RGPD et Conformité Cookies pour PrestaShop : Ce Dont Vous Avez Vraiment Besoin

Conformité cookies en 2026 : les amendes sont réelles, les règles sont strictes, et la plupart des boutiques PrestaShop se trompent

En septembre 2025, la CNIL a infligé à Google une amende de 325 millions d'euros pour avoir placé des cookies publicitaires dans Gmail sans consentement. Le même mois, SHEIN a reçu une amende de 150 millions d'euros — des cookies atterrissaient sur les appareils des visiteurs dès l'ouverture de shein.com, avant que quiconque ne touche la bannière de consentement. En novembre, American Express a été sanctionné de 1,5 million d'euros pour avoir continué à lire des cookies après que les utilisateurs avaient retiré leur consentement.

Ce ne sont pas des risques théoriques. Ce sont des sanctions appliquées à de grandes entreprises, et si vous pensez que les autorités de protection des données ne ciblent que les géants, vous vous trompez. La CNIL a prononcé 83 sanctions rien qu'en 2025, totalisant environ 486,8 millions d'euros, et les outils d'analyse automatisée permettent aux régulateurs de détecter facilement les bannières cookies non conformes sur des boutiques de toute taille.

J'ai audité des implémentations de cookies sur des dizaines de boutiques PrestaShop. La majorité viole au moins deux exigences de conformité — généralement sans que le propriétaire de la boutique le sache. Cet article couvre ce que vous devez réellement implémenter, avec des détails techniques spécifiques pour PrestaShop, Google Tag Manager et Google Consent Mode v2.

Le fondement juridique : ce que le « consentement cookies » exige réellement

Avant de plonger dans l'implémentation, soyons précis sur ce que la loi exige. La directive ePrivacy (pas le RGPD — c'est un règlement distinct) régit spécifiquement les cookies. Le RGPD régit ce que vous faites avec les données que ces cookies collectent. Ensemble, ils créent ces exigences :

1. Consentement préalable pour les cookies non essentiels — Aucun cookie d'analyse, de marketing ou tiers ne peut être déposé avant que l'utilisateur ne consente activement. Les cookies « essentiels » (session, panier, préférence de langue) sont exemptés.
2. Librement donné — Vous ne pouvez pas conditionner l'accès au site à l'acceptation des cookies. Les cookie walls (« tout accepter ou partir ») sont illégaux dans la plupart des juridictions de l'UE.
3. Spécifique et granulaire — Les utilisateurs doivent pouvoir accepter ou refuser les catégories de cookies indépendamment. « Tout accepter » comme seule option viole la réglementation.
4. Éclairé — Explication claire de ce que fait chaque catégorie de cookies, qui reçoit les données et les durées de conservation.
5. Action non ambiguë — Le défilement ou la poursuite de la navigation ne constitue pas un consentement. Un clic délibéré sur un bouton spécifique est requis.
6. Retrait facile — Modifier ou révoquer le consentement doit être aussi facile que de le donner. Un lien en pied de page est le minimum.
7. Pas de dark patterns — Les boutons Refuser et Accepter doivent avoir une importance visuelle égale. Cacher l'option de refus dans un menu secondaire ou utiliser une couleur/taille différente viole les exigences.

Google Consent Mode v2 : le pont technique entre consentement et analytics

Depuis mars 2024, Google exige Consent Mode v2 pour tout site utilisant des services Google (Analytics, Ads, Tag Manager) avec des utilisateurs européens. Sans cela, vous perdez la modélisation des conversions, les audiences de remarketing, et à terme l'intégralité des données de mesure.

Comment ça fonctionne

Consent Mode est une API JavaScript qui communique les choix de consentement de votre visiteur aux tags Google. Elle utilise quatre signaux de consentement :

Implémentation via Google Tag Manager

Le flux d'implémentation correct comporte trois parties :

Partie 1 : Définir l'état de consentement par défaut (se déclenche avant tout tag Google)

<script>
// This MUST load before GTM
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}

gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'wait_for_update': 500  // Wait up to 500ms for CMP to load
});

// Enable URL passthrough for conversion modeling even without cookies
gtag('set', 'url_passthrough', true);

// Redact ad click IDs when ad_storage is denied
gtag('set', 'ads_data_redaction', true);
</script>

Partie 2 : Charger le conteneur GTM (après que le consentement par défaut est défini)

<script>
(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;
j.src='https://www.googletagmanager.com/gtm.js?id='+i+dl;
f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXXX');
</script>

Partie 3 : Mettre à jour le consentement quand l'utilisateur fait un choix

<script>
// Called by your consent banner when user accepts specific categories
function updateConsent(preferences) {
    gtag('consent', 'update', {
        'ad_storage': preferences.marketing ? 'granted' : 'denied',
        'analytics_storage': preferences.analytics ? 'granted' : 'denied',
        'ad_user_data': preferences.marketing ? 'granted' : 'denied',
        'ad_personalization': preferences.marketing ? 'granted' : 'denied',
    });
}
</script>

Ce qui se passe quand le consentement est refusé

Avec le mode « Avancé » de Consent Mode (recommandé), les tags Google se chargent toujours mais se comportent différemment :

• GA4 envoie des pings sans cookies — pas d'identifiants utilisateur, pas de cookies. Google utilise le machine learning pour modéliser les conversions à partir de ces données agrégées, revendiquant une précision de 70-90 %.
• Google Ads perd les listes de remarketing et l'attribution directe des conversions, mais la modélisation des conversions compense partiellement.
• Sans Consent Mode du tout, les services Google ne reçoivent aucune donnée des utilisateurs non consentants — vous perdez à la fois la mesure et la modélisation.

En mode « Basique » (plus simple mais moins capable), les tags Google ne se déclenchent pas du tout avant l'obtention du consentement. Vous obtenez des données précises pour les utilisateurs consentants et rien pour tous les autres.

IAB Transparency and Consent Framework : TCF v2.2 et la date limite v2.3

Si votre boutique PrestaShop utilise de la publicité programmatique (Google AdSense, header bidding, tout réseau publicitaire), vous avez besoin de la conformité IAB TCF. Le framework standardise la communication du consentement aux fournisseurs de technologie publicitaire.

TCF v2.2 (Standard actuel)

• Nécessite une plateforme de gestion du consentement (CMP) enregistrée auprès d'IAB Europe
• Génère des chaînes TC (Transparency & Consent) encodant les choix de l'utilisateur
• S'intègre à la Global Vendor List (GVL) — plus de 1 000 fournisseurs enregistrés
• Doit présenter les informations au niveau des fournisseurs aux utilisateurs sur demande

TCF v2.3 (Obligatoire d'ici le 28 février 2026)

La mise à niveau vers v2.3 ajoute un segment obligatoire « Disclosed Vendors » à la chaîne TC, comble les failles autour des revendications d'intérêt légitime, et exige un filtrage plus strict des fournisseurs. Si votre CMP n'a pas été mis à jour pour supporter la v2.3 avant la date limite, les ad exchanges rejetteront vos bid requests, entraînant une perte de revenus immédiate — pas dans quelques mois, immédiatement.

Pour la plupart des boutiques PrestaShop qui n'utilisent pas de publicité programmatique, TCF est moins pertinent — Google Consent Mode v2 est la priorité. Mais si vous diffusez des publicités, vérifiez que votre fournisseur de CMP supporte TCF v2.3 avant la date limite de février 2026.

Implémentation des cookies PrestaShop : ce que votre bannière doit faire

Soyons précis sur ce à quoi ressemble une implémentation conforme du consentement cookies sur PrestaShop. Je vais décrire les exigences ; vous pouvez les satisfaire avec un module, un service CMP ou du code personnalisé.

Exigence 1 : Bloquer les scripts jusqu'au consentement

La violation la plus courante que j'observe sur les boutiques PrestaShop : la bannière de consentement s'affiche alors que GA4, Facebook Pixel et Hotjar tournent déjà. Cela arrive parce que les scripts sont chargés dans le <head> via hookDisplayHeader de manière inconditionnelle.

La solution : chaque script non essentiel doit être conditionné par une vérification de consentement. Deux approches existent :

Approche A : Substitution du type de script

<!-- Render scripts as text/plain so the browser ignores them -->
<script type="text/plain" data-cookiecategory="analytics">
    // GA4 initialization code
    gtag('config', 'G-XXXXXXX');
</script>

<script type="text/plain" data-cookiecategory="marketing">
    // Facebook Pixel initialization
    fbq('init', '123456789');
</script>

<!-- Consent banner JS changes type to text/javascript when category is accepted -->

Approche B : Basée sur les déclencheurs GTM (recommandée)

Chargez tous les scripts tiers via GTM et configurez le déclencheur de chaque tag pour ne se déclencher que lorsque la catégorie de consentement correspondante est accordée. C'est plus propre car :

• Vous gérez tous les scripts au même endroit
• L'intégration Consent Mode est automatique pour les tags Google
• Pas de logique de substitution de script nécessaire dans votre thème PrestaShop
• Plus facile à auditer et à maintenir

Exigence 2 : Catégories de cookies

Pour les boutiques PrestaShop, vous avez généralement besoin de quatre catégories :

Exigence 3 : Parité visuelle

L'amende SHEIN a spécifiquement cité cela : le bouton « Accepter » était mis en évidence tandis que l'option « Refuser » était un lien texte discret. Votre bannière doit donner aux deux options un poids visuel égal :

<!-- NON-CONFORME: Styles de boutons différents -->
<button class="btn btn-primary btn-lg">Tout accepter</button>
<a href="#" class="text-muted small">Refuser</a>

<!-- CONFORME: Importance égale -->
<button class="btn btn-primary">Tout accepter</button>
<button class="btn btn-outline-primary">Tout refuser</button>
<button class="btn btn-link">Personnaliser</button>

Exigence 4 : Stockage et preuve du consentement

Vous devez enregistrer quand le consentement a été donné, ce qui a été consenti, et comment (quelle version de votre bannière). Cela sert de preuve de conformité lors d'un audit. Stockez ces données côté serveur, pas uniquement dans un cookie :

-- Example consent log table for PrestaShop
CREATE TABLE ps_cookie_consent_log (
    id_consent INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    id_customer INT UNSIGNED DEFAULT NULL,
    visitor_hash VARCHAR(64) NOT NULL,
    ip_address VARCHAR(45) NOT NULL,
    consent_categories JSON NOT NULL,
    banner_version VARCHAR(20) NOT NULL,
    action ENUM('granted', 'denied', 'partial', 'withdrawn') NOT NULL,
    date_add DATETIME NOT NULL,
    INDEX idx_visitor (visitor_hash, date_add),
    INDEX idx_customer (id_customer)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Erreurs courantes que j'observe sur les boutiques PrestaShop

Erreur 1 : Le module RGPD intégré à PrestaShop n'est pas une solution cookies

PrestaShop 1.7.6+ est livré avec un module RGPD qui gère les demandes d'accès aux données, la suppression des données et les cases de consentement pour les formulaires. Il ne fournit pas de consentement cookies. Il ne bloque pas les scripts, n'affiche pas de bannière cookies et ne s'intègre pas avec Google Consent Mode. Vous avez besoin d'une solution séparée pour les cookies.

Erreur 2 : Les bannières de consentement qui ne bloquent rien

J'ai testé des bannières cookies sur des boutiques PrestaShop où cliquer sur « Tout refuser » change l'état de la bannière à « refusé » mais où tous les scripts de tracking continuent de fonctionner. La bannière est cosmétique — un bouclier de responsabilité qui n'apporte aucune conformité réelle. Testez votre implémentation :

1. Ouvrez votre boutique dans une fenêtre de navigation privée
2. Ouvrez Chrome DevTools > Application > Cookies
3. Cliquez sur « Tout refuser » sur votre bannière de consentement
4. Vérifiez la présence de cookies _ga, _gid, _fbp, _gcl_au — s'ils existent, votre bannière est défaillante
5. Vérifiez l'onglet Network pour les requêtes vers google-analytics.com, facebook.com, etc.

Erreur 3 : Charger des scripts CMP lourds qui nuisent aux performances

Certaines plateformes de gestion du consentement tierces chargent 200-500 Ko de JavaScript. Sur une boutique PrestaShop chargeant déjà 400 Ko de JS, cela pousse votre Total Blocking Time au-delà des seuils acceptables. Le mécanisme de consentement censé protéger les utilisateurs finit par dégrader leur expérience.

Cherchez des solutions légères. Une bannière cookies conforme n'a pas besoin d'être un widget SaaS de 300 Ko. La fonctionnalité de base — afficher une bannière, enregistrer les choix, conditionner les scripts — peut être accomplie en moins de 20 Ko de JavaScript.

Erreur 4 : Ignorer les cookies côté serveur

La plupart des implémentations de consentement ne bloquent que les cookies JavaScript côté client. Mais les modules PrestaShop peuvent aussi définir des cookies côté serveur via PHP. Si un module utilise setcookie() ou la classe Cookie de PrestaShop pour définir des cookies non essentiels, votre bannière de consentement côté client ne peut pas l'empêcher.

Auditez vos modules installés pour la définition de cookies côté serveur. Dans le code PrestaShop, cherchez :

# Find modules setting cookies
grep -r "setcookie\|new Cookie\|Context::getContext()->cookie->" modules/ --include="*.php"

Erreur 5 : Pas de mécanisme de retrait du consentement

L'amende American Express a spécifiquement cité la lecture de cookies après le retrait du consentement. Votre boutique doit avoir un moyen persistant et accessible pour les visiteurs de modifier leurs préférences cookies — généralement un lien « Paramètres cookies » en pied de page qui rouvre le dialogue de consentement. Lorsqu'un utilisateur retire son consentement, tous les cookies non essentiels de cette catégorie doivent être supprimés immédiatement.

AIPD : quand vous en avez besoin

Une Analyse d'Impact relative à la Protection des Données est requise lorsque votre implémentation de cookies/tracking implique :

• Du profilage à grande échelle (audiences de remarketing, ciblage comportemental)
• Du suivi cross-device
• Le traitement de catégories particulières de données (santé, opinions politiques)
• La surveillance systématique de zones accessibles au public

Pour une boutique PrestaShop typique utilisant GA4 et Facebook Pixel, une AIPD complète n'est probablement pas nécessaire. Mais si vous utilisez du remarketing avancé, des publicités produit dynamiques et de multiples outils de tracking tiers, documentez votre évaluation. L'outil PIA de la CNIL est gratuit et fournit un modèle structuré.

Tendances d'application : ce que 2025-2026 nous apprend

Le schéma est clair. Voici un résumé des récentes actions d'application spécifiques aux cookies :

La CNIL est de loin l'autorité la plus active, mais d'autres DPA suivent : la Suède a ciblé ATG et Warner Music pour des bannières manipulatrices, et l'ICO au Royaume-Uni a lancé des examens systématiques des 1 000 premiers sites web britanniques en matière de conformité cookies.

La conclusion : l'analyse automatisée est la nouvelle norme. Les régulateurs n'ont pas besoin de visiter manuellement votre boutique — ils exécutent des scripts qui détectent les comportements cookies non conformes à grande échelle. Une petite boutique PrestaShop avec 10 000 visiteurs mensuels est tout aussi analysable qu'un détaillant multinational.

Votre checklist d'implémentation

Voici l'ordre de priorité que je recommande pour les boutiques PrestaShop :

1. Auditez vos cookies — Ouvrez DevTools, listez chaque cookie déposé sur votre domaine, identifiez lesquels sont essentiels et lesquels ne le sont pas.
2. Implémentez le blocage de scripts — Aucun script non essentiel ne se déclenche avant le consentement. Testez avec DevTools.
3. Déployez une bannière de consentement — Boutons d'importance égale, catégories granulaires, lien persistant en pied de page pour modifier les préférences.
4. Implémentez Google Consent Mode v2 — Tous les signaux par défaut sur denied, mise à jour au consentement. Testez avec Google Tag Assistant.
5. Mettez en place la journalisation du consentement — Enregistrement côté serveur des événements de consentement à des fins d'audit.
6. Documentez tout — Page de politique cookies listant tous les cookies, finalités, durées et tiers.
7. Testez trimestriellement — Les mises à jour de modules peuvent introduire de nouveaux cookies. Ré-auditez chaque fois que vous ajoutez un module ou mettez à jour votre thème.

Nuances par pays : tous les États membres de l'UE n'appliquent pas de la même manière

Bien que la directive ePrivacy et le RGPD s'appliquent dans toute l'UE, l'application varie significativement selon les pays. Comprendre où se trouvent vos clients est important pour configurer votre consentement :

France (CNIL)

L'autorité la plus agressive de loin. La CNIL effectue des analyses automatisées, prononce les amendes les plus élevées, et a explicitement déclaré que les cookie walls sont illégaux. Si vous vendez à des clients français, votre niveau d'exigence de conformité est le plus élevé. La CNIL exige également que les choix de consentement soient stockés comme preuve et que les cookies analytics (y compris GA4) nécessitent un opt-in explicite — pas d'argument d'intérêt légitime.

Allemagne (DPA des Länder)

L'Allemagne dispose de 16 autorités de protection des données au niveau des Länder plus le BfDI fédéral. La DPA bavaroise a été particulièrement active sur l'application des cookies. La loi allemande exige également une page « Impressum » (mentions légales) séparée, et les bannières cookies doivent être en allemand pour les boutiques germanophones. L'interprétation allemande de l'« intérêt légitime » pour les analytics est plus stricte que celle de la plupart des autres États membres.

Pays-Bas (AP)

L'Autoriteit Persoonsgegevens néerlandaise s'est concentrée sur les cookie walls et le tracking sans consentement. Elle a clarifié que les cookies d'A/B testing nécessitent un consentement s'ils suivent le comportement individuel des utilisateurs. Pour les boutiques PrestaShop servant le marché néerlandais, sachez que l'AP considère tout cookie qui distingue entre utilisateurs individuels comme non essentiel, même les cookies fonctionnels comme « produits récemment consultés » qui créent un profil de navigation.

Italie (Garante)

Le Garante italien a publié des lignes directrices détaillées sur les cookies exigeant une approche de consentement à deux niveaux : une bannière de premier niveau brève avec les options accepter/refuser/personnaliser, et une page de détail de second niveau accessible depuis la bannière. Le Garante a sanctionné des entreprises pour l'utilisation du consentement par défilement et pour des bannières cookies dépourvues d'option de refus visible au premier niveau.

Royaume-Uni (ICO)

Post-Brexit, le Royaume-Uni suit son propre cadre de protection des données (UK GDPR + PECR). L'ICO a lancé des examens systématiques des 1 000 premiers sites web britanniques et a émis des avis d'exécution aux organisations déposant des cookies analytics et publicitaires sans consentement valide. L'approche de l'ICO est moins axée sur les amendes que celle de la CNIL mais plus concentrée sur les ordonnances correctives.

Ce que cela signifie pour les boutiques PrestaShop multi-pays

Si votre boutique PrestaShop sert des clients dans plusieurs pays de l'UE (et la plupart le font — les capacités multiboutique et multilingue de PrestaShop rendent cela courant), configurez votre implémentation de consentement selon la norme la plus stricte applicable. En pratique, cela signifie la norme française : consentement préalable complet pour tous les cookies non essentiels, importance égale des boutons, pas de cookie walls, journalisation côté serveur du consentement, et retrait facile. Satisfaire les exigences de la CNIL signifie que vous serez conforme partout ailleurs dans l'UE.

Pour les boutiques avec une présence au Royaume-Uni, assurez-vous que votre politique cookies référence le PECR (Privacy and Electronic Communications Regulations) aux côtés du RGPD, et liste l'ICO comme autorité de surveillance pertinente pour les clients britanniques.

Tester votre implémentation : un protocole de vérification étape par étape

Après avoir implémenté votre solution de consentement cookies, exécutez ce protocole de vérification avant la mise en production. J'utilise exactement cette checklist pour chaque boutique PrestaShop que j'audite :

1. Test de première visite — Ouvrez une fenêtre de navigation privée. Avant d'interagir avec la bannière, vérifiez Application > Cookies dans DevTools. Seuls les cookies essentiels (session PrestaShop, CSRF) devraient être présents. Si vous voyez _ga, _gid, _fbp ou tout cookie tiers, votre blocage est défaillant.
2. Test « Tout refuser » — Cliquez sur « Tout refuser ». Vérifiez qu'aucun cookie analytics ou marketing n'apparaît. Vérifiez l'onglet Network pour les requêtes vers google-analytics.com, connect.facebook.net ou toute plateforme publicitaire. Il ne devrait y en avoir aucune.
3. Test de consentement sélectif — Acceptez uniquement analytics. Vérifiez que les cookies analytics apparaissent mais pas les cookies marketing. Puis acceptez aussi le marketing — vérifiez que les cookies marketing apparaissent maintenant.
4. Test de retrait — Ouvrez les paramètres cookies depuis le lien en pied de page. Révoquez le consentement analytics. Vérifiez que les cookies _ga et _gid sont supprimés immédiatement (pas seulement au prochain chargement de page).
5. Test Consent Mode — Dans Tag Assistant de GTM ou GA4 DebugView, vérifiez que les mises à jour d'état du consentement correspondent à vos choix dans la bannière. Quand analytics est refusé, GA4 devrait afficher « consent_denied » pour analytics_storage.
6. Test de persistance — Acceptez tous les cookies. Fermez le navigateur. Rouvrez. Visitez la boutique. La bannière de consentement ne devrait PAS réapparaître — votre cookie de préférence persiste correctement.
7. Test de journalisation du consentement — Vérifiez votre table de journalisation côté serveur. Vérifiez que les événements d'acceptation, de refus et de retrait sont enregistrés avec horodatages, identifiants visiteur et version de la bannière.
8. Test mobile — Répétez les tests 1-3 sur un appareil mobile. De nombreux bugs de bannières de consentement sont spécifiques au mobile (boutons trop petits, bannière recouvrant le contenu, catégories non scrollables).

La conformité cookies n'est pas un travail glamour. Mais bien l'implémenter protège votre entreprise d'amendes à six chiffres et construit la confiance avec des clients qui se soucient de plus en plus de la façon dont leurs données sont traitées. Notre module Cookies Revolution gère l'implémentation technique — blocage de scripts, intégration Consent Mode v2, catégories granulaires et bannière légère — pour que vous puissiez vous concentrer sur la vente.

Si vous n'êtes pas sûr de votre statut de conformité actuel, exécutez le protocole de vérification ci-dessus. Si vous voyez des cookies de tracking avant le consentement, vous avez un problème qui nécessite une correction aujourd'hui — pas au prochain trimestre.

David Miller développe des outils PrestaShop orientés vie privée sur mypresta.rocks. Cet article reflète sa compréhension des réglementations cookies de l'UE en avril 2026 et ne constitue pas un conseil juridique.