EntrepriseRGPD & conformité

Politique de gestion des cookies

La politique de cookies informe les visiteurs de votre site des traceurs déposés sur leur terminal et de la manière d'y consentir ou de s'y opposer. Rédigez la vôtre en quelques minutes — et maîtrisez chaque exigence grâce à ce guide complet, à jour du droit français.

Auteur
Rédigé et vérifié par LinealStart
Dernière mise à jour
Mis à jour le 11 juin 2026
Temps de personnalisation
~5 min pour personnaliser
Temps de lecture du guide
14 min de lecture
  • Conforme au droit français
  • PDF et Word à votre nom
  • Sans filigrane

Aperçu du document

Voici à quoi ressemble votre document, rempli avec un exemple. Le vôtre sera rédigé à partir de vos réponses.

POLITIQUE DE GESTION DES COOKIES

Acme SAS (https://www.acme-test.fr) — mise à jour le 2 juillet 2026

1. Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier déposé sur votre terminal (ordinateur, smartphone, tablette) lors de votre visite sur un site web. Il permet de reconnaître le visiteur d'une session à l'autre, de mémoriser ses préférences, d'analyser son comportement ou de personnaliser l'expérience. Les cookies peuvent être déposés par l'éditeur du site (cookies « propriétaires ») ou par des tiers (cookies « tiers »). Cette politique couvre également les autres traceurs (pixels, identifiants stockés en local, fingerprinting) au sens de l'article 82 de la loi Informatique et Libertés.

2. Catégories de cookies utilisés

Découvrez la suite en créant votre document

Créer mon document
Infographie : Politique de gestion des cookies — points clés, durée de personnalisation et nombre de références juridiques
Politique de gestion des cookies en bref — l'essentiel à retenir

Qu'est-ce qu'une politique de gestion des cookies ?

La politique de gestion des cookies est le document d'information qui explique aux internautes quels traceurs sont déposés sur leur terminal lorsqu'ils consultent un site web ou une application, à quoi ces traceurs servent, qui les dépose et comment chacun peut accepter, refuser ou retirer son consentement.

Un cookie est un petit fichier enregistré sur l'ordinateur, le smartphone ou la tablette du visiteur. Il permet de le reconnaître d'une session à l'autre, de mémoriser ses préférences, de mesurer la fréquentation du site ou de lui adresser de la publicité ciblée. Le cadre juridique ne vise toutefois pas que les seuls cookies : il couvre tous les « traceurs », c'est-à-dire toute opération d'accès ou d'inscription d'informations dans le terminal d'un utilisateur — pixels invisibles, identifiants stockés en local, empreinte d'appareil (fingerprinting), SDK applicatifs.

Cette obligation d'information et de consentement repose sur l'article 82 de la loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés), qui transpose la directive 2002/58/CE dite « ePrivacy ». Lorsqu'un traceur entraîne par ailleurs un traitement de données personnelles, le RGPD (UE) 2016/679 s'applique en complément : le consentement doit alors répondre aux exigences de ses articles 4 (point 11) et 7 — libre, spécifique, éclairé et univoque.

Une politique distincte de la politique de confidentialité

La politique de cookies se concentre sur les traceurs et leur consentement ; la politique de confidentialité décrit l'ensemble des traitements de données personnelles et les droits des personnes. Les deux documents se complètent et peuvent se renvoyer mutuellement, mais ne se substituent pas l'un à l'autre.

À quoi sert ce document et qui est concerné ?

La politique de cookies remplit une double fonction : elle informe l'internaute de manière claire et complète, et elle constitue la preuve de votre conformité en cas de contrôle. Associée à un bandeau de recueil du consentement correctement paramétré, elle vous permet de démontrer que les traceurs non essentiels ne sont déposés qu'après une action positive de l'utilisateur, et que le refus est aussi simple que l'acceptation.

Qui doit publier une politique de cookies ?

Tout éditeur de site ou d'application

Dès qu'un site ou une application dépose ou lit un traceur non strictement nécessaire (mesure d'audience non exemptée, publicité, réseaux sociaux), l'éditeur doit informer les visiteurs et recueillir leur consentement.

Les commerçants en ligne

Boutiques e-commerce, places de marché, sites de réservation : panier et session relèvent des cookies essentiels, mais le retargeting, les pixels publicitaires et les outils de personnalisation exigent une politique et un consentement.

Les éditeurs de contenu et médias

Blogs, sites d'actualité, plateformes vidéo : la régie publicitaire, les boutons de partage et les lecteurs tiers déposent des traceurs soumis à information et consentement.

Les responsables et leurs sous-traitants

L'éditeur reste responsable de l'information, même lorsque les traceurs proviennent de partenaires tiers (analytics, publicité). La politique doit nommer ces tiers et leurs finalités.

Sites destinés à un public français ou européen

L'obligation s'applique dès lors que votre site cible des internautes en France ou dans l'Union européenne, quel que soit le lieu d'hébergement ou le siège de votre société. La CNIL est compétente pour les sites visant le public français.

Les catégories de cookies à distinguer

Toute la conformité repose sur une distinction essentielle : certains traceurs sont exemptés de consentement, d'autres non. Votre politique doit présenter clairement chaque catégorie, sa finalité et son régime juridique.

Cookies strictement nécessaires

Indispensables au fonctionnement du service demandé : authentification, panier d'achat, mémorisation du choix de consentement, équilibrage de charge, sécurité anti-fraude. Ils sont exemptés de consentement (article 82 de la loi du 6 janvier 1978), mais doivent quand même être mentionnés.

Cookies fonctionnels

Mémorisation de préférences (langue, affichage, région). Soumis à consentement, sauf lorsqu'ils sont strictement nécessaires à un service expressément demandé par l'utilisateur.

Cookies de mesure d'audience

Statistiques de fréquentation. Le consentement est requis, sauf si l'outil respecte la configuration « exemptée » recommandée par la CNIL : finalité limitée à la mesure d'audience, anonymisation de l'IP, absence de croisement et de transmission à des tiers, durée de vie ≤ 13 mois.

Cookies publicitaires

Ciblage, retargeting, mesure des campagnes, partage avec des régies. Le consentement préalable est toujours obligatoire : aucune exemption n'existe. Chaque finalité et chaque tiers destinataire doivent être identifiés.

Traceurs de réseaux sociaux

Boutons de partage et widgets intégrés (vidéos, fils sociaux) déposent fréquemment des traceurs tiers dès le chargement de la page. Mieux vaut les charger en différé, après consentement, plutôt qu'au premier affichage.

Cookies tiers

Déposés par un autre domaine que celui visité (partenaires, prestataires). Vous restez responsable de l'information les concernant et devez préciser leur finalité et l'identité du tiers.

Le recueil du consentement : les règles d'or

Une politique de cookies bien rédigée ne suffit pas : elle doit s'appuyer sur un mécanisme de consentement conforme. Les lignes directrices et la recommandation CNIL du 17 septembre 2020 fixent des exigences précises, régulièrement sanctionnées en cas de manquement.

  • Le consentement doit être préalable : aucun traceur non essentiel ne peut être déposé avant l'action positive de l'internaute. La simple poursuite de la navigation ne vaut pas consentement.
  • Le refus doit être aussi simple que l'acceptation : un bouton « Refuser » (ou « Continuer sans accepter ») doit figurer dès le premier niveau du bandeau, aussi visible et accessible que le bouton « Accepter ».
  • Le consentement doit être granulaire : l'internaute doit pouvoir consentir finalité par finalité, et non par un choix global imposé.
  • Le consentement doit être éclairé : avant tout choix, l'utilisateur est informé des finalités, des responsables et des tiers concernés, ainsi que de la possibilité de retirer son choix.
  • Le retrait du consentement doit être aussi facile que son recueil : un lien permanent (par exemple « Gérer mes cookies » en pied de page) permet de revoir ses choix à tout moment.
  • La preuve du consentement doit pouvoir être apportée : conservez un horodatage et la trace des choix exprimés.

Les designs trompeurs sont sanctionnés

Les « dark patterns » — bouton « Accepter » coloré face à un refus caché en troisième niveau, formulation culpabilisante, case pré-cochée — sont contraires aux lignes directrices CNIL (délibération n° 2020-091) et ont donné lieu à des sanctions financières importantes. Refus et acceptation doivent être symétriques.

Mesure d'audience : l'exemption sous conditions strictes

Beaucoup d'éditeurs souhaitent suivre leur fréquentation sans imposer un bandeau de consentement. C'est possible, mais à des conditions cumulatives définies par la recommandation « mesure d'audience » de la CNIL du 17 septembre 2020.

  • La finalité du traceur est strictement limitée à la mesure d'audience (statistiques anonymes, amélioration de l'ergonomie), à l'exclusion de toute autre exploitation.
  • Les données collectées ne sont pas recoupées avec d'autres traitements ni transmises à des tiers.
  • L'adresse IP est anonymisée (par exemple tronquée) avant tout stockage.
  • La durée de vie du cookie n'excède pas 13 mois et n'est pas prolongée automatiquement à chaque visite ; les données collectées ne sont pas conservées au-delà de 25 mois.
  • L'utilisateur conserve un droit d'opposition, simple à exercer, même en l'absence de bandeau bloquant.

Un Google Analytics standard n'est pas exempté

Un outil configuré « par défaut », qui croise des données ou transmet l'IP non anonymisée, redevient soumis au consentement préalable. À l'inverse, un outil sans cookie comme Plausible, ou un Matomo configuré en mode exempté, peut fonctionner sans bandeau bloquant.

Comment rédiger votre politique de cookies, étape par étape

Notre assistant vous guide question après question pour produire une politique complète et conforme. Voici les informations à préparer :

  1. 1Identifiez l'éditeur du site : dénomination sociale, forme juridique, siège, et l'adresse du site concerné (URL).
  2. 2Indiquez un point de contact RGPD : adresse e-mail du délégué à la protection des données (DPO) ou du responsable joignable pour toute question relative aux cookies.
  3. 3Listez vos outils de mesure d'audience et précisez s'ils sont configurés en mode exempté ou soumis au consentement.
  4. 4Recensez vos outils publicitaires éventuels (régie, pixels, retargeting) en nommant précisément chaque tiers et la finalité associée.
  5. 5Mentionnez les boutons et widgets de réseaux sociaux, en privilégiant un chargement différé après consentement.
  6. 6Fixez la durée de conservation du choix de l'utilisateur (la CNIL recommande de l'ordre de 6 mois) et la durée de vie maximale des cookies (13 mois au plus).
  7. 7Renseignez la date de mise à jour de la politique, et republiez-la à chaque évolution de vos traceurs.

Un document à votre nom

Vous obtenez un PDF (et un format Word éditable) sans filigrane ni mention de la plateforme, conservé dans votre coffre-fort, prêt à être publié sur votre site et à être mis à jour quand vos traceurs évoluent.

Les mentions essentielles de votre politique

Pour informer valablement l'internaute, votre politique doit comporter un socle d'informations claires et accessibles. Voici les points incontournables.

Définition d'un cookie et des traceurs

Expliquer en langage simple ce qu'est un cookie et que le document couvre aussi les autres traceurs (pixels, stockage local, fingerprinting) au sens de l'article 82.

Identité du responsable

Préciser l'éditeur du site (dénomination, forme, siège) qui dépose les cookies propriétaires, et signaler l'existence de cookies tiers.

Catégories et finalités

Détailler chaque catégorie (nécessaires, fonctionnels, mesure d'audience, publicité, réseaux sociaux) avec sa finalité concrète et son régime de consentement.

Modalités de consentement et de refus

Décrire le bandeau, la possibilité d'accepter, de refuser ou de personnaliser, et le lien permanent permettant de revoir ses choix.

Durées de conservation

Indiquer la durée de mémorisation du choix de l'internaute et la durée de vie maximale des cookies (13 mois), conformément à la recommandation CNIL.

Droits et coordonnées de contact

Rappeler les droits RGPD (accès, opposition, effacement, retrait du consentement), donner l'e-mail de contact RGPD ou du DPO et mentionner le droit de réclamation auprès de la CNIL.

Les erreurs à éviter

Déposer les traceurs avant le choix

Charger les cookies analytics ou publicitaires dès l'arrivée sur la page, avant l'action de l'internaute, vide le consentement de sa substance et constitue le manquement le plus fréquemment sanctionné.

Cacher ou compliquer le refus

Un bouton « Refuser » absent du premier niveau, grisé ou noyé dans les réglages rompt la symétrie exigée : le refus doit être aussi simple que l'acceptation.

Dépasser les 13 mois

Fixer une durée de vie de cookie supérieure à 13 mois, ou la prolonger automatiquement à chaque visite, est non conforme. Les informations issues du traceur ne doivent pas être conservées au-delà de 25 mois.

Croire la mesure d'audience toujours exemptée

L'exemption suppose une configuration stricte (anonymisation IP, pas de croisement ni de transmission). Un outil standard non bridé redevient soumis au consentement.

Rester vague sur les outils publicitaires

Une mention « publicité » sans nommer les outils (Google Ads, Meta Pixel, TikTok Pixel…) ni les finalités prive l'information de sa valeur et fragilise le consentement recueilli.

Oublier de mettre à jour la politique

Ajouter un nouvel outil sans actualiser la politique ni redemander le consentement crée un décalage entre vos traceurs réels et l'information publiée.

Politique de cookies, confidentialité ou DPA : quelles différences ?

Ces documents de conformité RGPD répondent à des obligations distinctes. Les confondre conduit souvent à des manques. Voici comment les situer :

CritèrePolitique de cookiesPolitique de confidentialitéContrat de sous-traitance (DPA)
ObjetTraceurs déposés sur le terminalEnsemble des traitements de données personnellesEncadrement de la sous-traitance de données
DestinataireVisiteurs du site / de l'applicationPersonnes concernées (clients, prospects)Responsable de traitement et sous-traitant
Fondement principalArt. 82 loi du 6 janvier 1978, ePrivacyRGPD, art. 13 et 14RGPD, art. 28
ConsentementRequis pour les traceurs non essentielsSelon la base légale du traitementNon applicable (relation entre acteurs)
Lien entre euxRenvoie à la politique de confidentialitéPeut intégrer une section cookiesDocument contractuel séparé
Tableau comparatif — Politique de cookies · Politique de confidentialité · Contrat de sous-traitance (DPA)

Contrôle de la CNIL et conséquences

La gestion des cookies est l'un des axes prioritaires de contrôle de la CNIL. L'autorité procède à des vérifications en ligne, souvent automatisées, et adresse des mises en demeure assorties de délais de mise en conformité.

En cas de manquement persistant, la CNIL peut prononcer des sanctions sur le fondement de l'article 82 de la loi Informatique et Libertés. Plusieurs sanctions financières de plusieurs dizaines, voire centaines de millions d'euros, ont été infligées à de grands acteurs du numérique pour des bandeaux ne permettant pas de refuser aussi simplement que d'accepter, ou pour des traceurs déposés sans consentement préalable.

Une mise en conformité avant tout opérationnelle

La politique de cookies est la vitrine juridique de votre dispositif, mais la conformité se joue surtout dans le paramétrage réel : ordre de dépôt des traceurs, symétrie du bandeau, prise en compte effective du refus et du retrait. Vérifiez régulièrement que votre site se comporte conformément à ce que votre politique annonce.

Questions fréquentes

Dès que votre site ou votre application dépose ou lit un traceur non strictement nécessaire (mesure d'audience non exemptée, publicité, réseaux sociaux), vous devez informer les visiteurs et recueillir leur consentement. La politique de cookies constitue ce support d'information et la preuve de votre démarche de conformité au titre de l'article 82 de la loi Informatique et Libertés.

Ce guide est fourni à titre d'information et reflète l'état du droit français applicable. Pour une situation complexe ou à fort enjeu, nous vous recommandons de faire relire votre document par un professionnel du droit.

Explorez tout le thème : Données, propriété intellectuelle & confidentialité

Protégez vos secrets, vos créations et les données personnelles : confidentialité, cession de droits et RGPD.

Votre document, prêt en quelques minutes

Répondez à quelques questions, téléchargez un PDF (et un Word) à votre nom et conservez-le dans votre coffre-fort.