TL;DR
Un audit de cookies consiste à scanner l'ensemble des pages de votre site pour identifier tous les traceurs déposés sur le terminal des visiteurs. Cet inventaire est la première étape de toute mise en conformité RGPD : sans savoir quels cookies votre site dépose réellement, il est impossible de rédiger une politique de cookies fiable, de configurer correctement votre bandeau de consentement ou de démontrer votre conformité en cas de contrôle.
Qu'est-ce qu'un audit de cookies ?
Un audit de cookies (ou cookie audit) est une analyse technique qui identifie tous les cookies et traceurs déposés par votre site web lors de la navigation d'un visiteur. Il recense les cookies first-party et third-party, leurs finalités, leur durée de vie et les scripts qui les déclenchent.
L'objectif n'est pas seulement de lister des noms de cookies. L'audit doit permettre de répondre à trois questions : quels traceurs sont présents, qui les dépose (votre site ou un tiers), et sont-ils correctement bloqués avant consentement.
La CNIL attend des responsables de sites qu'ils connaissent précisément les traceurs présents sur leur domaine. Un audit régulier est le seul moyen fiable d'obtenir cette visibilité.
Pourquoi auditer les cookies de votre site ?
Les cookies présents sur un site évoluent en permanence. Chaque ajout d'un script tiers (outil analytics, pixel publicitaire, widget de chat, lecteur vidéo embarqué) peut introduire de nouveaux traceurs sans que vous en soyez informé.
Sans audit, vous ne pouvez pas garantir que votre politique de cookies reflète la réalité. Un décalage entre les cookies documentés et les cookies réellement déposés constitue un manquement à l'obligation d'information du RGPD.
Un audit permet aussi de détecter les cookies qui se déclenchent avant le consentement de l'utilisateur. C'est l'une des non-conformités les plus fréquemment relevées lors des contrôles de la CNIL : des scripts analytics ou publicitaires qui s'exécutent dès le chargement de la page, avant que le visiteur ait interagi avec le bandeau de consentement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment fonctionne un scanner de cookies ?
Un scanner de cookies est un outil qui parcourt automatiquement les pages de votre site, simule la navigation d'un visiteur et enregistre tous les cookies déposés dans le navigateur pendant cette session.
Le processus de scan
Le scanner charge chaque page de votre site dans un navigateur automatisé (headless browser). Il enregistre les cookies déposés à chaque étape : au chargement initial, après exécution des scripts, et éventuellement après simulation de consentement. Le résultat est un inventaire détaillé de chaque cookie avec son nom, son domaine, sa finalité probable, sa durée de vie et le script qui l'a déclenché.
Ce que le scan détecte
Un bon scanner identifie les cookies first-party (déposés par votre domaine), les cookies third-party (déposés par des domaines tiers comme google-analytics.com, facebook.com, doubleclick.net), les cookies de session (supprimés à la fermeture du navigateur) et les cookies persistants (qui restent jusqu'à expiration). Il signale aussi les cookies qui se déclenchent avant consentement.
Les limites d'un scan automatique
Un scan automatique ne couvre pas toujours 100 % des cas. Certains cookies ne se déclenchent que sur des parcours spécifiques (formulaire de paiement, espace membre, tunnel de conversion). D'autres dépendent de la géolocalisation du visiteur. Un audit complet peut nécessiter plusieurs scans avec des configurations différentes.
Quels outils utiliser pour auditer les cookies ?
Plusieurs catégories d'outils permettent de réaliser un audit de cookies, du plus simple au plus avancé.
Les outils intégrés au navigateur (Chrome DevTools, Firefox Developer Tools) permettent de consulter les cookies déposés sur une page via l'onglet Application > Cookies. C'est utile pour un diagnostic rapide, mais ce n'est pas un audit complet : il faut vérifier chaque page manuellement.
Les extensions de navigateur (Cookie Editor, EditThisCookie) facilitent la visualisation et l'export des cookies sur une page donnée. Elles restent limitées à une analyse page par page.
Les scanners de cookies en ligne analysent automatiquement l'ensemble de votre site en quelques minutes. FlowConsent propose un scanner gratuit qui parcourt vos pages, identifie les traceurs et classe les cookies par catégorie (nécessaires, analytics, publicitaires, réseaux sociaux). Ce type d'outil est le plus efficace pour un audit régulier.
Les CMP (plateformes de gestion du consentement) intègrent souvent un scanner de cookies dans leur fonctionnement. Elles peuvent détecter les nouveaux cookies à chaque mise à jour et alerter en cas de décalage avec la configuration existante.
Comment interpréter les résultats d'un audit ?
L'inventaire brut produit par un scanner doit être analysé et classé pour être exploitable.
Classez chaque cookie dans l'une des quatre catégories standard : strictement nécessaire (authentification, panier, choix de consentement), analytics (mesure d'audience), publicitaire (ciblage, retargeting, conversion) et réseaux sociaux (boutons de partage, widgets). Cette classification détermine quels cookies nécessitent un consentement préalable et quels cookies en sont exemptés.
Vérifiez ensuite la durée de vie de chaque cookie. La CNIL recommande une durée maximale de 13 mois. Les cookies dont la durée dépasse cette limite doivent être signalés et reconfigurés si possible.
Identifiez les cookies non documentés : ceux qui ne correspondent à aucun service que vous avez volontairement installé. Ils proviennent souvent de scripts tiers chargés en cascade (un widget de chat qui charge un pixel publicitaire, par exemple).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes lors d'un audit de cookies
Ne scanner que la page d'accueil. Les cookies peuvent varier d'une page à l'autre. Un scanner doit couvrir un échantillon représentatif de toutes les sections du site (blog, pages produit, formulaires, espace membre).
Ignorer les cookies déposés par les sous-domaines. Si votre site utilise des sous-domaines (app.monsite.com, blog.monsite.com), chacun peut déposer ses propres cookies. L'audit doit couvrir l'ensemble du domaine.
Ne pas tester le comportement avant consentement. Le scan doit vérifier quels cookies se déclenchent avant que l'utilisateur ait interagi avec le bandeau. C'est le test le plus important pour la conformité.
Faire un audit unique et ne jamais le renouveler. Les cookies changent à chaque modification du site. Un audit doit être planifié au minimum une fois par trimestre, et après chaque ajout de script tiers.
Ne pas documenter les résultats. L'audit n'a de valeur que s'il est tracé. Conservez un historique daté des scans pour pouvoir démontrer votre démarche de conformité.
De l'audit à la conformité : les étapes suivantes
L'audit produit un inventaire. L'étape suivante est de l'exploiter concrètement.
Mettez à jour votre politique de cookies avec l'inventaire issu du scan. Chaque cookie doit y figurer avec son nom, son éditeur, sa finalité et sa durée de vie.
Configurez votre CMP pour bloquer les scripts non essentiels avant consentement. Vérifiez que les catégories de cookies dans votre CMP correspondent à celles identifiées par l'audit.
Si votre site utilise le Google Consent Mode v2, assurez-vous que les signaux de consentement transmis aux tags Google reflètent correctement les catégories de votre audit.
Supprimez ou remplacez les cookies non essentiels que vous ne pouvez pas justifier. Si un script tiers dépose des cookies dont vous n'avez pas besoin, retirez-le ou remplacez-le par une alternative qui respecte la conformité.
Checklist : auditer les cookies de votre site
- Lancer un scan complet de votre site couvrant toutes les sections principales.
- Vérifier quels cookies se déclenchent avant consentement.
- Classer chaque cookie par catégorie : nécessaire, analytics, publicitaire, réseaux sociaux.
- Identifier les cookies tiers non documentés.
- Vérifier la durée de vie de chaque cookie (max 13 mois recommandé par la CNIL).
- Mettre à jour la politique de cookies avec l'inventaire complet.
- Reconfigurer la CMP pour bloquer les scripts non consentis.
- Supprimer ou remplacer les cookies injustifiés.
- Documenter les résultats du scan avec la date.
- Planifier le prochain audit (au minimum trimestriel).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusion
L'audit de cookies est le point de départ de toute démarche de conformité cookies. Sans inventaire fiable, votre politique de cookies, votre bandeau de consentement et votre configuration CMP reposent sur des hypothèses. Un scan régulier permet de détecter les traceurs non documentés, les cookies qui se déclenchent avant consentement et les écarts entre votre documentation et la réalité.
Lancez un scan gratuit de votre site pour obtenir l'inventaire complet de vos cookies en quelques minutes.
Preguntas frecuentes
¿Qué es una auditoría de cookies?
Una auditoría de cookies es un análisis técnico que identifica todos los rastreadores depositados por su sitio web en el terminal de los visitantes. Recoge las cookies de origen y de terceros, sus finalidades, su duración y los scripts que las activan. Es el primer paso de cualquier proceso de conformidad con las cookies.
¿Con qué frecuencia se deben auditar las cookies de un sitio web?
Una auditoría de cookies debe realizarse como mínimo una vez por trimestre, y después de cada adición o modificación de scripts de terceros en su sitio. Las cookies cambian con cada actualización del sitio, y una única auditoría no es suficiente para garantizar una conformidad continua.
¿Qué herramientas usar para escanear las cookies de un sitio web?
Hay varias herramientas disponibles: las DevTools del navegador para un diagnóstico rápido, extensiones como Cookie Editor para un análisis página a página, y escáneres en línea como el de FlowConsent para una auditoría completa automatizada que cubra todo el sitio.
¿Cómo saber si las cookies se activan antes del consentimiento del visitante?
Un escáner de cookies puede simular una visita sin interacción con el banner de consentimiento y registrar las cookies depositadas desde la carga de la página. Si aparecen cookies analíticas o publicitarias en este escaneo, significa que se activan antes del consentimiento, lo que constituye un incumplimiento.
¿Puede la CNIL sancionar a un sitio que no ha auditado sus cookies?
La CNIL no sanciona la ausencia de auditoría como tal, pero sí las consecuencias de una falta de auditoría: cookies depositadas antes del consentimiento, política de cookies incompleta, discrepancia entre los rastreadores documentados y los realmente presentes. La auditoría es el medio para prevenir estos incumplimientos.
¿Una auditoría de cookies reemplaza a una CMP?
No. La auditoría identifica las cookies presentes en su sitio. La CMP gestiona el consentimiento, bloquea los scripts antes de la aprobación y conserva la prueba de consentimiento. Ambas son complementarias: la auditoría alimenta la configuración de la CMP, y la CMP aplica las reglas derivadas de la auditoría.