Dois-je accepter les cookies quand un site me le demande ?

Non, vous pouvez et vous devriez souvent refuser. La réglementation européenne (RGPD + directive ePrivacy) impose aux sites d'obtenir votre consentement explicite pour les cookies non strictement nécessaires au fonctionnement. Accepter tous les cookies, c'est typiquement accepter : cookies analytics, cookies publicitaires de dizaines à centaines de partenaires, cookies de réseaux sociaux qui vous pistent sur tout le web, partage de vos données avec des courtiers de données. Refuser ne doit pas vous empêcher d'utiliser le site normalement — les cookies techniques (connexion, panier, préférences) sont déposés sans consentement car nécessaires. La CNIL a émis des directives strictes en 2020-2021 : le refus doit être aussi facile que l'acceptation, les bannières avec "Accepter tout" en un clic mais "Refuser" enfoui dans 3 clics sont non conformes. Plusieurs sanctions CNIL ont été prononcées (Google 150 M€, Meta, TikTok, Yahoo, Amazon pour des pratiques non conformes).

Un cookie peut-il contenir un virus ?

Non, un cookie ne peut pas contenir de virus ou de code exécutable. Un cookie est un simple fichier texte avec des paires clé/valeur, pas un programme. Il ne peut pas infecter votre ordinateur directement. Cela dit, les cookies posent d'autres risques sérieux. Vol de cookies de session : si un cookie d'authentification est volé (par malware infostealer, XSS, Wi-Fi non chiffré), l'attaquant peut l'utiliser pour accéder à votre compte sans connaître votre mot de passe — y compris en contournant la MFA. C'est devenu un vecteur majeur d'attaque depuis 2022, les "session cookies" sont massivement revendus sur le dark web. Tracking publicitaire invasif : collecte de profils comportementaux détaillés par dizaines de tiers. Vie privée : reconnaissance de l'utilisateur à travers les sites, même sans compte. Les cookies eux-mêmes sont inoffensifs techniquement, mais ce qu'ils permettent de faire peut être problématique.

Comment gérer les cookies de mon navigateur ?

Chaque navigateur permet de gérer finement les cookies. Bonnes pratiques générales. Bloquer les cookies tiers : Firefox, Safari et Brave le font par défaut, Chrome a progressivement réduit leur usage. Paramètres → Confidentialité → Cookies tiers bloqués. Supprimer les cookies régulièrement : Ctrl+Shift+Suppr ouvre la boîte de suppression sur la plupart des navigateurs. Option "supprimer à la fermeture" pour repartir propre à chaque session. Utiliser des extensions privacy : uBlock Origin bloque les trackers, Privacy Badger, DuckDuckGo Privacy Essentials. Navigation privée : ne résout pas le tracking mais ne garde pas les cookies après fermeture. Navigateurs privacy-first : Brave intègre beaucoup de protections par défaut, Firefox avec Enhanced Tracking Protection stricte, Safari sur macOS/iOS. Containers Firefox : permet d'isoler les cookies par contexte (pro, perso, Facebook) pour empêcher le tracking croisé. Bloqueurs de bannières cookies : "I don't care about cookies", "Consent-o-matic", utiles pour éviter la friction mais attention à leurs modes (certaines acceptent par défaut).

Cookies : définition, types et RGPD (témoins de connexion)

Q: Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte (typiquement quelques centaines d'octets) qu'un site web dépose dans votre navigateur pour mémoriser des informations entre les visites. Inventé en 1994 par Lou Montulli chez Netscape, le cookie est à la base d'Internet moderne tel qu'on le connaît. Il permet trois grandes familles d'usages : l'authentification (rester connecté à son compte entre les pages), les préférences (langue, thème sombre, panier d'achat), et le tracking publicitaire (suivi du comportement pour la publicité ciblée). Un cookie contient typiquement un identifiant unique, une date d'expiration, le domaine émetteur et quelques attributs de sécurité. Le navigateur le renvoie automatiquement au site émetteur à chaque requête, permettant au site de reconnaître l'utilisateur. On distingue les cookies first-party (déposés par le site visité) et third-party (déposés par un tiers, typiquement pour la publicité).

Invention: 1994 par Lou Montulli chez Netscape
Nature technique: Fichier texte, paires clé/valeur, pas de code exécutable
Taille typique: Quelques centaines d'octets, maximum 4 Ko
Encadrement UE: RGPD (2018) + directive ePrivacy (consentement requis)
Autorité de contrôle FR: CNIL — sanctions importantes pour non-conformité

01 — DéfinitionQu'est-ce qu'un cookie ?

Un cookie (cookie HTTP, témoin de connexion en français) est un petit fichier texte qu'un site web dépose dans votre navigateur pour mémoriser des informations entre les visites. Inventé en 1994 par Lou Montulli chez Netscape, le cookie est à la base d'Internet moderne — sans lui, impossible de rester connecté à un compte, de garder un panier d'achat ou de se souvenir des préférences.

Contenu typique d'un cookie

Nom : identifiant du cookie (ex. session_id).
Valeur : donnée stockée (ex. chaîne alphanumérique unique).
Domaine : site émetteur.
Chemin : path auquel le cookie s'applique.
Date d'expiration : quand le navigateur le supprime.
Attributs de sécurité : Secure, HttpOnly, SameSite.

Fonctionnement en une phrase

Quand vous visitez un site, il envoie un cookie au navigateur (via l'en-tête HTTP Set-Cookie). Le navigateur le stocke et le renvoie automatiquement au même site à chaque requête suivante (via l'en-tête Cookie). Le site peut alors reconnaître l'utilisateur et retrouver son contexte.

Les 3 grandes familles d'usages

Authentification : maintenir la session utilisateur connecté (cookie de session).
Préférences et fonctionnalités : langue, thème sombre, devise, panier d'achat, contenu personnalisé.
Tracking publicitaire et analytics : suivi du comportement pour publicité ciblée, mesures d'audience, remarketing.

Taille du phénomène

Un site web moderne peut déposer dizaines à centaines de cookies par visite. Sites e-commerce type Amazon ou Cdiscount : 50-200 cookies, dont une minorité techniques et la majorité publicitaires. Sites médias : souvent 100+ cookies dont la grande majorité vient de partenaires tiers (régies publicitaires, analytics, réseaux sociaux).

Le cookie, technologie triviale sur le plan technique, est au cœur des enjeux contemporains du web : expérience utilisateur d'un côté, économie publicitaire de l'autre, vie privée au milieu. C'est un simple fichier texte qui porte la tension structurante d'Internet.

02 — FonctionnementLe cycle de vie d'un cookie

Dépôt du cookie

Quand un site répond à une requête HTTP, il peut inclure un en-tête Set-Cookie :

Set-Cookie: session_id=abc123xyz; Path=/; Domain=example.com;
 Expires=Wed, 15 Apr 2026 12:00:00 GMT; Secure; HttpOnly; SameSite=Lax

Renvoi automatique

À chaque requête suivante vers ce site, le navigateur inclut automatiquement le cookie :

Cookie: session_id=abc123xyz

Cela permet au serveur de reconnaître l'utilisateur et de retrouver son contexte (session ouverte, préférences, panier).

Attributs de sécurité critiques

Secure : cookie envoyé uniquement en HTTPS, jamais en HTTP clair.
HttpOnly : cookie inaccessible au JavaScript côté navigateur. Protège contre le vol via XSS.
SameSite : limite l'envoi du cookie lors de requêtes cross-site. Trois valeurs :
- Strict : jamais envoyé en cross-site, même en suivant un lien externe.
- Lax (défaut moderne) : envoyé en navigation top-level (suivre un lien) mais pas dans les iframes/images tiers.
- None : envoyé partout, requiert Secure. Usage pour cookies tiers légitimes.
Max-Age / Expires : durée de vie. Sans valeur = cookie de session (supprimé à la fermeture du navigateur).
Path : chemin sur le site auquel le cookie s'applique.
Domain : domaine auquel le cookie est envoyé.
__Host- et __Secure- : préfixes de nom qui imposent certains attributs.

Limitations techniques

Taille max par cookie : 4 Ko.
Nombre max par domaine : typiquement 50-180 selon navigateur.
Cookies ne sont envoyés qu'au domaine émetteur.
Un cookie tiers ne peut être déposé que via une ressource tierce chargée sur la page.

Alternatives au cookie

Le cookie n'est pas le seul mécanisme de stockage côté navigateur :

localStorage : stockage permanent en JavaScript, plus grand (5-10 Mo). Pas envoyé automatiquement au serveur.
sessionStorage : comme localStorage mais effacé à la fermeture de l'onglet.
IndexedDB : base de données côté navigateur pour apps web riches.
Cache API : service workers, progressive web apps.

Les réglementations (CNIL, RGPD) visent explicitement tous les mécanismes de traceurs, pas seulement les cookies HTTP. Le terme « cookies » dans les bannières de consentement couvre juridiquement tous ces mécanismes.

Fingerprinting — au-delà du cookie

Technique complémentaire : identifier un utilisateur sans cookie, via les caractéristiques uniques de son navigateur (user-agent, résolution écran, polices installées, WebGL, canvas, timezone, audio API). Les études EFF (Panopticlick/Cover Your Tracks) montrent que ~95% des navigateurs sont identifiables de façon unique par fingerprinting. Méthode très utilisée comme alternative aux cookies quand ceux-ci sont bloqués.

03 — TypesLes grandes catégories de cookies

Selon la durée

Cookies de session

Sans date d'expiration. Supprimés automatiquement à la fermeture du navigateur. Usage : authentification temporaire, panier d'achat sur un site marchand.

Cookies persistants

Avec date d'expiration fixée (heures, jours, années — les navigateurs modernes plafonnent à 400 jours pour les cookies tiers). Survivent à la fermeture du navigateur. Usage : préférences, « se souvenir de moi », tracking long terme.

Selon l'émetteur

Cookies first-party (premier parti)

Déposés par le site que vous visitez directement. Si vous êtes sur lemonde.fr, les cookies déposés par lemonde.fr sont first-party. Généralement considérés comme plus légitimes : authentification, préférences, analytics internes.

Cookies third-party (tiers)

Déposés par un domaine différent que celui que vous visitez, via des ressources tierces chargées sur la page (pixels, iframes, scripts publicitaires). Si vous êtes sur lemonde.fr et que Google Ads charge un pixel, Google peut déposer un cookie sur doubleclick.net. Ce cookie suit l'utilisateur sur tous les sites qui chargent du Google Ads, permettant le tracking cross-site.

Déclin des cookies tiers

Safari : bloque par défaut depuis 2020 (Intelligent Tracking Prevention).
Firefox : bloque par défaut depuis 2019 (Enhanced Tracking Protection).
Brave : bloque agressivement depuis le début.
Chrome : Google avait annoncé la fin des cookies tiers en 2020, plusieurs reports, puis renoncement en juillet 2024 au plan initial. Les utilisateurs peuvent choisir individuellement.

Le tracking publicitaire s'adapte via autres techniques : fingerprinting, tracking first-party (CNAME cloaking), Privacy Sandbox de Google, identifiants de profil côté serveur.

Selon la finalité (classification CNIL)

Cookies strictement nécessaires (exemptés de consentement)

Indispensables au fonctionnement du service demandé par l'utilisateur. Pas besoin de consentement :

Authentification (session).
Panier d'achat sur un site marchand.
Préférences utilisateur (langue, thème).
Sécurité (anti-CSRF tokens).
Équilibrage de charge.
Lecture de média lancée à la demande.
Mémorisation du choix sur la bannière cookies elle-même.

Cookies analytics / mesure d'audience

Mesure du trafic et du comportement. Consentement requis en principe, mais la CNIL prévoit des exemptions pour les outils d'analytics strictement respectueux :

Finalité limitée à la mesure d'audience.
Pas de croisement avec d'autres traitements.
Pas de partage avec tiers.
Anonymisation (IP tronquée, durée limitée).

Outils exemptés sous conditions : Matomo en configuration conforme, AT Internet / Piano, Plausible, Fathom. Google Analytics n'est pas exempté dans sa configuration standard.

Cookies publicitaires et marketing

Ciblage publicitaire, remarketing, attribution. Consentement explicite obligatoire. Catégorie la plus critiquée et la plus sanctionnée.

Cookies réseaux sociaux

Boutons de partage et widgets : Facebook Like, X share, LinkedIn. Consentement requis car ces boutons traquent l'utilisateur même sans clic. Solution : utiliser des boutons « deux clics » qui n'activent le tracking qu'après consentement.

Cookies de personnalisation avancée

Ajustement du contenu selon le profil. Consentement requis au-delà des préférences explicites de l'utilisateur.

04 — RGPDEncadrement légal des cookies

Cadre juridique européen

Directive ePrivacy 2002/58 modifiée en 2009 : impose le consentement préalable pour tout dépôt de traceur (au-delà du strict nécessaire). Transposée en France dans le Code des postes et communications électroniques (article 82).
RGPD (2018) : renforce les exigences de consentement (libre, spécifique, éclairé, univoque).
Règlement ePrivacy : en discussion depuis 2017, destiné à remplacer la directive. Toujours non adopté en 2026.

Les exigences de la CNIL (France)

Lignes directrices 2020 et recommandations 2021 :

Consentement explicite : une case cochée par défaut ne vaut pas consentement.
Refus aussi facile que l'acceptation : un bouton « Refuser tout » de même visibilité que « Accepter tout », au même niveau hiérarchique.
Finalités claires : information précise et accessible.
Consentement par finalité : possibilité de refuser certaines catégories sans refuser toutes.
Preuve conservée : traçabilité du consentement pour audit.
Possibilité de retirer le consentement à tout moment, aussi simplement que le donner.
Pas de cookie wall pur (bloquer l'accès au site si refus) : toléré seulement avec alternative raisonnable.

Sanctions majeures récentes

Google : 150 M€ en décembre 2021 (CNIL) pour mécanisme de refus non équivalent à l'acceptation.
Meta/Facebook : 60 M€ en décembre 2021 pour le même motif.
Amazon : 35 M€ en décembre 2020 pour dépôt sans consentement.
TikTok : 5 M€ en janvier 2023 pour refus compliqué.
Yahoo! : 10 M€ en 2023 pour dépôt sans consentement.
De nombreuses PME sanctionnées pour montants plus faibles (typiquement 10-100 k€).

Spécificité française — article 82

La France applique strictement la directive ePrivacy via l'article 82 du Code des postes et communications électroniques. Toute personne qui accède à des informations stockées sur l'équipement d'un utilisateur, ou y inscrit des informations, doit avoir obtenu son consentement préalable.

Bonnes pratiques pour les éditeurs de sites

Bannière claire et conforme : solutions CMP (Consent Management Platform) type Didomi, Axeptio, OneTrust, Sourcepoint, Osano.
Blocage technique : tant que le consentement n'est pas donné, aucun cookie non essentiel ne doit être déposé (TMS propre côté serveur, ou tag management conditionné).
Audit régulier : scan de son site pour détecter cookies non déclarés, outils comme Didomi Observe, Cookiebot, CookieServe.
Minimisation des cookies tiers : moins de trackers = moins de conformité à gérer.
Analytics respectueux : Matomo auto-hébergé, Plausible, Fathom plutôt que GA4 standard.
Documentation complète : politique de cookies à jour, noms, finalités, durées, émetteurs.

Cookie walls — le débat

Un « cookie wall » bloque l'accès au contenu si l'utilisateur refuse les cookies. Position CNIL évolutive :

Lignes directrices 2020 : cookie walls purs non conformes.
Conseil d'État (2020) : annule partiellement l'interdiction, laisse la CNIL apprécier au cas par cas.
Pratique actuelle : tolérée si alternative raisonnable proposée (ex. abonnement payant sans traceurs type « pay or ok » des médias allemands).
EDPB (Comité européen, janvier 2024) : cadre strict sur les modèles « consent or pay » pour les grandes plateformes.

05 — RisquesLes risques de sécurité des cookies

Vol de cookies de session — vecteur majeur 2024-2026

Les cookies d'authentification sont devenus une cible prioritaire des cybercriminels car leur vol permet de contourner la MFA. Un attaquant qui détourne un cookie de session valide accède au compte sans mot de passe ni code MFA — la session est déjà authentifiée.

Vecteurs de vol

Infostealer : malware qui lit les bases de cookies des navigateurs (Chrome, Firefox, Edge). Vol rapide de toutes les sessions actives. RedLine Stealer, Vidar, Raccoon, Lumma en sont spécialistes.
XSS (Cross-Site Scripting) : injection de JavaScript malveillant sur un site pour lire document.cookie. Mitigation : attribut HttpOnly.
Sniffing réseau : interception en Wi-Fi non chiffré. Mitigation : HTTPS + Secure flag.
Man-in-the-middle : détournement via certificat compromis.
Accès physique à l'appareil : lire directement la base de cookies.
Supply chain : script tiers compromis qui exfiltre les cookies.

Marché des cookies volés

Les cookies de session sont vendus sur le dark web dans des « logs » d'infostealer. Prix typique : 10 USD à plusieurs centaines selon le profil. Les sessions Microsoft 365, Google Workspace, bancaires et crypto-wallets ont la plus grande valeur. Genesis Market (démantelé avril 2023) s'est spécialisé dans ce commerce avant sa fermeture — le Russian Market a pris le relais.

Cas emblématiques 2022-2024

Uber 2022 : attaquant utilise un cookie de session volé pour accéder à la console Slack puis escalader.
Circle CI 2023 : infostealer sur une machine d'employé a volé les cookies de session, permettant à l'attaquant d'accéder aux secrets clients.
Okta 2023 : session HAR files (contenant cookies) partagés au support ont fuité, permettant des attaques sur clients.
LastPass 2022-2023 : compromission via cookie volé sur machine développeur (DevOps engineer).

CSRF (Cross-Site Request Forgery)

Ancienne attaque où un site malveillant envoie une requête au site cible en utilisant les cookies de session de l'utilisateur. Mitigation moderne : attribut SameSite (Lax par défaut depuis Chrome 80), tokens CSRF dans les formulaires.

Session fixation

L'attaquant fournit à la victime un identifiant de session connu, puis reprend cette session une fois la victime authentifiée. Mitigation : régénérer l'identifiant de session après authentification.

Cookie tossing / overwriting

Attaques sur sites partageant un domaine parent (ex. sub1.example.com vs sub2.example.com) pouvant écraser les cookies de l'autre. Mitigation : préfixes __Host-, configuration stricte.

Tracking invasif et vie privée

Profilage comportemental : suivi à travers des milliers de sites via cookies tiers et fingerprinting.
Data brokers : revente des profils à dizaines de courtiers de données (Acxiom, Experian, Oracle Data Cloud).
Real-Time Bidding : chaque affichage publicitaire déclenche une enchère qui partage le profil utilisateur avec des centaines d'acteurs. Controverses vie privée majeures.
Fingerprinting sans cookie : contournement quand cookies bloqués.

Bonnes pratiques côté développeur

HttpOnly sur tous les cookies de session.
Secure obligatoire (HTTPS).
SameSite=Lax par défaut, Strict si possible pour les cookies très sensibles.
Préfixes __Host-, __Secure- pour les cookies critiques.
Régénération de session après authentification.
Durée de vie limitée : cookie de session court, refresh token séparé.
Invalidation côté serveur en cas de logout ou suspicion.
Détection d'anomalies : changement d'IP/device anormal pour une session → re-authentifier.

06 — ProtectionGérer ses cookies en tant qu'utilisateur

Navigateur privacy-first

Firefox : Enhanced Tracking Protection en mode « Strict », bloque cookies tiers par défaut.
Safari : Intelligent Tracking Prevention bloque cookies tiers.
Brave : bloque agressivement trackers, publicités, fingerprinting par défaut.
Chrome : mode « Bloquer les cookies tiers » activable manuellement.
Tor Browser : anonymat maximal pour usages sensibles.

Extensions utiles

uBlock Origin : bloque trackers et publicités. L'extension privacy la plus efficace, gratuite, open source.
Privacy Badger (EFF) : apprend à bloquer les trackers intrusifs.
DuckDuckGo Privacy Essentials : bloqueur de trackers simple.
Cookie AutoDelete : supprime les cookies dès que l'onglet ferme.
Firefox Multi-Account Containers : isole les cookies par contexte.
Consent-o-matic : refuse automatiquement les bannières (vérifier les paramètres).

Configuration navigateur

Bloquer cookies tiers : activé par défaut.
Supprimer à la fermeture : repart propre à chaque session (attention, déconnecte de tout).
Do Not Track : envoyer le signal DNT / Global Privacy Control.
Exceptions ciblées : autoriser les cookies pour les sites de confiance qui en ont besoin.
Nettoyer régulièrement : Ctrl+Shift+Suppr sur la plupart des navigateurs.

Sur les bannières cookies

Refuser par défaut : sauf nécessité explicite pour le site.
Ne pas confondre « Paramétrer » : parfois déroute vers un écran avec acceptation par défaut.
Méfiance sur « Autoriser tout » : partage avec dizaines de partenaires.
Signaler les bannières non conformes : CNIL plaintes accepte les signalements.

Contre le vol de cookies de session

Pas de logiciels cracks ou douteux : vecteur principal d'infostealers.
Antivirus à jour : Microsoft Defender + Malwarebytes.
Sessions courtes : se déconnecter des comptes sensibles, surtout sur appareils partagés.
Révoquer les sessions actives régulièrement : dans les paramètres Google, Microsoft, etc.
MFA sur tous les comptes : même si contournable par vol de cookie, protège contre vol de mot de passe.
Passkeys : résistent mieux aux infostealers que les mots de passe classiques.
Alerte sur nouvel appareil : activer les notifications de connexion.

07 — FAQQuestions fréquentes

Puis-je naviguer sans cookies du tout ?

Techniquement oui mais beaucoup de sites ne fonctionneront pas correctement : impossible de rester connecté à son compte, perte du panier d'achat, préférences non mémorisées. En pratique, la bonne approche est bloquer les cookies tiers (tracking) et accepter les cookies first-party strictement nécessaires. Navigateurs modernes font cela par défaut (Firefox, Safari, Brave). Chrome a progressé mais reste plus permissif.

Supprimer les cookies supprime-t-il toutes mes données ?

Non, seulement les cookies stockés localement. Ça vous déconnecte de tous les sites (sessions perdues), mais vos comptes existent toujours côté serveur. Vous pouvez vous reconnecter normalement avec vos identifiants. Les autres mécanismes de stockage (localStorage, sessionStorage, IndexedDB, Cache API) doivent être supprimés séparément dans la plupart des navigateurs, mais la fonction « Effacer les données de navigation » couvre généralement tout.

Les cookies tiers disparaissent-ils vraiment ?

Sur Safari et Firefox, oui depuis 2019-2020. Sur Chrome, Google avait annoncé leur suppression pour 2022 puis reporté plusieurs fois. En juillet 2024, Google a annoncé renoncer au plan initial de suppression automatique, au profit d'un choix laissé aux utilisateurs. Chrome propose un outil pour activer le blocage. Les solutions de remplacement pour la publicité (Privacy Sandbox, Topics API) avancent lentement. Le tracking s'adapte : fingerprinting, ID côté serveur, collaboration accrue entre éditeurs et publicités first-party.

Pourquoi les bannières cookies sont si agressives ?

Parce qu'il est techniquement difficile de distinguer les utilisateurs qui acceptent et ceux qui n'ont pas encore choisi, et que le taux d'acceptation influence directement les revenus publicitaires des éditeurs. D'où les « dark patterns » (design trompeur) : « Accepter tout » en gros vert, « Refuser » enfoui dans un sous-menu, boutons intervertis, couleurs qui suggèrent. La CNIL et les DPA européennes sanctionnent activement ces pratiques, et les CMP (Consent Management Platforms) sérieuses (Didomi, Axeptio) proposent des configurations conformes.

Mon compte a été compromis malgré la MFA, comment ?

Possible via vol de cookie de session. L'infostealer sur votre machine (souvent via crack ou pièce jointe phishing) a volé le cookie authentifié, qui représente une session déjà passée par la MFA. Actions immédiates : révoquer toutes les sessions actives (Google, Microsoft, etc. ont cette option), changer le mot de passe, exécuter un scan antivirus complet (Microsoft Defender + Malwarebytes), envisager une réinstallation OS si infection persistante. Pour le futur : passkeys plus résistantes, réduire les sessions longues, ne pas exécuter de logiciels douteux.

Les cookies peuvent-ils me suivre dans la vie réelle ?

Directement non — les cookies restent limités au navigateur. Indirectement : les profils constitués via cookies peuvent être croisés avec des données offline (achats physiques, géolocalisation mobile) par les courtiers de données. Les écosystèmes publicitaires corrèlent identifiants mobiles (IDFA iOS, AAID Android), cookies web et données physiques pour construire des profils unifiés. D'où l'importance des protections sur mobile : App Tracking Transparency (iOS), limitation des permissions (Android).