Cookies tiers : ce qui change en 2026 et comment se conformer

Le paysage des cookies tiers est en pleine mutation. Entre la fin annoncée des cookies tiers sur Chrome, les positions de plus en plus strictes de la CNIL et les sanctions qui se multiplient, il est essentiel de comprendre ce qui change et comment adapter votre site web. Ce guide fait le point sur la situation actuelle et vous donne les clés pour rester conforme.

Qu'est-ce qu'un cookie tiers ?

Un cookie tiers est un cookie déposé par un domaine différent de celui du site que vous visitez. Contrairement aux cookies first-party (déposés par votre propre site), les cookies tiers servent principalement au suivi inter-sites et à la publicité ciblée.

Exemples concrets de cookies tiers sur votre site :

• Google Analytics : les cookies _ga, _gid permettent de suivre les visiteurs à travers différents sites utilisant GA
• Facebook Pixel : le cookie _fbp permet à Meta de suivre vos visiteurs sur l'ensemble du web
• Boutons de partage social : les widgets Facebook, Twitter, LinkedIn déposent des cookies de suivi
• Vidéos YouTube intégrées : le lecteur YouTube dépose des cookies publicitaires Google
• Widgets de chat : certains outils comme Intercom ou Drift utilisent des cookies tiers
• Publicités : Google Ads, Criteo, et toutes les régies publicitaires

Ce qui change en 2025-2026

La dépréciation progressive sur Chrome

Après plusieurs reports, Google a finalement lancé la dépréciation des cookies tiers sur Chrome. Ce navigateur représente environ 65% du marché en France. Safari et Firefox bloquent déjà les cookies tiers par défaut depuis plusieurs années.

Concrètement, cela signifie que même sans intervention de votre part, de nombreux cookies tiers sur votre site cesseront de fonctionner pour une part croissante de vos visiteurs.

Les positions renforcées de la CNIL

La CNIL a considérablement durci sa position ces dernières années :

• Mise en demeure de 2021 : la CNIL a mis en demeure plusieurs sites pour utilisation de Google Analytics sans garanties suffisantes pour les transferts de données vers les USA
• Recommandations cookies 2020 (toujours en vigueur) : le simple scroll ne vaut pas consentement, refuser doit être aussi facile qu'accepter
• Sanctions 2024-2026 : multiplication des amendes pour dépôt de cookies sans consentement préalable, y compris pour des PME

Les sanctions récentes

Les amendes pour non-conformité sur les cookies se sont multipliées :

• Criteo : 40 millions d'euros pour défaut de consentement et manque de transparence
• Microsoft Ireland : 60 millions d'euros pour les cookies publicitaires de Bing
• Nombreuses PME : amendes entre 5 000 et 100 000 euros pour bannière non conforme ou dépôt sans consentement

Le message est clair : la CNIL contrôle activement et sanctionne, quelle que soit la taille de l'entreprise.

Comment se mettre en conformité

Étape 1 : Inventorier vos cookies

Avant toute chose, vous devez savoir exactement quels cookies votre site dépose. Pour chaque cookie, identifiez :

• Son nom et son domaine d'origine
• Sa finalité précise (analytics, publicité, fonctionnel, etc.)
• Sa durée de vie
• S'il s'agit d'un cookie first-party ou third-party
• Le sous-traitant concerné

Utilisez les outils de développement de votre navigateur (onglet Application > Cookies) ou un scanner de cookies automatisé pour dresser cet inventaire.

Étape 2 : Mettre en place une bannière conforme

Votre bannière de consentement doit respecter les recommandations CNIL :

• Présenter clairement les finalités des cookies
• Offrir un bouton "Refuser tout" au même niveau que "Accepter tout"
• Ne déposer aucun cookie non essentiel avant le choix de l'utilisateur
• Permettre un choix granulaire par catégorie
• Conserver la preuve du consentement
• Permettre le retrait du consentement à tout moment
• Renouveler la demande tous les 13 mois maximum

Étape 3 : Bloquer les scripts avant consentement

C'est le point technique le plus important et le plus souvent raté. Il ne suffit pas d'afficher une bannière : vous devez techniquement empêcher l'exécution des scripts de tracking tant que l'utilisateur n'a pas consenti.

Cela implique :

• Modifier les balises <script> pour qu'elles ne se chargent pas par défaut
• Utiliser un mécanisme de type type="text/plain" avec activation conditionnelle
• Configurer Google Tag Manager en mode consentement (Consent Mode v2)
• Vérifier avec les outils de développement qu'aucune requête n'est envoyée avant le clic

Étape 4 : Trouver des alternatives conformes

Pour chaque service tiers, évaluez s'il existe une alternative plus respectueuse :

| Service actuel | Alternative conforme | Avantage | |---|---|---| | Google Analytics | Matomo (self-hosted), Plausible, Fathom | Pas de cookies tiers, données en Europe | | YouTube embeds | youtube-nocookie.com | Pas de cookies avant lecture | | Google Fonts | Héberger les polices localement | Zéro requête externe | | Facebook Pixel | API Conversions (server-side) | Contrôle des données envoyées | | Google Maps embed | Carte statique ou OpenStreetMap | Pas de cookies Google |

Le cas spécifique de Google Analytics 4

GA4 reste soumis au consentement malgré les affirmations de Google. La CNIL a clairement indiqué que :

• GA4 dépose toujours des cookies qui permettent le suivi des utilisateurs
• Le simple passage à GA4 ne dispense pas du recueil du consentement
• L'anonymisation IP (par défaut dans GA4) ne suffit pas à rendre le traitement exempt de consentement
• Le mode "consentement" de GA4 (données modélisées) doit être configuré correctement

Si vous souhaitez utiliser GA4, vous devez :

1. Configurer le Consent Mode v2 correctement
2. Ne charger le script qu'après consentement explicite
3. Documenter le traitement dans votre registre
4. Mentionner le transfert éventuel vers les USA dans votre politique de confidentialité

Checklist de conformité cookies

Utilisez cette checklist pour vérifier que votre site est conforme :

• [ ] Inventaire complet de tous les cookies et traceurs
• [ ] Bannière avec bouton "Refuser" visible et accessible
• [ ] Aucun cookie non essentiel déposé avant consentement
• [ ] Politique cookies détaillée et à jour
• [ ] Durée de validité du consentement limitée à 13 mois
• [ ] Possibilité de retirer son consentement facilement
• [ ] Preuve du consentement stockée
• [ ] Google Fonts hébergé localement (si utilisé)
• [ ] Embeds YouTube en mode no-cookie (si utilisé)
• [ ] Google Analytics configuré avec Consent Mode (si utilisé)
• [ ] Registre des traitements à jour avec les cookies documentés
• [ ] Contrats DPA signés avec les fournisseurs de cookies tiers

L'avenir sans cookies tiers

La disparition des cookies tiers ne signifie pas la fin du suivi. De nouvelles technologies émergent :

• Privacy Sandbox (Google) : Topics API, Attribution Reporting, Protected Audiences
• Server-side tracking : le suivi se déplace côté serveur, plus difficile à détecter
• Fingerprinting : technique interdite par le RGPD mais encore utilisée par certains acteurs
• First-party data : les données collectées directement auprès de vos utilisateurs deviennent stratégiques

Quelle que soit la technologie utilisée, le principe reste le même : tout traitement de données personnelles nécessite soit un consentement, soit une base légale valide. Les règles du RGPD s'appliquent indépendamment de la technique employée.