EN FR

Tag : Privacy

Tous les articles du blog avec ce tag.

Audit des traceurs d’un site web : la checklist pratique pour une PME

Audit des traceurs d’un site web : la checklist pratique pour une PME

Un audit de traceurs ne consiste pas à compter les cookies affichés dans un navigateur puis à produire une capture d’écran. L’objectif est plus utile : comprendre quels composants communiquent avec quels services, à quel moment, pour quelle finalité et avec quelles données. Cette distinction est importante. Un site peut ne déposer aucun cookie et envoyer malgré tout des informations à des tiers. À l’inverse, un cookie peut être strictement nécessaire au fonctionnement demandé par l’utilisateur. Le mot « cookie » ne suffit donc pas à qualifier le risque, la finalité ou le régime applicable. Pour une PME, un SaaS B2B ou une équipe qui gère plusieurs sites, le bon livrable n’est pas un rapport de cinquante pages. C’est un inventaire vérifiable, relié à des responsables, à des décisions et à un plan d’action. Avant de commencer, gardez une limite claire en tête : un audit technique n’est pas un avis juridique. Il fournit les faits nécessaires pour documenter la configuration et décider avec les personnes compétentes. Ce que l’audit doit permettre de répondre À la fin de l’exercice, l’équipe devrait pouvoir répondre sans approximation à huit questions :Quels scripts, pixels, SDK et ressources tierces sont chargés ? Quels cookies, stockages locaux ou identifiants sont créés ? Quelles requêtes partent avant le choix de l’utilisateur ? Quelles données apparaissent dans les URL, en-têtes et corps de requête ? Quel fournisseur reçoit chaque information ? Quelle finalité opérationnelle justifie chaque composant ? Combien de temps les données et identifiants sont-ils conservés ? Qui peut accéder aux données, les exporter ou modifier la configuration ?Cette grille évite un piège fréquent : auditer uniquement la bannière, sans vérifier ce que le site fait réellement. La CNIL rappelle que la notion de traceur est technologiquement large. Elle couvre notamment les cookies HTTP, pixels, stockages locaux et certaines techniques d’empreinte. L’absence de cookie visible n’est donc pas une preuve suffisante d’absence de traçage. Préparer un périmètre représentatif Un audit réalisé uniquement sur la page d’accueil est rarement concluant. Les composants varient selon les pages, les parcours et l’état de consentement. Construisez un échantillon qui couvre au minimum :la page d’accueil ; une page de contenu ; une page produit ou service ; une page de tarification ; un formulaire ; une page de confirmation ; un espace authentifié, s’il existe ; une page intégrant une vidéo, une carte, un chat ou un outil de prise de rendez-vous ; une URL de campagne avec paramètres UTM ; les versions linguistiques ou domaines principaux dans un environnement multi-sites.Testez aussi plusieurs états :nouvelle visite sans choix enregistré ; refus de tous les traceurs optionnels ; acceptation sélective ; acceptation globale ; retour avec un choix déjà mémorisé ; navigation privée ou profil navigateur vierge.Pour les pages sensibles, ajoutez un scénario spécifique. Un espace client, une page de santé, un formulaire RH ou une console d’administration ne doit pas être traité comme une simple page éditoriale. La méthode d’audit en sept étapes 1. Partir d’un navigateur propre Utilisez un profil navigateur vierge, sans extension susceptible de bloquer ou réécrire les requêtes. Ouvrez les outils de développement avant de charger la page et activez la conservation du journal réseau. Notez précisément :l’URL testée ; la date ; le navigateur et sa version ; le scénario de consentement ; l’environnement, production ou préproduction ; l’identité de la personne qui a réalisé le test.Cette traçabilité rend l’audit reproductible. Elle permet aussi de comparer un résultat avant et après correction. 2. Inventorier les composants chargés Dans l’onglet Réseau, filtrez successivement les requêtes de type script, image, fetch, XHR et document. Relevez les domaines tiers ainsi que les fichiers chargés depuis votre propre domaine mais fournis par un prestataire. Un script servi en first party n’est pas nécessairement maîtrisé en interne. Un proxy, un gestionnaire de tags ou un CDN peut masquer l’origine fonctionnelle du composant. Pour chaque entrée, enregistrez :Champ Exemple de questionComposant Quel script ou service est chargé ?Propriétaire Quelle équipe l’a demandé ?Fournisseur Qui opère le service ?Finalité Mesure, support, sécurité, publicité, vidéo ?Déclenchement Avant choix, après acceptation, à l’action ?Données observées URL, referrer, IP, identifiant, événement ?Destination Domaine et région de traitement connues ?Action Conserver, configurer, différer ou supprimer ?Ne vous contentez pas du nom commercial. Un même fournisseur peut proposer plusieurs produits avec des comportements très différents. 3. Vérifier les stockages côté navigateur Inspectez :les cookies first party et third party ; localStorage ; sessionStorage ; IndexedDB ; les service workers ; les caches applicatifs lorsque c’est pertinent.Pour chaque cookie ou clé, relevez son nom, son domaine, sa durée, ses attributs et le moment où il apparaît. Les attributs Secure, HttpOnly et SameSite donnent des indications de sécurité, mais ils ne déterminent pas à eux seuls la finalité ou le besoin de consentement. Supprimez les données de site entre les scénarios. Sinon, un identifiant posé pendant un test « acceptation » peut fausser le test « refus ». 4. Comparer les déclenchements avant et après le choix C’est l’étape qui révèle les erreurs de configuration les plus concrètes. Rechargez la même page dans chaque état et comparez :les domaines contactés ; le nombre de requêtes ; les cookies créés ; les événements envoyés ; les scripts différés ; les appels déclenchés par une interaction.Un tag peut être absent au premier chargement puis se déclencher au scroll, au clic ou à l’ouverture d’un composant. Testez donc les interactions principales, pas seulement le chargement initial. Pour les outils de session replay, de chat ou de personnalisation, vérifiez aussi le masquage et les zones exclues. Le plan de marquage minimaliste constitue un bon point de comparaison : une collecte utile doit rester reliée à une décision, pas à la possibilité technique de tout enregistrer. 5. Inspecter les données réellement transmises Ouvrez plusieurs requêtes et examinez :l’URL complète ; les paramètres de requête ; le corps de la requête ; les en-têtes ; le referrer ; les identifiants persistants ; les propriétés d’événement.Cherchez en priorité les données qui ne devraient jamais circuler dans une URL analytics :adresse e-mail ; numéro de téléphone ; nom ; identifiant client ; jeton de réinitialisation ; token de session ; contenu libre d’un formulaire ; requête de recherche sensible ; référence de dossier.Les URL sont souvent copiées dans les journaux, historiques, outils de monitoring et systèmes de support. Une donnée placée dans la query string peut donc se propager bien au-delà de l’outil analytics. 6. Relier la technique à la gouvernance L’onglet Réseau ne vous dira pas tout. Complétez l’audit avec la documentation fournisseur et les paramètres du compte :durée de conservation ; localisation et sous-traitants ; transferts éventuels ; réutilisation des données par le fournisseur ; options de partage ; rôles et accès ; exports ; suppression ; journaux d’audit ; configuration multi-sites.Pour une mesure d’audience susceptible d’entrer dans un cadre sans consentement en France, la configuration réelle compte. La CNIL exige notamment une finalité strictement limitée à la mesure pour le compte de l’éditeur et des statistiques anonymes, sans recoupement ni suivi global entre sites. Notre décryptage du cadre CNIL détaille ces conditions et leurs limites. 7. Transformer l’inventaire en plan d’action Classez les constats selon quatre niveaux simples :Critique : donnée sensible ou identifiant exposé, tag marketing déclenché malgré un refus, token présent dans une URL. Élevé : fournisseur inconnu, absence de propriétaire, session replay sur une zone sensible, rétention non maîtrisée. Moyen : durée excessive, doublon de tags, paramètre inutile, documentation incomplète. Faible : optimisation de nommage, nettoyage de test, amélioration d’un commentaire ou d’une preuve.Chaque action doit avoir un responsable, une échéance et un test de validation. « À revoir » n’est pas une action exploitable. Un audit rapide en 90 minutes Pour un site simple, une première passe peut tenir dans un atelier court : 20 minutes : cartographier Listez les pages critiques, les outils attendus et les états de consentement. 30 minutes : observer Inspectez réseau et stockage sur trois à cinq pages, en état initial, refus et acceptation. 20 minutes : rapprocher Comparez les domaines observés avec la bannière, la politique de confidentialité, le gestionnaire de tags et les contrats fournisseurs. 20 minutes : décider Supprimez les composants sans propriétaire, créez les tickets prioritaires et planifiez les tests plus profonds. Cette passe ne remplace pas un audit complet, mais elle détecte souvent les écarts les plus coûteux : scripts oubliés, tags en double, données personnelles dans les URL et déclenchements trop précoces. Les erreurs fréquentes Confondre inventaire automatique et conclusion Un scanner aide à découvrir des domaines et cookies. Il ne connaît pas toujours la finalité, le contexte d’un événement ou la configuration contractuelle. Son résultat doit être vérifié manuellement. Ne tester que l’acceptation globale Le scénario le plus important est souvent celui du refus. Il permet de vérifier que les choix sont réellement respectés. Ignorer les requêtes first party Le fait qu’une requête parte vers votre domaine ne garantit pas qu’elle reste dans votre infrastructure ni qu’elle ne contienne pas de données indésirables. Auditer la production une seule fois Un gestionnaire de tags, une intégration marketing ou un changement de CMS peut modifier la collecte sans changement visible de l’interface. Un contrôle trimestriel léger et un audit avant les lancements importants sont plus utiles qu’un grand exercice ponctuel. Produire un tableau sans propriétaire Un inventaire sans décision, responsable ni date devient rapidement obsolète. La gouvernance est ce qui transforme l’audit en réduction de risque. Le livrable minimal à conserver Conservez quatre éléments :le tableau d’inventaire ; les preuves principales, captures ou exports réseau ; le registre des décisions, avec justification ; la liste des actions et le résultat des retests.Versionnez le document. Pour une équipe multi-sites, ajoutez une colonne « propriété web » et séparez ce qui est commun de ce qui varie localement. Conclusion L’objectif n’est pas de déclarer le site parfait. Il est de pouvoir expliquer, à une date donnée, ce qui a été observé, pourquoi chaque composant existe et comment les écarts sont traités. FAQ Un site sans cookies a-t-il besoin d’un audit de traceurs ? Oui. Des pixels, requêtes réseau, stockages locaux ou techniques d’identification peuvent fonctionner sans cookie HTTP. L’audit doit porter sur les échanges et les finalités, pas uniquement sur la liste des cookies. Les outils de scan automatique suffisent-ils ? Non. Ils accélèrent l’inventaire, mais ne remplacent pas la vérification manuelle des déclenchements, des données envoyées, des paramètres de compte et des responsabilités internes. Faut-il auditer chaque page du site ? Pas nécessairement. Il faut sélectionner un échantillon représentatif des gabarits, intégrations, parcours et états de consentement, puis approfondir les zones sensibles. À quelle fréquence refaire l’audit ? Après toute modification importante de la stack, avant un lancement sensible et selon un rythme régulier adapté au volume de changements. Pour une petite équipe, une revue trimestrielle légère est souvent plus réaliste qu’un audit annuel massif. Un audit technique prouve-t-il la conformité RGPD ? Non. Il documente les faits techniques et facilite l’analyse. La conformité dépend aussi des finalités, bases juridiques, contrats, informations fournies, droits des personnes et règles nationales applicables. Sources Sources vérifiées le 21 juin 2026.CNIL, « Cookies et traceurs : que dit la loi ? » CNIL, « Cookies : solutions pour les outils de mesure d’audience » CNIL, consultation sur le rejeu de session, 25 février 2026 EDPB, Guidelines 2/2023 on the technical scope of Article 5(3) of the ePrivacy Directive Chrome for Developers, Network panel reference OWASP, Information exposure through query strings in URL