Veracly
Scan gratuit
GDPR

Qu’est-ce qu’un audit RGPD des cookies ? (Et comment le réussir en 2026)

Un audit RGPD vérifie le consentement avant tout cookie ou tracker non essentiel. Voici ce que la CNIL regarde, les défaillances les plus fréquentes, et comment passer.

Par Veracly Compliance Team8 min de lecture

Le RGPD a huit ans, et la défaillance la plus fréquente sur les sites PME reste la bannière de cookies. Toutes les autorités européennes en ont publié la doctrine ; la plupart ont déjà sanctionné. Le seuil n’est pas haut — il est juste précis.

Un audit RGPD des cookies est la vérification structurée qui dit si votre site survivrait à un contrôle CNIL, ICO, Garante, AEPD ou DPC. Cet article décrit ce que fait l’audit, les règles qu’il applique, et les défaillances que nous voyons le plus.

La base légale, en clair

Deux textes s’appliquent. La directive ePrivacy (article 5(3)) impose un consentement avant que toute information non strictement nécessaire ne soit stockée ou lue sur le terminal. Le RGPD définit ce qu’est un consentement valide (article 4(11), article 7) : libre, spécifique, éclairé, univoque, et révocable aussi facilement qu’il a été donné.

Ce que l’audit vérifie, étape par étape

1. Capture réseau au premier chargement

L’audit visite votre site en visiteur frais et enregistre chaque cookie posé, chaque écriture localStorage et chaque requête réseau déclenchée avant que l’utilisateur n’interagisse avec la bannière. Tout ce qui n’est pas strictement nécessaire ici est une infraction.

2. Inventaire cookies vs. politique publiée

L’audit liste chaque cookie posé et le compare à votre politique cookies. La politique doit déclarer chacun — finalité, durée, première/tierce partie. La CNIL lit ces pages.

3. Conception de la bannière

  • Boutons Accepter et Refuser de poids égal sur la première couche. Une bannière qui cache « Refuser » dans un lien réglages est non conforme. CNIL : Google 150 M€, Facebook 60 M€ pour exactement cela.
  • Aucune case pré-cochée.
  • Catégories granulaires. Un seul bouton « tout accepter » ne suffit plus.
  • Retrait aussi simple que le consentement — un lien « Cookies » persistant en pied de page.
  • Pas de dark patterns. Pas de compte à rebours, pas de « la poursuite vaut consentement », pas d’« intérêt légitime » pour la publicité.

4. Preuve du consentement

Le RGPD exige que vous puissiez prouver, pour chaque visiteur, le consentement et son périmètre. Une CMP moderne le fait ; les bannières maison presque jamais.

5. Comportement des scripts tiers

L’audit recharge la page après « Accepter », après « Refuser » et après un consentement partiel pour vérifier que les scripts respectent le choix. Erreur fréquente : un script qui charge quand même après « Refuser », souvent à cause d’un tag manager mal configuré.

Les défaillances les plus fréquentes sur les PME

Meta Pixel qui se déclenche au pageload. Le snippet par défaut tombe dans <head> et part immédiatement. En UE, c’est une infraction à chaque visite.

Google Analytics sans consent gate. Consent Mode v2 n’est pas configuré chez la plupart des PME.

Hotjar/Microsoft Clarity/Hubspot enregistrent avant le consentement. Les session-recorders capturent les saisies — sans consentement, infraction ePrivacy claire.

« En poursuivant la navigation vous acceptez ». Refusé par toutes les autorités. À remplacer aujourd’hui.

Comment passer l’audit

  1. Installer une vraie CMP qui consigne le consentement (Cookiebot, Axeptio, Didomi, OneTrust, Iubenda).
  2. Mettre tout analytics, publicité, recording derrière le consent gate.
  3. Bannière à boutons équilibrés, sans cases pré-cochées, avec toggles granulaires.
  4. Lien « Cookies » persistant en pied de page.
  5. Régénérer la politique cookies pour qu’elle reflète la réalité.
  6. Refaire l’audit sur les chemins Accepter et Refuser.

La conformité cookies se casse en silence. Marketing ajoute un tag, un dev branche un chat, un tiers met à jour son script. Le seul schéma qui marche pour PME : audit de base, corrections, puis scans hebdomadaires qui diffent l’inventaire.

C’est exactement ce que fait Veracly — scan de base gratuit, puis monitoring continu avec alerte de diff. Lancer un scan.

Questions fréquentes

Qu’est-ce qu’un audit RGPD des cookies ?+

Un audit RGPD des cookies est la vérification que le consentement est recueilli avant tout cookie ou tracker non essentiel. Il capture le trafic réseau au tout premier chargement, inspecte chaque cookie et compare l’inventaire à la politique cookies publiée.

Quels cookies nécessitent un consentement ?+

Les cookies strictement nécessaires (session, sécurité, équilibrage de charge, mémorisation du consentement) n’en ont pas besoin. Tous les autres si — analytics, publicité, personnalisation, A/B testing, enregistrement de session, et tout widget tiers qui pose ses propres cookies.

GA4 est-il conforme au RGPD par défaut ?+

Non. GA4 exige un consentement explicite en UE avant qu’aucune donnée ne quitte le navigateur, IP anonymisée, et stockage UE quand disponible. La CNIL et le Garante italien ont jugé certaines configurations GA4 illicites. Le Consent Mode v2 est requis.

Quelle est l’amende pour une bannière non conforme ?+

Variable. La CNIL a infligé 60 M€ (Google), 40 M€ (Meta) et 600 000 € à des acteurs plus petits. Le montant dépend du chiffre d’affaires et du volume de visiteurs concernés.

Voyez où en est votre site.

Lancez un scan Veracly gratuit et obtenez un rapport multi-juridictions — EAA, RGPD, ADA, UK Equality Act, AODA — avec des correctifs prêts à coller pour les développeurs.

Lancer un scan gratuit

À lire aussi