Le RGPD a profondément changé la façon dont les sites web gèrent les cookies. Depuis 2018, la majorité des cookies nécessitent le consentement explicite de l'internaute. Mais tous les cookies ne sont pas logés à la même enseigne : certains sont considérés comme strictement nécessaires et peuvent être déposés sans demander votre accord. Voici comment distinguer les cookies obligatoires de ceux qui ne le sont pas.
Qu'est-ce que le RGPD dit sur les cookies ?
Le Règlement Général sur la Protection des Données (RGPD) pose un principe clair : tout traitement de données personnelles doit reposer sur une base légale. Pour les cookies, la directive ePrivacy (transposée en droit français via la loi Informatique et Libertés) précise que le dépôt de cookies nécessite en règle générale le consentement préalable de l'utilisateur.
Cependant, il existe une exception importante : les cookies strictement nécessaires au fonctionnement du service. Ces cookies peuvent être placés sans demander l'accord de l'internaute, car ils sont indispensables à la navigation.
La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française chargée de veiller à l'application de ces règles. Ses recommandations distinguent clairement deux grandes catégories.
Les cookies exemptés de consentement (« obligatoires »)
Certains cookies sont exemptés de l'obligation de consentement. Ce sont ceux dont la finalité est strictement technique et nécessaire à la fourniture du service demandé par l'utilisateur. Parmi eux :
1. Les cookies de session et d'authentification
Ces cookies permettent à un site de vous reconnaître d'une page à l'autre pendant votre visite. Sans eux, vous seriez déconnecté à chaque clic. Par exemple, le cookie qui maintient votre panier actif sur un site e-commerce ou celui qui garde votre session ouverte sur un espace client.
Pour en savoir plus sur le fonctionnement technique de ces cookies, consultez notre page infos cookies.
2. Les cookies de sécurité
Ils protègent contre les attaques CSRF (Cross-Site Request Forgery), les tentatives d'usurpation de session ou les connexions frauduleuses. Ces cookies sont indispensables à la sécurité du service.
3. Les cookies de mémorisation du panier d'achat
Sur un site marchand, le cookie qui retient les articles de votre panier est considéré comme nécessaire au service. Sans lui, l'expérience d'achat serait impossible.
4. Les cookies de choix de langue ou d'interface
Si un cookie sert uniquement à mémoriser votre préférence de langue ou l'affichage d'un site (thème clair/sombre par exemple), il peut être exempté — à condition de ne servir qu'à ça.
5. Les cookies de traceur de charge (load balancing)
Utilisés pour répartir le trafic entre les serveurs, ces cookies purement techniques ne collectent aucune donnée personnelle identifiable.
Les cookies qui nécessitent le consentement
À l'inverse, la grande majorité des autres cookies requièrent un accord explicite. Il s'agit notamment de :
- Les cookies analytiques et de mesure d'audience (Google Analytics, Matomo en mode non-anonymisé, etc.) : ils permettent de suivre le comportement des utilisateurs sur le site.
- Les cookies publicitaires et de ciblage : ils servent à vous profiler pour vous montrer des publicités personnalisées. Ce sont souvent des cookies tiers déposés par des régies comme Google Ads ou Meta.
- Les cookies de partage sur les réseaux sociaux : les boutons "J'aime" ou "Partager" intègrent souvent des traceurs qui collectent des données même si vous ne cliquez pas dessus.
- Les cookies de personnalisation avancée : ceux qui mémorisent vos préférences pour vous proposer un contenu adapté à vos habitudes de navigation.
Si vous souhaitez réduire votre exposition à ces cookies, notre guide sur la désactivation des cookies vous explique comment procéder navigateur par navigateur.
Consentement : ce que la loi exige vraiment
Le consentement RGPD n'est pas une simple formalité. Pour être valide, il doit être :
- Libre : vous devez pouvoir refuser sans être pénalisé (pas de mur de cookie imposant l'acceptation pour accéder au contenu).
- Éclairé : vous devez savoir à quoi vous consentez (finalités claires, durée de conservation).
- Spécifique : un seul bouton "Tout accepter" sans granularité ne suffit pas pour certaines finalités.
- Révocable : vous devez pouvoir retirer votre consentement aussi facilement que vous l'avez donné.
La CNIL a sanctionné plusieurs grands sites (Google, Facebook, TikTok…) pour non-respect de ces règles, notamment pour avoir rendu le refus plus difficile que l'acceptation.
Comment savoir quels cookies un site dépose ?
La plupart des navigateurs modernes vous permettent d'inspecter les cookies présents sur un site. Dans Chrome, ouvrez les outils développeur (F12), allez dans "Application" puis "Cookies". Vous verrez la liste complète avec les noms, domaines et durées de vie.
Sur Firefox, la même inspection est disponible via l'outil de développement > Stockage > Cookies.
En résumé
Tous les cookies ne sont pas "obligatoires" au sens légal. Seuls ceux qui sont strictement nécessaires au fonctionnement technique du service peuvent être déposés sans consentement. Dès qu'un cookie sert à analyser, cibler ou tracer l'utilisateur, le consentement s'impose — et le site doit le recueillir de façon transparente et loyale.
En tant qu'internaute, vous avez le droit de refuser tous les cookies non essentiels. En tant que propriétaire de site, vous avez l'obligation de respecter ces règles sous peine de sanctions de la CNIL (amendes pouvant atteindre 4 % du chiffre d'affaires mondial).
FAQ
Un site peut-il refuser l'accès si je refuse les cookies ? En principe non — sauf si le site propose une alternative payante équitable (le modèle "consent or pay" autorisé sous conditions par la CNIL depuis 2023). Un blocage total sans alternative est considéré comme une atteinte à la liberté de consentement.
Les cookies analytiques sont-ils obligatoires ? Non. Ils nécessitent un consentement, sauf si l'outil de mesure est configuré en mode strictement anonymisé (par exemple Matomo sans cookie avec données agrégées seulement). La CNIL a publié des lignes directrices spécifiques à ce sujet.
Combien de temps un site peut-il conserver mes données de cookies ? La CNIL recommande une durée maximale de 13 mois pour les cookies soumis à consentement. Les cookies de session, eux, expirent dès la fermeture du navigateur.