Conformité et Juridique

Consentement aux cookies pour PrestaShop : ce que la loi exige vraiment

David Miller Publié : 15/06/2026 Créé : 28/02/2026 Mis à jour : 28/05/2026 Conformité et Juridique

Les bannières de consentement aux cookies sont partout, et la plupart sont erronées. Soit elles ne bloquent pas réellement les cookies avant le consentement (ce qui les rend juridiquement inutiles), soit elles rendent le refus quasi impossible (des dark patterns que les régulateurs sanctionnent de plus en plus). Voici ce que vous devez réellement faire — ni plus, ni moins.

Ce que dit la loi (en langage clair)

Deux réglementations européennes régissent les cookies :

RGPD (Règlement Général sur la Protection des Données)

Le RGPD couvre le traitement des données personnelles. Les cookies qui identifient ou suivent les individus relèvent du RGPD. Vous avez besoin d'une base légale pour traiter ces données — pour les cookies marketing, cette base est le consentement.

La directive ePrivacy traite spécifiquement des cookies et technologies de suivi similaires. Sa règle est simple : vous devez obtenir le consentement avant de placer tout cookie qui n'est pas strictement nécessaire au service demandé par l'utilisateur.

L'effet combiné

Vous avez besoin d'un consentement explicite et éclairé avant de placer tout cookie non essentiel. Cela inclut :

Les cookies d'analyse (Google Analytics, Matomo)
Les cookies marketing/publicitaires (Facebook Pixel, Google Tag Manager, TikTok Pixel)
Les cookies de réseaux sociaux (flux intégrés, boutons de partage)
Les cookies de performance et de préférence (sauf s'ils sont strictement nécessaires)

Ce que vous pouvez faire sans consentement

Les cookies strictement nécessaires — ceux requis pour le fonctionnement de base de votre boutique — ne nécessitent pas de consentement :

Cookies de session — maintenir le panier actif
Cookies d'authentification — retenir que l'utilisateur est connecté
Cookies de sécurité — jetons CSRF, prévention de la fraude
Cookie de consentement lui-même — mémoriser le choix de consentement de l'utilisateur
Répartition de charge — redirection vers le bon serveur

Tout le reste nécessite un consentement préalable.

À quoi doit ressembler un consentement valide

Un consentement valide au titre du RGPD doit être :

Libre — l'utilisateur doit avoir un véritable choix. Les cases pré-cochées ne constituent pas un consentement valide. « Tout accepter » comme seul bouton visible avec « Gérer les préférences » en petits caractères est de plus en plus considéré comme un dark pattern.
Spécifique — le consentement pour les analyses est distinct du consentement pour le marketing. Tout regrouper dans un seul bouton « accepter les cookies » n'est pas assez spécifique (bien que de nombreux régulateurs tolèrent un consentement par catégorie).
Éclairé — l'utilisateur doit comprendre à quoi il consent. Cela ne signifie pas une politique de cookies de 10 000 mots dans la bannière — un résumé clair avec un lien vers les détails suffit.
Non ambigu — le consentement requiert une action affirmative (cliquer sur « Accepter »). Continuer à naviguer n'est pas un consentement. Faire défiler n'est pas un consentement. Le consentement implicite n'est pas valide.
Révocable — l'utilisateur doit pouvoir changer d'avis et retirer son consentement à tout moment, aussi facilement qu'il l'a donné.

Erreurs courantes

Mur de cookies — bloquer l'accès au site si l'utilisateur n'accepte pas tous les cookies. C'est illégal dans la plupart des pays de l'UE car le consentement n'est pas libre si l'alternative est l'absence d'accès.

Cases pré-cochées — des cases de consentement déjà cochées. Le RGPD l'interdit explicitement.

Pas d'option de refus — une bannière avec uniquement « Tout accepter » et « Paramètres » (où les paramètres sont difficiles à trouver ou confus). L'option de refus doit être aussi simple que l'option d'acceptation.

Activation des cookies avant le consentement — l'erreur technique la plus courante. Vos scripts d'analyse et de marketing s'exécutent immédiatement au chargement de la page, et la bannière de cookies n'est que cosmétique. C'est la même chose que de ne pas avoir de mécanisme de consentement du tout.

Ne pas respecter le choix — l'utilisateur clique sur « Tout refuser » mais les scripts d'analyse se déclenchent quand même. Cela arrive lorsque la bannière de cookies n'est pas correctement intégrée à votre gestion de balises.

Implémenter le consentement aux cookies dans PrestaShop

Notre module Lightweight Cookie Banner offre un consentement aux cookies conforme au RGPD avec :

Consentement par catégorie — des interrupteurs séparés pour les cookies nécessaires, d'analyse, marketing et de préférence
Blocage des scripts — les scripts marketing et d'analyse ne se chargent qu'après le consentement de l'utilisateur pour la catégorie concernée
Refus facile — « Tout refuser » est aussi visible que « Tout accepter »
Enregistrement du consentement — conserve la preuve du consentement (quand, à quoi il a été consenti) en cas de demande réglementaire
Déclenchement de re-consentement — lorsque vous ajoutez de nouvelles catégories de cookies ou modifiez votre politique, redemande automatiquement le consentement
Léger — n'ajoute pas de poids ou de délai significatif à votre boutique

Intégration avec les modules de suivi

Le principal défi technique est de s'assurer que les scripts de suivi (GA4, Facebook Pixel, TikTok, etc.) ne se déclenchent qu'après le consentement. Cela nécessite que votre bannière de cookies communique avec votre gestion de balises :

Blocage par défaut — tous les scripts non essentiels sont bloqués jusqu'au consentement
Signal de consentement — lorsque l'utilisateur accepte une catégorie, la bannière déclenche les scripts correspondants
Mode consentement — Google Consent Mode v2 permet à GA4 et Google Ads de fonctionner dans un mode limité sans cookies avant le consentement, puis de passer au suivi complet après. Cela préserve certaines données analytiques tout en respectant le consentement.

Particularités par pays

Allemagne — la Datenschutzkonferenz (DSK) est stricte. Les analyses nécessitent un consentement. Le Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) renforce les règles ePrivacy.

France — la CNIL a infligé plusieurs amendes pour des violations du consentement aux cookies. Elle exige que « Tout refuser » figure sur la première couche de la bannière, pas caché dans les paramètres.

Italie — le Garante exige une bannière à la première visite avec la possibilité d'accepter, refuser ou gérer les préférences. Il exige également un lien vers la « politique de cookies ».

Espagne — l'AEPD suit généralement le standard européen mais a été moins agressive dans l'application que la France ou l'Allemagne.

Royaume-Uni — après le Brexit, le Royaume-Uni a conservé le RGPD sous le nom de UK GDPR. Les règles relatives aux cookies sont essentiellement les mêmes que dans l'UE, appliquées par l'ICO.

Impact sur les analyses

Voici la vérité inconfortable : un consentement aux cookies correctement implémenté réduit vos données analytiques. Lorsque 30 à 40 % des visiteurs refusent les cookies d'analyse (ce qui est typique), vous perdez la visibilité sur cette partie de votre trafic.

Stratégies d'atténuation :

Google Consent Mode v2 — fournit des conversions modélisées et des données comportementales même sans cookies, grâce à l'apprentissage automatique pour combler les lacunes
Analyse côté serveur — certaines collectes de données peuvent se faire côté serveur sans cookies clients
Analyse agrégée — concentrez-vous sur les tendances et les schémas plutôt que sur les parcours individuels
Accepter la lacune — vos données seront incomplètes. C'est le compromis pour le respect de la vie privée des utilisateurs.

Le minimum pratique

Si vous souhaitez être conforme avec un minimum d'effort :

Installez un module de consentement aux cookies approprié (notre Lightweight Cookie Banner)
Configurez-le pour bloquer les scripts d'analyse et de marketing jusqu'au consentement
Assurez-vous que « Tout refuser » est aussi visible que « Tout accepter »
Rédigez une politique de cookies claire listant les cookies que vous utilisez et pourquoi
Vérifiez que le refus des cookies empêche effectivement le chargement des scripts (utilisez les outils de développement de votre navigateur pour vérifier)

Ce n'est pas le minimum légal absolu dans toutes les juridictions (certaines exigent des divulgations plus détaillées), mais cela couvre les fondamentaux et vous protège contre les actions de mise en application les plus courantes. Pour un conseil juridique spécifique, consultez un avocat familier avec vos marchés cibles — mais ne laissez pas le perfectionnisme juridique vous empêcher de mettre quoi que ce soit en place.

Articles Connexes

RGPD et Conformité Cookies pour PrestaShop : Ce Dont Vous Avez Vraiment Besoin
RGPD pour les boutiques en ligne : ce que vous devez faire (et ce que vous pouvez ignorer)
Accessibilité des boutiques en ligne : ce que signifie l'Acte européen d'accessibilité pour vous

Tags : PrestaShop RGPD Sécurité SEO

David Miller

Plus d'une décennie d'expertise pratique PrestaShop. David développe des modules e-commerce haute performance axés sur le SEO, l'optimisation du passage en caisse et la gestion de boutique. Passionné par le code propre et les résultats mesurables.

Cookie	Fournisseur	Finalité	Durée
PrestaShop-*	PrestaShop	Gestion de session et fonctionnalité du panier	Session
PHPSESSID	PHP	Identifiant de session PHP	Session
mprcr_consent	MPR Cookies Revolution	Enregistre les préférences de consentement des cookies	365 jour(s)
mprcr_version	MPR Cookies Revolution	Suit la version de la configuration du consentement	365 jour(s)

Cookie	Fournisseur	Finalité	Durée
TawkConnectionTime	Tawk.to	Suit le temps de connexion de la session de chat	Session
__tawkuuid	Tawk.to	Identifie les visiteurs récurrents du chat	6 mois

Cookie	Fournisseur	Finalité	Durée
_ga	Google Analytics	Distingue les utilisateurs uniques en attribuant un numéro généré aléatoirement	2 année(s)
_ga_*	Google Analytics	Utilisé pour maintenir la session entre les requêtes de pages	2 année(s)
_gid	Google Analytics	Distingue les utilisateurs uniques pendant 24 heures	24 heure(s)