Cookies et consentement : pourquoi une simple bannière ne suffit plus (et pourquoi le SaaS n’est pas la seule réponse)
Poser une bannière de cookies sur son site, cocher un modèle, passer à autre chose. Pour beaucoup de propriétaires de sites WordPress, la conformité aux cookies s’arrête là. C’est une erreur, et elle coûte de plus en plus cher.
En 2025, la CNIL a prononcé pour près de 487 millions d’euros d’amendes, et les cookies figurent au premier rang des motifs de sanction. Derrière ces chiffres, un constat simple : afficher une bannière ne rend pas un site conforme. Ce qui compte, c’est ce qui se passe avant que le visiteur ait cliqué. Dans cet article, nous expliquons ce que la loi exige réellement, en France comme au Québec, et pourquoi le modèle SaaS dominant sur ce marché mérite d’être remis en question.
Ce que la loi exige vraiment : le consentement avant le dépôt
Le principe fondateur du RGPD et de la directive ePrivacy tient en une phrase : aucun traceur non essentiel ne doit être déposé ou lu sur le terminal d’un visiteur tant qu’il n’a pas donné son accord libre, éclairé et explicite. Autrement dit, tant que la personne n’a pas cliqué sur « accepter », Google Analytics, le pixel Meta, les scripts publicitaires ou les outils de mesure comportementale ne doivent tout simplement pas s’exécuter.
C’est là que réside le malentendu le plus répandu. Une bannière peut s’afficher parfaitement pendant que, en arrière-plan, tous les traceurs se chargent déjà. Techniquement, la bannière est là. Juridiquement, le site est en infraction, car le consentement n’a pas été recueilli avant le dépôt. Le blocage préalable des traceurs, ce que l’on appelle le « refus par défaut », est le véritable cœur de la conformité, et c’est précisément le point sur lequel la plupart des installations échouent.
« Refuser doit être aussi simple qu’accepter »
L’autre exigence majeure, martelée par la CNIL depuis sa recommandation de référence de 2020, concerne l’équilibre entre l’acceptation et le refus. Si un site propose un bouton pour tout accepter en un clic, il doit proposer un bouton pour tout refuser avec la même simplicité, au même niveau, sur le premier écran de la bannière.
Or c’est un manquement extrêmement courant. Beaucoup de bannières affichent un bouton « Tout accepter » bien visible, à côté d’un simple lien « Personnaliser » qui oblige l’internaute à naviguer dans plusieurs menus pour refuser. La CNIL considère ce déséquilibre comme une forme de manipulation qui vicie le consentement. Elle l’a sanctionné à de nombreuses reprises, y compris tout récemment dans le cadre de sa procédure simplifiée, en rappelant qu’un site permettant d’accepter en un clic doit permettre de refuser en un clic.
Les montants ne sont plus symboliques. La société éditrice d’un magazine bien connu a été condamnée à 750 000 euros pour des mécanismes de refus défaillants et le dépôt de cookies malgré le refus exprimé. Un grand acteur du e-commerce a écopé de 150 millions d’euros pour des manquements comparables. Le message des autorités est clair : les règles sur les traceurs sont connues depuis des années, et l’ignorance n’est plus une excuse recevable.
Et au Québec ? La Loi 25 va dans le même sens
Si votre activité touche le Québec, la Loi 25 (loi modernisant les dispositions en matière de protection des renseignements personnels) s’applique pleinement à vous. Elle encadre les « témoins de connexion », le terme québécois pour les cookies, selon une logique très proche de celle du RGPD.
Sa particularité tient au principe de confidentialité par défaut : tout paramètre susceptible d’identifier, de localiser ou de profiler une personne doit être désactivé par défaut. En pratique, pour les traceurs publicitaires et analytiques, le résultat est identique à celui du RGPD : ils ne doivent pas être actifs tant que l’utilisateur n’a pas donné son accord. La Loi 25 impose également la disponibilité de l’information en français et la mention du responsable de la protection des renseignements personnels. Le contrôle est assuré par la Commission d’accès à l’information, qui dispose de pouvoirs de sanction significatifs.
Pour une entreprise qui opère des deux côtés de l’Atlantique, la bonne nouvelle est que le même socle technique, le blocage préalable et le recueil d’un consentement explicite, satisfait les deux cadres à la fois. Encore faut-il pouvoir choisir le cadre applicable selon la localisation des visiteurs.
Le modèle SaaS : pratique, mais à quel prix ?
Face à ces obligations, un marché s’est structuré autour de solutions dites « SaaS » (logiciel en tant que service) : des plateformes externes qui fournissent la bannière, le scanner et le registre de consentement, moyennant un abonnement. Ces outils fonctionnent, et ils ont démocratisé la gestion du consentement. Mais leur modèle mérite un examen lucide, en particulier pour une agence ou une entreprise gérant plusieurs sites.
Premier point : la facturation. La plupart de ces solutions facturent par domaine et par volume de trafic. Chaque site client suppose un abonnement distinct, et les paliers sont plafonnés en nombre de pages vues. Un pic de trafic, une campagne réussie, et vous dépassez votre quota : la facture grimpe automatiquement, ou la bannière cesse de s’afficher. Pour un portefeuille de sites, l’addition devient rapidement conséquente, et surtout imprévisible.
Deuxième point, plus fondamental : où vivent les données ? Dans le modèle SaaS, les preuves de consentement de vos visiteurs sont stockées sur les serveurs du prestataire, et la bannière est souvent chargée depuis une infrastructure externe. Vous confiez donc à un tiers une brique de conformité et une partie des données de vos visiteurs. C’est une dépendance : si le prestataire augmente ses tarifs, modifie ses conditions ou cesse son activité, vous devez migrer l’ensemble de votre dispositif.
Il y a là une forme d’ironie que l’on relève rarement. Un outil dont la mission est de protéger la vie privée des visiteurs et de limiter les transferts de données vers des tiers repose lui-même sur l’envoi de données vers un serveur externe. Ce n’est pas nécessairement disqualifiant, mais cela mérite d’être posé sur la table au moment de choisir sa solution.
L’alternative auto-hébergée : tout garder sur son serveur
Il existe une autre approche, moins médiatisée mais parfaitement adaptée à l’écosystème WordPress : la solution auto-hébergée. Le principe est simple. Au lieu de dépendre d’une plateforme externe, tout s’exécute localement sur votre propre serveur : la bannière, le blocage des traceurs, le scanner de cookies et le registre de consentement.
Les conséquences sont directes. Les preuves de consentement restent dans votre base de données WordPress, dont vous êtes propriétaire. Aucune donnée de vos visiteurs ne transite vers un tiers. Le coût ne dépend ni de votre trafic ni du nombre de vos pages, ce qui rend les budgets prévisibles, notamment pour une agence qui déploie la même solution sur de nombreux sites. Et vous ne dépendez d’aucun service susceptible de fermer ou de changer ses règles.
Cette approche exige en contrepartie que la solution soit techniquement irréprochable sur le point le plus délicat : le blocage réel des traceurs avant consentement. C’est un travail d’ingénierie exigeant, mais c’est aussi ce qui distingue une solution qui rend un site réellement conforme d’une bannière qui se contente d’être présente.
Comment vérifier soi-même si un site est conforme
Vous pouvez tester n’importe quel site en quelques minutes, sans outil particulier. Ouvrez le site dans une fenêtre de navigation privée, sans cliquer sur la bannière. Ouvrez ensuite les outils de développement de votre navigateur, onglet « Application », section « Cookies ». Si vous voyez déjà des traceurs déposés, par exemple des cookies commençant par _ga pour Google Analytics ou _fbp pour le pixel Meta, alors que vous n’avez rien accepté, le site n’est pas conforme : ses traceurs se déposent avant le consentement.
Vérifiez ensuite la bannière elle-même. Le bouton « Tout refuser » est-il présent dès le premier écran, au même niveau que « Tout accepter » ? Si refuser demande davantage de clics qu’accepter, c’est un second manquement. Ces deux vérifications suffisent à repérer l’immense majorité des installations non conformes.
En résumé
La conformité aux cookies ne se résume pas à afficher une bannière. Elle impose de bloquer les traceurs non essentiels avant tout consentement, de rendre le refus aussi simple que l’acceptation, de conserver une preuve du consentement et d’adapter le dispositif au cadre juridique applicable, RGPD en Europe, Loi 25 au Québec. Le modèle SaaS répond à ce besoin, mais au prix d’un abonnement lié au trafic et d’une dépendance à un tiers qui héberge les données de vos visiteurs. L’approche auto-hébergée offre une alternative crédible, où tout reste sur votre serveur, sans coût variable ni dépendance externe.
Le bon choix dépend de votre contexte, mais dans tous les cas, une règle demeure : ce qui protège juridiquement votre site, ce n’est pas la bannière, c’est le blocage qui la précède.
Wycan est une agence de développement web spécialisée WordPress et WooCommerce, en France et au Québec. Nous accompagnons nos clients sur la mise en conformité de leurs sites et avons développé notre propre solution de gestion du consentement, auto-hébergée. Cet article a une vocation informative et ne constitue pas un conseil juridique ; la conformité d’un site dépend de sa configuration et de ses usages, et gagne à être validée avec un professionnel du droit.