Pourquoi la conformité cookies est devenue incontournable

En 2025, la question des cookies et du consentement n’est plus un sujet secondaire. C’est un enjeu juridique, technique et commercial majeur pour tout site web, qu’il s’agisse d’un blog personnel, d’un site vitrine ou d’une boutique en ligne Prestashop.

Les chiffres parlent d’eux-mêmes :

  • En 2024, la CNIL a effectué plus de 340 contrôles, dont une part significative portait sur la gestion des cookies.
  • Les amendes cumulées liées aux cookies en Europe dépassent 1,5 milliard d’euros depuis l’entrée en vigueur du RGPD.
  • Selon une étude Cookiebot, plus de 60 % des sites web européens présentaient encore au moins une non-conformité cookies fin 2023.

Le message est clair : ne pas traiter ce sujet correctement expose votre entreprise à des sanctions financières, à une perte de confiance de vos utilisateurs et à un impact négatif sur votre référencement (Google intégrant de plus en plus les signaux de confiance dans ses critères).

Le cadre juridique : RGPD, ePrivacy et lignes directrices CNIL

Le triptyque réglementaire

La conformité cookies repose sur trois piliers réglementaires qu’il faut bien distinguer :

TextePortéeCe qu’il régit pour les cookies
Directive ePrivacy (2002/58/CE)EuropéenneRègles spécifiques au dépôt de cookies et traceurs sur les terminaux
RGPD (2016/679)EuropéenneTraitement des données personnelles collectées via les cookies
Lignes directrices CNIL (2020)FranceModalités pratiques du recueil du consentement

Concrètement, la directive ePrivacy pose le principe : tout dépôt de cookie sur le terminal d’un utilisateur nécessite son consentement préalable, sauf exceptions. Le RGPD encadre ensuite ce que vous faites des données collectées. Et les lignes directrices de la CNIL, mises à jour en 2020 et complétées par des recommandations en 2021, détaillent comment recueillir ce consentement de manière valide en France.

Ce que dit concrètement la CNIL

Les exigences de la CNIL sont précises et ne laissent que peu de place à l’interprétation :

  • Le consentement doit être libre, spécifique, éclairé et univoque.
  • L’utilisateur doit pouvoir accepter ou refuser avec la même facilité (pas de bouton “Accepter” géant et de lien “Refuser” minuscule).
  • La poursuite de la navigation ne vaut pas consentement.
  • L’utilisateur doit pouvoir retirer son consentement à tout moment.
  • Le consentement doit être redemandé tous les 6 mois.
  • Vous devez conserver la preuve du consentement.

Les différentes catégories de cookies

Pour mettre votre site en conformité, la première étape consiste à auditer et classer vos cookies. Voici les quatre catégories à distinguer :

Cookies strictement nécessaires (exemptés de consentement)

Ces cookies sont indispensables au fonctionnement du site. Sans eux, les fonctions de base ne marchent pas.

  • Cookies de session (identifiant de connexion)
  • Cookies de panier d’achat (e-commerce Prestashop, WooCommerce…)
  • Cookies de préférence de langue liés à un choix explicite
  • Cookies de sécurité (CSRF tokens)
  • Cookies du bandeau de consentement lui-même

Aucun consentement n’est requis pour ces cookies, mais vous devez en informer l’utilisateur.

Cookies analytiques / statistiques

Google Analytics, Matomo, Plausible, AT Internet… Ces cookies mesurent l’audience de votre site.

Consentement requis, sauf dans le cas très spécifique où l’outil est configuré pour ne produire que des données statistiques anonymisées (comme Matomo avec le paramétrage recommandé par la CNIL).

Cookies publicitaires et de ciblage

Google Ads, Meta Pixel, cookies de retargeting, pixels de conversion… Ce sont les plus sensibles.

Consentement obligatoire et explicite dans tous les cas.

Cookies de réseaux sociaux

Boutons de partage Facebook, widgets Twitter/X, vidéos YouTube intégrées…

Consentement requis car ces éléments déposent des cookies tiers dès le chargement de la page.

Les erreurs les plus fréquentes (et comment les éviter)

Après plus de 20 ans d’accompagnement de clients sur leurs projets web, l’équipe de Lueur Externe constate que les mêmes erreurs reviennent régulièrement :

Erreur n°1 : Le “cookie wall” pur et dur

Bloquer totalement l’accès au site tant que l’utilisateur n’a pas accepté les cookies est considéré comme une pratique non conforme par la CNIL. Le consentement n’est pas libre si l’alternative est de ne pas accéder au contenu.

Exception : le cookie wall est toléré si une alternative réelle est proposée (accès payant sans traceurs, par exemple), mais les conditions sont très strictes.

Erreur n°2 : Le pré-cochage des cases

Pré-cocher les catégories de cookies dans le panneau de personnalisation est interdit. Le consentement doit résulter d’un acte positif clair de l’utilisateur.

Erreur n°3 : Charger les scripts avant le consentement

C’est l’erreur technique la plus répandue. Le bandeau cookies s’affiche, mais Google Analytics, le pixel Facebook ou d’autres traceurs se chargent dès l’ouverture de la page, avant même que l’utilisateur ait fait un choix.

Voici un exemple de code non conforme (ce qu’il ne faut pas faire) :

<!-- NON CONFORME : le script se charge immédiatement -->
<script async src="https://www.googletagmanager.com/gtag/js?id=GA_MEASUREMENT_ID"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  gtag('config', 'GA_MEASUREMENT_ID');
</script>

Et voici l’approche conforme, où le script n’est injecté qu’après consentement :

<!-- CONFORME : le script est conditionné au consentement -->
<script>
  document.addEventListener('cookie_consent_analytics', function() {
    var script = document.createElement('script');
    script.src = 'https://www.googletagmanager.com/gtag/js?id=GA_MEASUREMENT_ID';
    script.async = true;
    document.head.appendChild(script);
    script.onload = function() {
      window.dataLayer = window.dataLayer || [];
      function gtag(){dataLayer.push(arguments);}
      gtag('js', new Date());
      gtag('config', 'GA_MEASUREMENT_ID');
    };
  });
</script>

Erreur n°4 : Pas de bouton “Refuser” visible

Le bouton de refus doit être aussi visible et accessible que le bouton d’acceptation. Même taille, même niveau dans l’interface. Un simple lien texte discret ne suffit pas.

Erreur n°5 : Oublier les cookies tiers dans les iframes

Une vidéo YouTube intégrée, un widget Google Maps, un formulaire tiers… Tous ces éléments déposent des cookies avant même que l’utilisateur interagisse avec eux. La solution : utiliser le mode façade (afficher une image statique avec demande de consentement avant chargement de l’iframe).

Guide pratique : les étapes de mise en conformité

Étape 1 : Auditer les cookies de votre site

Avant toute chose, vous devez savoir exactement quels cookies sont déposés sur votre site. Plusieurs outils gratuits vous aident :

  • Cookiebot Scanner : scan automatique qui identifie tous les cookies
  • L’extension navigateur “EditThisCookie” : inspection manuelle
  • L’onglet Application des DevTools Chrome : vue détaillée de tous les cookies

Documentez chaque cookie dans un registre : nom, finalité, durée de vie, catégorie, éditeur tiers éventuel.

Étape 2 : Choisir une solution de gestion du consentement (CMP)

Une Consent Management Platform (CMP) est l’outil qui affiche le bandeau, collecte les choix et conditionne le chargement des scripts.

Voici une comparaison des solutions les plus utilisées :

SolutionGratuitCompatible TCF 2.2WordPressPrestashopHébergement données
Tarteaucitron.js✅ Oui❌ Non✅ Plugin⚠️ Manuel🇫🇷 France (self-hosted)
Axeptio⚠️ Freemium✅ Oui✅ Plugin✅ Module🇫🇷 France
Cookiebot (Usercentrics)⚠️ Freemium✅ Oui✅ Plugin✅ Module🇪🇺 Europe
Didomi❌ Payant✅ Oui✅ Plugin✅ Module🇪🇺 Europe
Orejime✅ Oui❌ Non⚠️ Manuel⚠️ Manuel🇫🇷 France (self-hosted)

Pour les sites WordPress, Tarteaucitron et Axeptio sont les choix les plus fréquents chez nos clients. Pour les boutiques Prestashop, Axeptio et Cookiebot offrent les intégrations les plus abouties.

Étape 3 : Configurer le bandeau correctement

Un bandeau conforme doit contenir :

  • L’identité du responsable de traitement (votre entreprise)
  • Les finalités de chaque catégorie de cookies en langage clair
  • Un bouton “Tout accepter”
  • Un bouton “Tout refuser” au même niveau
  • Un accès à la personnalisation (choix par catégorie)
  • Un lien vers votre politique de cookies détaillée

Étape 4 : Conditionner le chargement des scripts

C’est l’étape technique cruciale. Chaque script déposant des cookies non essentiels doit être bloqué par défaut et activé uniquement après consentement.

Avec Google Tag Manager, la méthode recommandée est d’utiliser le Consent Mode v2 :

// Configuration initiale : tout est refusé par défaut
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}

gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'functionality_storage': 'denied',
  'personalization_storage': 'denied',
  'security_storage': 'granted'
});

// Après consentement de l'utilisateur pour les analytics :
gtag('consent', 'update', {
  'analytics_storage': 'granted'
});

Cette approche est désormais obligatoire pour utiliser Google Ads et Google Analytics en conformité avec les exigences européennes. Google impose le Consent Mode v2 depuis mars 2024.

Étape 5 : Rédiger la politique de cookies

Votre site doit comporter une page dédiée à la politique de cookies, distincte de la politique de confidentialité (même si les deux peuvent se compléter). Elle doit lister :

  • Chaque cookie déposé avec son nom technique
  • Sa finalité en langage clair
  • Sa durée de conservation
  • L’éditeur tiers éventuel
  • Les modalités de retrait du consentement

Étape 6 : Tester et documenter

Après déploiement, testez votre configuration :

  1. Ouvrez votre site en navigation privée
  2. Vérifiez qu’aucun cookie non essentiel n’est déposé avant votre choix (onglet Application > Cookies dans les DevTools)
  3. Cliquez sur “Tout refuser” et vérifiez que les scripts publicitaires et analytics ne se chargent pas
  4. Cliquez sur “Tout accepter” et vérifiez que tout fonctionne normalement
  5. Vérifiez que le bouton de modification du consentement est accessible (souvent un petit bouclier en bas de page)

Cas particulier : les sites e-commerce Prestashop

Les boutiques en ligne Prestashop présentent des défis spécifiques en matière de cookies :

  • Cookies de panier et de session : exemptés, mais à documenter
  • Modules tiers : de nombreux modules Prestashop (avis clients, chat en ligne, recommandations produits) déposent des cookies nécessitant un consentement
  • Pixels de conversion : indispensables pour mesurer le ROI publicitaire, mais soumis au consentement

Chez Lueur Externe, agence certifiée Prestashop, nous auditons systématiquement les modules installés lors de nos mises en conformité. Il n’est pas rare de découvrir que 8 à 12 modules déposent des cookies tiers sans que le propriétaire du site en soit conscient.

Impact sur le SEO et les performances

La conformité cookies a aussi des implications sur votre référencement naturel et vos performances :

  • Google Consent Mode v2 permet de maintenir une mesure d’audience modélisée même lorsque les utilisateurs refusent les cookies analytics. Sans cette configuration, vous perdez entre 30 et 70 % de vos données analytics selon le taux de refus.
  • Core Web Vitals : un bandeau cookies mal optimisé peut dégrader vos métriques LCP et CLS. Privilégiez les solutions qui chargent de manière asynchrone et ne décalent pas le contenu visible.
  • Confiance utilisateur : un bandeau transparent et bien conçu renforce la confiance, réduit le taux de rebond et améliore les signaux comportementaux que Google prend en compte.

Que risquez-vous concrètement ?

Pour bien mesurer l’enjeu, voici quelques sanctions prononcées par la CNIL ces dernières années pour des manquements liés aux cookies :

  • Google : 150 millions d’euros (décembre 2021) — refus de cookies trop complexe
  • Facebook : 60 millions d’euros (décembre 2021) — même motif
  • Microsoft (Bing) : 60 millions d’euros (décembre 2022) — dépôt de cookies publicitaires sans consentement
  • Voodoo (éditeur d’apps) : 3 millions d’euros (2023) — collecte de données via SDK sans consentement
  • Criteo : 40 millions d’euros (juin 2023) — traitement de données à des fins publicitaires sans consentement valide

Les PME ne sont pas épargnées. Des sanctions de 10 000 à 100 000 euros ont été prononcées contre des entreprises de toutes tailles, souvent suite à des plaintes d’utilisateurs ou des contrôles en ligne de la CNIL.

Checklist finale de conformité

Avant de considérer votre site comme conforme, vérifiez ces points :

  • Audit complet des cookies réalisé et documenté
  • CMP installée et correctement paramétrée
  • Aucun cookie non essentiel déposé avant consentement
  • Bouton Refuser aussi visible que le bouton Accepter
  • Pas de pré-cochage des catégories de cookies
  • Google Consent Mode v2 configuré si vous utilisez les outils Google
  • Politique de cookies complète et accessible
  • Durée de validité du consentement fixée à 6 mois maximum
  • Preuve du consentement stockée et horodatée
  • Bouton de modification du consentement accessible en permanence
  • Iframes tierces bloquées avant consentement (YouTube, Maps, etc.)
  • Tests en navigation privée validés

Conclusion : agir maintenant plutôt que subir demain

La mise en conformité cookies n’est pas une simple formalité administrative. C’est un projet transversal qui touche au juridique, au technique et à l’expérience utilisateur. Avec le durcissement continu des contrôles de la CNIL et l’arrivée prochaine du règlement ePrivacy européen, les exigences ne vont faire que se renforcer.

La bonne nouvelle : une mise en conformité bien menée est aussi l’occasion d’assainir votre stack technique, de mieux comprendre les données que vous collectez et de renforcer la confiance de vos visiteurs.

Chez Lueur Externe, nous accompagnons les entreprises dans leur mise en conformité cookies depuis l’entrée en vigueur du RGPD. Que vous soyez sur WordPress, Prestashop ou une solution sur mesure, nos experts réalisent un audit complet de vos cookies, configurent votre CMP et s’assurent que votre site respecte scrupuleusement les exigences de la CNIL.

Ne laissez pas la non-conformité mettre en péril votre activité. Contactez notre équipe pour un audit cookies et une mise en conformité adaptée à votre site.