Audit Cookies CNIL vs Audit RGPD : Comprendre les Différences

Vous entendez parler d'audit cookies et d'audit RGPD, mais quelle est la différence ? L'un est-il inclus dans l'autre ? Lequel est prioritaire ? Ce guide clarifie les deux approches et vous aide à choisir celle qui correspond à vos besoins.

En résumé : L'audit cookies se concentre uniquement sur les traceurs et le consentement (directive ePrivacy + RGPD). L'audit RGPD est plus large et couvre tous les traitements de données personnelles. Les cookies représentent 68% des sanctions CNIL, c'est donc souvent la priorité.

Audit Cookies + RGPD Complet

Notre outil analyse les deux en 2 minutes

Lancer le Diagnostic Gratuit

Audit Cookies vs Audit RGPD : Le Comparatif

🍪 Audit Cookies CNIL

Focus : Traceurs et consentement

Base légale : Directive ePrivacy + Article 82 Loi Informatique et Libertés

Cookies analytiques (GA, Matomo)
Cookies publicitaires (FB Pixel)
Bandeau de consentement
Mécanisme de refus
Durée de vie des cookies

68% des sanctions CNIL

📋 Audit RGPD Complet

Focus : Tous les traitements de données

Base légale : Règlement UE 2016/679 (RGPD)

Cookies (inclus)
Formulaires et collecte
Politique de confidentialité
Registre des traitements
Droits des personnes
Sécurité des données
Transferts hors UE

100% de la conformité

Critère	Audit Cookies	Audit RGPD
Périmètre	Traceurs uniquement	Tous traitements de données
Réglementation	ePrivacy + LIL art. 82	RGPD (+ ePrivacy pour cookies)
% des sanctions	68%	100%
Complexité	Moyenne	Élevée
Automatisable	Oui (90%)	Partiellement (60%)
Priorité	Haute (risque immédiat)	Haute (conformité globale)

Les Recommandations Cookies de la CNIL

La CNIL a publié des lignes directrices (2020) et des recommandations (mise à jour 2023) très précises sur les cookies. Voici ce que vérifie un audit cookies conforme CNIL :

1. Consentement Préalable

Règle fondamentale : Aucun cookie non essentiel ne doit être déposé avant le consentement de l'utilisateur.

Cela inclut : Google Analytics, Facebook Pixel, YouTube (vidéos intégrées), boutons de partage social, chatbots...

2. Refuser Aussi Simple qu'Accepter

La CNIL exige que :

Un bouton "Refuser" ou "Continuer sans accepter" soit visible au premier niveau
Ce bouton soit aussi visible que le bouton "Accepter" (même taille, même niveau)
Il ne soit pas nécessaire de cliquer sur "Paramétrer" pour refuser

Checklist Bandeau Cookies CNIL

✓ Bouton "Accepter" et "Refuser" au même niveau

✓ Même taille et visibilité pour les deux boutons

✓ Possibilité de paramétrer par catégorie

✓ Information claire sur les finalités

✓ Pas de cases pré-cochées (sauf cookies essentiels)

✓ Croix de fermeture = refus (pas acceptation)

✓ Lien vers la politique cookies

3. Catégories de Cookies

La CNIL distingue plusieurs catégories avec des règles différentes :

Catégorie	Exemples	Consentement Requis ?
Strictement nécessaires	Session, panier, authentification	Non
Préférences	Langue, devise, thème	Recommandé
Analytiques	Google Analytics, Matomo	Oui
Publicitaires	Facebook Pixel, Google Ads	Oui
Réseaux sociaux	Boutons de partage, vidéos	Oui

Exception Matomo : Si Matomo est configuré en mode "exempté CNIL" (pas de transfert de données, durée limitée, anonymisation IP), il peut être utilisé sans consentement. Mais attention : Google Analytics ne bénéficie pas de cette exemption.

4. Durée de Vie et Redemande

Durée des cookies : Maximum 13 mois
Durée du consentement : Maximum 13 mois avant de redemander
Preuve du consentement : Doit être conservée pendant la durée du traitement

Chronologie des Réglementations Cookies

2002

Directive ePrivacy - Première réglementation européenne sur les cookies

2018

RGPD - Le consentement doit être "libre, spécifique, éclairé et univoque"

2020

Lignes directrices CNIL - Fin du "soft opt-in" (scroll = consentement)

2021

Recommandation CNIL - Bouton Refuser obligatoire au premier niveau

2022-2024

Vagues de sanctions - Google 90M€, Facebook 60M€, Carrefour 3M€, Voodoo 3M€...

Les Sanctions Cookies les Plus Célèbres

Entreprise	Amende	Violation
Google	90 000 000 €	Cookies déposés avant consentement + refus difficile
Facebook	60 000 000 €	Bouton Refuser moins visible qu'Accepter
Amazon	35 000 000 €	Cookies publicitaires sans consentement
Microsoft	60 000 000 €	Cookies Bing sans consentement valide
Carrefour	3 000 000 €	Bandeau non conforme sur plusieurs sites
Voodoo	3 000 000 €	Consentement forcé dans apps mobiles

Vérifiez Vos Cookies Maintenant

Diagnostic automatique conforme aux recommandations CNIL

Lancer le Diagnostic Gratuit

Que Vérifie un Audit Cookies Complet ?

Points de Contrôle Techniques

Scan des cookies : Lister tous les cookies déposés (nom, domaine, durée, finalité)
Scripts avant consentement : Vérifier qu'aucun tracker ne se charge avant le clic
Comportement du bandeau : Tester le fonctionnement du bouton Refuser
Persistance du choix : Vérifier que le refus est bien mémorisé
Durée de vie : Contrôler que les cookies respectent la limite de 13 mois

Points de Contrôle UX/Design

Visibilité égale : Boutons Accepter et Refuser de même taille
Couleurs neutres : Pas de "dark patterns" (Accepter vert, Refuser gris)
Information claire : Finalités expliquées simplement
Accessibilité : Bandeau utilisable au clavier, contrastes suffisants

Points de Contrôle Juridiques

Politique cookies : Document dédié ou section dans la politique de confidentialité
Liste des cookies : Tableau avec nom, finalité, durée, tiers
Preuve du consentement : Mécanisme de conservation des preuves

Audit Cookies ou Audit RGPD : Lequel Choisir ?

Commencez par l'audit cookies si :

Vous n'avez jamais fait d'audit
Votre site utilise Google Analytics, Facebook Pixel ou autres traceurs
Vous voulez traiter la priorité n°1 (68% des sanctions)
Vous avez un budget ou temps limité

Passez à l'audit RGPD complet si :

Vos cookies sont déjà conformes
Vous collectez des données via formulaires
Vous avez des comptes utilisateurs
Vous traitez des données sensibles
Vous voulez une conformité globale

Notre recommandation : Faites les deux avec notre outil de diagnostic gratuit qui analyse à la fois les cookies ET les autres points RGPD (politique, formulaires, sécurité) en une seule analyse de 2 minutes.

Les Outils pour Auditer ses Cookies

Outil	Type	Gratuit ?	Points Forts
RGPD Checker	Complet (cookies + RGPD)	Oui	127 points, rapport PDF, français
Cookiebot Scanner	Cookies uniquement	1 page gratuite	Scan détaillé des cookies
BuiltWith	Technos du site	Oui	Détecte les trackers installés
DevTools (F12)	Manuel	Oui	Voir les cookies déposés en temps réel

Questions Fréquentes

Un site sans cookies a-t-il besoin d'un bandeau ?

Non. Si votre site n'utilise aucun cookie (y compris analytics), vous n'avez pas besoin de bandeau. Attention cependant : même un simple bouton YouTube intégré dépose des cookies.

Google Analytics 4 est-il exempt de consentement ?

Non. Contrairement à ce que certains pensent, GA4 nécessite toujours le consentement. Seul Matomo en configuration "exemptée CNIL" peut être utilisé sans consentement, sous certaines conditions strictes.

Puis-je bloquer l'accès au site si l'utilisateur refuse les cookies ?

Non. Le "cookie wall" bloquant totalement l'accès est interdit. Vous pouvez proposer une alternative payante (modèle "cookie wall avec alternative"), mais l'accès gratuit avec refus des cookies doit rester possible pour les contenus non premium.

Le refus de cookies peut-il être mémorisé plus de 13 mois ?

Oui. La limite de 13 mois concerne le consentement (acceptation). Le refus peut être mémorisé plus longtemps pour éviter de redemander à chaque visite.

Ressources Complémentaires

Diagnostic RGPD Gratuit - Analysez cookies + RGPD
Checklist Audit RGPD (40 points)
Exemples de Violations Détectées
Amendes RGPD en France
CNIL - Cookies et traceurs (officiel)