Rédiger une politique de cookies conforme au RGPD : les bonnes pratiques 

Depuis l’entrée en vigueur du RGPD (Règlement sur la protection des données), la protection des données personnelles est devenue un enjeu majeur pour toutes les entreprises qui collectent et traitent ces informations. 

Or, les cookies permettent de stocker des informations concernant les internautes naviguant sur des sites internet.  

C’est pour cette raison que la CNIL a édicté des règles en matière de cookies et de consentement des utilisateurs. Parmi ces exigences figure l’obligation de mettre à disposition des internautes, une politique relative à l’utilisation des cookies

Pour tout savoir sur les éléments essentiels d’une politique de cookies et être en mesure de la rédiger vous-même, consultez ce guide 😉

1- Qu’est-ce qu’un cookie ?

La définition du cookie 

Un cookie, que l’on appelle également traceur, est un petit fichier texte déposé par un serveur sur le terminal d’un utilisateur lorsque celui-ci navigue sur un site internet. Le terminal peut être un ordinateur, un smartphone, une tablette ou encore une console de jeux connectée à internet.

A ces petits fichiers sont associés un nom de domaine. Le nom de domaine correspond à l’adresse du site web, par exemple : leto.legal. A chaque fois qu’un navigateur web se connecte à un nom de domaine, le cookie associé lui transmet les informations de l’internaute qu’il a enregistrées. Ce petit texte permet de collecter les informations de comportement et navigation de chaque visiteur d’un site web.  Son utilisation est donc utile pour l'organisme qui le collecte mais engendre également des conséquences sur la vie privée des personnes.

Les différents types de cookies

Il existe différents types de cookies. Les voici :

Cookies internes ou tiers 

Les cookies internes (ou First-party) sont les cookies propriétaires, c’est–à-dire ceux déposés directement par le site consulté lui-même. Les informations ne sont disponibles que pour le domaine qui a créé les cookies. 

Les cookies tiers (ou Third-Party) sont les cookies déposés par des sites différents du site consulté. Ils ne sont pas gérés par le site sur lequel navigue l’internaute mais par des tiers. Les cookies tiers permettent de suivre la navigation d’un internaute de site en site afin de recueillir ses données personnelles. L’historique de navigation peut ainsi être reconstitué. 


Cookies de session ou persistants 


On peut aussi distinguer les cookies en fonction de la durée durant laquelle ils restent stockés sur le navigateur de l’internaute : 

Les cookies persistants perdurent au-delà de la session actuelle, jusqu’à expiration ou suppression par l’utilisateur. Ces cookies font l’objet de collecte et de traitement, notamment à des fins d’analyse d’audience ou marketing.  


Les cookies de session ne durent que le temps de la session, c’est-à-dire le temps de la visite sur le site web ou d’une session de navigateur. Ceux-là ne sont utilisés que pour la fourniture du service. 


Lien entre cookies et RGPD

Qu'est ce qu'un cookie selon le RGPD ?

Le RGPD y fait mention au considérant 30 qui dispose que les personnes peuvent se voir associer via leur utilisation d'appareils des identifiants en ligne tels que des adresse IP et des témoins des connexion, AKA, des cookies ! Le RGPD prévoit que ces identifiants peuvent servir à créer des profils de personnes et à les identifier.

Pourtant, la gestion des cookies est un enjeu essentiel dans le cadre de la mise en conformité RGPD des sites web

En effet, un cookie permettant de collecter des données personnelles, ils entrent dans le champ d’application du RGPD. Ainsi, pour les utiliser en conformité avec le RGPD, les cookies doivent faire l’objet d’une information et d’un recueil de consentement.

Cookie et consentement : obligatoire ?

💡 Certains cookies nécessitent le recueil du consentement, d’autres non. C'est la distinction entre les les cookies strictement nécessaires au fonctionnement du site et les cookies qui ne le sont pas.

Par exemple :  

  • Les cookies indispensables au bon fonctionnement du site sont exemptés de consentement. En effet dans ce cas de figure, le RGPD considère que l'intérêt légitime de l'entreprise est supérieur à la protection de la vie privée des personnes.
  • Les cookies à des fins marketing et de publicité ciblée nécessite le consentement obligatoire, par exemple pour des cookies de consultation du blog.


Toutefois, tous les cookies, même les cookies strictement nécessaires et exempts de consentement, doivent être visibles par l’internaute.

C’est pour cette raison que vous avez besoin d’une politique de cookies. 

💡 Pour plus d’information sur le recueil du consentement aux cookies, c’est ici : Cookies RGPD, comment s’assurer d’être en conformité ?

2- Qu’est-ce qu’une politique de cookies ? 


A partir du moment où votre site web utilise des cookies, vous devez en informer les visiteurs de vos sites web via une politique de cookies.

La politique de cookies informe notamment les internautes sur

  • La manière dont vous utilisez les cookies,
  • Les conséquences de leur refus ou leur acceptation des cookies,  
  • Les possibilités de paramétrage des cookies, 
  • Les données suivies,
  • Les raisons de suivre ces données. 


Grâce à la politique en matière de cookies, le visiteur du site web sait où il met les pieds ! En sachant quels traceurs sont en opération sur votre site internet et pourquoi, il peut prendre une décision éclairée pour les accepter ou non. 

💡 Politique de cookies # politique de confidentialité 

Même si la politique de cookies est parfois intégrée dans la politique de confidentialité, elle s’en distingue. En effet, la politique de cookies ne concerne que l’utilisation des cookies par un site web. En revanche, la politique de confidentialité est généraliste puisqu’elle concerne tous les traitements de données effectués sur le site (formulaires, inscription à une newsletter, commandes etc.).

3- Comment rédiger une politique de cookies conforme au RGPD ? 


Maintenant que vous savez ce que sont les cookies et à quoi cela sert, voyons comment rédiger une politique de cookies.   
Pour commencer, une politique de cookies doit être rédigée sur-mesure. Chaque organisme élabore sa propre politique de cookies en fonction de ses spécificités (type de cookies, finalités des traceurs etc.). Il n’existe pas de modèle universel. Toutefois, les éléments devant être indiqués seront toujours les mêmes. Voyons lesquels ! 

Voici les bonnes pratiques pour rédiger une politique de cookies conforme


1- Lister tous les cookies présents sur le site web 


Comme évoqué, il existe différents types de cookies pouvant être mis en place sur un site web pour collecter des données. 

Pour rédiger votre politique de cookies, vous devez passer en revue tous les traceurs en activité sur votre site web. Indiquez également combien de temps ces traceurs restent sur le navigateur de l’internaute : le temps d’une session, plusieurs semaines, ou encore plusieurs années.  

La politique de cookies est compliquée à rédiger notamment car cet exercice implique de lister tous les cookies. 

Or, ils sont invisibles et vous ne savez généralement pas quels cookies sont en activité sur votre site web.  

De plus, les cookies concernés sont à la fois les cookies propriétaires et ceux configurés par des tiers présents sur votre site web (Third-Party). Les cookies tiers proviennent d’une autre source que le site web lui-même.


Enfin, les cookies sont dynamiques et évoluent souvent, ce qui implique la mise à jour régulière de la politique relative aux cookies. 


Passer en revue tous les cookies sur votre site peut se révéler extrêmement fastidieux. Mais pas de panique, il existe des outils pour ça ! Les générateurs de politique de cookies scannent le site web pour identifier tous les cookies présents (internes et tiers) et en dresser la liste. On peut penser à Cookiebot CMP, Gosthery ou encore Cookie information.  

2- Identifier la finalité des cookies utilisés 

Une fois que vous avez votre liste de cookies, il est essentiel d’en indiquer la finalité. Concrètement, cela revient à indiquer à quoi ils servent, pourquoi vous les utilisez

  • Quelles sont les données tracées ?
  • Quelles sont les catégories d’informations personnelles collectées ?
  • Pourquoi ces données sont-elles collectées : nécessaires pour le fonctionnement du site, analyse d’audience, finalités marketing et publicitaire, etc.)
  • Où ces données sont-elles envoyées ?
  • Qui a accès à ces données ? Les tiers comme Google Analytics y ont-ils accès ? 


🔎 Voici l’exemple d’un tableau intégré dans la politique de cookies de Linkedin. Pour chaque type de cookies (authentification, sécurité, publicité personnalisées, cookies fonctionnels etc), Linkedin : 

  • Liste les cookies, 
  • Décrit leur finalité, 
  • Indique leur durée d’activité,
  • Mentionne par qui ils sont configurés (linkedin ou tiers).  
Exemple de politique des cookies


3- Indiquer la possibilité de refuser les cookies ou de modifier les paramètres 


La politique des cookies doit impérativement comprendre un paragraphe concernant le consentement des utilisateurs. 


Vous devez porter à la connaissance des visiteurs la possibilité d’accepter, de refuser ou de paramétrer les cookies. 


Les visiteurs doivent être en mesure de comprendre les conséquences d’un refus ou d’une acceptation. De plus, s’ils souhaitent modifier les paramètres, ils doivent être en mesure de le faire via des liens vers leurs paramètres et des conseils pour les modifier. 

🔔 Toutes ces informations doivent être rédigées de manière claire, lisible et simple. Évitez le jargon juridique ou technique trop pointu. 



4- Où publier une politique de cookies ?


La politique des cookies fait parfois l’objet d’un chapitre dédié dans la politique de confidentialité. Toutefois, mieux vaut la présenter séparément pour une meilleure visibilité. 

Généralement, on trouve un lien pointant vers la politique en matière de cookies en bas de page des sites web. 


Il est conseillé également de glisser un lien dans un paragraphe relatif aux cookies au moment de collecter le consentement. Un lien pointant sur la page de politique des cookies peut-être inclus dans un formulaire ou sur le bandeau qui s’affiche lorsque les internautes arrivent sur un site pour la première fois. Le formulaire ou la bannière de cookies affiche une information succincte et propose un lien renvoyant vers la page de confidentialité générale ou de gestion des cookies. L’internaute n’a qu’à cliquer pour obtenir plus d’informations. Cependant, la bannière doit déjà présenter suffisamment d'informations pour que l'utilisateur soit en mesure de choisir entre les différentes options offertes : accepter, refuser ou rechercher d'autres informations.    

Dans les pages mentions légales du site web. Incluez un lien vers la politique de confidentialité ou la politique relative aux cookies.  

👋 Psssst ! Besoin d’aide pour gérer vos cookies ?  Avec l'intégration Cookie Information de Leto, maintenez votre conformité au RGPD automatiquement : En savoir plus sur Cookie Information  


👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre