RGPD : mettre en place un consentement granulaire pour les cookies tiers

Pourquoi le consentement granulaire est‑il indispensable ?

Le RGPD impose que chaque traceur installé sur le navigateur d’un visiteur fasse l’objet d’un consentement explicite. Un simple « Accepter tous les cookies » ne suffit plus lorsque l’on veut rester conforme ; il faut offrir à l’internaute la possibilité de choisir les catégories qui le concernent (ex. : publicité, analytique, réseaux sociaux). Cette approche limite les risques de sanctions et renforce la confiance des utilisateurs.

Définir les catégories de cookies

Avant d’implémenter la bannière, il convient de classer les cookies selon leur finalité :

• Essentiels : nécessaires au bon fonctionnement du site (session, panier, authentification). Ils ne requièrent pas de consentement.
• Analytique : collecte de données de navigation pour améliorer l’expérience (Google Analytics, Matomo).
• Publicitaires : ciblage et suivi des campagnes (Google Ads, Facebook Pixel).
• Réseaux sociaux : boutons de partage ou widgets (Twitter, LinkedIn). Une fois cette nomenclature établie, chaque catégorie pourra être activée ou désactivée indépendamment par le visiteur.

Implémentation technique : exemple de script minimal

Le code suivant montre comment charger conditionnellement un script d’analyse uniquement après que l’utilisateur a donné son accord :

<script>
  // Fonction d’initialisation des cookies analytiques
  function initAnalytics(){
    var script = document.createElement('script');
    script.src = 'https://www.googletagmanager.com/gtag/js?id=UA-XXXXXX-X';
    script.async = true;
    document.head.appendChild(script);
    window.dataLayer = window.dataLayer || [];
    function gtag(){dataLayer.push(arguments);}
    gtag('js', new Date());
    gtag('config', 'UA-XXXXXX-X');
  }

  // Lecture du consentement stocké dans le localStorage
  var consent = JSON.parse(localStorage.getItem('cookieConsent')||'{}');
  if (consent.analytics){
    initAnalytics();
  }
</script>

Ce fragment s’appuie sur le localStorage pour mémoriser le choix de l’utilisateur. Le même principe s’applique aux scripts publicitaires ou aux widgets sociaux : ils ne sont ajoutés au DOM que si la catégorie correspondante a été acceptée.

Concevoir l’interface de consentement

L’interface doit être claire et éviter le piège du dark pattern :

• Bouton principal : « Accepter tout » pour les visiteurs qui souhaitent ne pas configurer chaque catégorie.
• Bouton secondaire : « Refuser tout » désactive tous les cookies non essentiels.
• Lien « Paramètres » : ouvre un panneau où chaque catégorie est présentée avec une courte description et une case à cocher.
• Accessibilité : assurer la navigation au clavier, le contraste des couleurs et l’utilisation d’ARIA‑labels. Le texte doit rappeler que les cookies essentiels sont toujours actifs et que le consentement peut être modifié à tout moment via le lien « Gestion des cookies » placé dans le pied de page.

Documentation et audit de conformité

Une fois le mécanisme en place, il faut documenter :

1. La liste exhaustive des cookies utilisés, incluant le nom, le fournisseur, la durée de conservation et la catégorie.
2. Le processus de collecte du consentement (captures d’écran, code source).
3. La procédure de mise à jour du registre des traitements lorsque de nouveaux traceurs sont ajoutés. Un audit interne annuel permet de vérifier que le consentement enregistré correspond bien aux cookies effectivement déployés. En cas de modification, la bannière doit être ré‑affichée aux visiteurs déjà enregistrés.

Conclusion

Le consentement granulaire répond aux exigences du RGPD tout en maintenant la fonctionnalité des services tiers. En classant les cookies, en implémentant un chargement conditionnel et en proposant une interface transparente, vous protégez les données de vos visiteurs et limitez les risques juridiques. La rigueur documentaire complète le dispositif, garantissant une conformité durable et une meilleure expérience utilisateur.