Cookies et traceurs : à quoi servent vraiment les bandeaux RGPD ?

Vous arrivez sur un site, et hop, un bandeau qui surgit. "Acceptez les cookies", "Gérez vos préférences", "Personnalisez votre expérience". Le réflexe est souvent le même : on ferme le truc le plus vite possible et on passe à autre chose. Pourtant, ces bandeaux ont une vraie raison d'être. Le problème, c'est qu'on les a rendus tellement opaques qu'on ne sait plus très bien ce qu'on accepte ni ce qu'on refuse.

Cet article a deux niveaux. D'abord, comprendre ce qui se passe vraiment derrière ces bandeaux quand on est visiteur. Et ensuite, regarder de l'autre côté du miroir : si vous avez vous-même un site, comment faire propre sans tomber dans l'usine à clics.

1. Le bandeau cookie : à quoi ça sert vraiment

Le bandeau n'est pas un caprice européen. Il vient du croisement entre les règles sur les cookies, issues de la directive ePrivacy transposée en droit français dans la loi Informatique et Libertés, et le RGPD, qui a renforcé les exigences autour du consentement depuis 2018. La Cnil et ses homologues européens ont serré la vis sur les sites qui collectent des informations sans prévenir clairement leurs visiteurs.

L'idée de fond est simple : quand un site dépose quelque chose sur votre appareil ou observe votre comportement, vous avez le droit de savoir, et le droit de dire non. Le bandeau, c'est juste la mise en pratique de ce droit.

C'est un peu comme un menu de restaurant qui afficherait enfin la liste complète des ingrédients. Au début, ça paraît lourd. Mais quand on a goûté un plat avec une mauvaise surprise dedans, on est content que la liste existe.

2. Cookies essentiels, cookies de confort, traceurs publicitaires : trois familles à ne pas confondre

Tout n'est pas équivalent derrière le mot "cookie". Il faut distinguer trois grandes familles, parce que la loi les traite différemment.

Les cookies essentiels sont ceux sans lesquels le site ne peut pas fonctionner. Le panier d'achat sur un site marchand, votre session de connexion, la mémorisation du fait que vous avez déjà cliqué sur le bandeau pour ne pas vous le réafficher dix fois. Ceux-là ne demandent pas de consentement, parce qu'ils sont strictement techniques.

Les cookies de confort mémorisent certaines préférences : langue choisie, thème sombre, affichage personnalisé. Selon leur rôle exact, ils peuvent parfois être exemptés de consentement, notamment lorsqu'ils servent à fournir une fonctionnalité expressément demandée par l'utilisateur. Mais dès qu'ils servent à analyser finement le comportement ou à enrichir un profil, on change de catégorie.

Les traceurs publicitaires et les cookies de profilage sont d'une tout autre nature. Ce sont par exemple les cookies de retargeting, qui vous suivent d'un site à l'autre pour reconstituer votre profil et vous afficher la pub la plus efficace possible. Des outils comme Google Analytics ou Meta Pixel impliquent généralement un consentement préalable, car ils ne sont pas strictement nécessaires au fonctionnement du site et peuvent entraîner des traitements ou transferts de données plus sensibles. C'est principalement pour ce type de traceurs non essentiels que le bandeau de consentement existe.

La distinction la plus utile à retenir, c'est celle entre cookie technique du site lui-même et traceur tiers. Un cookie qui sert au site sur lequel vous êtes, c'est rarement un problème. Un cookie qui appartient à une régie publicitaire ou à une plateforme tierce, c'est souvent là que ça se complique.

3. Ce que dit (vraiment) le RGPD

Pas besoin d'être juriste pour comprendre les principes du RGPD. Trois mots suffisent.

• Consentement. Il doit être libre, éclairé, spécifique et révocable. Concrètement : "Tout accepter" en gros bouton vert et "Refuser" caché derrière trois clics, c'est non. Le refus doit être aussi simple que l'acceptation, point.

• Finalité. On collecte une donnée pour un usage précis, qu'on annonce clairement. Pas pour "voir si ça peut servir un jour". Si la finalité change, il faut redemander le consentement.

• Minimisation. On collecte le moins possible, pas le plus possible. Cette idée seule suffit à rendre l'argument "plus on a de données mieux c'est" juridiquement très bancal.

La Cnil a déjà multiplié les mises en demeure et les sanctions sur les cookies, notamment lorsque le refus est plus compliqué que l'acceptation. Le sujet n'est donc plus théorique.

4. Exemple concret : comment iatko.com est construit

Le meilleur moyen de comprendre ce que ça donne en pratique, c'est de regarder un site qui prend ces principes au sérieux. Vous êtes justement en train d'en lire un. Voici ce qu'il y a sous le capot de iatko.com.

Aucun tracker tiers. Pas de Google Analytics. Pas de Meta Pixel. Pas de Tag Manager. Pas même les polices Google Fonts servies depuis leur CDN, qui transmettent votre adresse IP à un service externe à chaque visite. Toutes les polices sont servies directement par iatko.com, pas par un CDN extérieur. Aucun script n'est chargé depuis un domaine tiers.

Cookies du site uniquement. À ce jour, trois cookies, pas un de plus. La session PHP pour vous reconnaître pendant votre navigation, le "se souvenir de moi" si vous vous connectez à votre espace (avec des réglages techniques qui empêchent qu'un autre site puisse y mettre le nez), et un petit cookie qui retient le fait que vous avez cliqué sur le bandeau d'information pour ne pas vous le réafficher à chaque page.

Statistiques avec Matomo en self-hosted. Pour mesurer la fréquentation, on utilise Matomo, hébergé directement avec le site iatko.com, pas sur les serveurs d'un prestataire d'analytics tiers. Configuré sans cookies, avec Do Not Track respecté quand le navigateur l'active, et IP anonymisée. Aucune donnée ne part chez un tiers, jamais.

Conséquence directe : le bandeau de iatko n'est pas un consentement, c'est un simple message d'information. Parce qu'il n'y a rien sur ce site qui exige un consentement. C'est aussi simple que ça.

5. Si vous avez un site, par où commencer ?

D'abord, oublier l'idée reçue "plus on en met, mieux c'est"

C'est l'objection qui revient à chaque fois : "OK, mais si je supprime tout, je perds des données précieuses". Vraiment ?

Pour un gros e-commerce avec un budget publicitaire important, oui, le retargeting et les pixels Meta ou Google ont un retour sur investissement mesurable. Mais pour l'immense majorité des sites vitrines, associations, indépendants et petites structures, c'est souvent faux. Et ce pour plusieurs raisons.

Les données ne sont presque jamais exploitées. La plupart des éditeurs ne regardent leur Google Analytics que pour le nombre de visiteurs et la page la plus consultée. Matomo seul donne déjà tout ça.

Plus le bandeau est lourd, plus le taux de refus monte. Quand le consentement est honnête, une part importante des visiteurs refuse les traceurs. Vous pouvez donc vous retrouver avec des statistiques partielles, parfois moins utiles qu'un outil sobre configuré proprement.

Les visiteurs qui refusent peuvent aussi être parmi les plus qualifiés : technophiles, décideurs, journalistes, professionnels sensibles à ces sujets. Vous pilotez alors votre site avec une vue déformée, sans même le savoir.

Chaque tracker chargé ralentit le site. Le SEO en pâtit, le taux de rebond aussi.

L'exposition juridique grandit avec chaque outil ajouté. Et un visiteur qui voit quarante-sept cases à cocher à l'arrivée part avant d'avoir lu votre page d'accueil.

Les bons réflexes pratiques

Si vous éditez un site, voici une petite check-list qui couvre déjà l'essentiel.

• Auditer tous les scripts externes. Des outils en ligne comme Blacklight ou Webbkoll listent en quelques secondes tout ce que votre site charge depuis l'extérieur. C'est souvent une révélation.

• Remplacer Google Analytics. Matomo, Plausible, Umami : trois alternatives sérieuses. En version self-hosted, elles permettent de garder la maîtrise des données, sans les envoyer à une régie publicitaire ou à une plateforme d'analyse tierce.

• Héberger soi-même les polices et les scripts. Pour la plupart des sites vitrines, peu d'intérêt à laisser fuiter l'IP de vos visiteurs vers un CDN extérieur. Les CDN ont une vraie valeur pour les très gros sites internationaux, beaucoup moins pour un site de quartier.

• Bandeau honnête. "Refuser" doit être aussi visible que "Accepter". Pas de bouton caché, pas de couleur fade pour décourager le refus.

• Page "Politique de cookies" claire. Listez les cookies posés, leur durée, leur finalité. Mettez-la à jour à chaque changement.

• Tester avec les outils de la Cnil. Le site officiel propose des outils gratuits pour vérifier la conformité de son propre site.

Conclusion

Un site qui respecte la vie privée n'est pas un handicap, c'est un signal de sérieux qui rassure. Pour le visiteur, refuser les traceurs n'est pas un caprice, c'est un droit. Pour l'éditeur, faire propre dès le départ coûte beaucoup moins cher que rattraper plus tard.

Chez iatko, nous concevons des sites web en partant exactement de cette logique : sobriété, performance et respect de la vie privée par défaut. Si vous voulez un audit de votre site existant ou la refonte d'un site qui vous ressemble, n'hésitez pas à nous contacter.