Analyse Loi 25
Pour nous joindre
Protection & vie privé
7 février 2026

Version 1.2.1 – Amélioration de l’analyse des cookies

Aujourd’hui je vous présente les améliorations à l’outils https://loi25.certi360.com

Chaque test vise à vérifier un aspect du comportement du site vis-à-vis des cookies et du consentement.

1. CONFORMITÉ AU CONSENTEMENT

  • Présence d’une bannière de consentement
    Vérification qu’une bannière ou un bandeau de gestion des cookies est affiché
    lors de la première visite. Le test détecte les solutions connues (Complianz,
    OneTrust, Axeptio, Cookiebot, Tarteaucitron, etc.) ou repère des éléments
    génériques (modales, boutons d’acceptation).
  • Accessibilité du bouton « Refuser tout »
    Contrôle qu’un bouton permettant de refuser tous les cookies non essentiels
    est présent et cliquable. Si la bannière propose un bouton « Personnaliser »,
    le test cherche également un bouton de refus dans le panneau de préférences.
  • Absence de cookies non essentiels après refus
    Après un clic sur « Refuser tout », comparaison des cookies présents avant et
    après. Tout cookie nouvellement créé ou modifié est classé (essentiel,
    non essentiel ou inconnu). Seuls les cookies non essentiels et inconnus
    ajoutés ou modifiés après le refus sont considérés comme des manquements.
  • Classification des cookies (whitelist / blacklist)
    Chaque cookie est rattaché à une liste de patterns connus : cookies essentiels
    (session, CSRF, préférences de langue, gestion du consentement, etc.) ou
    non essentiels (analytics, publicité, réseaux sociaux). Les cookies non
    reconnus sont traités par défaut comme soumis au consentement.

2. SÉCURITÉ DES COOKIES

  • Attributs HttpOnly sur les cookies sensibles
    Vérification que les cookies liés à la session, à l’authentification ou aux
    jetons (CSRF, JWT, etc.) portent l’attribut HttpOnly afin de limiter les
    risques d’exfiltration par script (XSS).
  • Attribut Secure sur les sites en HTTPS
    Contrôle que les cookies de session ou d’authentification sont marqués
    « Secure » lorsque le site est servi en HTTPS, pour éviter la transmission
    en clair sur des canaux non sécurisés.
  • Cohérence SameSite / Secure
    Détection des cookies avec SameSite=None qui ne portent pas l’attribut
    Secure, configuration rejetée par les navigateurs récents.

3. DURÉES DE CONSERVATION

  • Durée de vie des cookies non essentiels
    Vérification que la date d’expiration des cookies non essentiels ou inconnus
    ne dépasse pas 13 mois (recommandation CNIL / article 82 RGPD).
  • Durée de vie des cookies essentiels
    Contrôle que les cookies considérés comme strictement nécessaires n’ont pas
    une durée de conservation excessive (recommandation : 12 mois au plus).

4. DARK PATTERNS DANS LA BANNIÈRE

  • Équilibre de visibilité entre « Accepter » et « Refuser »
    Analyse des tailles et des styles des boutons d’acceptation et de refus.
    Un bouton « Accepter » nettement plus grand ou plus mis en avant que
    « Refuser » est signalé comme potentiel dark pattern.
  • Visibilité du bouton de refus
    Vérification que le bouton de refus n’est pas caché (display: none,
    visibility: hidden, opacité nulle) ou rendu inaccessible.
  • Options pré-cochées
    Détection des cases à cocher déjà cochées par défaut pour des catégories
    non essentielles (analytics, publicité, etc.), ce qui va à l’encontre
    du principe du consentement explicite (opt-in).

5. TRANSPARENCE ET INFORMATION

  • Présence d’un lien vers la politique de cookies
    Recherche sur la page d’un lien explicite vers la politique de gestion des
    cookies ou la politique de confidentialité (par libellé ou URL).
  • Accessibilité du lien depuis la bannière
    Vérification que ce lien est proposé directement depuis la bannière de
    consentement, pour faciliter l’information de l’utilisateur avant son choix.

6. VALIDATION GOOGLE CONSENT MODE v2

  • Détection de l’utilisation de Consent Mode
    Identification des sites qui utilisent Google Consent Mode v2 (dataLayer,
    commandes consent, gtag).
  • Conformité des états après refus
    Après un clic sur « Refuser tout », lecture des états de consentement dans
    le dataLayer. Vérification que analytics_storage et ad_storage sont bien
    en « denied » lorsque l’utilisateur a refusé.

7. SCRIPTS ET CONTENUS TIERS AVANT CONSENTEMENT

  • Scripts de tracking chargés avant le choix de l’utilisateur
    Inventaire des scripts tiers (Google Analytics, GTM, Facebook Pixel, Hotjar,
    LinkedIn, TikTok, Matomo, etc.) chargés sur la page. Une attention
    particulière est portée aux scripts insérés dans le , susceptibles
    de s’exécuter avant toute interaction avec la bannière.
  • Iframes de services tiers
    Détection des iframes de services tiers (YouTube, Vimeo, Google Maps,
    widgets sociaux, etc.) chargés dès l’affichage de la page, sans
    consentement préalable.

8. PERSISTANCE DU CHOIX DE L’UTILISATEUR

  • Enregistrement du refus dans un cookie
    Après un clic sur « Refuser tout », vérification qu’au moins un cookie
    (ou une clé de stockage) lié au consentement est créé ou mis à jour,
    afin que le choix soit pris en compte lors des visites suivantes.
  • Indicateur explicite de refus
    Analyse de la valeur des cookies de consentement pour détecter la présence
    d’un indicateur clair de refus (rejected, denied, false, etc.), afin
    d’assurer la traçabilité du choix.

9. IDENTIFICATION DES SERVICES DE SUIVIS

  • Classification des services par leurs cookies
    À partir des noms de cookies, identification des services (Google Analytics,
    Facebook Pixel, Hotjar, LinkedIn, Matomo, OneTrust, Complianz, etc.) et
    rattachement à une catégorie : analytics, publicité, gestion du
    consentement, marketing automation ou infrastructure. Ce travail permet
    de présenter des résultats plus clair (« Google Analytics détecté » plutôt
    que des identifiants techniques).

10. COOKIES TIERS ET COOKIES « ZOMBIES »

  • Comptage des cookies tiers
    Pour chaque cookie, comparaison du domaine du cookie avec le domaine du site
    (eTLD+1). Les cookies dont le domaine ne correspond pas au site sont
    comptabilisés comme cookies tiers.
  • Détection des cookies zombies
    Après suppression de tous les cookies et rechargement de la page, vérification
    qu’aucun cookie ne réapparaît sans nouvelle action de l’utilisateur. La
    réapparition de cookies après purge signale des techniques de type
    « evercookie » ou similaires, incompatibles avec le droit à l’effacement.

11. CONTEXTES ADDITIONNELS

  • Test de navigation interne
    Visite de plusieurs pages internes du site (liens trouvés sur la page
    d’accueil) et comparaison des cookies avant/après navigation, pour
    détecter des dépôts de cookies déclenchés au fil de la navigation.
  • Détection de CAPTCHA ou WAF
    Repérage de signaux indiquant une page de défi (CAPTCHA, WAF, Cloudflare,
    etc.), pouvant limiter la portée de l’analyse et mentionnés dans les
    limitations du rapport.
  • Gestion des blocages d’accès
    En cas d’échec du chargement (par exemple 403), plusieurs stratégies de
    requête sont essayées (User-Agent, paramètres navigateur) pour tenter
    d’obtenir un résultat exploitable.

pboucher@pm.me
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble