TL;DR
Le RGPD et la directive ePrivacy n'imposent pas de durée maximale universelle pour les cookies. Cependant, la CNIL recommande une durée de vie maximale de 13 mois pour les cookies analytiques et publicitaires, et une validité de consentement de 6 mois. La durée doit être proportionnelle à la finalité et documentée dans la politique de cookies.
Quelle durée de conservation pour les cookies RGPD ?
La question de la durée de vie des cookies est l'une des plus fréquentes en matière de conformité RGPD. La réglementation ne fixe pas de durée unique et universelle, mais pose un principe clair : la durée de conservation doit être proportionnelle à la finalité du cookie. Un cookie qui ne sert plus à rien ne devrait plus exister.
Plusieurs textes encadrent la durée des cookies en France et en Europe : la directive ePrivacy (2002/58/CE), le RGPD (principe de minimisation des données, article 5.1.e), et les recommandations nationales des autorités de contrôle (CNIL en France, ICO au Royaume-Uni, BfDI en Allemagne).
Les recommandations de la CNIL sur la durée des cookies
La CNIL a publié des recommandations précises sur la durée de vie des cookies dans sa recommandation sur les cookies et autres traceurs (2020, mise à jour 2021) :
- Durée maximale recommandée pour les cookies analytiques et publicitaires : 13 mois.
- Au-delà de 13 mois, la durée doit être justifiée et proportionnée à la finalité.
- Les cookies de session (sans durée fixée) expirent à la fermeture du navigateur.
- La durée de validité du consentement donné par l'utilisateur : 6 mois maximum recommandé.
- À l'expiration du consentement, le bandeau doit réapparaître pour recueillir un nouveau consentement.
Ces recommandations ne sont pas des obligations légales strictes, mais elles constituent le standard de référence pour l'appréciation de la conformité par la CNIL.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Durée par catégorie de cookie
Cookies strictement nécessaires
Pas de limite de durée imposée par la CNIL, mais la durée doit rester proportionnée. Un cookie de session d'authentification expire généralement à la fermeture de session. Un cookie de préférence de langue peut légitimement durer 1 an. Ces cookies ne nécessitent pas de consentement mais doivent être mentionnés dans la politique de cookies.
Cookies analytiques
Durée maximale recommandée : 13 mois. Les outils d'analyse comme Google Analytics 4, Matomo ou AT Internet utilisent des cookies de durée variable. GA4 utilise notamment _ga (2 ans par défaut) et _ga_[ID] (2 ans). Ces durées dépassent la recommandation CNIL : il est nécessaire de configurer des durées plus courtes dans les paramètres de l'outil.
Cookies publicitaires et de retargeting
Durée maximale recommandée : 13 mois. En pratique, les cookies de plateformes publicitaires (Meta Pixel, Google Ads, LinkedIn Insight Tag) ont souvent des durées de 1 à 2 ans par défaut. La CMP peut gérer ces cookies, mais elle ne contrôle pas les durées de vie fixées par les tiers. Il est important de les documenter dans la politique de cookies telles qu'elles sont définies par le tiers.
Cookies fonctionnels
Durée variable selon la finalité. Un cookie de panier d'achat peut légitimement durer 30 jours. Un cookie de personnalisation de l'interface peut durer jusqu'à 1 an. La règle : durée minimale nécessaire pour accomplir la finalité déclarée.
La durée du consentement est distincte de la durée du cookie
C'est une confusion fréquente : la durée de vie du cookie et la durée de validité du consentement sont deux choses différentes.
La durée de vie du cookie est la période pendant laquelle le fichier cookie reste stocké sur l'appareil de l'utilisateur. La durée de validité du consentement est la période pendant laquelle le consentement enregistré par la CMP reste valide sans demander de renouvellement.
La CNIL recommande de ne pas dépasser 6 mois pour la validité du consentement. Au-delà, la bannière doit réapparaître pour recueillir un nouveau consentement. Cela s'applique indépendamment de la durée de vie technique des cookies.
Pour en savoir plus sur l'enregistrement du consentement, consultez notre guide sur la preuve de consentement cookies.
Comment configurer les durées dans la pratique
Configurer Google Analytics 4
GA4 permet de réduire la durée de vie des cookies dans la configuration du flux de données. Dans l'interface GA4, accéder à Administration > Flux de données > Configuration de la balise Google > Configurer vos paramètres. Il est possible de définir des durées plus courtes pour cookie_expires_time. La recommandation CNIL est de ne pas dépasser 13 mois.
Configurer votre CMP
Une CMP comme FlowConsent vous permet de configurer la durée de validité du consentement (6 mois recommandé) et de gérer automatiquement le renouvellement de la bannière. La CMP enregistre également horodatage, version et durée de chaque consentement. Consultez notre guide sur le taux de consentement pour optimiser votre configuration.
Documenter les durées dans la politique de cookies
Chaque cookie listé dans la politique de cookies doit indiquer sa durée de conservation. Cette documentation est obligatoire pour satisfaire à l'obligation de transparence du RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes sur la durée des cookies
Laisser les durées par défaut des outils tiers. La plupart des outils (GA4, Meta Pixel, LinkedIn) utilisent des durées de 1 à 2 ans par défaut. Ces durées dépassent souvent la recommandation CNIL. Il faut les configurer manuellement dans chaque outil.
Confondre durée du cookie et durée du consentement. La durée du consentement (6 mois max) et la durée de vie du cookie (13 mois max recommandé) sont deux paramètres distincts. Les configurer séparément dans votre CMP et vos outils analytiques.
Ne pas mentionner les durées dans la politique de cookies. L'absence de durée dans la politique de cookies est un manquement à l'obligation de transparence. Chaque cookie doit être accompagné de sa durée de vie.
Oublier les cookies tiers déposés par des scripts embarqués. Certains scripts tiers (widgets, lecteurs vidéo, boutons de partage) déposent des cookies avec leurs propres durées, souvent longues. Un audit régulier via le scanner FlowConsent permet de les identifier.
Ne pas renouveler la demande de consentement. Si le consentement est collecté mais jamais renouvelé, les bases légales de traitement s'affaiblissent au fil du temps. La CMP doit reafficher la bannière tous les 6 mois pour les utilisateurs ayant déjà consenti.
Checklist durée de conservation des cookies RGPD
- La durée de vie de chaque cookie est documentée dans la politique de cookies.
- Les durées analytiques et publicitaires ne dépassent pas 13 mois (recommandation CNIL).
- La durée de validité du consentement est configurée à 6 mois maximum dans la CMP.
- La bannière réapparaît automatiquement au renouvellement du consentement.
- Les cookies de session expirent bien à la fermeture du navigateur.
- Les durées par défaut des outils tiers (GA4, Meta, LinkedIn) ont été ajustées.
- Un audit régulier des cookies tiers déposés sur le site est effectué.
- Les preuves de consentement incluent la date d'expiration du consentement.
- Les cookies fonctionnels ont des durées proportionnées à leur finalité.
- Aucun cookie n'est conservé au-delà de sa finalité déclarée.
Conclusion
La durée de conservation des cookies n'est pas un détail technique : c'est une obligation de conformité au titre du principe de minimisation des données. La règle pratique : 13 mois maximum pour les cookies analytiques et publicitaires, 6 mois maximum pour la validité du consentement.
Auditez les cookies présents sur votre site et leurs durées avec le scanner de cookies FlowConsent.
Questions fréquentes
Quelle est la durée maximale des cookies autorisée par le RGPD ?
Le RGPD n''impose pas de durée maximale légale pour les cookies. Cependant, la CNIL recommande 13 mois maximum pour les cookies de mesure d''audience et 6 mois pour les cookies publicitaires. La durée doit être proportionnée à la finalité et justifiable devant les autorités de contrôle.
La durée des cookies doit-elle être divulguée ?
Oui. Le RGPD (article 13) impose d''informer les utilisateurs de la durée de conservation des données. Pour les cookies, cela signifie indiquer leur durée d''expiration dans la politique de cookies et dans la bannière de consentement. Une durée non communiquée constitue un manquement à la transparence.
La durée des cookies peut-elle être renouvelée automatiquement ?
Non sans consentement renouvelé. Si une page est rechargée et que la durée du cookie repart de zéro sans nouvelle action de l''utilisateur, cela peut constituer un renouvellement tacite non conforme. Le consentement doit être renouvelé périodiquement (recommandation CNIL : tous les 6 mois).
Quelle est la différence entre cookies de session et cookies persistants ?
Les cookies de session expirent à la fermeture du navigateur et ne sont généralement pas soumis au consentement s''ils sont strictement nécessaires. Les cookies persistants restent sur l''appareil jusqu''à leur date d''expiration. Leur durée doit être justifiée et déclarée dans la politique de cookies.
À quelle fréquence les utilisateurs doivent-ils renouveler leur consentement aux cookies ?
La CNIL recommande de renouveler le recueil du consentement tous les 6 mois. D''autres autorités européennes (ICO, EDPB) n''imposent pas de fréquence précise mais indiquent que le consentement doit rester d''actualité. FlowConsent gère automatiquement l''expiration du consentement et le renouvellement de la bannière.