auth | Strictement nécessaire | Authentification | Séance | Première partie |
ecosire_refresh | Strictement nécessaire | Actualisation du jeton | 7 jours | Première partie |
NEXT_LOCALE | Strictement nécessaire | Préférence linguistique | 1 an | Première partie |
_ga | Analyse | ID visiteur Google Analytics | 2 ans | Tiers (Google) |
_fbp | Commercialisation | Suivi des pixels Facebook | 90 jours | Tiers (Facebook) |
Implémentation technique
Option 1 : Plateforme de gestion du consentement (CMP)
| CMP | Niveau gratuit | Conforme au RGPD | Partenaire Google CMP | IAB TCF 2.2 |
|---|---|---|---|---|
| Cookiebot | Jusqu'à 1 page | Oui | Oui | Oui |
| OneTrust | Non | Oui | Oui | Oui |
| Osano | Jusqu'à 5 000 visiteurs | Oui | Oui | Non |
| Trimestriel | Forfait de base | Oui | Oui | Non |
| Cookie-Script | Jusqu'à 1 site | Oui | Oui | Non |
Option 2 : implémentation personnalisée
Pour les équipes qui souhaitent un contrôle total :
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
Mode Consentement de Google v2
Obligatoire pour Google Analytics et Google Ads dans l'EEE depuis mars 2024 :
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
Lorsque l'utilisateur donne son consentement :
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
Exigences de conception de bannière de consentement
Exigences légales de l'UE
- La bannière apparaît AVANT que des cookies non essentiels ne soient définis
- Les boutons « Tout accepter » et « Tout refuser » ont la même importance visuelle
- Sélection de catégories granulaires disponible (pas seulement tout ou rien)
- Pas de cases pré-cochées pour les catégories non essentielles
- Explication claire et simple de chaque catégorie
- Lien vers la politique complète en matière de cookies
- Retrait du consentement accessible à tout moment (par exemple, lien de pied de page)
- Pas de cookie wall (doit pouvoir utiliser le site sans consentement)
- Consentement enregistré avec horodatage et version
Exigences d'accessibilité
- La bannière est navigable au clavier
- Compatible lecteur d'écran (étiquettes ARIA)
- Contraste de couleurs suffisant
- Ne bloque pas le contenu essentiel de manière permanente
Alternative d'analyse sans cookies
Pour les sites Web souhaitant éviter complètement les bannières de consentement aux cookies :
| Outil | Biscuits | Consentement RGPD requis | Emplacement des données | Prix |
|---|---|---|---|---|
| Plausible | Aucun | Non | UE | 9$/mois |
| Brasse | Aucun | Non | UE/États-Unis/Canada | 14$/mois |
| Umami | Aucun | Non | Auto-hébergé | Gratuit |
| Analyses simples | Aucun | Non | UE | 9$/mois |
| Matomo (configuration sans cookies) | Facultatif | Non (sans cookies) | Auto-hébergé | Gratuit |
L'utilisation d'analyses sans cookies élimine le besoin de consentement analytique, simplifiant votre bannière de consentement pour couvrir uniquement les cookies marketing (s'ils sont utilisés).
Questions fréquemment posées
Avons-nous besoin d'une bannière de cookies si nous utilisons uniquement les cookies nécessaires ?
Non. Si vous n'utilisez que des cookies strictement nécessaires (authentification, CSRF, équilibrage de charge), aucun consentement n'est requis et aucune bannière n'est nécessaire. Cependant, vous devez quand même divulguer ces cookies dans votre politique de confidentialité. Dès que vous ajoutez des analyses (Google Analytics) ou tout suivi tiers, une bannière de consentement devient légalement requise dans l'UE.
Est-il légal d'utiliser un « soft opt-in » (continuer la navigation = consentement) ?
Non, pas sous le RGPD. Le Comité européen de la protection des données a explicitement déclaré que la poursuite de la navigation, du défilement ou d'actions passives similaires ne constituent pas un consentement valable. Le consentement doit être une action claire et positive : cliquer sur un bouton indiquant « Accepter » ou similaire. L’opt-in doux a été jugé non conforme dans l’affaire Planet49 (CJUE, 2019).
Comment gérons-nous le consentement pour les candidatures d'une seule page ?
Pour les SPA, vérifiez l’état du consentement lors du chargement initial de la page et à chaque changement d’itinéraire. Si le consentement n’a pas été donné, n’initialisez pas les scripts de suivi. Stockez les préférences de consentement dans un cookie propriétaire (qui est lui-même strictement nécessaire pour mémoriser le consentement). Lorsque l'utilisateur donne son consentement, initialisez les scripts de suivi sans nécessiter un rechargement de la page.
Avons-nous besoin du consentement des cookies pour notre site Web Odoo ?
Si votre site Web Odoo dessert les visiteurs de l'UE et utilise des analyses, des pixels marketing ou des cookies fonctionnels au-delà de ce qui est strictement nécessaire, oui. Odoo a une notification de base en matière de cookies, mais elle ne répond pas aux normes RGPD. Implémentez une CMP appropriée comme Cookiebot ou créez une solution personnalisée. ECOSIRE fournit des services du site Web Odoo qui incluent le consentement aux cookies conforme au RGPD.
Ce qui vient ensuite
Le consentement aux cookies est l’aspect le plus visible du respect de la confidentialité sur le Web. Combinez-le avec la confidentialité dès la conception pour votre architecture d'applications, la gouvernance des données pour votre programme de données complet et les réglementations en matière de cybersécurité pour une conformité plus large.
Contactez ECOSIRE pour la mise en œuvre du consentement aux cookies et des conseils en matière de conformité à la confidentialité.
Publié par ECOSIRE – aider les entreprises à mettre en œuvre une conformité en matière de confidentialité à laquelle les utilisateurs font confiance.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Liste de contrôle pour la préparation d'un audit : comment votre ERP rend les audits 60 % plus rapides
Compléter la liste de contrôle de préparation à l’audit à l’aide des systèmes ERP. Réduisez le temps d’audit de 60 % grâce à une documentation, des contrôles et une collecte automatisée de preuves appropriés.
Réglementation sur le transfert de données transfrontalier : naviguer dans les flux de données internationaux
Parcourez les réglementations en matière de transfert de données transfrontalier avec les SCC, les décisions d'adéquation, les BCR et les évaluations d'impact des transferts pour la conformité au RGPD, au Royaume-Uni et à l'APAC.
Exigences réglementaires en matière de cybersécurité par région : une carte de conformité pour les entreprises mondiales
Parcourez les réglementations en matière de cybersécurité aux États-Unis, dans l’UE, au Royaume-Uni, dans la région APAC et au Moyen-Orient. Couvre les règles NIS2, DORA, SEC, les exigences en matière d'infrastructure critique et les délais de conformité.
Plus de Compliance & Regulation
Liste de contrôle pour la préparation d'un audit : comment votre ERP rend les audits 60 % plus rapides
Compléter la liste de contrôle de préparation à l’audit à l’aide des systèmes ERP. Réduisez le temps d’audit de 60 % grâce à une documentation, des contrôles et une collecte automatisée de preuves appropriés.
Réglementation sur le transfert de données transfrontalier : naviguer dans les flux de données internationaux
Parcourez les réglementations en matière de transfert de données transfrontalier avec les SCC, les décisions d'adéquation, les BCR et les évaluations d'impact des transferts pour la conformité au RGPD, au Royaume-Uni et à l'APAC.
Exigences réglementaires en matière de cybersécurité par région : une carte de conformité pour les entreprises mondiales
Parcourez les réglementations en matière de cybersécurité aux États-Unis, dans l’UE, au Royaume-Uni, dans la région APAC et au Moyen-Orient. Couvre les règles NIS2, DORA, SEC, les exigences en matière d'infrastructure critique et les délais de conformité.
Gouvernance et conformité des données : le guide complet pour les entreprises technologiques
Guide complet de gouvernance des données couvrant les cadres de conformité, la classification des données, les politiques de conservation, les réglementations en matière de confidentialité et les feuilles de route de mise en œuvre pour les entreprises technologiques.
Politiques de conservation des données et automatisation : conservez ce dont vous avez besoin, supprimez ce dont vous avez besoin
Créez des politiques de conservation des données avec des exigences légales, des calendriers de conservation, une application automatisée et une vérification de la conformité au RGPD, SOX et HIPAA.
Gestion de la confidentialité des données des employés : équilibrer les besoins en ressources humaines et les droits à la vie privée
Gérez la confidentialité des données des employés avec les exigences du RGPD, les motifs de traitement des données RH, les politiques de surveillance, les transferts transfrontaliers et les meilleures pratiques de conservation.