Est-ce que la politique de cookies est obligatoire même si mon site n'utilise que des cookies strictement nécessaires ?

Oui. Les cookies strictement nécessaires sont exemptés de consentement, mais pas d'information. Le RGPD impose de communiquer de façon transparente sur tout traitement de données personnelles. Même un site qui ne dépose que des cookies de session ou d'authentification doit informer ses visiteurs de leur existence, de leur finalité et de leur durée de vie.

Combien de temps les cookies peuvent-ils rester sur le terminal d'un visiteur ?

La CNIL recommande une durée maximale de 13 mois pour les cookies. Au-delà de cette durée, le consentement doit être recueilli à nouveau. Les cookies de session, eux, sont supprimés automatiquement à la fermeture du navigateur. Chaque cookie listé dans votre politique doit mentionner sa durée de vie effective.

Dois-je lister individuellement chaque cookie dans ma politique ?

La directive ePrivacy n'exige pas une liste cookie par cookie, mais impose de décrire les types de traceurs, leur usage et leur finalité. En pratique, la CNIL recommande un niveau de détail suffisant pour que le visiteur comprenne précisément quels traceurs sont déposés et par qui. Un tableau par catégorie avec le nom, l'éditeur, la finalité et la durée de chaque cookie est la bonne pratique.

Comment savoir quels cookies mon site dépose réellement ?

Un scanner de cookies analyse les pages de votre site et identifie tous les traceurs déposés lors de la navigation, y compris ceux injectés par des scripts tiers. Ce scan révèle souvent des cookies non documentés provenant de widgets, de lecteurs vidéo ou de pixels publicitaires. FlowConsent propose un scanner gratuit pour effectuer cet audit.

Ma CMP remplace-t-elle la politique de cookies ?

Non. La CMP et la politique de cookies sont complémentaires. La CMP gère le consentement (affichage du bandeau, blocage des scripts, conservation de la preuve). La politique de cookies fournit l'information détaillée. La CMP peut alimenter le contenu de votre politique (inventaire des cookies, catégorisation), mais le document informatif reste nécessaire.

Politique de cookies : contenu, obligations et modèle RGPD

Q: Quelle est la différence entre une politique de cookies et une politique de confidentialité ?

La politique de confidentialité couvre l'ensemble des traitements de données personnelles d'une organisation (formulaires, comptes utilisateurs, données RH, etc.). La politique de cookies se concentre exclusivement sur les traceurs déposés ou lus sur le terminal du visiteur lors de sa navigation. Les deux documents répondent à des obligations distinctes et il est recommandé de les séparer pour faciliter l'accès à l'information.

TL;DR

Une politique de cookies est un document distinct de votre politique de confidentialité. Elle détaille les traceurs utilisés sur votre site, leur finalité, leur durée de vie et les moyens offerts aux visiteurs pour les refuser ou les supprimer. La CNIL considère cette politique comme le "niveau 2" d'information, complémentaire au bandeau de consentement qui constitue le niveau 1. Sans politique de cookies accessible et complète, votre bandeau ne suffit pas à démontrer la conformité de votre site.

Qu'est-ce qu'une politique de cookies ?

Une politique de cookies est une page dédiée de votre site web qui informe les visiteurs sur l'ensemble des cookies et traceurs que votre site dépose ou lit sur leur terminal. Elle complète le bandeau de consentement en fournissant une information détaillée que le bandeau, par nature synthétique, ne peut pas contenir.

La CNIL distingue deux niveaux d'information obligatoires. Le niveau 1 correspond au bandeau de consentement affiché à l'arrivée du visiteur. Il présente de façon synthétique les grandes catégories de finalités. Le niveau 2, c'est la politique de cookies elle-même : un document complet, accessible à tout moment, qui détaille chaque traceur, chaque finalité, chaque responsable de traitement et les droits de l'utilisateur.

Ce document n'est pas facultatif. Tout site qui dépose des cookies, y compris des cookies exemptés de consentement, doit informer ses visiteurs de leur existence et de leur fonctionnement.

Quelle est la différence entre politique de cookies et politique de confidentialité ?

Les deux documents traitent de la protection des données personnelles, mais ils ne couvrent pas le même périmètre.

La politique de confidentialité (ou politique de protection des données) couvre l'ensemble des traitements de données personnelles effectués par votre organisation : formulaires de contact, gestion de comptes utilisateurs, newsletters, données RH, sous-traitants, transferts hors UE, etc. Elle découle principalement des articles 13 et 14 du RGPD.

La politique de cookies se concentre exclusivement sur les traceurs déposés ou lus sur le terminal de l'utilisateur lors de sa navigation sur votre site. Elle découle à la fois du RGPD et de la directive ePrivacy (transposée en France dans l'article 82 de la loi Informatique et Libertés).

Certains sites fusionnent les deux documents. La CNIL ne l'interdit pas explicitement, mais la recommandation est de les séparer pour faciliter l'accès et la compréhension. Un visiteur qui cherche à comprendre quels cookies sont déposés sur son terminal ne devrait pas avoir à parcourir dix paragraphes sur vos traitements RH pour trouver l'information.

La politique de cookies est-elle obligatoire ?

Oui. Dès qu'un site web utilise des cookies ou des traceurs, il doit informer ses visiteurs de leur existence, de leur finalité et des moyens de les refuser. Cette obligation s'applique même pour les cookies exemptés de consentement (cookies strictement nécessaires, mesure d'audience sous conditions).

L'obligation découle de deux textes complémentaires. L'article 82 de la loi Informatique et Libertés impose l'information et le consentement préalable pour tout accès ou inscription d'information sur le terminal de l'utilisateur. Le RGPD (articles 12, 13 et 14) impose une information transparente, claire et accessible sur tout traitement de données personnelles, ce qui inclut les données collectées via les cookies.

En pratique, un site sans politique de cookies accessible ne peut pas démontrer qu'il respecte son obligation d'information, même si son bandeau de consentement est correctement configuré.

Que doit contenir une politique de cookies conforme ?

Le contenu d'une politique de cookies conforme doit couvrir sept éléments essentiels.

L'identité du responsable de traitement

Le visiteur doit savoir qui est responsable des cookies déposés sur le site. Indiquez le nom de l'entreprise, son adresse, et les coordonnées du DPO (délégué à la protection des données) si vous en avez désigné un. Si des tiers déposent des cookies sur votre site (régies publicitaires, réseaux sociaux, outils analytics tiers), ils doivent également être identifiés.

La liste des cookies utilisés et leurs finalités

Chaque cookie ou catégorie de cookies doit être décrit avec sa finalité précise. Indiquez au minimum le nom du cookie, l'éditeur (first-party ou tiers), la finalité (analytics, publicité, personnalisation, fonctionnel), et la durée de conservation. La CNIL recommande que la durée de vie d'un cookie ne dépasse pas 13 mois.

Pour organiser cette information, un tableau structuré par catégorie est la méthode la plus lisible.

La distinction entre cookies exemptés et cookies soumis au consentement

Expliquez clairement quels cookies sont déposés sans consentement (cookies strictement nécessaires au fonctionnement du site) et lesquels nécessitent un accord préalable (analytics, publicité, réseaux sociaux). Cette distinction est fondamentale car elle détermine le comportement de votre bannière de consentement.

Les cookies exemptés de consentement incluent, selon les lignes directrices de la CNIL : les traceurs de choix de consentement, les traceurs d'authentification, les traceurs de panier d'achat, les traceurs de personnalisation d'interface (langue, présentation) et les traceurs de mesure d'audience sous certaines conditions strictes.

Les modalités de consentement et de refus

Décrivez comment le visiteur peut accepter ou refuser les cookies, et comment il peut modifier son choix à tout moment. Indiquez que le refus est aussi simple que l'acceptation (exigence CNIL). Mentionnez le mécanisme de gestion des cookies accessible en permanence sur votre site (lien en footer, bouton de paramétrage).

Les droits des utilisateurs

Rappelez les droits prévus par le RGPD : droit d'accès, droit de rectification, droit d'effacement, droit d'opposition, droit à la portabilité. Indiquez comment les exercer (adresse email du DPO, formulaire de contact) et mentionnez le droit de réclamation auprès de la CNIL.

La base juridique des traitements

Pour les cookies exemptés : intérêt légitime ou nécessité technique. Pour les cookies soumis au consentement : le consentement lui-même, tel que défini aux articles 4(11) et 7 du RGPD.

La procédure de suppression des cookies via le navigateur

Expliquez brièvement que l'utilisateur peut aussi gérer les cookies directement depuis les paramètres de son navigateur, et fournissez les liens vers les pages d'aide des navigateurs principaux (Chrome, Firefox, Safari, Edge).

Comment structurer votre politique de cookies ?

La structure la plus efficace combine des paragraphes explicatifs courts et un tableau récapitulatif des cookies.

Commencez par une introduction de 2 à 3 phrases qui explique ce que sont les cookies et pourquoi votre site en utilise. Enchainez avec une section qui distingue les catégories de cookies (strictement nécessaires, analytiques, publicitaires, réseaux sociaux). Intégrez ensuite un tableau détaillé.

Le tableau doit contenir au minimum quatre colonnes : nom du cookie, éditeur/fournisseur, finalité et durée de vie. Ce format permet aux visiteurs de scanner rapidement l'information, et il est bien interprété par les moteurs de recherche et les crawlers d'IA.

Ce tableau doit être maintenu à jour. À chaque ajout ou suppression de service tiers sur votre site, la politique de cookies doit être actualisée. Un scan régulier de votre site permet de détecter les cookies réellement déposés et de vérifier que votre politique reflète la réalité.

Où placer la politique de cookies sur votre site ?

La politique de cookies doit être accessible depuis au moins deux endroits : le bandeau de consentement (un lien "En savoir plus" ou "Politique de cookies") et le footer de votre site (lien permanent visible sur toutes les pages).

La CNIL insiste sur le fait que l'utilisateur doit pouvoir retrouver cette information à tout moment, pas uniquement lors de l'affichage initial du bandeau. Un lien en footer est le standard du marché, mais vous pouvez également l'intégrer dans un centre de préférences accessible via un bouton flottant ou un lien de gestion des cookies.

Ne confondez pas la page "politique de cookies" avec le centre de préférences cookies. Le centre de préférences est l'interface interactive qui permet au visiteur de modifier ses choix (activer/désactiver des catégories). La politique de cookies est un document informatif. Les deux sont complémentaires.

Erreurs fréquentes dans les politiques de cookies

Fusionner politique de cookies et politique de confidentialité sans distinction claire. Le visiteur ne retrouve pas l'information sur les traceurs. Séparez les deux documents, ou créez au minimum une section dédiée clairement identifiable.

Ne pas lister les cookies tiers. Beaucoup de sites ne mentionnent que leurs propres cookies et oublient les traceurs déposés par Google Analytics, Facebook Pixel, les widgets de chat ou les lecteurs vidéo embarqués. Vous êtes coresponsable de l'information sur ces traceurs.

Copier-coller un modèle générique sans l'adapter. Un modèle peut servir de point de départ, mais il doit refléter les cookies réellement présents sur votre site. Un document qui liste des cookies que vous n'utilisez pas, ou qui en omet d'autres, ne démontre pas la conformité.

Ne pas mettre à jour la politique après l'ajout d'un nouveau service. L'ajout d'un outil de chat, d'un pixel de conversion ou d'une vidéo YouTube embarquée modifie les cookies déposés. La politique doit être actualisée en conséquence.

Omettre la durée de conservation des cookies. La CNIL recommande une durée maximale de 13 mois pour les cookies. Cette information doit figurer dans votre politique, cookie par cookie ou par catégorie.

Ne pas mentionner le droit de retrait du consentement. Le RGPD exige que le retrait du consentement soit aussi simple que son octroi. Votre politique doit expliquer comment le visiteur peut changer d'avis.

Le rôle de la CMP dans la gestion de votre politique de cookies

Une CMP (consent management platform, ou plateforme de gestion du consentement) facilite la mise en conformité de votre politique de cookies de plusieurs façons.

Le scan automatique des cookies identifie les traceurs réellement présents sur votre site, y compris ceux déposés par des scripts tiers que vous n'avez pas toujours identifiés manuellement. Ce scan produit un inventaire que vous pouvez reprendre directement dans votre politique.

La CMP gère le consentement de façon dynamique : elle bloque les scripts non consentis, enregistre les choix des visiteurs et conserve la preuve de consentement. Elle complète votre politique de cookies en assurant que les règles décrites dans le document sont effectivement appliquées.

Certaines CMP, dont FlowConsent, permettent de générer et maintenir automatiquement le tableau des cookies à intégrer dans votre politique. Cela évite les décalages entre les cookies réellement présents et ceux documentés.

Si votre site utilise le Google Consent Mode v2, votre CMP doit aussi gérer la transmission des signaux de consentement aux tags Google, un point qui peut être mentionné dans votre politique pour les visiteurs les plus avertis.

Checklist : rédiger votre politique de cookies

Créer une page dédiée, distincte de la politique de confidentialité.
Identifier le responsable de traitement et les coordonnées du DPO.
Lancer un scan de votre site pour inventorier tous les cookies réellement déposés.
Classer les cookies par catégorie : strictement nécessaires, analytiques, publicitaires, réseaux sociaux.
Pour chaque cookie, documenter le nom, l'éditeur, la finalité et la durée de vie.
Distinguer clairement les cookies exemptés de consentement et ceux qui le nécessitent.
Expliquer les modalités de consentement, de refus et de retrait.
Lister les droits des utilisateurs (accès, rectification, effacement, opposition, portabilité).
Indiquer la base juridique pour chaque catégorie de cookies.
Ajouter les liens vers les pages de gestion des cookies des navigateurs principaux.
Rendre la politique accessible depuis le bandeau de consentement et le footer.
Planifier une révision de la politique à chaque modification des services tiers sur le site.

Conclusion

La politique de cookies est un document obligatoire, distinct de la politique de confidentialité, qui détaille les traceurs présents sur votre site et les droits de vos visiteurs. Sa rédaction n'est pas complexe si vous disposez d'un inventaire complet de vos cookies, d'une structure claire et d'un processus de mise à jour régulier.

Le point de départ le plus efficace est de scanner votre site pour identifier tous les traceurs réellement déposés, puis de structurer l'information dans un tableau par catégorie. Une CMP comme FlowConsent automatise une partie de ce travail en maintenant l'inventaire à jour et en assurant que les règles décrites dans votre politique sont effectivement appliquées.

Lancez un scan gratuit de votre site pour obtenir l'inventaire complet de vos cookies et commencer à rédiger votre politique.