L’essentiel à retenir
Axeptio recueille et gère le consentement de vos visiteurs, puis transmet l’état du consentement à votre Google Tag Manager ou autres services tiers qui en ont besoin.
Axeptio ne bloque pas le dépôt de cookies ni le chargement de scripts tiers. Vous devez gérer cette logique vous-même pour garantir la conformité. Découvrez pourquoi nous avons fait ce choix.
Votre responsabilité : vous assurer qu’aucune donnée personnelle n’est collectée ou envoyée à des services tiers tant que le consentement explicite n’a pas été donné par l’utilisateur. Cela inclut le conditionnement du déclenchement des services en fonction de l’état du consentement (via GTM ou dans votre code).
“Cookies” : un mot fourre-tout à clarifier
Qu'entend-on vraiment lorsqu'on parle de “cookies” ? Pour partir sur de bonnes bases, il est nécessaire de lever une petite confusion fréquente.
Quand on parle de “cookies”, on utilise en réalité un raccourci de langage. Le cookie, au sens strict, est un petit fichier stocké dans le navigateur d’un visiteur. Mais aujourd’hui, ce n’est qu’un moyen parmi d’autres pour collecter des données.
En réalité, de nombreux outils peuvent suivre l’activité d’un visiteur sur un site :
des scripts qui envoient des informations à des services tiers (comme Google ou Meta),
des petits morceaux de code qui mémorisent le comportement d’un visiteur (comme la langue choisie ou les pages visitées),
ou encore des techniques plus invisibles qui permettent d’identifier un appareil sans rien stocker du tout.
👉 En résumé, le mot “cookies” est un terme générique qui englobe tous ces mécanismes de collecte qui sont encadrés par les lois sur la protection des données personnelles — comme le RGPD en Europe, le UK GDPR au Royaume-Uni ou le CCPA en Californie.
Et ce sont eux qu’il faut soumettre au consentement lorsque la loi l’exige.
☝️ Dans la suite de cet article et de notre documentation, nous utiliserons principalement les termes “services” ou “fournisseurs” pour désigner ces traceurs, afin de mieux rendre compte des différentes formes de collecte de données.
📋 Étape 1 – Lister tous les services présents sur votre site
La première étape consiste à faire l’inventaire des services et traceurs présents sur votre site. Pour cela, plusieurs méthodes complémentaires peuvent être utilisées — et il est important de recouper les informations pour ne rien oublier.
Un bon point de départ : Shake, le scanner d'Axeptio
Chez Axeptio, nous avons développé Shake, un outil d’audit automatisé qui scanne un échantillon de pages de votre site et génère un rapport PDF listant les services détectés. C’est un excellent point de départ pour identifier rapidement les traceurs les plus visibles !
⚠️ Attention cependant : Shake n’a pas vocation à être exhaustif. Il analyse plusieurs dizaines de pages du site, ce qui signifie que :
certains services chargés uniquement sur des pages spécifiques peuvent passer entre les mailles du filet,
et il faudra compléter manuellement l’analyse avec d’autres méthodes.
Autres méthodes de vérification recommandées
Autres méthodes de vérification recommandées
Pour affiner et compléter la détection, voici quelques pratiques complémentaires :
Utiliser une extension de navigateur : Il existe des extensions capables d’analyser les services détectés sur une page (pour Chrome, vous pouvez essayer Wappalyzer). Elles peuvent être utiles, mais restent des outils tiers que nous ne contrôlons pas, et leur fiabilité peut varier.
Inspecter directement via les outils développeur :
En ouvrant les outils de développement de votre navigateur (onglets Network et Application), vous pouvez :
repérer les scripts tiers qui se chargent sur vos pages,
identifier les cookies déposés,
et détecter les requêtes réseau suspectes (comme des appels à des plateformes de tracking).
Cela permet notamment de repérer des traceurs non visibles dans les cookies, comme les pixels, les pings ou certaines formes de collecte sans stockage local.
📌 Pour aller plus loin
Nous avons rédigé un article détaillé sur le sujet à consulter ici.
🔍 Étape 2 – Identifier les services qui collectent des données personnelles
Une fois que vous avez la liste complète de vos services, vous devez identifier ceux qui collectent des données personnelles, comme des adresses IP, des comportements de navigation ou des informations de connexion. Ces cookies doivent être soumis au consentement des visiteurs, conformément aux réglementations en vigueur.
Distinction entre cookies fonctionnels et autres cookies
Distinction entre cookies fonctionnels et autres cookies
Légalement, vous n’êtes tenu de soumettre au consentement que les cookies non fonctionnels, c’est-à-dire ceux qui collectent des données personnelles à des fins de suivi, d’analyse ou de publicité. Ces cookies nécessitent l’accord explicite de l’utilisateur avant d’être chargés sur le site, conformément aux réglementations en vigueur.
Cependant, Axeptio vous offre une flexibilité supplémentaire en vous permettant de lister également les cookies fonctionnels/essentiels, qui ne collectent pas de données personnelles, mais sont nécessaires au bon fonctionnement du site (comme la gestion de la langue ou des préférences d’affichage).
Ces cookies ne nécessitent pas de consentement préalable, mais vous pouvez choisir de les afficher sur un écran d’information dédié. Cela vous permet d’adopter une démarche encore plus transparente vis-à-vis de vos utilisateurs, en leur donnant une vue d’ensemble complète des traceurs présents sur votre site.
Shake vous aide à identifier les services soumis au consentement
Notre scanner Shake peut vous aider à identifier facilement quels services sur votre site doivent être soumis au consentement. Pour les services référencés dans notre base de données, le rapport PDF généré précise s’il doit donc être soumis au consentement.
Cela constitue un point de départ solide pour déterminer quels services doivent être soumis au consentement. Mais il est important de noter que Shake peut ne pas être exhaustif et que certains services peuvent ne pas être répertoriés ou à jour dans notre base.
En cas de doute, rapprochez-vous des services concernés
Si, après avoir utilisé Shake, vous avez des doutes sur un service ou si vous n’êtes pas certain qu’il collecte des données personnelles, il est essentiel de clarifier la situation. Pour ce faire :
Contactez le support du service en question pour obtenir des informations détaillées sur leur collecte de données.
Consultez la documentation du service pour savoir s’ils collectent des données personnelles et à quelles fins.
🍪 Étape 3 – Ajouter les services dans votre bandeau Axeptio
Les services identifiés comme collectant des données personnelles doivent obligatoirement être listés dans votre bandeau de consentement Axeptio. Cela permet aux utilisateurs de savoir exactement quels services collectent leurs informations et de donner leur consentement avant que ces services ne soient activés.
Pour apprendre à ajouter des services à votre bandeau, consultez cet article.
⚠ À ce stade, vous n’êtes pas encore en conformité. Certes, vous avez listé vos services dans votre bandeau cookies, mais il reste une étape cruciale : gérer la logique de chargement des services en fonction du consentement de l’utilisateur (voir étape suivante).
Dans le cas contraire, vous risquez de donner l’impression à vos visiteurs qu’ils ont le contrôle sur les cookies via le bandeau, mais en réalité, aucune donnée personnelle ne sera réellement bloquée si l’utilisateur refuse les services. Cela reviendrait tout bonnement à leur demander de leurs préférences... pour ensuite les ignorer !
Assurez-vous donc de bien appliquer cette logique pour garantir que les services ne sont activés que lorsque le consentement est donné.
🚦 Étape 4 – Gérer la logique de conditionnement du consentement
Configurer un bandeau de consentement, c’est bien. Mais pour être réellement conforme, vous devez traduire les choix (ou l’absence de choix) de vos visiteurs en actions techniques concrètes.
Ainsi, votre site doit réagir différemment selon l’état du consentement de l’utilisateur :
✅ Si l’utilisateur donne son consentement pour un service :
→ Vous pouvez charger le service et exécuter les scripts associés.
❌ Si l’utilisateur refuse explicitement le service :
→ Le service ne doit pas être chargé, et aucune donnée ne doit être transmise à ce service.
🕓 Si l’utilisateur n’a pas encore interagi avec le bandeau (consentement non exprimé) :
→ Par défaut, le service doit être bloqué tant qu’aucun choix n’a été fait.
C’est ce comportement conditionnel qu’on appelle la logique de conditionnement au consentement. Il permet de garantir que les services soumis au consentement ne se déclenchent que lorsqu’ils sont autorisés, et qu’ils restent bloqués dans tous les autres cas.
Concrètement, cette logique peut être mise en œuvre de deux façons :
soit manuellement dans le code de votre site, en écrivant des conditions (par exemple : “si l’utilisateur a consenti à ce service, alors charger ce script”) ;
soit via une interface visuelle comme celle d’un tag manager, qui vous permet de définir ces règles sans coder. Le tag manager s’occupe ensuite de traduire ces règles en logique exécutable côté navigateur.
Comment les services sont-ils appelés sur votre site ?
Comment les services sont-ils appelés sur votre site ?
Pour chaque service que vous avez listé, il est important de vérifier comment il est chargé sur votre site. Il existe plusieurs façons d’intégrer un service tiers, mais dans la majorité des cas, on retrouve deux grandes approches :
Le script est intégré directement dans le code de vos pages (“en dur”), souvent copié depuis la documentation du service concerné.
Le service est chargé via un Tag Manager (comme Google Tag Manager), soit en collant le code dans une balise HTML personnalisée, soit en utilisant un modèle de balise proposé par le service.
Dans certains cas, vous pouvez aussi rencontrer :
des plugins CMS (WordPress, Shopify…) qui intègrent automatiquement des services tiers,
des iframes (ex : YouTube, Google Maps),
ou des appels dynamiques insérés via des frameworks JavaScript.
D’autres cas peuvent exister, comme les services chargés via des plugins CMS, des iframes ou des scripts injectés dynamiquement, mais ces deux méthodes couvrent la majorité des cas rencontrés.
Notre recommandation : centralisez vos scripts dans votre Tag Manager
Notre recommandation : centralisez vos scripts dans votre Tag Manager
Si vous utilisez déjà Google Tag Manager (ou un autre tag manager), nous vous conseillons vivement de centraliser tous vos services dedans. Voici pourquoi :
Vous aurez une vue unifiée de tous les services tiers que vous chargez,
Vous pourrez gérer facilement le conditionnement au consentement grâce au système de déclencheurs de GTM,
Et surtout, vous éviterez d’avoir à modifier le code de votre site, ce qui peut être complexe si vous n’êtes pas à l’aise avec le développement.
👉 Concrètement, pour chaque script que vous avez trouvé en dur sur vos pages, créez une balise dans GTM pour le remplacer, puis retirez le code en dur du site. Cela vous permettra de tout gérer proprement depuis GTM, y compris le déclenchement en fonction du consentement Axeptio.
Et si vous n’utilisez pas de Tag Manager ?
Et si vous n’utilisez pas de Tag Manager ?
Si vous avez intégré vos services directement dans le code de votre site et que vous ne passez pas par un Tag Manager, vous pouvez quand même gérer la logique de conditionnement en dur. Vous trouverez des bouts de code pour vous aider à développer cette logique dans notre article dédié.
Cela implique :
d’écouter l’état du consentement Axeptio,
et de n’exécuter les scripts tiers qu’une fois le consentement donné.
C’est une solution plus technique, qui nécessite des ressources de développement, mais qui permet un contrôle fin sur le comportement du site.
Rappelez-vous : le simple affichage d’un bandeau de consentement ne suffit pas. Si vous ne mettez pas en place cette logique de conditionnement, vos visiteurs peuvent refuser un service… qui continuera quand même à se charger sous le capot.
Pour être conforme, il faut que les services soient bloqués tant que l’utilisateur n’a pas donné son accord, et qu’ils soient déclenchés uniquement s’il l’a fait.
🧪 Exemple concret : conditionner le déclenchement d’un Pixel Facebook
Pour illustrer cette logique de conditionnement, prenons un cas concret que vous pourriez rencontrer.
Identifier le service et son statut
Vous avez réalisé un scan de votre site avec Shake, et le rapport PDF vous indique qu’un Pixel Facebook est présent sur certaines pages.
➡️ Ce service est référencé comme collectant des données personnelles. Il doit donc être soumis au consentement.
Vérifier comment le service est intégré
Vous vous posez maintenant la question suivante :
👉 Comment le Pixel Facebook est-il chargé sur mon site ?
En vérifiant, vous constatez que :
Le Pixel n’est pas intégré directement dans le code de vos pages,
Il est chargé via Google Tag Manager, sous la forme d’une balise HTML personnalisée ou via le modèle de balise Facebook proposé dans GTM.
Conditionner le déclenchement dans GTM
Puisque vous utilisez GTM, vous allez pouvoir conditionner le déclenchement de la balise Facebook Pixel à l’état du consentement Axeptio.
Résultat : le Pixel Facebook ne sera déclenché que si l’utilisateur a donné son consentement à ce service via le bandeau Axeptio.
Si l’utilisateur refuse, ou s’il ne répond pas, le Pixel ne se déclenchera pas.
💡 Et si le script était intégré “en dur” ?
Dans ce cas, vous auriez dû ajouter une condition dans votre code pour écouter l’état du consentement et ne déclencher le script Facebook qu’en cas d’accord explicite.