📋 Table des matières

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen entré en vigueur le 25 mai 2018. Il encadre la collecte, le traitement et la conservation des données personnelles des citoyens européens — y compris celles collectées via les cookies.

En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui est chargée de faire respecter le RGPD. Elle peut infliger des amendes pouvant atteindre 4 % du chiffre d'affaires mondial ou 20 millions d'euros pour les manquements graves.

Concrètement pour votre site : si vous collectez des données via des cookies (comportement de navigation, identifiants publicitaires, etc.), vous devez informer vos visiteurs et obtenir leur accord explicite avant tout dépôt.

Bon à savoir : Le RGPD s'applique à tout site accessible depuis l'Union Européenne, même si votre serveur est hébergé ailleurs. Si vous avez des visiteurs européens, vous êtes concerné.

Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur l'appareil de votre visiteur par votre site web. Il permet de mémoriser des informations entre deux visites ou de suivre le comportement de l'utilisateur. Il existe plusieurs catégories de cookies, avec des obligations différentes :

Type Exemples Consentement requis
Essentiels Session, panier, sécurité Non requis
Analytiques Google Analytics, Matomo Requis
Marketing Google Ads, Facebook Pixel Requis
Personnalisation Préférences, langue, thème Selon usage
Réseaux sociaux Bouton "J'aime", widgets Requis

Quels cookies nécessitent un consentement ?

La règle est simple : tous les cookies non strictement nécessaires au fonctionnement du site requièrent un consentement explicite avant d'être déposés.

Sont exemptés de consentement uniquement les cookies strictement nécessaires :

  • Cookies de session (authentification, panier d'achat)
  • Cookies de sécurité (protection CSRF)
  • Cookies de préférence de langue (si non transmis à des tiers)
  • Cookies d'équilibrage de charge (load balancing)

En revanche, Google Analytics nécessite un consentement même en mode anonymisé, car il transmet des données à Google. De même pour tous les pixels publicitaires et les outils de chat comme Crisp ou Intercom.

Cas fréquent : Matomo en mode auto-hébergé sans cookie peut être exempté de consentement sous certaines conditions. Vérifiez les recommandations CNIL pour votre configuration spécifique.

Comment obtenir le consentement ?

Le consentement RGPD doit être libre, éclairé, spécifique et non ambigu. Concrètement, cela se traduit par un bandeau cookie conforme qui respecte ces règles :

  • Affichage avant tout dépôt de cookie — aucun traceur ne doit se charger avant le choix de l'utilisateur
  • Refus aussi simple qu'accepter — le bouton "Refuser" doit être aussi visible que "Accepter"
  • Granularité — l'utilisateur doit pouvoir accepter ou refuser par catégorie (analytics, pub, etc.)
  • Information claire — expliquer pourquoi vous collectez ces données et qui y a accès
  • Possibilité de retrait — l'utilisateur doit pouvoir changer d'avis à tout moment

La CNIL recommande également que le bandeau soit visible sans avoir à scroller, et que le texte soit compréhensible par un non-juriste.

Bonne pratique : Utilisez une CMP (Consent Management Platform) comme Mon Petit Cookie pour vous assurer que toutes ces règles sont automatiquement respectées.

Obligations légales

Au-delà du simple bandeau, le RGPD impose plusieurs obligations concrètes aux responsables de sites web :

1

Informer l'utilisateur

Via le bandeau et une politique de confidentialité accessible : quels cookies, pourquoi, combien de temps, qui y accède. L'information doit être claire et compréhensible.

2

Obtenir un consentement explicite

Le consentement doit être une action positive (cliquer sur "Accepter"). Les cases pré-cochées, le scroll ou la simple navigation ne constituent pas un consentement valide.

3

Permettre le refus et le retrait

L'utilisateur doit pouvoir refuser aussi facilement qu'accepter, et retirer son consentement à tout moment. Un lien "Gérer mes cookies" dans le pied de page est requis.

4

Tenir un registre des consentements

Vous devez être en mesure de prouver qu'un utilisateur a consenti : date, heure, version du bandeau affichée, choix effectués. Ce registre est demandé en cas de contrôle CNIL.

Erreurs courantes à éviter

La majorité des sites font encore des erreurs qui les exposent à des sanctions CNIL. Voici les trois plus fréquentes — et comment les corriger.

Erreur n°1 : Consentement présumé ou par défaut
Afficher un bandeau "En continuant votre navigation, vous acceptez..." n'est pas valide. Le consentement doit être une action explicite. Solution : utiliser un bandeau avec un bouton "Accepter" clair, et ne rien charger avant ce clic.
Erreur n°2 : Pas de bouton "Refuser" visible
Cacher le refus derrière "Paramètres avancés" ou un lien discret est illégal depuis 2022. Solution : afficher "Accepter" et "Refuser" avec la même visibilité dès le premier niveau du bandeau.
Erreur n°3 : Pas de politique de confidentialité
Le bandeau seul ne suffit pas. Vous devez avoir une page dédiée expliquant vos traitements de données. Solution : créer une page "Politique de confidentialité" accessible depuis toutes les pages de votre site, en particulier depuis le bandeau cookie.

Checklist de conformité RGPD cookies

Utilisez cette checklist pour auditer votre site. Chaque point non coché représente un risque de sanction CNIL.

  • Bandeau cookie présent — affiché à chaque première visite, avant tout chargement de traceur
  • Bouton "Refuser" aussi visible qu'Accepter — même taille, même niveau d'accès
  • Consentement granulaire — l'utilisateur peut accepter analytics sans accepter pub
  • Aucun cookie avant consentement — vérifiable avec les DevTools (onglet Application)
  • Politique de confidentialité — page dédiée, accessible depuis le bandeau et le footer
  • Registre des consentements — preuve horodatée de chaque consentement
  • Renouvellement du consentement — le bandeau réapparaît après 13 mois
  • Google Consent Mode v2 — si vous utilisez Google Ads ou Analytics
  • Droit à l'oubli — possibilité pour l'utilisateur de demander la suppression de ses données
  • Mentions légales — identification du responsable de traitement
Astuce : Vous pouvez tester votre conformité gratuitement avec l'outil de scan de la CNIL ou avec les DevTools de votre navigateur (onglet "Application" → "Cookies").

Comment Mon Petit Cookie vous met en conformité

Mon Petit Cookie est une CMP RGPD française qui gère automatiquement toute la conformité décrite dans ce guide. En quelques minutes, vous cochez l'ensemble de la checklist ci-dessus.

  • Bandeau conforme CNIL automatiquement — refus aussi simple qu'accepter, aucun cookie avant consentement
  • Google Consent Mode v2 natif — vos campagnes Google Ads restent optimisées
  • Registre des consentements horodaté — prêt pour un contrôle CNIL
  • Renouvellement automatique après 13 mois — vous n'avez rien à gérer
  • Gratuit pour 1 site — aucune carte bancaire requise

Plus de 500 sites font confiance à Mon Petit Cookie pour leur conformité RGPD. L'installation prend moins de 5 minutes : vous copiez-collez un script dans votre balise <head> et c'est terminé.

🍪

Mettez votre site en conformité maintenant

Gratuit pour 1 site · Installation en 5 minutes · Conforme CNIL

Mettre mon site en conformité gratuitement