Un audit cookies recense tous les cookies et traceurs qu'un site dépose, distingue ceux qui sont essentiels de ceux qui exigent un consentement, et vérifie qu'aucun traceur non essentiel ne se charge avant le choix de l'internaute. C'est le premier motif de rappel à l'ordre de la CNIL — et le plus simple à corriger une fois identifié.
Analysez gratuitement votre site en 30 secondes :
Un audit cookies est l'examen des cookies et traceurs déposés par un site web afin de vérifier leur conformité aux règles sur le consentement. Il consiste à lister les traceurs, à identifier ceux qui nécessitent un accord préalable (mesure d'audience, publicité, réseaux sociaux) et à contrôler que rien ne se dépose avant que l'internaute n'ait exprimé son choix.
La gestion des cookies concentre l'essentiel des mises en demeure de la CNIL en matière de sites web. La raison est double : c'est un manquement fréquent, présent sur une majorité de sites, et c'est un manquement visible — n'importe qui, y compris un plaignant ou un contrôleur, peut le constater en quelques secondes avec les outils du navigateur. Un audit cookies traite donc le risque le plus exposé.
Tous les cookies ne se valent pas au regard du consentement. La question à se poser pour chacun : est-il indispensable au service demandé par l'internaute, ou sert-il d'abord vos objectifs d'analyse ou de marketing ?
Aucun cookie ni script non essentiel ne doit s'exécuter avant que l'internaute n'ait accepté. C'est le point le plus fréquemment relevé : un Analytics ou un pixel qui se charge dès l'arrivée.
Le bouton « Tout refuser » doit être accessible au même niveau que « Tout accepter », dès le premier écran, sans case pré-cochée ni design qui pousse à accepter (dark pattern).
L'internaute doit pouvoir retirer son consentement aussi facilement qu'il l'a donné, via un lien « Gérer mes cookies » généralement présent en pied de page.
La correction passe le plus souvent par un gestionnaire de consentement (CMP) correctement configuré, qui bloque le chargement des traceurs tant que l'accord n'est pas donné. Le « mode consentement » proposé par certains outils (dont Google) permet également de conditionner leur exécution au choix de l'internaute.
Une autre voie, souvent plus simple, consiste à réduire les traceurs à la source : héberger ses polices d'écriture soi-même plutôt que de les charger à distance, choisir une mesure d'audience exemptée de consentement, ou retirer les widgets tiers non indispensables. Moins de traceurs, c'est moins de consentement à gérer et moins de risques.
Si votre site ne dépose que des cookies strictement nécessaires, aucune bannière de consentement n'est requise. Afficher un bandeau « Tout accepter » alors qu'il n'y a rien à accepter est au mieux inutile. Un audit cookies permet justement de le confirmer : parfois, la meilleure mise en conformité consiste à supprimer des traceurs superflus plutôt qu'à empiler des bannières.
Cette page est une aide à la compréhension et à la conformité. Elle ne constitue pas un avis juridique et ne préjuge pas de l'analyse de la CNIL en cas de contrôle.