Tous les articles du blog

Données personnelles et cookies : ce que votre site collecte (et ce que cela déclenche légalement)

Close
Temps de lecture
8 min
Publié
Mar 24, 2026
Partager

Une adresse IP est une donnée personnelle. Un identifiant de cookie en est une aussi. Si votre site utilise Google Analytics, un pixel Meta, un outil de personnalisation ou un script publicitaire, il collecte des données personnelles via des traceurs — souvent avant même que l'utilisateur n'ait donné son consentement.

La plupart des propriétaires de sites sous-estiment l'étendue de cette collecte. Le RGPD définit la donnée personnelle de manière intentionnellement large : toute information se rapportant à une personne physique identifiée ou identifiable. Et la CNIL, en tant qu'autorité de contrôle française, applique cette définition avec rigueur.

Cet article explique quelles données votre site collecte via les cookies, pourquoi elles sont considérées comme des données personnelles au sens du RGPD, quelles obligations cela déclenche, et comment Cookiebot vous aide à les respecter.

En bref

  • Le RGPD (article 4) définit les données personnelles comme toute information permettant d'identifier directement ou indirectement une personne physique — adresse IP, cookie ID, données de navigation inclus.
  • La CJUE a confirmé en 2016 (arrêt Breyer, C-582/14) que les adresses IP dynamiques sont des données personnelles.
  • Google Analytics, les pixels publicitaires et les outils de personnalisation collectent tous des données personnelles via les cookies.
  • Dès que votre site traite des données personnelles via des cookies, les obligations RGPD s'appliquent : base légale, information, droits des personnes, consentement.
  • Cookiebot scanne automatiquement votre site pour identifier tous les cookies et traceurs, bloque la collecte de données personnelles avant consentement, et documente la preuve de consentement.

Qu'est-ce qu'une donnée personnelle au sens du RGPD ?

L'article 4(1) du RGPD définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne est identifiable lorsqu'elle peut être reconnue directement (nom, photo) ou indirectement (identifiant en ligne, adresse IP, données de localisation, identifiant publicitaire).

La notion est volontairement large. Elle ne se limite pas aux informations classiques comme le nom ou l'adresse email. Elle couvre aussi les données techniques collectées automatiquement par les sites web : adresses IP, identifiants de cookies, données de géolocalisation, empreintes numériques de navigateur (browser fingerprints).

Pour les propriétaires de sites, la conséquence est directe : dès qu'un cookie permet d'identifier, même indirectement, un utilisateur, les données qu'il collecte sont des données personnelles au sens du RGPD.

Pourquoi la définition du RGPD est plus large que ce que la plupart des sites attendent

Beaucoup de propriétaires de sites pensent que les données personnelles se limitent aux informations saisies volontairement par l'utilisateur : nom, email, numéro de téléphone. Le RGPD va beaucoup plus loin.

Le considérant 30 du RGPD précise explicitement que les identifiants en ligne — y compris les cookies et les adresses IP — peuvent être utilisés pour créer des profils de personnes physiques et les identifier. Ce n'est donc pas uniquement le nom ou l'email qui déclenche les obligations RGPD. C'est toute information qui, seule ou combinée avec d'autres, permet de remonter à une personne.

En France, la CJUE a confirmé cette interprétation dans l'arrêt Breyer de 2016 (affaire C-582/14) : une adresse IP dynamique constitue une donnée personnelle pour l'éditeur d'un site internet, dès lors qu'il dispose de moyens légaux permettant de faire identifier l'utilisateur via le fournisseur d'accès. La Cour de cassation française a suivi cette position le 3 novembre 2016, en posant un principe clair : les adresses IP permettent d'identifier indirectement une personne physique et sont des données à caractère personnel.

Quelles données votre site collecte-t-il via les cookies qui comptent comme données personnelles ?

Voici les types de données collectées via les cookies et traceurs web qui sont qualifiées de données personnelles au sens du RGPD.

Adresses IP

Collectées par la quasi-totalité des outils d'analyse et de publicité. Confirmées comme données personnelles par la CJUE (arrêt Breyer) et la Cour de cassation.

Identifiants de cookies

Chaque cookie dépose un identifiant unique sur le terminal de l'utilisateur. Cet identifiant permet de reconnaître le visiteur d'une session à l'autre. Il constitue une donnée personnelle dès lors qu'il permet l'identification indirecte.

Identifiants publicitaires

Les identifiants utilisés par les régies publicitaires (Google, Meta, etc.) pour suivre un utilisateur à travers plusieurs sites. Ils permettent la constitution de profils comportementaux et sont explicitement couverts par le RGPD.

Données comportementales et de navigation (clickstream)

Les pages visitées, le temps passé sur chaque page, les clics, les parcours de conversion. Lorsque ces données sont associées à un identifiant (cookie ID, adresse IP), elles deviennent des données personnelles.

Empreintes numériques de navigateur (device/browser fingerprints)

La combinaison de caractéristiques techniques du navigateur et de l'appareil (résolution d'écran, plugins installés, fuseau horaire, langue) peut permettre d'identifier un utilisateur de manière unique, même sans cookie.

Données de localisation

Coordonnées GPS collectées via des scripts tiers, ou localisation approximative déduite de l'adresse IP. Données personnelles au sens du RGPD.

Données de formulaire

Nom, email, numéro de téléphone saisis dans un formulaire. La catégorie la plus évidente, mais pas la seule.

Cookies first-party vs third-party : quels traceurs collectent quelles données ?

La distinction entre cookies first-party et third-party détermine qui collecte les données et dans quel périmètre.

Cookies first-partyCookies third-party
Déposés par le domaine du site visité. Ils servent à la gestion de la session, aux préférences de l'utilisateur, et à l'analyse de trafic (Google Analytics en mode first-party, par exemple).

Les données collectées restent dans le périmètre du site. Mais elles n'en sont pas moins des données personnelles si elles incluent un identifiant permettant l'identification.		Déposés par un domaine tiers — régie publicitaire, réseau social, outil de tracking. Ils permettent le suivi de l'utilisateur à travers plusieurs sites (cross-site tracking), la constitution de profils comportementaux et le ciblage publicitaire.

Les données collectées sont transmises à des tiers et combinées avec d'autres sources. C'est la catégorie la plus intrusive en termes de données personnelles, et la plus contrôlée par la CNIL.

Pour un propriétaire de site, la responsabilité s'étend aux deux catégories. Le RGPD impose au responsable de traitement — l'éditeur du site — de documenter et de maîtriser l'ensemble des cookies déposés, y compris ceux de tiers.

Vos obligations légales dès que votre site traite des données personnelles via des cookies

Le traitement de données personnelles via des cookies déclenche un ensemble d'obligations prévues par le RGPD et l'article 82 de la loi Informatique et Libertés.

Base légale. Tout traitement de données personnelles doit reposer sur une base légale (article 6 du RGPD). Pour les cookies d'analytics et de publicité, la base légale applicable est le consentement. Seuls les cookies strictement nécessaires au fonctionnement du service bénéficient d'une exemption.

Information. L'utilisateur doit être informé des finalités des cookies, de l'identité des responsables de traitement et des tiers déposant des cookies, avant de faire son choix (article 13 du RGPD + lignes directrices CNIL).

Consentement préalable. Aucun cookie non essentiel ne peut être déposé avant que l'utilisateur ait donné son accord. Ce consentement doit être libre, spécifique, éclairé et univoque. La poursuite de la navigation ne constitue pas un consentement valide.

Droits des personnes. L'utilisateur dispose des droits d'accès, de rectification, d'effacement, d'opposition et de portabilité sur ses données personnelles (articles 15 à 22 du RGPD). Ces droits doivent pouvoir être exercés facilement.

Les 6 bases légales du RGPD — et celle qui s'applique aux cookies. Le RGPD prévoit six bases légales pour traiter des données personnelles : consentement, exécution d'un contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime. Pour les cookies d'analytics et de publicité, c'est le consentement qui s'applique dans la quasi-totalité des cas. L'intérêt légitime ne peut pas être invoqué pour justifier le dépôt de cookies publicitaires ou de tracking.

Droits des utilisateurs sur leurs données personnelles collectées via les cookies

Le RGPD confère aux personnes concernées un ensemble de droits qui s'appliquent aux données collectées via les cookies.

Droit d'accès (article 15)

L'utilisateur peut demander à savoir quelles données personnelles sont collectées et comment elles sont traitées.

Droit de rectification (article 16)

Correction des données inexactes.

Droit à l'effacement (article 17)

Suppression des données, y compris des identifiants de cookies, lorsque le consentement est retiré ou que les données ne sont plus nécessaires.

Droit d'opposition (article 21)

L'utilisateur peut s'opposer au traitement de ses données, notamment à des fins de marketing direct.

Droit à la portabilité (article 20)

L'utilisateur peut demander à recevoir ses données dans un format structuré et lisible par machine.

Pour les propriétaires de sites, la gestion de ces droits commence par la capacité à identifier précisément quelles données sont collectées, par quels cookies, et pour quelles finalités.

Comment voir exactement quelles données personnelles votre site collecte

La première étape de la conformité est de savoir ce que votre site fait réellement. La plupart des propriétaires de sites ne connaissent pas la liste complète des cookies actifs sur leur domaine — en particulier ceux déposés par des scripts tiers.

Le scanner gratuit de Cookiebot analyse l'ensemble de votre site, identifie tous les cookies et traceurs actifs (first-party et third-party), les classe par catégorie (nécessaire, analytics, préférences, marketing) et documente leurs finalités, leurs durées de vie et les données qu'ils collectent.

Ce scan produit un rapport détaillé qui constitue la base de votre registre de traitement pour les cookies. Il permet d'identifier les traceurs déposés avant consentement, ceux dont les durées de vie sont excessives, et ceux dont les finalités ne sont pas documentées.

Le scanner est mis à jour automatiquement chaque mois. Si un nouveau script tiers dépose un cookie sur votre site, Cookiebot le détecte et le catégorise.

Comment Cookiebot bloque la collecte de données personnelles avant consentement

Cookiebot automatise la conformité au RGPD et aux exigences CNIL pour la collecte de données personnelles via les cookies.

Le mécanisme repose sur le blocage préalable (prior blocking) : tous les cookies et scripts non essentiels sont bloqués tant que l'utilisateur n'a pas donné son consentement. Le bandeau de consentement Cookiebot recueille un consentement conforme CNIL (libre, spécifique, éclairé, univoque) avec un bouton Refuser aussi visible que le bouton Accepter, un consentement granulaire par catégorie, et un module de retrait du consentement accessible en permanence.

Chaque consentement est horodaté et stocké dans un registre de preuves (consent log). Ce registre documente le choix de l'utilisateur, la version du bandeau affichée, et la date/heure de l'interaction — éléments indispensables en cas de contrôle CNIL.

Le tout est déployable sur WordPress, Shopify, Wix ou via Google Tag Manager, sans développement spécifique.

Voici ce que ça signifie pour votre site — et comment Cookiebot vous aide à le gérer.

Si votre site utilise des cookies non essentiels, il collecte des données personnelles. Adresses IP, identifiants de cookies, données de navigation : le RGPD s'applique à chacune de ces informations. La conformité commence par savoir exactement ce que votre site collecte, puis par bloquer cette collecte tant que le consentement n'a pas été donné. Cookiebot automatise les deux étapes.

Cookiebot bg shield

Découvrez quelles données personnelles votre site collecte

Lancez un scan gratuit pour identifier tous les cookies et traceurs actifs, puis déployez un bandeau de consentement RGPD/CNIL conforme avec Cookiebot.

Scanner mon site gratuitement

Questions fréquemment posées

Google Analytics collecte-t-il des données personnelles ?

Oui. Google Analytics collecte des adresses IP (même tronquées, elles restent des données personnelles selon la CJUE), des identifiants de cookies, des données de localisation approximative et des données de navigation. La CNIL considère que l'utilisation de Google Analytics nécessite le consentement préalable de l'utilisateur, sauf si l'outil est configuré de manière strictement conforme aux conditions d'exemption (ce qui est rarement le cas en configuration standard).

Quelles sont les sanctions en cas de collecte de données personnelles sans consentement ?

Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). En 2025, la CNIL a infligé 487 millions d'euros d'amendes, dont 475 millions pour des violations liées aux cookies — incluant le dépôt de cookies sans consentement préalable. Les sanctions s'appliquent aux entreprises de toutes tailles.