Retour au blogActualites

Comprendre les cookies : fonctionnement technique et cadre juridique

25 novembre 202511 min de lecture

Les Sables Web

Fondateur, Les Sables Web

RGPDSecuriteJavaScript

Introduction

Depuis l'entrée en vigueur du RGPD en 2018 et la directive ePrivacy, les bandeaux de consentement aux cookies sont omniprésents sur le web. Pourtant, la majorité des internautes cliquent sur « Accepter » sans comprendre ce que sont réellement les cookies ni pourquoi ils font l'objet d'une telle réglementation.

Cet article démystifie les cookies sous leur double aspect : technique et juridique.

Un cookie est un petit fichier texte (4 Ko maximum) stocké par le navigateur sur l'ordinateur de l'utilisateur à la demande d'un site web. Il a été inventé en 1994 par Lou Montulli, ingénieur chez Netscape, pour résoudre un problème fondamental : HTTP est un protocole sans état (stateless).

Sans cookies, le serveur ne peut pas savoir que deux requêtes successives proviennent du même utilisateur. Chaque chargement de page serait comme une première visite.

Un cookie contient plusieurs attributs :

Set-Cookie: session_id=abc123;
  Domain=example.com;
  Path=/;
  Expires=Thu, 01 Jan 2027 00:00:00 GMT;
  Secure;
  HttpOnly;
  SameSite=Lax
Attribut Rôle
Nom=Valeur L'information stockée
Domain Le domaine autorisé à lire le cookie
Path Le chemin sur lequel le cookie est valide
Expires / Max-Age La durée de vie du cookie
Secure Cookie transmis uniquement en HTTPS
HttpOnly Cookie inaccessible au JavaScript
SameSite Contrôle l'envoi cross-site (Strict, Lax, None)

Les différents types de cookies

Par durée de vie

Cookies de session :

  • Supprimés à la fermeture du navigateur
  • Pas d'attribut Expires ni Max-Age
  • Usage typique : maintenir une session de connexion

Cookies persistants :

  • Conservés jusqu'à leur date d'expiration
  • Survivent à la fermeture du navigateur
  • Usage typique : préférences de langue, panier d'achat

Par origine

Cookies first-party (propriétaires) :

  • Déposés par le site que vous visitez
  • Le domaine du cookie correspond à la barre d'adresse
  • Exemple : le cookie de session de votre banque en ligne

Cookies third-party (tiers) :

  • Déposés par un domaine différent de celui que vous visitez
  • Typiquement des scripts publicitaires, boutons de partage social, pixels de tracking
  • Exemple : un cookie Facebook déposé sur un site d'actualités

Les cookies third-party sont au cœur du débat sur la vie privée. Google Chrome prévoit de limiter leur accès via son initiative Privacy Sandbox, après avoir renoncé à les supprimer totalement en 2024.

Les alternatives aux cookies

Web Storage API

  • localStorage : stockage persistant jusqu'à suppression manuelle (environ 5 Mo)
  • sessionStorage : stockage limité à l'onglet en cours

Contrairement aux cookies, ces données ne sont jamais envoyées au serveur automatiquement. Elles sont uniquement accessibles en JavaScript.

IndexedDB

Base de données côté client plus puissante (pas de limite de taille pratique), utilisée pour les applications web complexes et le mode hors-ligne.

Fingerprinting

Technique d'identification sans cookie basée sur les caractéristiques du navigateur (résolution, polices installées, version du navigateur, etc.). Plus difficile à bloquer mais considérée comme plus intrusive.

Le cadre juridique en Europe

Le RGPD (2018)

Le Règlement Général sur la Protection des Données s'applique aux cookies qui traitent des données personnelles. Il impose :

  1. Base légale : le traitement doit reposer sur le consentement, l'intérêt légitime ou l'exécution d'un contrat
  2. Information : l'utilisateur doit être informé de la finalité de chaque cookie
  3. Droit d'accès et de suppression : l'utilisateur peut demander la liste et la suppression de ses données
  4. Minimisation : ne collecter que les données nécessaires

La directive ePrivacy

Spécifique aux communications électroniques, elle impose le consentement préalable pour le dépôt de cookies, sauf exceptions.

Les cookies exemptés de consentement

Selon les lignes directrices de la CNIL (mises à jour en 2020), certains cookies ne nécessitent pas de consentement :

  • Cookies de session d'authentification
  • Cookies de panier d'achat
  • Cookies de personnalisation de l'interface (langue, affichage)
  • Cookies de mesure d'audience anonymisés (sous conditions strictes)
  • Cookies de répartition de charge (load balancing)

Les cookies nécessitant un consentement

  • Cookies publicitaires et de ciblage
  • Cookies de réseaux sociaux (boutons de partage)
  • Cookies d'analyse comportementale
  • Cookies de personnalisation marketing

Bonnes pratiques pour les développeurs

Sécurité des cookies

  1. Toujours utiliser Secure : empêche la transmission en HTTP non chiffré
  2. Utiliser HttpOnly pour les cookies de session : empêche le vol via XSS
  3. Configurer SameSite=Lax (ou Strict) : protège contre les attaques CSRF
  4. Limiter la durée de vie : un cookie de session n'a pas besoin de durer un an
  5. Ne jamais stocker de données sensibles en clair dans un cookie

Conformité RGPD

  1. Implémenter un bandeau de consentement clair avec acceptation et refus équivalents
  2. Bloquer les cookies non essentiels tant que le consentement n'est pas donné
  3. Permettre le retrait du consentement aussi facilement que son accord
  4. Documenter les cookies utilisés dans une politique de confidentialité
  5. Auditer régulièrement les cookies déposés (des outils comme Cookiebot ou OneTrust automatisent cet audit)

Implémentation technique du consentement

// Vérifier le consentement avant de charger un script tiers
if (hasConsent('analytics')) {
  loadAnalyticsScript()
}

// Stocker le choix de l'utilisateur
function setConsent(category, value) {
  const consent = getStoredConsent()
  consent[category] = value
  consent.timestamp = Date.now()
  localStorage.setItem('cookie_consent', JSON.stringify(consent))
}

L'avenir des cookies

Le paysage évolue rapidement :

  • Fin progressive des cookies tiers : les navigateurs limitent de plus en plus leur portée
  • Privacy Sandbox (Google) : nouvelles API comme Topics, Protected Audience et Attribution Reporting
  • Server-side tracking : déplacement du tracking côté serveur pour contourner les bloqueurs
  • Consent Management Platforms (CMP) : outils standardisés de gestion du consentement

Conclusion

Les cookies restent un mécanisme fondamental du web, mais leur usage est de plus en plus encadré. En tant que développeur ou propriétaire de site, comprendre leur fonctionnement technique et le cadre juridique n'est plus optionnel — c'est une compétence essentielle pour construire des sites respectueux de la vie privée de vos utilisateurs.

Partager :

Articles similaires

Actualites

RGPD et sites web : le guide de conformite sans jargon juridique

Le RGPD concerne tous les sites qui collectent des donnees personnelles. Decouvrez vos obligations concretes : cookies, formulaires, analytics et droits des utilisateurs.

12 min de lectureActualites

No-code : avantages, limites et quand l'utiliser (vraiment)

Bubble, Webflow, Airtable... Les outils no-code promettent de creer sans coder. Mais sont-ils a la hauteur ? Analyse objective des cas ou le no-code excelle et ou il montre ses limites.

11 min de lectureActualites

Securite des mots de passe : ce que tout le monde devrait savoir

Les mots de passe restent la premiere ligne de defense de vos comptes en ligne. Decouvrez les bonnes pratiques, les gestionnaires de mots de passe et l'avenir sans mot de passe.

10 min de lecture
Contact

Parlons de votre projet

Decrivez votre besoin en quelques lignes. Je vous reponds sous 24h avec une premiere analyse et un devis gratuit, sans engagement.

Appelez-moi directement

06 52 84 91 22

En soumettant ce formulaire, vous acceptez que vos donnees soient utilisees pour repondre a votre demande. Aucune donnee n'est partagee avec des tiers. Politique de confidentialite. Ce site est protege par reCAPTCHA et les Regles de confidentialite et Conditions d'utilisation de Google s'appliquent.