FlowConsent

Cookies : définition, types et fonctionnement

4 mars 2026 · FlowConsent

TL;DR

Un cookie est un petit fichier texte qu'un site web dépose sur le navigateur d'un visiteur pour stocker une information entre deux requêtes. Il existe plusieurs types de cookies : first-party (déposés par le site visité) et third-party (déposés par un domaine tiers), session (supprimés à la fermeture du navigateur) et persistants (conservés pendant une durée définie). Certains sont essentiels au fonctionnement du site, d'autres servent à l'analytics ou à la publicité ciblée. Comprendre ces distinctions est indispensable pour configurer correctement votre bannière de consentement et respecter le RGPD.

Qu'est-ce qu'un cookie (en termes simples)

Un cookie informatique est un petit fichier texte envoyé par un serveur web et stocké sur l'appareil de l'utilisateur (ordinateur, téléphone, tablette) via son navigateur. Quand l'utilisateur revient sur le même site, le navigateur renvoie automatiquement le cookie au serveur, ce qui permet au site de "se souvenir" d'informations : langue préférée, contenu du panier, session de connexion, identifiant de suivi.

Le terme a été inventé en 1994 par Lou Montulli, développeur chez Netscape, par analogie avec le concept de "magic cookie" utilisé en programmation Unix. Depuis, les cookies sont devenus le mécanisme standard pour maintenir un état entre un navigateur et un serveur web, car le protocole HTTP est par nature sans état (stateless).

Un cookie contient généralement un nom, une valeur, un domaine associé, un chemin, une date d'expiration et des attributs de sécurité (Secure, HttpOnly, SameSite). Il ne contient pas de code exécutable et ne peut pas installer de logiciel malveillant par lui-même.

Les types de cookies

First-party vs third-party

Un cookie first-party est déposé par le domaine du site que vous visitez directement. Si vous êtes sur example.com, un cookie créé par example.com est un cookie first-party. Ces cookies servent principalement au fonctionnement du site : mémoriser vos préférences, maintenir votre session de connexion, stocker le contenu de votre panier. Ils ne sont accessibles que par le site qui les a créés.

Un cookie third-party (tiers) est déposé par un domaine différent de celui du site visité. Si vous êtes sur example.com mais qu'un script chargé depuis ad-network.com dépose un cookie, c'est un cookie third-party. Ces cookies sont principalement utilisés pour le suivi publicitaire inter-sites, le retargeting et les services embarqués (boutons de partage social, vidéos YouTube, widgets de chat). Ce sont les cookies les plus surveillés par les régulateurs et les navigateurs.

Safari et Firefox bloquent déjà les cookies third-party par défaut. Google Chrome a annoncé puis abandonné leur suppression totale, optant finalement pour laisser le choix à l'utilisateur.

Session vs persistant

Un cookie de session est temporaire. Il est créé quand vous ouvrez un site et supprimé automatiquement quand vous fermez votre navigateur. Il n'a pas de date d'expiration explicite. Les cookies de session servent typiquement à maintenir votre connexion pendant la navigation ou à garder le contenu de votre panier le temps de votre visite.

Un cookie persistant reste sur votre appareil après la fermeture du navigateur, pendant une durée définie (de quelques minutes à plusieurs années selon la configuration). Il est utilisé pour se souvenir de vos préférences de langue, de votre état de connexion ou pour construire un profil de navigation au fil du temps. Les cookies persistants utilisés à des fins de suivi ou de publicité nécessitent un consentement explicite dans le cadre du RGPD et de la directive ePrivacy.

Par finalité : essentiels, analytics, publicitaires, fonctionnels

Les cookies essentiels (ou strictement nécessaires) sont indispensables au fonctionnement du site : authentification, sécurité, panier d'achat, préférences de consentement. Ils ne nécessitent pas de consentement préalable.

Les cookies analytics (ou de mesure d'audience) servent à comprendre comment les visiteurs utilisent le site : pages vues, durée de visite, taux de rebond. Google Analytics, Matomo et Plausible en sont des exemples. Sauf exemption spécifique (configuration restreinte, pas de croisement de données, pas de transfert à des tiers), ces cookies nécessitent un consentement.

Les cookies publicitaires (ou de ciblage) permettent de suivre l'utilisateur sur plusieurs sites pour construire un profil publicitaire et afficher des annonces personnalisées. Meta Pixel, Google Ads, TikTok Pixel en sont des exemples courants. Ils nécessitent toujours un consentement explicite.

Les cookies fonctionnels servent à personnaliser l'expérience (langue, région, thème visuel) sans être strictement nécessaires au fonctionnement du site. Leur statut dépend du contexte : s'ils sont liés à un choix explicite de l'utilisateur et ne transmettent pas de données à des tiers, ils peuvent être considérés comme essentiels.

Ce que ça change pour la conformité

La directive ePrivacy et le RGPD imposent un consentement préalable pour tout dépôt de cookie non essentiel. Cela signifie que vos cookies analytics, publicitaires et la plupart des cookies fonctionnels ne peuvent être déposés qu'après un acte positif clair de l'utilisateur via votre bandeau cookies.

La classification de vos cookies par type et par finalité est la base de la configuration de votre CMP. Si vous ne savez pas quels cookies sont présents sur votre site, commencez par un scan de vos cookies pour obtenir un inventaire complet. Chaque catégorie devra correspondre à un choix dans votre bannière.

Si vous utilisez Google Analytics ou Google Ads, la transmission des signaux de consentement passe par le Google Consent Mode v2, qui ajuste le comportement des tags Google selon le choix de l'utilisateur.

Erreurs fréquentes sur les cookies

Croire que tous les cookies sont dangereux. Un cookie ne peut pas exécuter de code ni installer de virus. Les cookies essentiels sont indispensables au fonctionnement de la plupart des sites. Le risque est lié à l'utilisation des données collectées, pas au cookie lui-même.

Confondre first-party et third-party. Un cookie Google Analytics déposé par le script gtag.js est techniquement un cookie first-party (il est écrit sur votre domaine), mais les données sont envoyées à Google. Le statut first-party/third-party ne détermine pas seul l'obligation de consentement.

Penser que les cookies de session ne nécessitent jamais de consentement. Un cookie de session utilisé pour le suivi publicitaire nécessite un consentement, même s'il disparaît à la fermeture du navigateur. C'est la finalité qui compte, pas la durée de vie.

Ignorer les cookies des contenus embarqués. Les vidéos YouTube, les cartes Google Maps, les widgets de réseaux sociaux et les iframes de chat déposent des cookies tiers. Si votre bannière ne les couvre pas, vous avez un trou dans votre conformité.

Checklist : bien gérer les cookies de votre site

  1. Scanner l'ensemble des cookies présents sur votre site.
  2. Classer chaque cookie par type (first-party/third-party) et par finalité (essentiel, analytics, publicitaire, fonctionnel).
  3. Identifier les cookies exemptés de consentement (essentiels uniquement).
  4. Configurer votre CMP pour bloquer tous les cookies non essentiels avant consentement.
  5. Vérifier que les contenus embarqués (vidéos, cartes, widgets) sont couverts.
  6. Tester avec l'inspecteur réseau qu'aucun cookie non essentiel n'est déposé avant interaction.
  7. Documenter l'inventaire de vos cookies et le mettre à jour à chaque ajout de script.

Conclusion et prochaine étape

Comprendre les types de cookies est la première étape pour configurer correctement votre conformité. La distinction first-party/third-party détermine qui a accès aux données. La distinction session/persistant détermine combien de temps elles sont conservées. La finalité (essentiel, analytics, publicitaire) détermine si un consentement est requis.

Lancez un scan gratuit de vos cookies pour savoir exactement quels traceurs sont actifs sur votre site. Consultez notre guide sur le bandeau cookies conforme pour passer à l'action.

Questions fréquentes

  • Un cookie peut-il installer un virus ?

    Non. Un cookie est un fichier texte passif. Il ne contient pas de code exécutable et ne peut ni installer de logiciel malveillant, ni accéder à vos fichiers. Le risque lié aux cookies concerne l'utilisation des données collectées (suivi, profilage), pas le fichier cookie lui-même.

  • Quelle est la différence entre un cookie first-party et third-party ?

    Un cookie first-party est déposé par le site que vous visitez directement. Un cookie third-party est déposé par un domaine tiers (régie publicitaire, réseau social, outil de tracking). La distinction se fait sur le domaine qui crée le cookie, pas sur son contenu.

  • Tous les cookies nécessitent-ils un consentement ?

    Non. Les cookies strictement nécessaires au fonctionnement du site (authentification, sécurité, panier) sont exemptés de consentement. Tous les autres (analytics, publicitaires, fonctionnels non essentiels) nécessitent un consentement préalable selon la directive ePrivacy et le RGPD.

  • Combien de temps un cookie reste-t-il sur mon appareil ?

    Cela dépend du type. Un cookie de session est supprimé quand vous fermez le navigateur. Un cookie persistant a une date d'expiration définie par le site, qui peut aller de quelques minutes à plusieurs années. Vous pouvez supprimer tous les cookies manuellement dans les paramètres de votre navigateur.

  • Google Analytics utilise-t-il des cookies first-party ou third-party ?

    Google Analytics (via gtag.js) dépose des cookies first-party sur votre domaine. Cependant, les données collectées sont envoyées aux serveurs de Google. Le fait que le cookie soit first-party ne dispense pas de consentement, car la finalité du traitement et le transfert de données à un tiers restent soumis aux obligations du RGPD.

Articles recommandes