Une politique de cookies est-elle obligatoire en France ?

Oui, dès que votre site dépose des cookies non essentiels (analytics, publicité, personnalisation). L' article 82 de la loi Informatique et Libertés et les lignes directrices CNIL imposent une information détaillée sur les traceurs, accessible depuis le bandeau de consentement. En pratique, tout site utilisant Google Analytics, un pixel publicitaire ou un outil de personnalisation est concerné.

Que doit contenir une politique de cookies ?

Selon les exigences CNIL : le nom de chaque cookie, sa finalité, sa durée de vie, le tiers qui le dépose (avec un lien vers sa politique de confidentialité), et sa catégorie (nécessaire, analytics, personnalisation, marketing). L'information doit être claire, à jour et accessible depuis le bandeau de consentement.

Quelle est la différence entre politique de cookies et politique de confidentialité ?

La politique de confidentialité couvre l'ensemble des traitements de données personnelles (formulaires, comptes, newsletters, cookies). La politique de cookies se concentre exclusivement sur les traceurs : quels cookies, pourquoi, par qui, pour combien de temps. Les deux sont obligatoires et complémentaires. Les mentions légales, quant à elles, identifient l'éditeur du site — elles constituent un troisième document distinct.

Politique de cookies : guide CNIL, modèle et déclaration

Une politique de cookies n'est pas un paragraphe vague collé en bas de page. C'est un document structuré, exigé par la CNIL et l'article 82 de la loi Informatique et Libertés, qui doit refléter avec précision l'ensemble des cookies et traceurs réellement actifs sur votre site.

Le problème : la plupart des politiques de cookies sont rédigées une fois, puis jamais mises à jour. Un développeur ajoute un plugin, un script marketing est intégré via Google Tag Manager, un contenu YouTube embarqué dépose des cookies tiers, et la politique devient obsolète sans que personne ne s'en rende compte. C'est précisément ce type d'écart que la CNIL sanctionne.

Cet article détaille ce que votre politique de cookies doit contenir selon les règles CNIL, sa différence avec la politique de confidentialité, un modèle prêt à l'emploi, et comment Cookiebot génère et maintient votre déclaration de cookies automatiquement.

En bref

La politique de cookies est obligatoire en France dès que votre site dépose des cookies non essentiels (article 82 de la loi Informatique et Libertés + lignes directrices CNIL).
Elle doit lister chaque cookie par nom, finalité, durée de vie, tiers déposant et catégorie (nécessaire, analytics, marketing, personnalisation).
La politique de cookies se distingue de la politique de confidentialité et des mentions légales. Les trois documents sont complémentaires.
La maintenance manuelle atteint vite ses limites : chaque nouveau plugin ou script tiers peut ajouter des cookies non déclarés.
Cookiebot scanne votre site chaque mois et génère automatiquement une déclaration de cookies toujours à jour, intégrable directement sur votre site.

Votre politique de cookies reflète-t-elle la réalité de votre site ?

Lancez un scan gratuit pour identifier tous les cookies et traceurs actifs — et générez automatiquement une déclaration complète.

Scanner mon site gratuitement

Qu'est-ce qu'une politique de cookies et est-elle obligatoire en France ?

Une politique de cookies est un document qui informe les visiteurs de votre site sur les cookies et traceurs utilisés : lesquels sont déposés, dans quel but, pour combien de temps, et par quels tiers.

En France, cette obligation découle de deux textes. L'article 82 de la loi Informatique et Libertés impose le recueil du consentement préalable avant tout dépôt de cookie non essentiel, et ce consentement ne peut être « éclairé » que si l'utilisateur dispose d'une information complète sur les traceurs. Les lignes directrices CNIL de 2020 (consolidées en 2024) précisent que cette information doit être accessible dès le premier niveau du bandeau de consentement (grandes finalités) et détaillée au deuxième niveau (liste complète des traceurs et tiers).

Le RGPD renforce cette obligation via l'article 13 : toute collecte de données personnelles et les cookies collectent des données personnelles doit être accompagnée d'une information complète.

En pratique, dès lors que votre site utilise des cookies d'analytics, de publicité ou de personnalisation, une politique de cookies est obligatoire.

Politique de cookies vs politique de confidentialité : les différences clés

Les deux documents sont souvent confondus. Ils sont complémentaires, mais distincts.

La politique de confidentialité couvre l'ensemble des traitements de données personnelles effectués par votre site ou votre entreprise : formulaires, comptes utilisateurs, newsletters, cookies, analytics. Elle est imposée par l'article 13 du RGPD. Son périmètre est large.

La politique de cookies se concentre exclusivement sur les traceurs : quels cookies sont déposés, pourquoi, par qui, pour combien de temps, et comment l'utilisateur peut les accepter ou les refuser. Elle est imposée par l'article 82 et les lignes directrices CNIL.

Deux approches sont possibles : intégrer la section cookies directement dans la politique de confidentialité (pour les sites simples avec peu de traceurs), ou publier une politique de cookies séparée, reliée à la politique de confidentialité et au bandeau (recommandée pour les sites comportant de nombreux traceurs). Les mentions légales, quant à elles, identifient l'éditeur du site et n'ont pas vocation à détailler les cookies.

Ce que votre politique de cookies doit contenir selon la CNIL

Les lignes directrices CNIL et la recommandation de 2020 (consolidée en 2024) définissent les informations que votre politique de cookies doit fournir.

Le nom de chaque cookie. Chaque traceur actif sur votre site doit être identifié par son nom technique (par exemple _ga, _fbp, CookieConsent). La CNIL recommande des noms explicites et non masqués.

La finalité de chaque cookie. Pourquoi ce cookie est-il déposé ? Mesure d'audience, publicité ciblée, personnalisation du contenu, fonctionnement du site, A/B testing. La description doit être claire et compréhensible pour un utilisateur non technique.

La durée de vie (durée de conservation). Combien de temps le cookie reste-t-il sur le terminal de l'utilisateur ? Les cookies de session expirent à la fermeture du navigateur. Les cookies persistants ont une durée définie (par exemple _ga = 2 ans, _fbp = 3 mois). Cette durée doit être documentée pour chaque cookie.

Le tiers qui dépose le cookie, avec un lien vers sa politique de confidentialité. Si un cookie est déposé par un tiers (Google, Meta, LinkedIn, Hotjar, etc.), ce tiers doit être identifié et un lien vers sa propre politique de confidentialité doit être fourni. La CNIL a sanctionné Shein en 2025, notamment pour l'absence d'information sur les tiers au deuxième niveau d'information.

La catégorie du cookie. Chaque cookie doit être classé dans l'une des catégories définies par la CNIL : strictement nécessaire, analytics, personnalisation, marketing ou publicité. Ce classement détermine le régime de consentement applicable.

Les 4 catégories de cookies CNIL, avec exemples

La CNIL distingue quatre catégories de cookies. Le classement détermine si le consentement est requis.

Cookies strictement nécessaires. Indispensables au fonctionnement du service demandé par l'utilisateur. Exemples : cookie de session (authentification), cookie de panier d'achat, cookie de préférence linguistique, cookie de consentement (CookieConsent). Régime : exemptés de consentement. L'utilisateur doit néanmoins être informé de leur existence.

Cookies d'analyse (analytics). Utilisés pour mesurer l'audience du site. Régime : consentement requis, sauf si l'outil est configuré conformément aux conditions d'exemption CNIL (finalité strictement limitée à la mesure d'audience, pas de croisement de données, pas de suivi inter-sites).

Cookies de personnalisation. Adaptent le contenu ou les fonctionnalités du site aux préférences de l'utilisateur. Exemples : cookies de recommandation de contenu, cookies de chatbot mémorisant les interactions précédentes. Régime : consentement requis.

Cookies marketing et publicitaires. Permettent le ciblage publicitaire, le reciblage et la mesure de performance des campagnes. Exemples : _fbp et _fbc (Meta Pixel), _gcl_au et _gcl_aw (Google Ads), cookies LinkedIn Insight, cookies de régies publicitaires. Régime : consentement requis. C'est la catégorie la plus surveillée par la CNIL. Si votre site utilise Google Ads, l'implémentation de Google Consent Mode v2 est également requise.

Pourquoi la maintenance manuelle de votre politique de cookies échoue

Le principal problème des politiques de cookies ne tient pas à leur rédaction initiale. Il tient à leur maintenance.

Un site web n'est pas un document statique. Chaque semaine, des changements peuvent intervenir : un développeur ajoute un plugin WordPress, un script marketing est intégré via GTM, un contenu vidéo embarqué est inséré dans un article, un outil de chat est activé. Chacune de ces actions peut déposer de nouveaux cookies sur le terminal des utilisateurs, des cookies absents de la politique.

Résultat : un écart qui se creuse entre ce que la politique déclare et ce que le site fait réellement. C'est cet écart que la CNIL repère lors de ses contrôles. L'amende de 150 M€ infligée à Shein sanctionnait précisément ce type de manquement : des cookies déposés sans que les interfaces d'information ne les mentionnent.

La seule solution fiable consiste à automatiser la détection et la déclaration. C'est exactement ce que fait le scanner Cookiebot.

Modèle de politique de cookies

Voici un modèle de structure pour une politique de cookies conforme. Il doit être personnalisé en fonction des traceurs réellement détectés sur votre site (le scanner Cookiebot fournit la liste exacte).

POLITIQUE DE COOKIES

Qu'est-ce qu'un cookie ? Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web. Il permet au site de mémoriser certaines informations relatives à votre navigation.

Quels cookies utilisons-nous ? Notre site utilise les catégories de cookies suivantes :

Cookies strictement nécessaires. Ces cookies sont indispensables au fonctionnement du site. Ils ne nécessitent pas votre consentement. [Nom du cookie] | [Finalité] | [Durée] | [Déposé par]

Cookies d'analyse. Ces cookies nous permettent de mesurer l'audience de notre site. [Nom du cookie] | [Finalité] | [Durée] | [Déposé par, lien politique de confidentialité du tiers]

Cookies de personnalisation. Ces cookies adaptent le contenu du site à vos préférences. [Nom du cookie] | [Finalité] | [Durée] | [Déposé par, lien]

Cookies marketing. Ces cookies permettent l'affichage de publicité ciblée. [Nom du cookie] | [Finalité] | [Durée] | [Déposé par, lien]

Comment gérer vos préférences ? Vous pouvez accepter, refuser ou modifier vos choix à tout moment via notre [module de gestion des cookies], accessible en pied de page ou via l'icône « cookies » présente sur toutes les pages du site.

Durée de conservation du consentement. Votre choix est conservé pendant 13 mois maximum, conformément aux recommandations de la CNIL. Au-delà, votre consentement vous sera redemandé.

Contact. Pour toute question relative aux cookies, contactez-nous à [adresse e-mail] ou consultez notre [Politique de confidentialité].

Dernière mise à jour : [date]

Ce modèle couvre la structure. Le contenu détaillé, à savoir la liste exacte des cookies, leurs finalités et leurs durées, est précisément ce que Cookiebot génère automatiquement.

Comment intégrer une déclaration de cookies dynamique sur votre site avec Cookiebot

Cookiebot remplace la maintenance manuelle de votre politique de cookies par une déclaration de cookies automatique, toujours à jour.

Le scanner. Chaque mois, Cookiebot analyse l'ensemble de votre site, détecte tous les cookies et traceurs actifs (first-party et third-party), et les classe par catégorie. Dès qu'un nouveau script tiers dépose un cookie, le scanner le détecte au cycle suivant.

La déclaration de cookies. Le scanner génère une déclaration complète : nom de chaque cookie, finalité, durée de vie, tiers déposant, catégorie. Cette déclaration est disponible sous forme de page intégrable à votre site, soit en page dédiée (Politique de cookies), soit insérée dans votre politique de confidentialité.

L'intégration. Sur WordPress, ajoutez le shortcode Cookiebot dans la page de votre choix. Sur Shopify, Wix ou tout autre CMS, insérez le script de déclaration Cookiebot dans une page personnalisée. La déclaration se met à jour automatiquement à chaque scan, sans intervention de votre part.

Le lien avec le bandeau. Le bandeau de consentement Cookiebot renvoie directement vers cette déclaration. Le deuxième niveau d'information du bandeau affiche les catégories de cookies et les tiers impliqués, conformément aux exigences CNIL. Le module de gestion des préférences reste accessible en permanence.

Résultat : votre politique de cookies reflète toujours la réalité de votre site, sans maintenance manuelle.

Ce que cela signifie pour votre site

Votre politique de cookies doit lister chaque traceur actif avec sa finalité, sa durée et son tiers déposant. Maintenir cette liste à jour manuellement est irréaliste : chaque nouveau plugin ou script peut ajouter des cookies non déclarés. Cookiebot automatise la détection, la catégorisation et la déclaration de tous les traceurs, avec un scan mensuel et une déclaration dynamique intégrable directement sur votre site.

Générez votre déclaration de cookies automatiquement

Lancez un scan gratuit pour identifier tous les cookies et traceurs de votre site, puis intégrez une déclaration de cookies toujours à jour avec Cookiebot.