Retour au Blog
RGPDAudit de CookiesConformité Cookies

Comment Réaliser un Audit de Cookies sur Votre Site

59% des sites installent des cookies avant le consentement. Apprenez à auditer vos cookies étape par étape, quelles violations rechercher et comment les corriger.

Par Équipe CookieCompliance||8 min de lecture
ENESDEFRIT
Outils de développement du navigateur affichant une liste de cookies audités sur un site web

Votre Site Web a Probablement Plus de Cookies que Vous ne le Pensez

L'audit de cookies moyen révèle 40 à 60% de cookies de plus que ce que les organisations s'attendent à trouver. Un site web typique utilise entre 50 et 300 cookies, et environ 60% d'entre eux sont des cookies tiers installés par des services externes comme Google Analytics, Facebook Pixel ou des réseaux publicitaires.

C'est important car 59% des sites web installent des cookies avant même que les utilisateurs voient la bannière de consentement, selon une étude de novembre 2025. Seuls 15% des 10 000 principaux sites web dans 31 pays respectent les exigences de base en matière de conformité aux cookies du RGPD. Et les régulateurs s'en aperçoivent : la CNIL française a imposé plus de 475 millions d'euros d'amendes liées aux cookies rien qu'en 2025.

Un audit de cookies est la première étape pour comprendre ce que votre site web fait réellement dans le navigateur, pas ce que vous croyez qu'il fait.

Qu'est-ce qu'un Audit de Cookies ?

Un audit de cookies est un examen systématique de chaque cookie et technologie de suivi sur votre site web. Il identifie quelles données sont collectées, qui les collecte, si les utilisateurs ont donné leur consentement et si votre bannière de cookies fonctionne réellement comme prévu.

En vertu de l'Article 5(2) du RGPD, vous devez être en mesure de démontrer votre conformité. En vertu de l'Article 30, vous devez tenir des registres des activités de traitement. Un audit de cookies vous fournit les deux : une preuve documentée de ce que fait votre site et la preuve que vous avez pris des mesures pour corriger les problèmes.

Capture d'écran de l'onglet Application de Chrome DevTools montrant les cookies installés par un site web

Étape 1 : Scannez Votre Site Avant le Consentement

Le test le plus critique est aussi le plus simple. Ouvrez votre site web dans une nouvelle fenêtre de navigation privée et vérifiez ce qui se charge avant de toucher la bannière de cookies.

Avec Chrome DevTools :

  1. Ouvrez une fenêtre de navigation privée (Ctrl+Maj+N ou Cmd+Maj+N)
  2. Appuyez sur F12 pour ouvrir DevTools et allez à l'onglet Application
  3. Cliquez sur Cookies sous Storage dans la barre latérale gauche
  4. Naviguez maintenant vers votre site web
  5. Avant de cliquer sur quoi que ce soit dans la bannière de cookies, vérifiez quels cookies ont été installés

Tout cookie non essentiel qui apparaît avant que vous interagissiez avec la bannière constitue une violation de l'Article 5(3) de la Directive ePrivacy, qui exige le consentement avant de stocker des cookies sur l'appareil de l'utilisateur. Cette même violation a coûté 150 millions d'euros à SHEIN en septembre 2025, lorsque la CNIL a constaté que des cookies publicitaires étaient déposés au moment où les utilisateurs arrivaient sur le site.

Via l'onglet Network :

  1. Passez à l'onglet Network dans DevTools
  2. Actualisez la page
  3. Cliquez sur n'importe quelle requête et ouvrez l'onglet Headers
  4. Recherchez les en-têtes Set-Cookie dans les réponses, ils indiquent les cookies installés
  5. Filtrez par domaines tiers (tout domaine qui ne correspond pas au vôtre)

Étape 2 : Catégorisez Chaque Cookie

Une fois que vous avez la liste complète des cookies, catégorisez chacun d'entre eux :

Les cookies strictement nécessaires sont exemptés des exigences de consentement. Ils comprennent les identifiants de session, les jetons CSRF, les cookies d'authentification et les cookies de répartition de charge. Ils sont essentiels au fonctionnement du site.

Les cookies fonctionnels mémorisent les préférences de l'utilisateur comme la langue ou les paramètres d'affichage. Ils nécessitent un consentement car le site peut fonctionner sans eux.

Les cookies analytiques suivent le comportement des utilisateurs et les performances du site. Les cookies Google Analytics (_ga, _gid, _gat) sont les plus courants. Ils nécessitent toujours un consentement.

Les cookies marketing et publicitaires suivent les utilisateurs à travers les sites web pour créer des profils d'intérêts et diffuser des publicités ciblées. Ils comprennent Google Ads (_gcl_au), Facebook Pixel (_fbp) et DoubleClick (IDE). Ils présentent le risque réglementaire le plus élevé et nécessitent toujours un consentement.

Pour chaque cookie, documentez : le nom, le domaine (première partie ou tiers), son objectif, sa durée et s'il est déclaré dans votre politique de cookies.

Étape 3 : Testez Votre Bannière de Cookies

Une bannière de cookies qui semble conforme n'est pas la même chose qu'une bannière qui fonctionne. Les régulateurs testent le comportement réel du navigateur, pas le design de la bannière. Voici ce qu'il faut vérifier :

Testez le bouton de refus. Cliquez sur "Tout refuser" puis vérifiez dans DevTools si les cookies non essentiels sont encore présents. Environ 60% des boutons "Tout refuser" ne bloquent pas réellement les cookies. L'affaire SHEIN a prouvé que les régulateurs vérifient cela.

Testez le retrait du consentement. Acceptez les cookies, puis essayez de retirer votre consentement via les paramètres de cookies. Vérifiez si les cookies cessent d'être lus. Dans l'affaire Orange (50 millions d'euros, novembre 2024), les cookies continuaient de transmettre des données même après le retrait du consentement.

Recherchez les dark patterns. Le bouton "Accepter" est-il plus grand, plus coloré ou plus visible que "Refuser" ? Le refus nécessite-t-il plus de clics que l'acceptation ? Les catégories de cookies non essentiels sont-elles pré-cochées ? L'autorité suédoise de protection de la vie privée IMY a émis des blâmes formels à ATG, Aller Media et Warner Music en avril 2025 spécifiquement pour le dimensionnement trompeur des boutons et les contrastes de couleurs.

Vérifiez l'accès équitable. Selon la Proposition Digital Omnibus de l'UE (novembre 2025), les utilisateurs doivent pouvoir refuser les cookies en un seul clic. Si votre bannière oblige les utilisateurs à passer par "Gérer les préférences" pour refuser, vous êtes déjà en retard.

Exemple d'une bannière de cookies non conforme avec des boutons Accepter et Refuser asymétriques

Étape 4 : Vérifiez Votre Politique de Cookies

Comparez ce que dit votre politique de cookies avec ce que votre audit a réellement trouvé. Les lacunes courantes comprennent :

  • Des cookies qui existent sur le site mais ne figurent pas dans la politique
  • Des descriptions vagues comme "améliorer votre expérience" au lieu d'objectifs spécifiques
  • Des fournisseurs de cookies tiers non mentionnés
  • Des noms ou durées de cookies obsolètes
  • Aucune mention de la façon de retirer le consentement

L'Article 13 du RGPD exige que vous divulguiez les destinataires et les tiers qui traitent des données via vos cookies. L'Article 12 exige que ces informations soient concises, transparentes et facilement accessibles.

Étape 5 : Corrigez Ce que Vous Trouvez

Priorisez les corrections par niveau de risque :

Corriger immédiatement : Chargement de cookies avant le consentement, options de refus manquantes ou cassées, et mécanismes de consentement qui ne fonctionnent pas. Ce sont les violations qui entraînent les amendes les plus importantes.

Corriger dans la semaine : Dark patterns, boutons asymétriques et catégories de cookies pré-cochées. Ils sont de plus en plus ciblés par les régulateurs, notamment après l'offensive de la Suède en avril 2025.

Corriger dans le mois : Cookies non déclarés dans votre politique, descriptions de cookies manquantes et durées de cookies excessives.

En continu : Supprimez les cookies sans objectif documenté. Remplacez les outils d'analyse tiers par des alternatives respectueuses de la vie privée lorsque c'est possible. Minimisez le nombre total de cookies installés par votre site.

Après avoir corrigé les problèmes, mettez à jour votre politique de cookies pour refléter l'état actuel de votre site web. Pour chaque cookie, indiquez : nom, fournisseur, objectif, type et durée.

À Quelle Fréquence Faut-il Auditer ?

Un audit ponctuel ne suffit pas. De nouveaux cookies peuvent apparaître chaque fois que vous ajoutez un plugin, mettez à jour votre CMS, lancez une campagne marketing ou intégrez un outil tiers.

Calendrier recommandé :

  • Scans automatisés hebdomadaires pour détecter les nouveaux cookies dès leur apparition
  • Revue manuelle complète chaque trimestre
  • Audit immédiat après tout changement du site : nouvelles fonctionnalités, nouvelles intégrations, mises à jour du CMS ou lancements de campagnes marketing
  • Points de contrôle réglementaires lors de l'entrée en vigueur de nouvelles lois sur la vie privée (les États américains ajoutent de nouvelles lois chaque janvier et juillet)

L'ICO britannique a démontré l'impact des audits réguliers en 2025. Ils ont examiné les 1 000 principaux sites web britanniques et ont constaté que 67% n'étaient pas conformes. Après une application systématique, la conformité a atteint 95% en décembre 2025.

L'Alternative Automatisée

Les audits manuels avec les DevTools du navigateur fonctionnent, mais ils sont chronophages et source d'erreurs. Vous devez vérifier chaque page, pas seulement la page d'accueil. Vous devez tester sur différents appareils. Et vous devez répéter le processus régulièrement.

Les outils automatisés de scan de cookies font tout cela pour vous. Ils parcourent l'intégralité de votre site, identifient chaque cookie et traceur, les catégorisent, signalent les violations de pré-consentement et génèrent des rapports utilisables pour démontrer la conformité en vertu de l'Article 5(2) du RGPD.

Scannez votre site web gratuitement pour voir exactement ce qu'un audit de conformité trouverait. Cela prend 30 secondes et vous montre les cookies pré-consentement, les traceurs qui se chargent avant le consentement et les problèmes de bannière, les mêmes éléments qu'un régulateur vérifierait.

Le Compte à Rebours est Lancé

La Proposition Digital Omnibus de l'UE intégrera bientôt les règles sur les cookies directement dans le RGPD via un nouvel Article 88a, rendant obligatoire le refus en un clic et introduisant un délai de six mois avant de redemander le consentement. Les signaux de consentement au niveau du navigateur prévus par l'Article 88b pourraient à terme remplacer les bannières de cookies de chaque site.

Ces changements devraient entrer en vigueur entre mi et fin 2026. Le moment d'auditer votre site web, c'est avant que les régulateurs frappent à votre porte, pas après. Commencez par un scan de cookies gratuit et découvrez où vous en êtes aujourd'hui.

Votre site web est-il conforme ?

Scannez votre site web gratuitement et découvrez si votre bannière cookies respecte les exigences du RGPD.

Scannez Votre Site - Gratuit