TL;DR — Un audit de cookies consiste à identifier, classer et documenter tous les cookies actifs d'un site web. Il est indispensable avant de configurer ou mettre à jour une CMP, et doit être répété régulièrement. La méthode complète comprend : un scan technique multi-pages, la classification de chaque cookie par catégorie RGPD, la vérification du comportement avant consentement et la production d'un rapport.
La conformité RGPD en matière de cookies commence par une seule question : quels cookies mon site dépose-t-il réellement ? Sans réponse précise, il est impossible de configurer correctement un bandeau, de rédiger une politique de cookies exacte ou de prouver la conformité lors d'un contrôle. L'audit de cookies est le point de départ obligatoire.
Qu’est-ce qu’un audit de cookies ?
Un audit de cookies est l’inventaire exhaustif de tous les cookies déposés par un site web dans le navigateur du visiteur. Il comprend les cookies first-party (émis par le domaine propre du site) et les cookies third-party (émis par des services tiers intégrés comme Google Analytics, Meta Pixel, outils de chat, etc.).
Pourquoi réaliser un audit de cookies ?
Situations déclenchant un audit obligatoire : avant de configurer ou remplacer une CMP, après l’installation d’un nouveau plugin, app ou script tiers, lors d’un changement de thème ou de plateforme, lors d’une refonte du site et régulièrement (recommandé : tous les 3 à 6 mois pour les sites actifs).
Comment réaliser un audit de cookies : la méthode complète
Étape 1 — Préparer un environnement de test propre
L’audit doit être effectué dans un environnement sans cookies : utilisez une session de navigation privée ou un profil de navigateur dédié sans cookies préalables. Cela simule l’expérience d’un visiteur arrivant pour la première fois sur le site.
Étape 2 — Scanner les pages clés
Toutes les pages ne déposent pas les mêmes cookies. Scannez systématiquement : la page d’accueil, 2 à 3 pages de contenu ou de catégorie, une page produit ou service, la page de contact ou formulaire et la page de paiement ou panier. Utilisez le scanner FlowConsent (/fr/scan) pour une analyse automatisée, ou les DevTools Chrome (onglet Application > Cookies) pour une analyse manuelle.
Étape 3 — Documenter chaque cookie
Pour chaque cookie identifié, enregistrez : le nom du cookie, le domaine émetteur (first-party ou third-party), la durée de conservation (session, 1 jour, 1 an, etc.), la finalité (fonctionnel, analytique, publicitaire, personnalisation) et le service auquel il appartient.
Étape 4 — Classifier selon le RGPD
La classification détermine si le consentement est requis. Catégories : Fonctionnel/essentiel — strictement nécessaire au fonctionnement : exempté de consentement. Analytique — mesure d’audience (GA4, Matomo, Hotjar) : consentement requis. Publicitaire/marketing — ciblage et reciblage (Meta Pixel, Google Ads, TikTok) : consentement requis. Personnalisation — adaptation du contenu aux préférences : consentement requis.
Étape 5 — Vérifier le comportement avant consentement
L’étape la plus critique : ouvrez le site en navigation privée et observez dans les DevTools (onglet Réseau) si des cookies non fonctionnels sont déposés avant toute interaction avec le bandeau. Si oui, le blocage des scripts n’est pas effectif. C’est une non-conformité directe.
Étape 6 — Produire le rapport d’audit
Le rapport d’audit doit contenir : la date de l’audit, la liste des pages scannées, le tableau des cookies (nom, domaine, durée, catégorie, service, consentement requis), les non-conformités identifiées (cookies chargés avant consentement, cookies non listés dans la politique) et les actions correctives recommandées.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes lors des audits de cookies
Erreur 1 : n’auditer que la page d’accueil. Des cookies spécifiques n’apparaissent que sur certaines pages (page produit, paiement). Un audit limité à la page d’accueil manque une grande proportion de traceurs.
Erreur 2 : auditer avec une session déjà cookée. Utilisez toujours le mode navigation privée.
Erreur 3 : confondre cookies first-party et third-party. Un cookie first-party peut être déposé par un script tiers.
Erreur 4 : ne pas re-auditer après les mises à jour. Une mise à jour de plugin peut ajouter de nouveaux cookies sans préavis.
Erreur 5 : ne pas tester le comportement après refus. Vérifiez également que les cookies non essentiels ne se rechargent pas après un refus.
Liste de vérification de l’audit de cookies
- Préparer un environnement propre : navigation privée ou profil dédié sans cookies.
- Lister les pages à auditer : accueil, contenu, produit, formulaire, paiement.
- Scanner chaque page avec un outil dédié ou les DevTools.
- Documenter chaque cookie : nom, domaine, durée, catégorie, service.
- Classifier selon le RGPD : fonctionnel (exempté) ou soumis à consentement.
- Vérifier dans les DevTools (onglet Réseau) qu’aucun cookie non essentiel n’est déposé avant le consentement.
- Tester le comportement après refus : les cookies non essentiels ne doivent pas réapparaître.
- Comparer avec la politique de cookies existante : tous les cookies actifs sont-ils listés ?
- Identifier les non-conformités et produire le rapport d’audit.
- Planifier le prochain audit (3 à 6 mois, ou après toute modification du site).
Un audit de cookies prend entre 30 minutes et quelques heures selon la taille du site. C’est l’investissement le plus utile pour une conformité RGPD solide : il révèle exactement ce qui se passe, avant et après le consentement, et permet une configuration correcte de la CMP. Démarrez l’audit de votre site sur /fr/scan.