Vous avez installé une bannière cookies sur votre site et vous pensez être en règle. Malheureusement, une bannière qui affiche un bouton « Accepter » ne suffit pas. Elle doit réellement bloquer les scripts tiers tant que l’utilisateur n’a pas donné son accord. Et c’est là que la plupart des solutions gratuites — voire certaines payantes — échouent.
En 2026, un site moyen charge 20 à 40 scripts tiers : analytics, publicité, chat, embeds vidéo, heatmaps, outils marketing. Si votre bannière en laisse passer ne serait-ce que quelques-uns avant consentement, vous êtes en infraction avec l’article 82 de la Loi Informatique et Libertés et potentiellement avec le RGPD. La CNIL a sanctionné plus de 150 entreprises sur ce motif précis entre 2020 et 2025.
Cet article recense les 37 trackers les plus couramment oubliés par les bannières gratuites, explique comment vérifier votre configuration actuelle, et compare les approches techniques des principales solutions du marché.
Tester votre site gratuitement en 10 secondes →
Pourquoi 37 services ? La check-list 2026
Nous avons audité les cent sites les plus visités en France et dressé la liste des services tiers qui posent systématiquement problème pour la conformité RGPD. Le résultat : 37 services que toute bannière cookies sérieuse doit détecter et bloquer par défaut.
Analytics & heatmaps (14 services)
| Service | Éditeur | Cookie sans consent ? |
|---|---|---|
| Google Analytics 4 | ❌ Illégal | |
| Google Tag Manager | ❌ Illégal (si il déclenche des tags non consents) | |
| Hotjar | Contentsquare | ❌ Illégal |
| Microsoft Clarity | Microsoft | ❌ Illégal |
| Matomo (hébergé) | Matomo | ⚠️ Exempt si configuré en mode cookieless |
| Plausible | Plausible | ✅ Exempt (cookieless) |
| Mixpanel | Mixpanel | ❌ Illégal |
| Segment | Twilio | ❌ Illégal (dépend des destinations) |
| Amplitude | Amplitude | ❌ Illégal |
| Heap | Heap | ❌ Illégal |
| FullStory | FullStory | ❌ Illégal |
| LogRocket | LogRocket | ❌ Illégal |
| Pendo | Pendo | ❌ Illégal |
| Smartlook | Smartlook | ❌ Illégal |
À retenir : seuls Plausible et Matomo en mode cookieless peuvent être chargés sans consentement. Tous les autres nécessitent un opt-in actif.
Publicité & social marketing (12 services)
| Service | Éditeur | Cookie sans consent ? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Illégal |
| TikTok Pixel | TikTok | ❌ Illégal |
| Google Ads | ❌ Illégal | |
| LinkedIn Insight Tag | Microsoft | ❌ Illégal |
| Pinterest Tag | ❌ Illégal | |
| Twitter/X Pixel | X | ❌ Illégal |
| Snapchat Pixel | Snap | ❌ Illégal |
| Reddit Pixel | ❌ Illégal | |
| Quora Pixel | Quora | ❌ Illégal |
| Outbrain | Outbrain | ❌ Illégal |
| Taboola | Taboola | ❌ Illégal |
| Marketo | Adobe | ❌ Illégal |
Un Meta Pixel chargé sans consentement est l’une des violations les plus fréquemment sanctionnées par la CNIL. Elle a publié plusieurs décisions publiques entre 2023 et 2025 pour ce motif.
Embeds vidéo & cartes (3 services)
| Service | Éditeur | Cookie sans consent ? |
|---|---|---|
| YouTube | ❌ Illégal (sauf mode youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Illégal |
| Google Maps | ❌ Illégal |
Beaucoup de sites intègrent une vidéo YouTube dans leur page d’accueil sans se rendre compte que l’iframe YouTube charge une trentaine de cookies avant même que l’utilisateur clique sur Play. Une bannière conforme doit remplacer l’iframe par un écran d’attente (consent wall) jusqu’au consentement.
Chat & support client (7 services)
| Service | Éditeur | Cookie sans consent ? |
|---|---|---|
| Intercom | Intercom | ❌ Illégal |
| Crisp | Crisp | ❌ Illégal |
| Tawk.to | Tawk | ❌ Illégal |
| Zendesk Messaging | Zendesk | ❌ Illégal |
| Drift | Drift | ❌ Illégal |
| Olark | Olark | ❌ Illégal |
| HubSpot | HubSpot | ❌ Illégal |
Les chats de support posent un problème particulier : ils sont perçus comme « fonctionnels » par les webmasters alors qu’ils collectent en réalité des données d’identification, de localisation et de parcours — donc soumis à consentement.
Exemption stricte (1 service)
Un seul service échappe au consentement : Stripe pour les cookies strictement nécessaires à la sécurité de paiement (anti-fraude). Même là, seuls les cookies de session sécurité sont exempts, pas les cookies marketing associés.
Le comparatif des bannières cookies (avril 2026)
Avant d’installer une bannière, vérifiez objectivement ce qu’elle couvre. Voici un comparatif des solutions les plus courantes, selon des critères techniques et vérifiables.
| Critère | WebLegal CCB | Bannière gratuite typique | Solution commerciale (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Prix | Gratuit, sans limite de site ni de pages | Gratuit mais souvent limité (1 domaine, < 100 pages, watermark) | Payant dès le 1er site sérieux ou limité à 1 domaine |
| Trackers détectés par défaut | 37 services + regex extensibles | 5 à 15 en général | 20 à 30 |
| Langues maintenues | 14 langues UE + 16 fallbacks | 1 à 3 (anglais + 2 autres) | 10 à 50 selon plan |
| Consent Mode v2 Google | 7 signaux sur 7 (dont security_storage) | Souvent incomplet (3 à 5 signaux) | 7 sur 7 en version payante |
| Écran de remplacement (consent wall) pour embeds | 9 embeds localisés (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Rare, souvent absent | Partiel, dépend des plans |
| Poids du script | 40 Ko non-minifié (~12 Ko gzip) | 30 à 60 Ko | 80 à 300 Ko (OneTrust : 300+ Ko) |
| Code ouvert / auditable | ✅ Code lisible, non-minifié volontairement | Variable | Rarement (offusqué, minifié) |
| Détection automatique de CMP existant | ✅ 36 CMPs reconnus (pour scanner anti-conflit) | Non | Partiel |
| Hébergement tiers (RGPD) | Script servi depuis weblegal.ai (EEA) | Variable (souvent CDN US) | Souvent CDN US (transfert hors UE à déclarer) |
Points distinctifs de WebLegal CCB :
- Le plus léger du marché parmi les solutions complètes. Un script de 40 Ko (12 Ko gzip) contre 80 à 300 Ko pour les alternatives. Moins de latence, meilleur score Core Web Vitals, impact SEO positif.
- Non-minifié volontairement. Le code est lisible par un développeur, un DPO ou un expert CNIL. C’est un argument de transparence et de conformité : vous pouvez justifier exactement ce que fait la bannière sur votre site.
- Localisation réelle des écrans de remplacement. Quand un utilisateur allemand tombe sur une vidéo YouTube bloquée, l’écran d’attente est en allemand, pas en anglais par défaut. Même logique pour Vimeo, Spotify, Instagram, TikTok, etc.
- Consent Mode v2 complet depuis avril 2026. Les 7 signaux Google sont émis dès le premier chargement, puis mis à jour après consentement. Zéro perte de conversion Google Ads liée à un signal manquant.
Comment tester votre bannière actuelle
Avant de changer de solution, testez ce que fait réellement votre bannière aujourd’hui. Deux méthodes pratiques :
Méthode 1 — Scanner automatique (30 secondes)
Entrez votre URL dans notre scanner de conformité. Il analyse votre page en navigateur headless, détecte les cookies posés avant clic sur « Accepter » et liste les services chargés sans consent. Résultat en 10 secondes, sans inscription.
Méthode 2 — DevTools Chrome (5 minutes)
- Ouvrez votre site en mode navigation privée
- F12 → onglet Application → Cookies (avant toute interaction)
- Regardez les cookies déjà posés : si vous voyez autre chose que vos propres cookies de session +
wl_cc_consent(ou équivalent), vous avez un problème - Onglet Network, filtre
XHR/Fetch→ regardez les requêtes versgoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: toute requête avant clic est une infraction
Méthode 3 — Extension dédiée
L’extension Chrome CMP Verifier (gratuite) simule un visiteur ayant refusé, puis accepté, et vous dit si les règles de consentement ont été respectées. Très utile pour documenter la conformité auprès de votre DPO.
Les quatre erreurs les plus fréquentes
Erreur 1 — La bannière s’affiche mais ne bloque rien
C’est l’erreur la plus répandue avec les plugins WordPress gratuits « pose une bannière en 1 clic ». Le plugin affiche la bannière, enregistre le consentement… mais ne touche pas aux scripts. Google Analytics continue à charger. Résultat : vous avez fait l’effort de la bannière sans aucun bénéfice juridique.
Comment vérifier : appliquez la Méthode 2 ci-dessus. Si vous voyez des cookies _ga ou _fbp avant d’avoir cliqué, c’est confirmé.
Erreur 2 — Les embeds YouTube/Vimeo chargent quand même
Même si votre bannière bloque Google Analytics, elle laisse souvent passer les iframes <iframe src="https://www.youtube.com/embed/..."> intégrées directement dans vos pages. Chacune charge 20 à 30 cookies Google.
Solution : la bannière doit remplacer dynamiquement l’iframe par un écran d’attente affichant « Cette vidéo utilise des cookies. Accepter pour la visionner. » C’est le consent wall — standard chez WebLegal CCB, optionnel ou absent chez beaucoup d’autres.
Erreur 3 — Le mode « reject all » n’est pas équivalent au « accept all »
La CNIL exige depuis avril 2021 que refuser soit aussi simple qu’accepter. Si votre bannière propose un gros bouton vert « Tout accepter » mais cache « Refuser » derrière un lien texte de trois clics, vous êtes hors-la-loi. Amendes CNIL documentées entre 2022 et 2025 sur ce motif : plus de 50 décisions publiques.
Erreur 4 — La bannière bloque Googlebot
Certaines bannières s’affichent également aux robots d’indexation, ce qui peut être interprété comme un interstitiel abusif par Google et nuire à votre SEO. Une bannière moderne doit détecter les User-Agents connus (Googlebot, Bingbot, DuckDuckBot) et ne pas perturber leur crawl.
Statut chez WebLegal CCB : fonctionnalité au planning — voir notre roadmap publique (issue #174).
Installer WebLegal CCB en 2 minutes
Si après lecture vous décidez de migrer, voici la procédure :
- Rendez-vous sur weblegal.ai/fr/cookie-banner/
- Renseignez votre nom de site et les catégories de cookies que vous utilisez
- Copiez le snippet (une ligne
<script src="...">) - Collez-le avant tout autre script tiers dans la balise
<head>de votre site - Testez via la Méthode 1 ci-dessus
Zéro inscription, zéro carte bancaire, zéro limite de pages ou de domaines. Le snippet est un script unique de 40 Ko hébergé sur weblegal.ai — votre site ne charge rien d’autre tant que le visiteur n’interagit pas avec la bannière.
FAQ
Ma bannière WordPress gratuite est-elle suffisante ?
Probablement pas. La majorité des plugins gratuits affichent une bannière mais ne bloquent pas les scripts. Testez avec la Méthode 2 (DevTools) pour en avoir le cœur net. Si vous voyez _ga, _fbp, _gcl_au ou des cookies .hotjar.com avant d’avoir cliqué, vous êtes en infraction.
Peut-on se contenter de « cookies strictement nécessaires » ?
Oui, à condition de n’utiliser effectivement aucun tracker analytique, publicitaire, ou chat tiers. Concrètement : pas de Google Analytics, pas de Facebook Pixel, pas de YouTube intégré, pas de Google Maps, pas d’Intercom. Un site de blog sans aucun outil marketing peut s’en passer. Un site e-commerce : jamais.
Les bannières payantes sont-elles mieux ?
Pas automatiquement. Une bannière payante offre généralement plus de langues et des interfaces d’admin plus léchées, mais pas forcément une meilleure qualité de blocage. Le poids du script (parfois 200-300 Ko chez OneTrust) peut aussi nuire à votre SEO via les Core Web Vitals.
Comment prouver la conformité de ma bannière à la CNIL ?
Gardez trois éléments :
- le code du script utilisé (ou l’URL publique comme
https://weblegal.ai/js/wl-cookie-consent.js) - un scan périodique de votre propre site (capture d’écran + rapport)
- un registre du consentement — la preuve que vous stockez le choix de l’utilisateur
Chez WebLegal, le consentement est stocké dans un cookie wl_cc_consent avec date et catégories, dont le format est documenté publiquement.
Faut-il afficher la bannière aux visiteurs hors UE ?
Oui par défaut. Il est techniquement possible de restreindre la bannière aux visiteurs UE, mais ce n’est pas recommandé :
- si un visiteur hors UE s’authentifie avec un compte UE, vous devez respecter ses droits
- des réglementations similaires existent désormais au Royaume-Uni (UK GDPR), en Californie (CCPA), au Brésil (LGPD), et s’étendent à d’autres juridictions
- la cohérence UX est meilleure avec une bannière universelle
En résumé
La conformité d’une bannière cookies tient en trois critères techniques :
- Elle doit détecter et bloquer effectivement les 20 à 40 scripts tiers courants — pas seulement afficher une bannière.
- Elle doit implémenter Consent Mode v2 complet (7 signaux Google) pour préserver vos données marketing.
- Elle doit remplacer les embeds (YouTube, Vimeo, Maps, etc.) par des écrans d’attente localisés.
Un test de 10 secondes avec notre scanner vous dit où vous en êtes. Une migration vers WebLegal CCB prend 2 minutes, coûte zéro euro, et couvre les 37 services listés ici.