Bannière de consentement cookies

Ce que vérifie ce contrôle

Analyse la page rendue pour repérer à la fois (a) des trackers tiers non essentiels — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag — et (b) une bannière de consentement cookies de Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes ou une boîte de dialogue personnalisée. Le contrôle échoue lorsque des trackers sont présents mais qu’aucune bannière n’est trouvée.

Pourquoi c’est important

Selon le droit de l’UE et du Royaume-Uni, les cookies non essentiels et les technologies de suivi similaires nécessitent un consentement préalable, libre, spécifique, éclairé et univoque avant de se déclencher. « La poursuite de la navigation vaut consentement » ne compte pas, et les cases pré-cochées non plus.

• Amendes RGPD. Jusqu’à 4 % du chiffre d’affaires annuel mondial. Les régulateurs (CNIL en France, AEPD en Espagne, Garante en Italie) ont sanctionné à plusieurs reprises des sites qui déclenchaient Google Analytics ou Meta Pixel avant consentement.
• Exposition aux actions collectives. Les lois des États américains (CCPA/CPRA, Colorado CPA, Virginia VCDPA) et le Digital Services Act de l’UE ajoutent des voies de droit privé d’action séparées.
• Conversions. Sans configuration Consent Mode v2, Google Ads et Analytics abandonnent les événements non consentis au lieu de les modéliser — vos rapports et audiences publicitaires se dégradent silencieusement.

Comment le corriger

Choisissez une bannière qui prend en charge IAB TCF v2.2 + Google Consent Mode v2 (la combinaison que Google exige depuis mars 2024 pour les utilisateurs de l’EEE) :

• Cookiebot — payant, complet, scanne votre site chaque semaine pour maintenir à jour la liste des cookies.
• OneTrust — entreprise ; le choix par défaut si vous utilisez déjà OneTrust pour la gestion de la confidentialité.
• Iubenda — abordable, multilingue, bon pour les PME.
• Klaro — open source, auto-hébergé.

Exemple Cookiebot — placez ceci dans <head> avant tout autre script de tracking :

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="YOUR-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Mettez chaque tracker (GA4, gtag, Meta Pixel, etc.) en type="text/plain" avec data-cookieconsent="statistics" (ou "marketing") — Cookiebot les réécrit en text/javascript uniquement après consentement.

Google Consent Mode v2 — initialisez gtag('consent', 'default', { ... }) avec tout en denied avant de charger GA, puis passez à granted depuis le callback de la bannière. Sinon, GA abandonne 100 % des événements EEE au lieu d’utiliser la modélisation par consentement.

Auditez ce qui se déclenche. Ouvrez DevTools → Application → Cookies dans une fenêtre privée et chargez la page sans cliquer sur la bannière. Si vous voyez _ga, _fbp, _hjSessionUser_* ou quoi que ce soit d’un domaine de tracker, vous tirez avant consentement — c’est l’infraction.

Questions fréquentes

Ai-je besoin d’une bannière si j’utilise seulement Google Analytics ?

Oui — dans l’EEE, au Royaume-Uni et en Suisse, GA est classé comme non essentiel par toutes les autorités de contrôle qui se sont prononcées. Idem si vous n’utilisez qu’un Meta Pixel ou un outil A/B-test tiers.

Et les analytics sans cookies comme Plausible ou Fathom ?

Si l’outil ne stocke aucun cookie, ne fait pas d’empreinte d’appareil et ne transmet pas de données personnelles, vous pouvez plaider qu’il est essentiel et sauter la bannière. Plausible et Fathom se positionnent comme « GDPR-friendly sans bannière » sur cette base ; vérifiez leur attestation actuelle avant de vous y fier.

Mon audit échoue mais j’ai une bannière — pourquoi ?

Soit le script de la bannière charge après le déclenchement d’un tracker (les trackers s’exécutent avant l’arrivée de la décision de consentement), soit la bannière n’apparaît que dans certaines régions et MetricSpot audite depuis l’extérieur de cette région, soit la signature de détection ne correspond pas au fournisseur que vous utilisez. Confirmez en ouvrant DevTools et en observant l’ordre des requêtes au premier chargement.