“Supprimez ces cookies que je ne saurais voir”

“Le Tartuffe ou l’Imposteur” à l’ère de la privacy, ça donne une injonction de la CNIL adressée à l’ensemble des annonceurs français, leur demandant de supprimer les cookies lorsqu’un utilisateur retire son consentement. 

Ce sujet avait fait la une notamment par l’amende record qu’avait reçue l’opérateur télécom français Orange en novembre 2024. Néanmoins, cette nouvelle a surtout mis en lumière un sujet plus complexe : qui dépose des cookies sur mon site et comment les supprimer ?  

Que vous soyez un vrai dévot de la protection des données personnelles ou non, cet article va présenter ce que nous avons déployé chez fifty-five afin de gérer cette problématique d’un point de vue technique. 

Cookies tiers ou internes, que supprimer ?

De quels cookies parlons-nous : Cookies tiers (Third-party cookies) ? Cookies internes (First-party cookies) ? Tous !   

Car comme l’explique très bien la CNIL, “le fait que les cookies soient « internes » ou « tiers » est une distinction technique qui n’a pas de conséquence sur le fait de devoir demander ou pas le consentement”. Ce qui compte c’est : est-ce que j’ai choisi de faire créer un cookie pour un visiteur sur mon site ? Si je maîtrise la création de ce cookie, alors je maîtrise aussi sa suppression. 

Par exemple, chez fifty-five, nous avons 3 partenaires qui utilisent des cookies (Google, LinkedIn et Hubspot), associés au domaine fifty-five.com ou à un domaine tiers (ex : linkedin.com). Tous ces cookies qui ont été déposés après que l’utilisateur ait donné son consentement devront être retirés s’il retire ce même consentement.  

La solution : Mettre en place un script pour supprimer les cookies 

Les principaux fournisseurs de CMP (Didomi ou OneTrust par exemple) fournissent un script et des explications détaillant comment le mettre en place afin de modifier la date d’expiration du cookie (c.-⁠à-⁠d. le supprimer). Toutefois, ces solutions ne sont pas “plug & play” et des adaptations sont nécessaires afin de réussir à supprimer les cookies après le retrait du consentement de l’utilisateur.   

Selon notre expérience auprès de différents clients pour mettre en place cette suppression, voici les grandes étapes à suivre en ce sens :

1. Mettre à jour le mapping de vos cookies – Il faut comprendre quels sont les cookies déposés sur votre site et si votre CMP les identifie bien. 
2. Catégoriser les cookies – Tous les cookies ne doivent pas être supprimés, notamment les cookies “fonctionnels” qui sont essentiels pour le bon fonctionnement du site. Il faut donc bien les catégoriser au sein de votre CMP afin que le script ne supprime pas ces cookies indispensables.  
3. Déployer le script de retrait des cookies – Idéalement, il faut pouvoir intégrer ce script à la suite de celui qui appelle la CMP, en dur dans le code du site. Notez qu’un déploiement via GTM peut aussi être envisagé. 
4. Quality check – Vérifiez que la suppression fonctionne bien sur votre site  

En plus de ces étapes, il faut être vigilant concernant les points suivants : 

• Est-ce que mon site est en SPA ou MPA ? Les sites en MPA nécessitent un paramétrage additionnel afin de bloquer les créations automatiques de cookies (notamment par Google Analytics) au chargement de page. 
• Est-ce que mon site possède des cookies server ? Si c’est le cas, un script additionnel dans le container server-side est nécessaire. 

‍

Sur le papier, la suppression des cookies lors d’un retrait de consentement semble évidente mais comme nous l’avons ici montré, les fournisseurs de CMP n’ont pas de fonctionnalité native pour le faire et, pour être 100% conforme, plusieurs étapes clés doivent être suivies. 

La protection des données et le suivi du respect des règles de conformité en matière de privacy sur les sites est un enjeu de taille pour les entreprises. Afin de protéger ses clients en cas d’éventuels audits de leurs sites, fifty-five combine les expertises tech, data et privacy. N’hésitez pas à nous contacter pour en savoir plus ! 

‍