Bannière cookies sur Webflow sans Analytics : obligatoire ?

TL;DR

Un site Webflow qui n'utilise aucun script tiers (pas de Google Analytics, pas de Meta Pixel, pas de Hotjar, pas de chat en ligne) et qui se limite aux cookies strictement nécessaires au fonctionnement du site n'a pas besoin d'une bannière de consentement cookies au sens de la directive ePrivacy et de l'article 82 de la loi Informatique et Libertés. En revanche, dès qu'un seul script tiers non essentiel est ajouté (dans le custom code, via un embed, ou via une intégration), le consentement devient obligatoire. La plupart des sites Webflow en production utilisent au moins un traceur tiers, ce qui rend la bannière nécessaire dans la grande majorité des cas.

Quels cookies sont exemptés de consentement selon la CNIL ?

L'article 82 de la loi Informatique et Libertés (transposant l'article 5.3 de la directive ePrivacy) prévoit deux catégories de traceurs exemptés de consentement : les traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur, et les traceurs ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique.

Concrètement, cela couvre les cookies de session (authentification, panier d'achat), les cookies de préférences techniques (choix de langue, affichage), les cookies de load balancing, et les cookies de sécurité (CSRF, limitation de débit).

La CNIL considère également que certains cookies de mesure d'audience peuvent être exemptés, à condition qu'ils soient strictement limités à la mesure d'audience pour le compte exclusif de l'éditeur, qu'ils ne permettent pas le suivi cross-site, et que les données produites soient anonymes. Google Analytics ne remplit pas ces conditions dans sa configuration standard. Pour un rappel des types de cookies, consultez notre article sur les cookies : définition, types et fonctionnement.

Ce que Webflow dépose par défaut

Un site Webflow basique, sans aucun script custom, utilise principalement des cookies techniques liés à l'hébergement (session, préférences d'affichage). Ces cookies sont strictement nécessaires au fonctionnement du site et sont exemptés de consentement.

Cependant, attention : si votre site Webflow utilise des Google Fonts via l'intégration native (et non en auto-hébergement), il transmet les adresses IP des visiteurs aux serveurs de Google. Ce n'est pas un cookie, mais c'est un transfert de données personnelles qui pose un problème RGPD distinct.

Dans quels cas une bannière cookies est-elle obligatoire sur un site Webflow ?

La bannière devient obligatoire dès qu'un seul traceur non exempt est présent sur le site. Voici les déclencheurs les plus courants sur les sites Webflow.

Google Analytics (GA4)

GA4 dépose des cookies de suivi (_ga, _ga_*) qui ne sont pas strictement nécessaires au fonctionnement du site. Le consentement est obligatoire. Même si Google a fait certifier GA4 sous le EU-US Data Privacy Framework, les cookies eux-mêmes restent soumis à la directive ePrivacy. Pour en savoir plus, consultez notre article Google Analytics est-il conforme au RGPD ?

Meta Pixel (Facebook)

Le Meta Pixel dépose des cookies tiers pour le suivi publicitaire cross-site. Le consentement est obligatoire, sans exception.

Hotjar, Microsoft Clarity, FullStory

Ces outils de heatmap et d'enregistrement de sessions déposent des cookies non essentiels. Le consentement est obligatoire.

Outils de chat en ligne (Intercom, Crisp, HubSpot)

La plupart des widgets de chat déposent des cookies de suivi et d'identification. Certains déposent des cookies dès le chargement du script, avant même que l'utilisateur interagisse. Le consentement est généralement obligatoire, sauf si le fournisseur garantit que seuls des cookies strictement nécessaires sont utilisés.

Embeds et iframes

Les vidéos YouTube intégrées, les cartes Google Maps, les formulaires tiers : chaque embed peut déclencher le dépôt de cookies par le service tiers. Un simple embed YouTube non configuré en mode "privacy-enhanced" dépose des cookies publicitaires Google.

Google Fonts via l'API (rappel)

Comme expliqué dans notre article sur Google Fonts et le RGPD sur Webflow, le chargement externe des polices ne dépose pas de cookie mais transmet l'adresse IP. Ce transfert n'est pas couvert par la bannière cookies et nécessite une correction technique distincte (auto-hébergement).

Bannière requise selon le type de site Webflow

La nécessité d'une bannière dépend des scripts et services intégrés à votre site, pas du type de site en soi. Un site vitrine minimal sans aucun script tiers et avec des polices auto-hébergées n'a pas besoin de bannière. Un site vitrine avec GA4 en a besoin. Un site e-commerce, un blog ou un site SaaS utilisent presque toujours au moins un traceur non exempt, ce qui rend la bannière obligatoire.

Pour les embeds YouTube, une alternative existe : utiliser le domaine youtube-nocookie.com, qui réduit significativement les cookies déposés. Vérifiez tout de même avec un audit si des traceurs subsistent après ce changement.

Comment savoir exactement quels traceurs sont présents sur votre site ?

La meilleure approche est de scanner votre site avec un outil d'audit de cookies. Un scan de cookies identifie automatiquement tous les cookies et traceurs déposés par votre site, y compris ceux injectés par des services tiers que vous n'avez peut-être pas identifiés.

Méthode manuelle

Si vous préférez vérifier manuellement : ouvrez votre site dans un navigateur en mode navigation privée, ouvrez les outils de développement (F12), allez dans l'onglet "Application" (Chrome) ou "Stockage" (Firefox), puis consultez la section "Cookies". Vous verrez la liste de tous les cookies déposés par domaine.

Vérifiez également l'onglet "Network" pour identifier les requêtes vers des domaines tiers (google-analytics.com, facebook.net, hotjar.com, etc.).

Attention aux scripts ajoutés par d'autres personnes

Sur les sites gérés par plusieurs personnes (agence, client, développeur), des scripts sont parfois ajoutés dans le custom code sans informer l'équipe conformité. Un audit régulier est nécessaire pour détecter les changements.

Erreurs fréquentes (et comment les éviter)

Croire qu'un site "simple" n'a pas de traceurs. Un site vitrine Webflow peut sembler minimal, mais un seul embed YouTube, un formulaire Typeform ou un pixel marketing ajouté dans le custom code suffit à rendre la bannière obligatoire.

Confondre "pas de Google Analytics" avec "pas de traceurs". GA4 n'est qu'un traceur parmi d'autres. Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, widgets de chat, outils de heatmap : chacun dépose ses propres cookies.

Ignorer les cookies déposés par les embeds. Une vidéo YouTube intégrée via <iframe> standard dépose des cookies publicitaires Google. La solution : utiliser le domaine youtube-nocookie.com pour les embeds.

Penser que Webflow gère la conformité automatiquement. Webflow fournit une plateforme d'hébergement et un Designer, mais ne propose pas de gestion native du consentement cookies. La conformité est de la responsabilité de l'éditeur du site.

Ne pas mettre à jour son audit après chaque modification. Chaque ajout de script, d'intégration ou d'embed peut modifier la liste des traceurs. L'audit de cookies doit être refait après chaque changement significatif.

Checklist : votre site Webflow a-t-il besoin d'une bannière cookies ?

1. Lister tous les scripts présents dans le custom code du site (Site Settings et Page Settings).
2. Identifier les embeds et iframes sur chaque page (YouTube, Google Maps, formulaires tiers).
3. Vérifier si des Google Fonts sont chargées via l'API Google (problème distinct mais lié).
4. Scanner le site avec un outil d'audit de cookies pour détecter les traceurs invisibles.
5. Comparer la liste des traceurs trouvés avec les exemptions de l'article 82 de la loi Informatique et Libertés.
6. Si au moins un traceur non exempt est présent : mettre en place une bannière de consentement conforme.
7. Si aucun traceur non exempt n'est présent : documenter cette analyse et informer les visiteurs via la politique de confidentialité.
8. Mettre en place un processus de scan régulier pour détecter les ajouts de traceurs après chaque mise à jour du site.

FAQ

Un site Webflow sans aucun script tiers a-t-il besoin d'une bannière cookies ?

Si votre site Webflow n'utilise aucun script tiers (pas d'analytics, pas de pixel marketing, pas de chat, pas d'embed), que les polices sont auto-hébergées, et que les seuls cookies déposés sont strictement nécessaires au fonctionnement du site, alors la bannière de consentement n'est pas obligatoire. Vous devez cependant informer les visiteurs de l'existence de ces cookies techniques dans votre politique de confidentialité.

Est-ce que Webflow dépose des cookies tiers par défaut ?

Webflow lui-même dépose principalement des cookies techniques (session, préférences). Cependant, l'intégration Google Fonts via l'API Google transmet l'adresse IP aux serveurs Google, ce qui constitue un transfert de données personnelles distinct. Par ailleurs, tout script ajouté dans le custom code par l'éditeur du site peut introduire des cookies tiers.

Google Analytics 4 est-il exempt de consentement depuis le EU-US Data Privacy Framework ?

Non. Le Data Privacy Framework concerne les transferts de données vers les États-Unis, pas le consentement pour le dépôt de cookies. Les cookies GA4 (_ga, _ga_*) ne sont pas strictement nécessaires au fonctionnement du site. Le consentement reste obligatoire au titre de la directive ePrivacy et de l'article 82 de la loi Informatique et Libertés.

Existe-t-il des outils d'analytics exemptés de consentement selon la CNIL ?

Oui. La CNIL a évalué certaines solutions de mesure d'audience qui, dans une configuration spécifique, peuvent être exemptées de consentement. C'est le cas notamment de Matomo (dans une configuration restreinte) et d'AT Internet (Piano Analytics). Les conditions sont strictes : les données doivent être anonymisées, limitées au seul éditeur, et sans suivi cross-site.

Dois-je mettre un bandeau cookies si j'utilise uniquement YouTube sur mon site Webflow ?

Oui, dans la plupart des cas. Un embed YouTube standard dépose des cookies publicitaires Google. L'alternative est d'utiliser le domaine youtube-nocookie.com pour vos embeds, ce qui réduit significativement les cookies déposés. Dans ce cas, vérifiez tout de même avec un audit si des traceurs subsistent.

À quelle fréquence dois-je auditer les cookies de mon site Webflow ?

Un audit est recommandé après chaque modification significative du site (ajout d'un script, d'un embed, d'une intégration), et au minimum une fois par trimestre. Les services tiers peuvent modifier leurs pratiques de cookies sans préavis, ce qui peut affecter la conformité de votre site.

Conclusion

La question "faut-il un bandeau cookies sur mon site Webflow ?" dépend entièrement des scripts et services intégrés, pas du type de site. Un site Webflow strictement statique, sans aucun traceur tiers et avec des polices auto-hébergées, peut se passer de bannière. Mais ce cas est rare en pratique. Pour savoir exactement où en est votre site, le moyen le plus fiable est de lancer un scan gratuit avec FlowConsent, qui identifie tous les traceurs en quelques secondes.