Saviez-vous que la majorité des sites web suisses déposent des cookies tiers sans en informer correctement leurs visiteurs ? Depuis l'entrée en vigueur de la nLPD le 1er septembre 2023, obtenir le consentement préalable de l'utilisateur pour ces cookies n'est plus facultatif — c'est une obligation légale. Encore faut-il savoir quels cookies sont présents sur votre site. Ce guide vous explique comment les détecter et quoi faire ensuite.
Qu'est-ce qu'un cookie tiers ?
Un cookie tiers (third-party cookie) est un fichier déposé dans le navigateur de votre visiteur par un domaine différent du vôtre. Lorsqu'un internaute visite votresite.ch, votre serveur peut déposer vos propres cookies (dits "first-party"). Mais si votre page charge un script Google Analytics, un pixel Meta ou un widget Stripe, ces services déposent leurs propres cookies — depuis leurs domaines respectifs — sans que vous les hébergiez directement.
La distinction est cruciale : les cookies tiers sont par nature des outils de suivi inter-sites. Ils permettent aux régies publicitaires et aux plateformes d'analytics de reconnaître un même utilisateur sur des milliers de sites différents.
Les cookies tiers les plus courants
Voici les traceurs que l'on retrouve le plus fréquemment sur les sites suisses :
| Service | Éditeur | Usage principal |
|---|---|---|
| Google Analytics 4 | Mesure d'audience, comportement visiteurs | |
| Meta Pixel | Meta (Facebook) | Suivi des conversions, remarketing Instagram/Facebook |
| Google Ads (gtag) | Attribution des conversions, audiences remarketing | |
| Hotjar | Hotjar Ltd | Enregistrement de sessions, heatmaps |
| Microsoft Clarity | Microsoft | Analyse comportementale, session replay |
| Stripe.js | Stripe | Détection de fraude lors des paiements |
Chacun de ces services charge un script JavaScript externe qui peut déposer un ou plusieurs cookies — souvent plusieurs dizaines dans le cas de Google.
Pourquoi c'est un enjeu nLPD ?
La nLPD et son ordonnance d'exécution (OPDo) imposent d'obtenir un consentement libre, éclairé, spécifique et univoque avant tout dépôt de cookie non essentiel. Les cookies tiers de mesure d'audience et de publicité tombent précisément dans cette catégorie.
Concrètement, cela signifie :
- Le script de tracking doit être bloqué au chargement de la page et n'être activé qu'après acceptation explicite
- L'utilisateur doit pouvoir refuser aussi facilement qu'accepter — pas de cases pré-cochées, pas de bouton "Refuser" caché
- Le PFPDT peut ouvrir une enquête et imposer des mesures correctives en cas de non-conformité
Comment les détecter ?
1. Les outils de développement du navigateur
Dans Chrome ou Edge, ouvrez les DevTools (F12), puis allez dans l'onglet Application > Cookies. Vous verrez tous les cookies déposés sur la page en cours. Pour identifier les tiers, repérez les cookies dont le domaine est différent de votre propre domaine.
Limite : vous ne verrez que les cookies présents au moment de l'ouverture de la page — ceux déclenchés après un scroll ou un clic peuvent passer inaperçus.
2. Les extensions de navigateur
Plusieurs extensions permettent d'analyser les cookies en temps réel :
- Cookie-Editor — affiche et édite les cookies de la page courante
- Privacy Badger (EFF) — bloque les traceurs et identifie les domaines tiers
- uBlock Origin — visualise les requêtes réseau bloquées
Ces outils sont utiles pour une vérification rapide, mais ne couvrent pas les cookies chargés dynamiquement par des scripts conditionnels.
3. Les scanners automatisés
Un scanner automatisé crawle votre site comme le ferait un visiteur réel, via un navigateur headless (Playwright ou Puppeteer). Il capture tous les cookies déposés — y compris ceux chargés après interaction — et les classe par catégorie. C'est la méthode la plus fiable et la plus complète.
C'est précisément ce que fait PrivaGuard : il analyse jusqu'à 500 pages de votre site, détecte les scripts tiers actifs sur le réseau, et vous produit un rapport de conformité nLPD détaillé.
Ce que vous devez faire
Une fois vos cookies identifiés, voici les actions à mettre en œuvre :
-
Bloquer les scripts tiers au chargement — remplacez vos balises script par la syntaxe de blocage PrivaGuard :
<!-- Avant --> <script src="https://www.googletagmanager.com/gtag/js"></script> <!-- Après (bloqué jusqu'au consentement) --> <script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js"></script> -
Catégoriser chaque cookie : "nécessaire", "fonctionnel", "analytique" ou "marketing"
-
Implémenter une bannière de consentement conforme — les boutons "Accepter" et "Refuser" doivent être de même importance visuelle
-
Documenter tous les cookies dans votre politique de confidentialité avec leur finalité et leur durée de conservation
-
Tenir un registre des traitements mentionnant les prestataires tiers et leurs sous-traitements
Identifiez en quelques secondes tous les cookies tiers actifs sur votre site — sans inscription ni installation. PrivaGuard analyse votre site en profondeur et vous fournit un rapport de conformité nLPD complet.