Preuve de consentement cookies : que stocker et combien de temps

TL;DR

La preuve de consentement cookies est l'ensemble des elements qui demontrent qu'un utilisateur a donne (ou refuse) son consentement de maniere libre, eclairee et univoque. Le RGPD impose au responsable de traitement de pouvoir demontrer, a tout moment, que le consentement a ete valablement recueilli. La CNIL recommande de conserver les choix de l'utilisateur pendant 6 mois et de stocker les versions du code de la banniere, l'horodatage du choix et les categories acceptees ou refusees.

Qu'est-ce que la preuve de consentement cookies ?

La preuve de consentement est la trace documentee qui permet de demontrer qu'un visiteur a effectivement consenti (ou refuse) au depot de cookies sur son terminal. Cette obligation decoule de l'article 7, paragraphe 1 du RGPD, qui dispose que le responsable de traitement doit etre en mesure de demontrer que la personne concernee a consenti au traitement de ses donnees.

Concretement, il ne suffit pas d'afficher un bandeau cookies conforme. Il faut aussi etre capable de prouver, en cas de controle ou de plainte, que ce bandeau fonctionnait correctement et que les choix des utilisateurs ont ete enregistres.

La preuve de consentement cookies est un enregistrement horodate qui documente le choix de l'utilisateur (acceptation, refus ou personnalisation), les informations qui lui ont ete presentees au moment du choix, et les consequences techniques de ce choix (quels scripts ont ete actives ou bloques).

Que dit le RGPD sur la preuve de consentement ?

L'article 7.1 du RGPD est clair : "Lorsque le traitement repose sur le consentement, le responsable du traitement est en mesure de demontrer que la personne concernee a donne son consentement." La charge de la preuve repose donc sur l'editeur du site, pas sur l'utilisateur.

L'article 82 de la loi Informatique et Libertes, qui transpose la directive ePrivacy en droit francais, reprend cette exigence pour les cookies specifiquement. Les organismes exploitant des traceurs doivent etre en mesure de fournir, a tout moment, la preuve du recueil valable du consentement.

En cas de controle de la CNIL ou de plainte d'un utilisateur, c'est a vous de prouver que le consentement existait et qu'il etait conforme. Sans preuve, le consentement est presume absent.

Que faut-il stocker exactement ?

La CNIL, dans sa recommandation cookies de 2020 (article 48), propose plusieurs modalites de conservation de la preuve. Voici les elements a stocker pour chaque interaction de consentement.

L'identifiant de l'utilisateur ou du terminal

Un identifiant unique (souvent un UUID genere par la CMP) qui permet de relier un choix de consentement a un terminal ou a un navigateur. Il ne doit pas necessairement identifier la personne (pas besoin de nom ou d'email). L'identifiant du cookie de consentement lui-meme suffit dans la plupart des cas.

L'horodatage du choix

La date et l'heure exactes auxquelles l'utilisateur a fait son choix. Cet horodatage permet de verifier que le consentement a bien ete recueilli avant le depot des cookies, et de calculer sa duree de validite.

Le choix effectue

Le detail de ce que l'utilisateur a accepte ou refuse : consentement global ("tout accepter" / "tout refuser") ou consentement par categorie (analytiques acceptes, marketing refuses, etc.). Plus le registre est granulaire, plus la preuve est solide.

La version de la banniere presentee

La CNIL recommande de conserver les differentes versions du code informatique utilise pour recueillir le consentement. Si vous modifiez le texte, le design ou le comportement de votre banniere, vous devez pouvoir demontrer quelle version l'utilisateur a vue au moment de son choix.

Les informations presentees a l'utilisateur

Le contenu de la banniere (texte, options, liens vers la politique de cookies) tel qu'il etait affiche au moment du choix. Cela permet de demontrer que le consentement etait "eclaire".

Combien de temps conserver la preuve de consentement ?

Il n'existe pas de duree legale fixe imposee par le RGPD ou la directive ePrivacy pour la conservation de la preuve de consentement cookies. Cependant, la CNIL fournit des reperes clairs.

La CNIL recommande de conserver les choix de l'utilisateur (consentement ou refus) pendant une duree de 6 mois. Passe ce delai, la banniere doit reapparaitre pour redemander le consentement. Cette duree de 6 mois est une bonne pratique, pas une obligation stricte. Elle peut etre adaptee au cas par cas selon la nature du site et de son audience.

Pour les cookies de mesure d'audience exemptes de consentement, la CNIL recommande une duree de vie des traceurs de 13 mois maximum et une conservation des donnees collectees de 25 mois maximum.

Concernant la preuve elle-meme (les logs de consentement), il est recommande de la conserver aussi longtemps que necessaire pour demontrer la conformite en cas de controle. En pratique, cela signifie au minimum pendant la duree de validite du consentement (6 mois), et idealement plus longtemps pour couvrir d'eventuelles plaintes ou controles posterieurs. Une duree de conservation de 3 a 5 ans pour les logs est une pratique courante dans l'industrie.

Comment une CMP gere-t-elle la preuve de consentement ?

Une plateforme de gestion du consentement (CMP) comme FlowConsent automatise la collecte, le stockage et la restitution de la preuve de consentement. Voici ce qu'une CMP doit faire.

A chaque interaction avec la banniere, la CMP enregistre automatiquement un log de consentement qui contient l'identifiant du terminal, l'horodatage, le choix effectue (par categorie), et la version de la banniere. Ces logs sont stockes de maniere securisee et horodatee.

La CMP doit aussi scanner les cookies presents sur le site pour s'assurer que les scripts des categories non consenties sont effectivement bloques. La preuve ne vaut rien si les cookies sont deposes avant ou malgre le refus.

En cas de controle, la CMP doit permettre d'exporter les logs de consentement dans un format exploitable (CSV, JSON) et de reconstituer l'etat de la banniere a une date donnee.

Erreurs frequentes (et comment les eviter)

Ne stocker que le consentement, pas le refus. La CNIL recommande de conserver aussi le refus des utilisateurs. Si vous ne stockez que les acceptations, vous ne pouvez pas prouver que les utilisateurs qui n'ont pas consenti n'ont pas recu de cookies. Correction : enregistrez systematiquement les refus dans le meme log.

Ne pas versionner la banniere. Si vous modifiez le texte ou le design de votre banniere sans archiver les versions precedentes, vous ne pourrez pas prouver quel contenu l'utilisateur a vu. Correction : archivez chaque version de la banniere avec un numero de version et une date de mise en production.

Confondre duree de vie du cookie et duree de conservation de la preuve. Le cookie de consentement (qui stocke le choix de l'utilisateur dans son navigateur) a une duree de vie limitee (6 mois recommandes). La preuve de consentement (le log cote serveur) doit etre conservee plus longtemps. Correction : dissociez les deux et definissez une politique de retention distincte pour les logs.

Ne pas horodater les choix. Sans horodatage, impossible de prouver que le consentement a ete donne avant le depot des cookies. Correction : chaque log de consentement doit inclure un timestamp precis (date + heure + fuseau horaire).

Stocker des donnees personnelles inutiles dans les logs. La preuve de consentement ne necessite pas l'adresse email ou le nom de l'utilisateur. Un identifiant technique (UUID du cookie de consentement) suffit. Stocker des donnees personnelles superflues dans les logs cree un traitement de donnees supplementaire qui doit lui-meme etre conforme au RGPD. Correction : limitez les logs aux donnees strictement necessaires.

S'appuyer uniquement sur le cookie cote client. Le cookie de consentement dans le navigateur de l'utilisateur peut etre supprime a tout moment. Si c'est votre seule preuve, vous n'avez plus rien. Correction : doublez le stockage avec un log cote serveur gere par votre CMP.

Checklist : preuve de consentement conforme

1. Chaque interaction avec la banniere (acceptation, refus, personnalisation) est enregistree dans un log cote serveur.
2. Le log contient : identifiant du terminal (UUID), horodatage (date + heure + timezone), choix par categorie, version de la banniere.
3. Le refus est enregistre avec la meme rigueur que l'acceptation.
4. Les versions successives de la banniere (texte, design, comportement) sont archivees avec date de mise en production.
5. La duree de conservation du choix dans le navigateur (cookie) est de 6 mois (recommandation CNIL).
6. Les logs de consentement cote serveur sont conserves 3 a 5 ans minimum.
7. Les logs sont exportables dans un format exploitable (CSV, JSON) en cas de controle.
8. Un audit regulier verifie que les scripts des categories non consenties sont effectivement bloques.
9. Les logs ne contiennent pas de donnees personnelles superflues (pas d'email, pas de nom, UUID suffit).
10. Le retrait du consentement est enregistre avec le meme niveau de detail que le consentement initial.

Conclusion

La preuve de consentement n'est pas un bonus. C'est une obligation legale. Le RGPD impose au responsable de traitement de pouvoir demontrer, a tout moment, que le consentement a ete recueilli de maniere valide. Sans preuve, le consentement est presume inexistant, ce qui revient a deposer des cookies sans base legale.

En pratique, cela passe par une CMP qui enregistre automatiquement chaque interaction, stocke les logs de maniere securisee et archive les versions de la banniere. La CNIL recommande une duree de conservation des choix de 6 mois et une conservation des logs plus longue pour couvrir les controles.

Pour verifier que votre site collecte et stocke correctement les preuves de consentement, lancez un scan gratuit avec FlowConsent.