Retour à la vue d'ensemble
Registre des consentementsConsentementRGPD

Registre des consentements : combien de temps conserver les consentements aux cookies ?

Qui fonde ses cookies sur le consentement doit pouvoir le prouver — sans registre des consentements, c'est votre parole contre celle du visiteur. Ce qui doit figurer dans le journal, pourquoi il n'existe aucun délai légal de conservation et quels garde-fous délimitent malgré tout la durée.

Aiara Team··8 min de lecture
Registre des consentements : combien de temps conserver les consentements aux cookies ?

«Pouvez-vous prouver que ce visiteur a accepté le cookie marketing ?» Quand cette question arrive — d'une autorité de surveillance, d'un avocat ou d'une personne concernée exerçant son droit d'accès —, un seul document décide de votre position : le registre des consentements (consent log). Qui documente proprement les consentements aux cookies répond à la question en quelques minutes. Qui exploite une bannière sans rien journaliser se retrouve les mains vides.

La question qui suit presque toujours : combien de temps faut-il conserver ces journaux ? La réponse honnête d'emblée : il n'existe aucun délai légal. Ce qui s'applique à la place, quels garde-fous déterminent la durée de conservation et ce qu'un registre des consentements doit contenir pour tenir le jour où cela compte — voici la vue d'ensemble.

Qu'est-ce qu'un registre des consentements — et pourquoi en faut-il un ?

Un registre des consentements est le journal continu de tous les consentements et retraits que les visiteurs expriment via votre bannière de cookies — votre moyen de preuve pour le jour où vous devez démontrer un consentement.

L'obligation figure noir sur blanc dans le règlement général sur la protection des données (RGPD) européen : selon l'art. 7 par. 1, le responsable du traitement doit être «en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant». Qui fonde son tracking sur un consentement sans le documenter viole cette obligation de preuve — quelle que soit la qualité de la bannière. S'y ajoute le principe de responsabilité de l'art. 5 par. 2 RGPD : vous devez non seulement garantir le respect des principes, mais pouvoir le démontrer.

La loi fédérale suisse sur la protection des données (LPD), en revanche, ne connaît aucune obligation explicite de tenir un registre des consentements. En conclure que la documentation serait facultative en Suisse serait pourtant une erreur : qui fonde un traitement de données sur un consentement porte, en cas de litige, le fardeau de la preuve qu'il a été donné — cela découle des règles générales sur la preuve. Sans journal, il ne reste que l'affirmation. Ce que la loi exige par ailleurs est résumé dans notre guide sur la loi sur la protection des données. Et dès que votre site s'adresse à des visiteurs de l'UE, l'obligation de preuve du RGPD s'applique de toute façon directement.

Que doit contenir un registre des consentements ?

Un registre solide répond à quatre questions : qui a consenti, quand, à quoi — et sur quelle base ? Concrètement, cinq indications doivent figurer dans chaque entrée :

  • Horodatage — date et heure de la décision, à la seconde près.
  • Version du consentement — quel texte de bannière, quelles finalités et quels services étaient en vigueur au moment du consentement ? Si la bannière change, il doit rester traçable à quoi se rapportaient les consentements plus anciens.
  • Sélection des catégories — qu'est-ce qui a été accepté ou refusé exactement : tout, seulement les statistiques, seulement le marketing ? Un simple «a accepté» ne suffit pas lorsque la bannière propose un choix granulaire.
  • Identifiant pseudonymisé — un identifiant de visiteur aléatoire ou une adresse IP hachée, afin de pouvoir attribuer l'entrée à une personne. L'adresse IP en clair n'a rien à faire dans un registre des consentements : elle serait elle-même une donnée personnelle dont le stockage crée plus de risques que d'utilité — la minimisation des données vaut aussi pour les moyens de preuve.
  • Retraits et modifications — chaque ajustement ultérieur de la sélection comme nouvelle entrée, afin que l'historique reste complet.

Une capture d'écran de la bannière ne remplace rien de tout cela : elle montre ce que les visiteurs ont vu, mais pas ce qu'un visiteur individuel a décidé. Qui veut documenter le consentement aux cookies a besoin du journal par décision — la capture d'écran n'en est que l'annexe utile.

Combien de temps faut-il conserver les consentements aux cookies ?

La réponse courte et honnête : ni la LPD ni le RGPD ne fixent de délai de conservation pour les registres de consentements. Qui vous vend «cinq ans légalement prescrits» ou tout autre chiffre comme obligation vous vend une invention. À la place d'un délai, il existe deux garde-fous dont découle la durée.

Garde-fou 1 : tant que le traitement repose sur le consentement. La preuve doit rester disponible aussi longtemps que vous vous appuyez sur le consentement — c'est-à-dire tant que les cookies sont déposés et que le traitement de données associé est en cours. Supprimer un journal pendant que le tracking continue serait contradictoire : c'est précisément à ce moment que vous avez besoin de la preuve.

Garde-fou 2 : tant que des prétentions peuvent être élevées. Même après la fin du traitement, une personne concernée peut agir en justice ou une autorité peut contrôler. Les règles générales de prescription servent de repère : en Suisse, les prétentions extracontractuelles se prescrivent, selon la constellation, par trois ans à compter de la connaissance et par dix ans au plus ; en Allemagne, la prescription ordinaire de trois ans est souvent citée comme point de référence. Ce sont des valeurs d'orientation issues du droit de la responsabilité — pas des délais de protection des données.

En pratique, cela aboutit le plus souvent à une conservation de quelques années ; les modèles répandus gardent les données détaillées en accès direct deux à trois ans, puis les archivent. L'essentiel est le cadrage : ce sont des valeurs de pratique, dérivées de la prescription et de la proportionnalité — pas des prescriptions légales.

Et l'inverse vaut tout autant : conserver les registres de consentements éternellement n'est pas une réserve de sécurité, mais un problème en soi. Le journal contient lui-même des données personnelles, et les principes de proportionnalité et de limitation de la conservation s'appliquent aussi aux moyens de preuve. Qui accumule des journaux détaillés vieux de dix ans sans pouvoir en justifier la conservation viole précisément les principes dont le registre doit prouver le respect. L'équilibre : garder les données détaillées aussi longtemps que la conservation peut se justifier, puis supprimer ou archiver sous forme condensée — et consigner en interne le délai choisi avec sa motivation. Une décision documentée et motivée convainc une autorité davantage que n'importe quel chiffre forfaitaire.

Retrait et renouvellement du consentement : ce que le registre doit aussi refléter

Un registre qui ne connaît que les acceptations n'est que la moitié de la documentation — tout aussi importante est la preuve que les retraits fonctionnent et ont été respectés.

L'art. 7 par. 3 RGPD exige que le retrait soit aussi simple que l'octroi. Pour le registre, cela signifie : si un visiteur rouvre les paramètres des cookies et désactive une catégorie, une nouvelle entrée horodatée est créée. Seule la chaîne «consentement le 5 mars, retrait le 12 juin» prouve que votre système met techniquement en œuvre les retraits — et à partir de quand vous n'aviez plus le droit de déposer quels cookies.

Le second cas est le renouvellement du consentement : si vous intégrez de nouveaux services ou élargissez les finalités — par exemple un outil marketing supplémentaire —, l'ancien consentement ne couvre pas le nouveau traitement. La bannière doit redemander. Pour le registre, cela signifie deux choses : le nouveau consentement est enregistré avec la nouvelle version, et les anciennes entrées sont conservées — elles continuent de prouver que le traitement antérieur était licite. Les modifications purement cosmétiques, comme les couleurs ou un polissage linguistique sans portée matérielle, ne déclenchent en revanche aucun nouveau consentement.

Le registre des consentements en pratique : export, archivage, changement de prestataire

Trois situations décident si votre registre des consentements tient vraiment la route au quotidien : le contrôle, la conservation à long terme et le changement de prestataire.

Export pour les audits. Autorité de protection des données, auditeur ou avocat de la partie adverse : si quelqu'un exige la preuve, il vous faut les journaux dans un format lisible — fichier CSV ou rapport, filtré par période et par domaine. Un journal qui n'existe que dans la base de données du prestataire et ne peut pas être exporté ne vaut rien le jour décisif. Testez l'export avant d'en avoir besoin.

Archiver plutôt qu'entasser. Sur les sites bien fréquentés, les journaux détaillés atteignent vite des centaines de milliers d'entrées. Pour les périodes plus anciennes, une forme condensée suffit : exports périodiques plus statistiques agrégées, tandis que les données détaillées sont supprimées de la base active. Cela garde le système léger et met en œuvre la limitation de la conservation sans renoncer à la preuve.

Changement de prestataire. Le moment le plus critique du cycle de vie d'un registre : si vous résiliez votre outil de consentement, les journaux disparaissent généralement avec le compte — et avec eux la preuve pour toute la période écoulée. Exportez donc l'intégralité des journaux avant de mettre fin à l'ancien contrat et archivez les exports en interne. Les autres points à surveiller lors de la migration figurent dans notre guide de changement.

Comment Aiara tient le registre des consentements

Chez Aiara, le registre des consentements n'est pas un module additionnel, mais une partie de chaque installation de bannière — avec les points de cet article comme réglage par défaut, pas comme option.

Chaque décision d'un visiteur est journalisée côté serveur : horodatage, catégories choisies, type d'action et page consultée. Aiara ne stocke jamais l'adresse IP en clair, mais exclusivement sous forme de hachage SHA-256 avec une clé secrète — l'identifiant pseudonymisé du chapitre ci-dessus. Les retraits et les sélections modifiées créent de nouvelles entrées ; l'historique reste complet.

La conservation est assurée par un archivage automatique : après 24 mois, les entrées détaillées sont transférées dans des archives CSV mensuelles et sauvegardées en plus sous forme de statistiques agrégées ; elles disparaissent ensuite de la base de données active. La preuve est ainsi préservée sans qu'un cimetière de données ne se constitue. Pour les audits comme pour un éventuel changement : les journaux vous appartiennent et peuvent être exportés à tout moment. Où résident quelles données est documenté en toute transparence dans le Trust Center.

La question de la conservation devient ainsi ce qu'elle devrait être : un arbitrage que vous tranchez une fois, avec motivation — et qui tourne ensuite automatiquement au lieu de rester un flanc ouvert.

Questions fréquentes

Existe-t-il un délai légal de conservation pour les consentements aux cookies ?

Non. Ni la loi fédérale suisse sur la protection des données ni le règlement général européen sur la protection des données ne fixent de délai pour les registres de consentements. Deux garde-fous s'appliquent à la place : la preuve doit rester disponible tant que le traitement repose sur le consentement — et tant que des prétentions juridiques restent envisageables, les délais de prescription généraux servant de repère. Les modèles courants gardent les données détaillées accessibles deux à trois ans, puis les archivent ; c'est un arbitrage motivé, pas une obligation légale.

L'adresse IP doit-elle être enregistrée dans le registre des consentements ?

Non — et elle ne devrait pas non plus y figurer en clair. Un identifiant pseudonymisé suffit pour la preuve : un identifiant de visiteur aléatoire ou une adresse IP hachée. L'IP en clair serait elle-même une donnée personnelle et contredit la minimisation des données : le registre doit prouver le respect de la protection des données, pas créer de nouveaux risques.

Une capture d'écran de la bannière de cookies suffit-elle comme preuve ?

Non. Une capture d'écran montre à quoi ressemblait la bannière — mais pas qu'un visiteur précis a consenti à un moment précis. La preuve exigée par l'art. 7 par. 1 du règlement général sur la protection des données requiert un enregistrement par décision : horodatage, sélection des catégories, version du consentement et identifiant pseudonymisé. En complément, la capture d'écran reste utile pour documenter le design de la bannière en vigueur à l'époque.

Qu'advient-il du registre des consentements en cas de changement de prestataire ?

Exportez tous les journaux avant de résilier l'ancien contrat — une fois le compte supprimé, les données chez l'ancien prestataire sont en règle générale définitivement perdues, et avec elles la preuve pour toute la période écoulée. Archivez les exports en interne et, avant de signer chez le nouveau prestataire, vérifiez que l'export et l'archivage sont intégrés.

Quand dois-je redemander le consentement aux visiteurs ?

Chaque fois que la substance du consentement change : nouveaux services, nouvelles finalités ou nouvelles catégories dans la bannière. L'ancien consentement ne couvre que ce qui était reconnaissable au moment où il a été donné. Les ajustements purement cosmétiques, en revanche, ne déclenchent pas de nouveau consentement. Important pour le registre : le nouveau consentement est enregistré avec une nouvelle version, et les anciennes entrées sont conservées comme preuve pour le passé.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara