Audit cookies RGPD : le guide pratique du DPO pour détecter et corriger les dérives

19/05/2026 |

74% des DPOs travaillent seuls. Un chiffre qui à lui seul illustre le défi qui les attend pour garantir au quotidien la conformité des cookies. Voici un guide et, mieux encore, un plan en 30 jours pour auditer, corriger et industrialiser la conformité des cookies.

Vendredi soir, 18h15. Amélie, DPO dans une entreprise du secteur de la mode reçoit un SMS du responsable du site web de la marque : « On a trouvé quelque chose dans les logs. On doit se parler. » Amélie est en poste depuis trois ans. Elle connaît ce message et ce qu’il implique. Un message qui précède toujours une mauvaise surprise : un tag qui se déclenche avant la bannière, un pixel oublié après une campagne, un prestataire qui a conservé un accès au TMS (Tag Management System) sans que personne ne l’ait jamais révoqué…

En télétravail ce jour-là, Amélie qui était déjà dans les projets du week-end, rouvre son ordinateur, et commence à courir après quelque chose qui, cette fois encore, a eu des semaines d’avance sur elle.

DPO : un rôle sous contraintes

Ce scénario est fictif, mais… réaliste. Pour une majorité de DPOs en France, c’est même la norme. Selon l’enquête AFCDP/CNIL/Afpa de 2024, le nombre de DPO en France est passé de 21 000 en 2019 à plus de 34 000 en début 2024. Une belle progression donc, mais les mises en demeure de la CNIL pour non-conformité cookies, elles, continuent. Un paradoxe ? En apparence seulement. Car plusieurs chiffres issus de la même enquête donnent plusieurs clés pour comprendre :

  • 74% des DPOs travaillent seuls, sans équipe
  • 85% exercent leur mission à temps partiel, en plus d’une autre fonction
  • 63% n’ont pas de budget dédié

Résultat : 61% des DPOs à temps partiel consacrent 25% ou moins de leur temps de travail à leurs missions de… DPO

Amélie, comme des milliers de ses homologues, surveille des dizaines de propriétés digitales avec les outils d’une autre époque, depuis un agenda déjà surchargé et dans un univers changeant. Un tracking qui se reconfigure à chaque mise à jour, des équipes marketing qui ajoutent des pixels sans validation, des agences qui accèdent au TMS en direct… 

Dans ce contexte, la conformité des cookies ne peut pas reposer sur une mécanique d’audits réguliers, d’autant que ce n’est qu’un volet parmi d’autres de la large TodoList du DPO. Le contexte, les enjeux et les ressources appellent une méthode.

Cookies avant consentement, tags fantômes, piggybacking : les 7 dérives qui exposent votre conformité

Il y a quelque chose que les mises en demeure CNIL ne disent pas : dans la grande majorité des cas, la non-conformité n’est pas le résultat d’une mauvaise volonté. Personne, dans l’organisation d’Amélie, n’a délibérément décidé de déposer des cookies avant consentement. Ces dysfonctionnements surviennent parce qu’une règle CMP a été mal configurée lors d’une migration, ou parce qu’un développeur a déployé une mise à jour un vendredi sans repasser par le circuit de validation, ou encore parce qu’un tag « temporaire » posé pendant une campagne de solde n’a jamais été supprimé.

Voici une liste des scénarios qui se répètent, chacun avec son symptôme, sa cause, son risque réglementaire et, aussi, les contre-mesures courantes : donnée et de ce qu’on en fait.

Scénario Symptôme observable Cause probable Risque RGPD Contre-mesure
Cookie avant consentement Tag actif au chargement de la page Règle CMP mal configurée Manquement art. 82 (Loi Informatique et Libertés) Inspecter les requêtes réseau avant clic sur la bannière
Tag fantôme Vendor inconnu dans les logs Script non supprimé post-campagne Traitement sans base légale Croiser inventaire TMS et logs réseau
Périmètre oublié Non-conformité sur un sous-domaine Hors scope de l’audit initial Même risque, périmètre élargi Lister tous les sous-domaines et les tester un à un
Piggybacking Données envoyées à un tiers non déclaré Cascade de tags non auditée Transfert sans information Analyser les appels réseau émis par chaque tag
Mise à jour qui casse Tags déclenchés malgré consentement collecté Déploiement sans re-validation CMP Non-respect du consentement Rejouer le parcours utilisateur après chaque déploiement
Incohérence cross-device Comportement différent mobile/desktop Consent string non transmis Consentement non opposable Tester sur 3 devices distincts
Gouvernance floue Tags ajoutés sans validation Pas de workflow d’approbation Exposition permanente Poser la question : « qui peut ajouter un tag ? » à l’IT

CMP : Consent Management Platform  |  TMS : Tag Management System  |  RGPD : Règlement Général sur la Protection des Données  |  Art. 82 : article 82 de la Loi Informatique et Libertés

Ces sept scénarios partagent un point commun : ils sont invisibles du DPO sans un outillage de détection actif de manière continue. Autrement dit, une mise à jour de site ou un A/B test peut les faire réapparaître le lendemain d’un audit.

Non-conformité cookies détectée : le triage d’urgence en 48 heures

Revenons chez Amélie. L’anomalie est confirmée : un tag de retargeting se déclenche avant l’interaction utilisateur avec la bannière. L’incident est réel. Il couvre l’ensemble du trafic desktop depuis 12 jours. Le dernier audit date, lui, de 15 jours.

Sa première réaction, comme celle de la plupart des DPOs dans cette situation, est de vouloir comprendre avant d’agir. Une louable intention. Mais c’est une erreur : avant de chercher à comprendre, il faut contenir et enclencher une liste de tâches curatives.

À faire dans les 48 heures qui suivent

  1. Vérifier que la CMP (Consent Management Platform) est active et fonctionnelle donc que les logs de consentement sont disponibles et horodatés
  2. Identifier les tags déclenchés avant consentement
  3. Délimiter le périmètre impacté (pages, devices, environnements)
  4. Dresser la liste des tiers concernés
  5. Documenter la notification interne au responsable de traitement
  6. Vérifier les sous-domaines
  7. Contrôler les environnements de staging
  8. Lister tous les déploiements des 30 derniers jours
  9. Tracer chaque action corrective dès sa mise en œuvre

À ne pas faire

  • Corriger à la volée sans traçabilité
  • Minimiser l’incident sans données objectives
  • Attendre d’avoir « tout compris » pour prévenir le responsable de traitement

Un point mérite d’être clairement explicité ici. Le DPO est conseiller et contrôleur, pas le responsable opérationnel de la conformité. Si c’est bien le DPO qui doit assurer la remontée et la documentation de l’alerte, c’est le responsable de traitement qui reste en première ligne (articles 37-39 du RGPD, rappel du Guide Pratique RGPD de la CNIL).

Amélie n’est pas là pour éteindre l’incendie, mais pour s’assurer que les bons extincteurs sont dans les bonnes mains, et que tout est consigné.

Audit cookies RGPD : inventaire des tags, corrections et mise à jour du registre 

Le feu est éteint. L’incident est contenu et documenté. Commence maintenant le vrai travail, celui que l’on engage pour changer les choses structurellement.

L’inventaire des tags est la pièce centrale de cette phase. Pour chaque tag présent sur les propriétés, il s’agit de documenter : finalité, vendor, règle de déclenchement, base légale, consentement requis, propriétaire interne, date d’ajout, statut de conformité (oui, cette liste est longue…).

Ce travail est aussi l’occasion de (re)poser des questions clés. Par exemple :

À l’IT :

  • Qui a accès au TMS (Tag Management System) ?
  • Y a-t-il un processus de validation avant déploiement d’un script ?
  • À quel moment la CMP (Consent Management Platform) est-elle chargée dans l’ordre d’exécution des scripts ?

Au marketing :

  • Quels outils ont été ajoutés dans les 6 derniers mois ?
  • Des pixels sont-ils posés directement dans les templates HTML, sans passer par le TMS ?

À l’agence :

  • Quels tags avez-vous déployés sur nos propriétés ?
  • Disposez-vous d’un accès direct à notre TMS ?.

Les réponses révèlent souvent des trous dans la gouvernance, des accès non tracés, des tags « temporaires » jamais supprimés après la fin d’une campagne. Amélie découvrira peut-être que trois personnes différentes, dans trois équipes différentes, peuvent pousser un tag en production sans que personne ne le sache. Un dysfonctionnement à l’origine d’une grande partie des incidents qu’elle a traités en trois ans.

Du contrôle ponctuel au monitoring cookies continu : le tournant du premier mois

C’est le moment où Amélie peut choisir quel type de DPO elle veut être à partir de maintenant.

Première option : rester en mode réactif et patcher les incidents au fur et à mesure, refaire le même inventaire dans six mois, traiter le prochain message du vendredi soir dans la même urgence… 

Deuxième option : architecturer et se donner une capacité proactive.

Le problème structurel du tracking, c’est qu’il ne se fige jamais. Un audit ponctuel est une photo. Le tracking, lui, est un film qui évolue au rythme des mises à jour, des A/B tests et des nouvelles intégrations marketing. Et c’est là que le crawl robotisé atteint ses limites structurelles face à une donne digital qui évolue en temps réel.

Crawler robotisé Monitoring réel du trafic
Fréquence de détection Ponctuelle (hebdo ou mensuelle) Continue, sur chaque session réelle
Pages couvertes Échantillon prédéfini Toutes les pages visitées
Détection des tags conditionnels Limitée Complète (A/B tests, ciblage comportemental)
Dérive dans le temps Invisible entre deux passages Visible en temps réel
Preuve opposable Faible (photo d’un instant T) Forte (log horodaté du trafic réel)

C’est cette logique du monitoring continu qui fonde le fonctionnement du Cookie Scanner de Commanders Act. Avec une détection basée sur le trafic utilisateur réel et non sur un robot de crawl, Cookie Scanner détecte les tags conditionnels qui n’apparaissent que sur certains segments ou après certaines actions utilisateur. L’outil a donc la capacité d’explorer les angles morts classiques des audits ponctuels.

30 jours pour passer de l’incident à la conformité continue

Résumons le plan d’action que va suivre Amélie, des actions de correction à la bascule vers un modèle durable de monitoring

  • Semaine 1 : inventaire complet des tags actifs sur toutes les propriétés
  • Semaine 2 : correction des non-conformités prioritaires, mise à jour du registre des traitements
  • Semaine 3 : déploiement de la gouvernance tags (circuit de validation, responsables définis)
  • Semaine 4 : activation du monitoring continu, première revue du tableau de bord

Conformité cookies RGPD : repositionner le DPO en architecte

Trois mois plus tard, Amélie n’a pas reçu de nouveau message du vendredi soir (oui, cet article se veut optimiste). Pas parce que les incidents ont disparu – ne soyons pas naïfs non plus –, mais parce que désormais Amélie “voit” les cookies non-conformes avant qu’ils ne deviennent des incidents. 

La vraie question n’est donc pas « comment réagir plus vite ? » mais « comment ne plus avoir à réagir en urgence ? ». Qui sait à quel moment un contrôle de la Cnil peut survenir ? Qui sait quand un consommateur s’offusquera avec fracas sur les réseaux sociaux d’un non-respect de son consentement ? Des questions sensibles pour une DPO comme Amélie qui, à l’instar d’une grande partie de ses pairs, travaille seule, sans budget, à temps partiel sur ce rôle et ne peut pas surveiller l’ensemble des propriétés digitales d’une organisation. Elle peut, en revanche, mettre en place les instruments d’alerte qui font ce travail à sa place. Et se repositionner en architecte de la gouvernance plutôt qu’en pompier de la conformité.

Audit cookies RGPD : les questions les plus fréquentes

  1. Le DPO est-il responsable de la conformité cookies de son organisation ?

    Non. Le DPO est conseiller et contrôleur, pas responsable opérationnel. C’est le responsable de traitement qui est en première ligne au sens du RGPD (articles 37-39). Le rôle du DPO est de s’assurer que les dérives sont identifiées, signalées et documentées.

  2. Qu’est-ce qu’un cookie déposé avant consentement ?

    C’est un traceur déposé sur le terminal de l’utilisateur dès le chargement de la page, avant toute interaction avec la bannière de consentement. Cela constitue un manquement à l’article 82 de la Loi Informatique et Libertés, indépendamment de la finalité du traceur concerné.

  3. Comment vérifier si mon site dépose des cookies avant consentement ?

    En mode manuel : ouvrir les DevTools du navigateur (onglet Network), recharger la page sans interagir avec la bannière, puis inspecter les requêtes réseau émises. En mode systématique : déployer un monitoring continu basé sur le trafic utilisateur réel : il détecte ces dépôts sur l’ensemble des pages et environnements, y compris après chaque mise à jour ou A/B test.

  4. Par où commencer quand on découvre une non-conformité cookies ?

    Par la checklist triage 48h détaillée en partie 2 : vérifier la CMP, identifier les tags déclenchés avant consentement, délimiter le périmètre impacté, notifier en interne et documenter chaque action corrective dès sa mise en œuvre.

  5. Quelle est la différence entre un audit cookies ponctuel et un monitoring continu ?

    Un audit ponctuel photographie l’état du site à un instant T sur un échantillon de pages. Un monitoring continu analyse le trafic réel sur toutes les pages visitées, en temps réel. 

Retrouvez plus d’infos sur notre outil de monitoring des cookies en temps réel : Real Time Cookie Scanner.

Enterprise Tag Manager
Optimisation Publicitaire
Customer Data Platform
Trends