RGPD – cookies ou traceurs

RGPD – cookies (traceurs) : que devez-vous faire ?

Les cookies/traceurs sont de petits fichiers déposés sur l’appareil de l’internaute pour stocker des informations.
Certains sont strictement nécessaires au bon fonctionnement du site (ex. panier e-commerce, authentification). D’autres servent à la publicité ciblée, à la mesure d’audience ou aux réseaux sociaux.

Ce que dit le cadre légal

Ces traceurs relèvent du RGPD et de la directive « ePrivacy ». Avant tout dépôt non essentiel, vous devez obtenir le consentement de l’utilisateur.

Principes clés à respecter

• Consentement préalable : aucun traceur non essentiel ne doit être déposé avant le choix de l’utilisateur.
• Liberté de choix : le refus doit être aussi simple que l’acceptation (pas de cases précochées).
• Information claire : expliquer les finalités (pub, stats, réseaux sociaux…) et les tiers concernés.
• Preuve & retrait : conserver la preuve du consentement, permettre de modifier/retirer le choix à tout moment (lien « Gérer mes cookies »).
• Durées limitées : le consentement est généralement valide 6 mois (à ré-interroger ensuite).

Mesure d’audience :
avec ou sans consentement ?

• Avec consentement : si vous utilisez des solutions ou réglages qui dépassent ce cadre (profilage, reciblage, partage à des tiers…).
• Sans consentement (exemption CNIL possible) : uniquement si la mesure d’audience est strictement nécessaire et configurée pour :
• ne collecter que des données anonymisées (ex. IP tronquée),
• ne pas ré-identifier ni recouper les données,
• pas de publicité ni de partage avec des tiers,
• usage exclusivement par l’éditeur (first-party),
• durées de conservation courtes.

En pratique, des outils comme Matomo (ex-Piwik) peuvent être configurés pour entrer dans l’exemption. Google Analytics, selon la configuration et les transferts internationaux, requiert le consentement et un paramétrage renforcé.

Google Analytics

Selon la configuration (finalités marketing, partage à des tiers, transferts hors UE), le consentement préalable est requis. Le simple bandeau « en poursuivant votre navigation… » n’est pas conforme.
Si vous conservez GA pour des raisons historiques, mettez en place :

• un bandeau conforme (acceptation/refus par finalité, égal niveau),
• le blocage par défaut des balises tant que l’utilisateur n’a pas consenti,
• l’anonymisation IP et la réduction des durées de conservation,
• une politique cookies détaillée et tenue à jour.

Comment nous vous aidons

Pour les nouveaux sites, nous privilégions des solutions respectueuses (ex. Matomo configuré en first-party), et, si besoin, un gestionnaire de consentement (CMP) conforme pour piloter les tags (Google Tag Manager, etc.).
Pour les sites existants :

• Audit cookies/tagging (ce qui se dépose réellement, sur quelles pages),
• Mise en conformité du bandeau et de la politique cookies,
• Paramétrage d’Analytics/Matomo, blocage des tags avant consentement,
• Journalisation du consentement et bouton « Gérer mes cookies ».

Check-list express (prête à cocher)

• Bandeau clair avec Accepter / Refuser / Paramétrer (même niveau).
• Aucun dépôt non essentiel avant choix.
• Catégorisation par finalités (Mesure d’audience, Marketing, Réseaux sociaux…).
• Preuve du consentement + lien persistant « Gérer mes cookies ».
• Politique cookies à jour (finalités, durées, tiers).
• Paramétrage Matomo (ou GA) conforme + durées limitées.

Besoin d’un audit ou d’une mise en conformité rapide ? On s’en charge et on vous laisse un kit (bandeau, politique, paramétrages, mode d’emploi).