Les 4 catégories de cookies RGPD : guide complet
26 mars 2026
TL;DR
Le RGPD et la directive ePrivacy classent les cookies en quatre catégories selon leur finalité : strictement nécessaires, fonctionnels, analytiques (performance) et marketing (publicitaires). Seuls les cookies strictement nécessaires sont exemptés de consentement. Toutes les autres catégories exigent un consentement préalable, libre et éclairé avant leur dépôt sur le terminal de l’utilisateur. Comprendre cette classification est indispensable pour configurer correctement votre bannière cookies et votre CMP.
Les quatre catégories de cookies au sens du RGPD
La réglementation européenne ne définit pas les catégories de cookies de manière rigide, mais la pratique du marché et les recommandations de la CNIL, de l’ICO et des principales CMP ont convergé vers quatre grandes familles. Ces catégories servent à structurer le bandeau cookies et à déterminer quels cookies nécessitent un consentement.
La distinction fondamentale est la suivante : un cookie est soit strictement nécessaire au fonctionnement du site (et dans ce cas il est exempté de consentement), soit il ne l’est pas (et dans ce cas le consentement préalable est obligatoire). Les catégories fonctionnels, analytiques et marketing tombent toutes dans la seconde catégorie.
Cookies strictement nécessaires (essentiels)
Un cookie strictement nécessaire est un cookie sans lequel le site ne peut pas fonctionner correctement. Il est déposé en réponse à une action de l’utilisateur (connexion, ajout au panier, choix de langue) et ne sert qu’à cette finalité précise.
Ces cookies ne nécessitent pas le consentement de l’utilisateur au sens de la directive ePrivacy et de l’article 82 de la loi Informatique et Libertés. Ils sont exemptés parce que leur finalité est strictement limitée au fonctionnement du service demandé par l’utilisateur.
Exemples courants : cookies de session d’authentification, cookies de panier d’achat, cookies de sécurité (CSRF tokens), cookies de répartition de charge (load balancing), cookies qui mémorisent le choix de consentement de l’utilisateur (le cookie de la CMP elle-même).
Un point important : le fait qu’un cookie soit "utile" ou "important" pour le site ne suffit pas à le rendre strictement nécessaire. La CNIL et l’ICO insistent sur cette distinction. Un cookie d’analytics, même s’il est essentiel pour les objectifs business du site, n’est pas strictement nécessaire au fonctionnement du service demandé par l’utilisateur.
Cookies fonctionnels (préférences)
Un cookie fonctionnel stocke des informations déjà fournies par l’utilisateur pour personnaliser son expérience : thème d’affichage (mode sombre/clair), région sélectionnée, identifiants de connexion mémorisés entre les sessions, paramètres de lecteur vidéo, historique de chat en direct.
Ces cookies ne sont pas strictement nécessaires au fonctionnement du site. Le site fonctionne sans eux, mais l’expérience est dégradée. Sous le RGPD et la directive ePrivacy, les cookies fonctionnels nécessitent le consentement de l’utilisateur avant leur dépôt.
La frontière entre "strictement nécessaire" et "fonctionnel" est parfois floue. Une règle simple : si le site peut rendre le service demandé sans ce cookie (même de façon moins confortable), alors le cookie est fonctionnel, pas strictement nécessaire.
Cookies analytiques (performance / statistiques)
Un cookie analytique (ou de performance) collecte des données sur la façon dont les visiteurs utilisent le site : pages consultées, durée de visite, taux de rebond, sources de trafic, messages d’erreur. Ces données sont agrégées et servent à améliorer le fonctionnement et le contenu du site.
L’exemple le plus courant est Google Analytics (cookies _ga, _gid). D’autres outils comme Matomo, Plausible, Piano Analytics ou Adobe Analytics utilisent également des cookies analytiques.
Par défaut, les cookies analytiques nécessitent le consentement de l’utilisateur. La CNIL prévoit toutefois une exception pour les outils de mesure d’audience configurés de façon strictement nécessaire : finalité limitée à la mesure d’audience pour le compte exclusif de l’éditeur, données statistiques anonymes uniquement, pas de recoupement avec d’autres traitements, pas de transmission à des tiers. Google Analytics ne bénéficie pas de cette exemption dans sa configuration standard.
Cookies marketing (publicitaires / ciblage)
Un cookie marketing (ou publicitaire, ou de ciblage) suit l’activité de navigation de l’utilisateur pour lui afficher de la publicité personnalisée. Ces cookies créent un profil de l’utilisateur basé sur ses centres d’intérêt, ses achats, ses recherches, et partagent ces informations avec des réseaux publicitaires.
Exemples courants : Facebook Pixel, Google Ads (cookies de remarketing), DoubleClick, cookies de retargeting, cookies des boutons de partage sur les réseaux sociaux, cookies des plateformes d’affiliation.
Les cookies marketing nécessitent toujours le consentement préalable de l’utilisateur. Il n’y a aucune exception. Ils sont souvent des cookies tiers (déposés par un domaine différent de celui du site visité), ce qui les rend particulièrement sensibles en matière de conformité.
Quel consentement pour quelle catégorie ?
Les cookies strictement nécessaires ne nécessitent pas de consentement, mais l’information de l’utilisateur reste obligatoire. Les cookies fonctionnels nécessitent un consentement préalable. Les cookies analytiques nécessitent un consentement préalable, sauf exception CNIL pour certains outils configurés en mode "strictement nécessaire". Les cookies marketing nécessitent toujours un consentement préalable.
Le consentement doit être libre (pas de cookie wall sauf conditions strictes), spécifique (par catégorie, pas un consentement global), éclairé (l’utilisateur sait ce qu’il accepte) et univoque (une action positive, pas de case pré-cochée). L’utilisateur doit pouvoir refuser aussi facilement qu’accepter, et retirer son consentement à tout moment.
Comment configurer votre CMP par catégorie
Une plateforme de gestion du consentement (CMP) comme FlowConsent présente les catégories de cookies dans le bandeau cookies et permet à l’utilisateur de donner ou refuser son consentement par catégorie.
La configuration type comprend quatre niveaux. Le premier niveau (toujours actif, non désactivable) contient les cookies strictement nécessaires. Le deuxième niveau (désactivé par défaut, consentement requis) contient les cookies fonctionnels. Le troisième niveau (désactivé par défaut, consentement requis) contient les cookies analytiques. Le quatrième niveau (désactivé par défaut, consentement requis) contient les cookies marketing.
Chaque catégorie doit être accompagnée d’une description claire de sa finalité et, idéalement, d’une liste des cookies concernés avec leur durée de vie et leur fournisseur. Le scanner de cookies FlowConsent identifie automatiquement les cookies présents sur votre site et les classe par catégorie.
Erreurs fréquentes de classification
Classer Google Analytics en "strictement nécessaire". Google Analytics dépose des cookies de tracking qui ne sont pas indispensables au fonctionnement du site. Sauf configuration spécifique validée par la CNIL, ces cookies appartiennent à la catégorie analytique et nécessitent un consentement.
Oublier les cookies des widgets tiers. Les boutons de partage social, les lecteurs vidéo intégrés (YouTube, Vimeo), les cartes Google Maps et les outils de chat déposent tous des cookies. Ils doivent être classés dans la catégorie appropriée et bloqués avant consentement.
Considérer les cookies fonctionnels comme "strictement nécessaires". Un cookie qui mémorise le thème d’affichage ou les préférences de navigation est fonctionnel, pas strictement nécessaire. Le site fonctionne sans lui.
Ne pas lister les cookies par catégorie dans la politique de cookies. La politique de cookies doit détailler chaque catégorie avec les cookies associés, leur finalité, leur durée de vie et leur fournisseur.
Pré-cocher les catégories non essentielles. Le consentement doit résulter d’une action positive. Les catégories fonctionnels, analytiques et marketing doivent être désactivées par défaut dans le bandeau cookies.
Comment auditer les cookies de votre site par catégorie
Un audit de cookies commence par un scan complet du site pour identifier tous les cookies et traceurs déposés. Chaque cookie doit ensuite être classé dans l’une des quatre catégories.
Pour chaque cookie identifié, documentez son nom, son domaine (first-party ou third-party), sa durée de vie, sa finalité, et la catégorie à laquelle il appartient. Si vous ne pouvez pas identifier la finalité d’un cookie, il doit être traité comme un cookie marketing (catégorie la plus restrictive) par défaut.
Pensez à vérifier les cookies déposés sur toutes les pages du site, pas seulement la page d’accueil. Certaines pages contiennent des widgets ou des iframes qui déposent des cookies supplémentaires (vidéos YouTube intégrées, formulaires tiers, pixels de conversion).
Checklist : classer et gérer les cookies par catégorie
- Scanner le site pour identifier tous les cookies et traceurs actifs.
- Classer chaque cookie dans l’une des quatre catégories (strictement nécessaire, fonctionnel, analytique, marketing).
- Configurer la CMP pour présenter les catégories séparément dans le bandeau cookies.
- Laisser les cookies strictement nécessaires toujours actifs (non désactivables).
- Désactiver par défaut les cookies fonctionnels, analytiques et marketing.
- Bloquer effectivement les scripts des catégories non consenties (pas seulement masquer le bandeau).
- Détailler chaque catégorie dans la politique de cookies avec les cookies associés.
- Vérifier si vos cookies analytiques sont éligibles à l’exemption CNIL (critères stricts).
- Auditer régulièrement le site pour détecter les nouveaux cookies introduits par des mises à jour ou de nouveaux widgets.
- Tester le refus de chaque catégorie pour vérifier que les cookies correspondants ne sont pas déposés.
Conclusion
La classification des cookies en quatre catégories (strictement nécessaires, fonctionnels, analytiques, marketing) est la base de toute conformité RGPD en matière de cookies. Seuls les cookies strictement nécessaires sont exemptés de consentement. Toutes les autres catégories doivent être bloquées par défaut et activées uniquement après consentement explicite.
Pour identifier et classer les cookies de votre site, lancez un scan gratuit avec FlowConsent.
Questions fréquentes
Quelles catégories de cookies nécessitent un consentement au sens du RGPD ?
Toutes les catégories sauf les cookies strictement nécessaires. Les cookies fonctionnels, analytiques et marketing exigent un consentement préalable, libre, spécifique et éclairé avant leur dépôt sur le terminal de l'utilisateur.
Un cookie de préférence de langue est-il strictement nécessaire ou fonctionnel ?
Cela dépend du site. Si le site ne peut pas afficher de contenu sans connaître la langue de l'utilisateur (pas de version par défaut), le cookie de langue est strictement nécessaire. Si le site fonctionne avec une langue par défaut et que le cookie ne fait que mémoriser une préférence, il est fonctionnel et nécessite un consentement.
Google Analytics est-il exempté de consentement en tant que cookie analytique ?
Non, pas dans sa configuration standard. La CNIL prévoit une exemption pour les outils de mesure d'audience configurés de façon strictement limitée (données anonymes, pas de partage avec des tiers, pas de recoupement). Google Analytics dans sa configuration par défaut ne remplit pas ces critères.
Les boutons de partage social déposent-ils des cookies marketing ?
Oui. Les boutons de partage Facebook, LinkedIn, Twitter/X et autres réseaux sociaux déposent généralement des cookies tiers qui suivent l'activité de navigation de l'utilisateur pour du ciblage publicitaire. Ces cookies appartiennent à la catégorie marketing et nécessitent un consentement.
Peut-on regrouper les cookies fonctionnels et analytiques dans une seule catégorie ?
C'est techniquement possible mais déconseillé. Le RGPD exige un consentement spécifique par finalité. Regrouper des catégories aux finalités différentes réduit la granularité du choix de l'utilisateur et peut être considéré comme non conforme par les autorités de protection des données.
Comment savoir si un cookie est strictement nécessaire ou non ?
Posez-vous la question : le site peut-il rendre le service demandé par l'utilisateur sans ce cookie ? Si oui, le cookie n'est pas strictement nécessaire. Un cookie d'analytics, un cookie de personnalisation ou un cookie publicitaire n'est jamais strictement nécessaire, même s'il est important pour votre activité.
Articles recommandes
YouTube nocookie : intégrer des vidéos sans cookies sur votre site
25 mars 2026
YouTube-nocookie.com ne suffit pas pour la conformité RGPD. Local storage, cookies au clic play : voici comment intégrer des vidéos YouTube correctement.
Lire l'articleBannière cookies sur Webflow sans Analytics : obligatoire ?
19 mars 2026
Un site Webflow sans Google Analytics a-t-il besoin d'une bannière cookies ? Pas toujours. Voici les critères d'exemption CNIL et les cas où c'est obligatoire.
Lire l'articleGoogle Fonts sur Webflow : le risque RGPD à corriger
18 mars 2026
Les Google Fonts chargées depuis les serveurs Google transmettent l'adresse IP de vos visiteurs sans consentement. Voici comment corriger ce problème sur Webflow.
Lire l'article