Audit de cookies : comment scanner et inventorier les traceurs de votre site

TL;DR

Un audit de cookies consiste à scanner l'ensemble des pages de votre site pour identifier tous les traceurs déposés sur le terminal des visiteurs. Cet inventaire est la première étape de toute mise en conformité RGPD : sans savoir quels cookies votre site dépose réellement, il est impossible de rédiger une politique de cookies fiable, de configurer correctement votre bandeau de consentement ou de démontrer votre conformité en cas de contrôle.

Qu'est-ce qu'un audit de cookies ?

Un audit de cookies (ou cookie audit) est une analyse technique qui identifie tous les cookies et traceurs déposés par votre site web lors de la navigation d'un visiteur. Il recense les cookies first-party et third-party, leurs finalités, leur durée de vie et les scripts qui les déclenchent.

L'objectif n'est pas seulement de lister des noms de cookies. L'audit doit permettre de répondre à trois questions : quels traceurs sont présents, qui les dépose (votre site ou un tiers), et sont-ils correctement bloqués avant consentement.

La CNIL attend des responsables de sites qu'ils connaissent précisément les traceurs présents sur leur domaine. Un audit régulier est le seul moyen fiable d'obtenir cette visibilité.

Pourquoi auditer les cookies de votre site ?

Les cookies présents sur un site évoluent en permanence. Chaque ajout d'un script tiers (outil analytics, pixel publicitaire, widget de chat, lecteur vidéo embarqué) peut introduire de nouveaux traceurs sans que vous en soyez informé.

Sans audit, vous ne pouvez pas garantir que votre politique de cookies reflète la réalité. Un décalage entre les cookies documentés et les cookies réellement déposés constitue un manquement à l'obligation d'information du RGPD.

Un audit permet aussi de détecter les cookies qui se déclenchent avant le consentement de l'utilisateur. C'est l'une des non-conformités les plus fréquemment relevées lors des contrôles de la CNIL : des scripts analytics ou publicitaires qui s'exécutent dès le chargement de la page, avant que le visiteur ait interagi avec le bandeau de consentement.

Comment fonctionne un scanner de cookies ?

Un scanner de cookies est un outil qui parcourt automatiquement les pages de votre site, simule la navigation d'un visiteur et enregistre tous les cookies déposés dans le navigateur pendant cette session.

Le processus de scan

Le scanner charge chaque page de votre site dans un navigateur automatisé (headless browser). Il enregistre les cookies déposés à chaque étape : au chargement initial, après exécution des scripts, et éventuellement après simulation de consentement. Le résultat est un inventaire détaillé de chaque cookie avec son nom, son domaine, sa finalité probable, sa durée de vie et le script qui l'a déclenché.

Ce que le scan détecte

Un bon scanner identifie les cookies first-party (déposés par votre domaine), les cookies third-party (déposés par des domaines tiers comme google-analytics.com, facebook.com, doubleclick.net), les cookies de session (supprimés à la fermeture du navigateur) et les cookies persistants (qui restent jusqu'à expiration). Il signale aussi les cookies qui se déclenchent avant consentement.

Les limites d'un scan automatique

Un scan automatique ne couvre pas toujours 100 % des cas. Certains cookies ne se déclenchent que sur des parcours spécifiques (formulaire de paiement, espace membre, tunnel de conversion). D'autres dépendent de la géolocalisation du visiteur. Un audit complet peut nécessiter plusieurs scans avec des configurations différentes.

Quels outils utiliser pour auditer les cookies ?

Plusieurs catégories d'outils permettent de réaliser un audit de cookies, du plus simple au plus avancé.

Les outils intégrés au navigateur (Chrome DevTools, Firefox Developer Tools) permettent de consulter les cookies déposés sur une page via l'onglet Application > Cookies. C'est utile pour un diagnostic rapide, mais ce n'est pas un audit complet : il faut vérifier chaque page manuellement.

Les extensions de navigateur (Cookie Editor, EditThisCookie) facilitent la visualisation et l'export des cookies sur une page donnée. Elles restent limitées à une analyse page par page.

Les scanners de cookies en ligne analysent automatiquement l'ensemble de votre site en quelques minutes. FlowConsent propose un scanner gratuit qui parcourt vos pages, identifie les traceurs et classe les cookies par catégorie (nécessaires, analytics, publicitaires, réseaux sociaux). Ce type d'outil est le plus efficace pour un audit régulier.

Les CMP (plateformes de gestion du consentement) intègrent souvent un scanner de cookies dans leur fonctionnement. Elles peuvent détecter les nouveaux cookies à chaque mise à jour et alerter en cas de décalage avec la configuration existante.

Comment interpréter les résultats d'un audit ?

L'inventaire brut produit par un scanner doit être analysé et classé pour être exploitable.

Classez chaque cookie dans l'une des quatre catégories standard : strictement nécessaire (authentification, panier, choix de consentement), analytics (mesure d'audience), publicitaire (ciblage, retargeting, conversion) et réseaux sociaux (boutons de partage, widgets). Cette classification détermine quels cookies nécessitent un consentement préalable et quels cookies en sont exemptés.

Vérifiez ensuite la durée de vie de chaque cookie. La CNIL recommande une durée maximale de 13 mois. Les cookies dont la durée dépasse cette limite doivent être signalés et reconfigurés si possible.

Identifiez les cookies non documentés : ceux qui ne correspondent à aucun service que vous avez volontairement installé. Ils proviennent souvent de scripts tiers chargés en cascade (un widget de chat qui charge un pixel publicitaire, par exemple).

Erreurs fréquentes lors d'un audit de cookies

Ne scanner que la page d'accueil. Les cookies peuvent varier d'une page à l'autre. Un scanner doit couvrir un échantillon représentatif de toutes les sections du site (blog, pages produit, formulaires, espace membre).

Ignorer les cookies déposés par les sous-domaines. Si votre site utilise des sous-domaines (app.monsite.com, blog.monsite.com), chacun peut déposer ses propres cookies. L'audit doit couvrir l'ensemble du domaine.

Ne pas tester le comportement avant consentement. Le scan doit vérifier quels cookies se déclenchent avant que l'utilisateur ait interagi avec le bandeau. C'est le test le plus important pour la conformité.

Faire un audit unique et ne jamais le renouveler. Les cookies changent à chaque modification du site. Un audit doit être planifié au minimum une fois par trimestre, et après chaque ajout de script tiers.

Ne pas documenter les résultats. L'audit n'a de valeur que s'il est tracé. Conservez un historique daté des scans pour pouvoir démontrer votre démarche de conformité.

De l'audit à la conformité : les étapes suivantes

L'audit produit un inventaire. L'étape suivante est de l'exploiter concrètement.

Mettez à jour votre politique de cookies avec l'inventaire issu du scan. Chaque cookie doit y figurer avec son nom, son éditeur, sa finalité et sa durée de vie.

Configurez votre CMP pour bloquer les scripts non essentiels avant consentement. Vérifiez que les catégories de cookies dans votre CMP correspondent à celles identifiées par l'audit.

Si votre site utilise le Google Consent Mode v2, assurez-vous que les signaux de consentement transmis aux tags Google reflètent correctement les catégories de votre audit.

Supprimez ou remplacez les cookies non essentiels que vous ne pouvez pas justifier. Si un script tiers dépose des cookies dont vous n'avez pas besoin, retirez-le ou remplacez-le par une alternative qui respecte la conformité.

Checklist : auditer les cookies de votre site

1. Lancer un scan complet de votre site couvrant toutes les sections principales.
2. Vérifier quels cookies se déclenchent avant consentement.
3. Classer chaque cookie par catégorie : nécessaire, analytics, publicitaire, réseaux sociaux.
4. Identifier les cookies tiers non documentés.
5. Vérifier la durée de vie de chaque cookie (max 13 mois recommandé par la CNIL).
6. Mettre à jour la politique de cookies avec l'inventaire complet.
7. Reconfigurer la CMP pour bloquer les scripts non consentis.
8. Supprimer ou remplacer les cookies injustifiés.
9. Documenter les résultats du scan avec la date.
10. Planifier le prochain audit (au minimum trimestriel).

Conclusion

L'audit de cookies est le point de départ de toute démarche de conformité cookies. Sans inventaire fiable, votre politique de cookies, votre bandeau de consentement et votre configuration CMP reposent sur des hypothèses. Un scan régulier permet de détecter les traceurs non documentés, les cookies qui se déclenchent avant consentement et les écarts entre votre documentation et la réalité.

Lancez un scan gratuit de votre site pour obtenir l'inventaire complet de vos cookies en quelques minutes.