Retour à la vue d'ensemble
Bannière cookiesAgencesCheck-list

Check-list bannière cookies pour agences web : 20 points avant chaque lancement client

Les jours de lancement sont des jours de stress — et c'est précisément là que la protection des données passe à la trappe. 20 points de contrôle pour les agences web avant chaque lancement client : de l'obligation de bannière au blocage des scripts jusqu'à une remise propre au client.

Aiara Team··9 min de lecture
Check-list bannière cookies pour agences web : 20 points avant chaque lancement client

Le jour du lancement d'un site client est rarement détendu : DNS basculé, derniers contenus saisis, le client attend l'e-mail de mise en ligne. C'est précisément dans cette agitation que la protection des données passe le plus souvent à la trappe — la bannière cookies tourne encore avec la configuration de staging, la déclaration de protection des données provient du projet précédent, et l'iframe Google Maps se charge joyeusement avant tout consentement.

Juridiquement, c'est l'exploitant du site — votre client — qui répond de la conformité. Mais soyons honnêtes : le client vous a confié le site précisément parce qu'il ne veut pas s'occuper de ces questions. Si l'agence livre un site non conforme, elle ne risque pas d'amende directe — mais bien des questions de responsabilité contractuelle au titre du contrat d'entreprise, des discussions désagréables et un dommage réputationnel qui coûte plus cher que n'importe quelle check-list. Voici donc 20 points à cocher avant chaque lancement client — répartis en quatre blocs : juridique, technique, organisationnel et remise.

Une remarque sur l'utilisation : la check-list fonctionne le mieux comme élément fixe de votre processus de lancement — sous forme de modèle dans votre outil de gestion de projet, copié pour chaque projet client. Qui la déroule de mémoire, au cas par cas, oublie d'expérience exactement les points qui posent problème plus tard.

Bloc 1 — Bases juridiques (points 1 à 6)

Ces six points relèvent de la phase de projet, pas de la semaine de lancement. Qui les vérifie en dernier découvre les lacunes au pire moment.

1. Obligation de bannière vérifiée. Tous les sites n'ont pas besoin d'une bannière de consentement : si le site ne dépose que des cookies techniquement nécessaires, une mention transparente dans la déclaration de protection des données suffit en Suisse. Dès que des outils statistiques ou marketing tournent, la bannière devient incontournable. Vous trouverez la logique de décision avec tous les cas sur notre page de synthèse sur l'obligation de bannière cookies — une bannière superflue agace les visiteurs, une bannière manquante constitue une violation.

2. Déclaration de protection des données à jour — et au nom du client. Le grand classique des erreurs de copier-coller : la déclaration mentionne encore l'agence comme responsable du traitement — voire le client du projet précédent. La déclaration doit nommer l'exploitant réel et refléter les outils réellement utilisés. Les demandes d'accès s'adressent au responsable qui y est nommé ; si c'est le mauvais, le document ne vaut rien.

3. Mentions légales correctes et complètes. Raison sociale, forme juridique, adresse du siège, moyen de contact — la loi fédérale contre la concurrence déloyale exige une identification claire du fournisseur pour les offres en ligne. C'est le point le plus facile à contrôler de tout le site : concurrents et défenseurs des consommateurs repèrent une erreur au premier coup d'œil. Ce qui doit y figurer exactement est détaillé dans notre article sur l'obligation de mentions légales en Suisse.

4. Toutes les langues du public cible couvertes. Un site bilingue, mais des textes légaux uniquement en allemand ? Un consentement doit être éclairé — qui ne comprend pas le texte ne peut pas consentir valablement. Bannière et déclaration de protection des données doivent exister dans chaque version linguistique du site ; en Suisse romande et au Tessin, ce n'est pas un luxe mais une condition de base.

5. Applicabilité du RGPD vérifiée. « Entreprise suisse » ne signifie pas « droit suisse uniquement ». Selon le principe du lieu de marché, le Règlement général sur la protection des données européen s'applique aussi dès que l'offre vise visiblement des personnes dans l'UE — livraison vers l'Allemagne, prix en euros, publicité ciblée. Ce que cela signifie concrètement est expliqué dans notre guide sur le RGPD ; pour la bannière, cela veut surtout dire : des exigences de consentement plus strictes.

6. Contrats de sous-traitance conclus. Hébergement, outil de newsletter, fournisseur de gestion du consentement — tous traitent des données personnelles pour le compte du client, et cela exige des contrats. Important : la partie contractante est le client en tant que responsable du traitement, pas l'agence. Quand un contrat de sous-traitance est obligatoire et ce qu'il doit contenir est expliqué dans notre article sur le contrat de sous-traitance.

Bloc 2 — Technique (points 7 à 13)

C'est ici que se décide si la bannière produit un effet réel ou n'est que décorative. Les sept points se testent en moins d'une heure.

7. Blocage des scripts avant consentement testé. Charger la page dans une fenêtre privée, ouvrir les outils de développement, observer l'onglet Network — et ne rien cliquer. Si des requêtes partent vers Google Analytics, Meta ou d'autres traceurs, des scripts se chargent avant le consentement et la bannière est sans effet. Ce test prend cinq minutes et révèle la plus grave de toutes les erreurs.

8. Google Consent Mode V2 actif. Qui utilise Google Analytics ou Google Ads pour des audiences dans l'Espace économique européen ne peut pas contourner le Consent Mode V2 — sans signaux de consentement corrects, Google restreint des fonctions publicitaires comme le remarketing. Vérifiez que la bannière transmet réellement les signaux. La mise en place est expliquée dans notre article sur le Google Consent Mode V2 en Suisse.

9. iframes bloqués — avec espace réservé. Google Maps, YouTube et Vimeo déposent des cookies dès que l'iframe se charge — avant que quiconque ait consenti. La bonne approche : l'iframe est bloqué et remplacé par un espace réservé avec « Activer le contenu », qui ne charge le contenu qu'après un clic. Testez spécifiquement les pages avec carte et vidéos ; c'est là que se produisent la plupart des ratés.

10. Bannière dans toutes les langues du site. Le point 4 vaut aussi techniquement : la bannière doit suivre la langue de la page consultée. Une bannière allemande sur la version française du site sape le consentement éclairé — et paraît tout simplement inachevée aux visiteurs.

11. Affichage mobile testé. Sur de vrais appareils, pas seulement dans l'émulation des outils de développement. Environ 60 pour cent des visites de sites suisses proviennent du smartphone ; une bannière qui pousse le bouton de refus hors de la zone visible ou ne peut pas être fermée entrave le libre choix de la majorité de vos visiteurs.

12. « Refuser » équivalent à « Accepter ». Le Préposé fédéral à la protection des données et à la transparence exige dans ses lignes directrices des choix équivalents : même taille, même contraste, même niveau. Un lien texte gris « Refuser » à côté d'un bouton « Accepter » éclatant est considéré comme un dark pattern — et c'est l'erreur qui saute aux yeux en premier lors de tout contrôle. La crainte d'un taux d'acceptation en baisse est d'ailleurs le plus souvent infondée : des bannières loyales créent la confiance, et la confiance profite à la marque du client.

13. Scan des cookies après le lancement. L'environnement de production diffère presque toujours du staging : autre domaine, services supplémentaires, mise en cache, vraies balises publicitaires. Scannez le site en production juste après le lancement et comparez le résultat avec la configuration de la bannière — avec notre scanner de site web, cela prend quelques minutes.

Bloc 3 — Organisation (points 14 à 17)

Le lancement n'est pas un point final mais le début de l'exploitation. Ces quatre points évitent qu'un site conforme aujourd'hui ne glisse silencieusement hors de la conformité en six mois.

14. Journal de consentement actif. La charge de la preuve du consentement incombe au responsable du traitement. Sans journal avec horodatage, identifiant pseudonyme et catégories choisies, aucun consentement ne peut être prouvé en cas de litige — qui ne documente rien se retrouve comme s'il n'avait jamais demandé. Avant la remise, vérifiez que le journal écrit réellement des entrées.

15. Responsabilités clarifiées par écrit. Le client est responsable du traitement ; l'agence, selon la configuration, sous-traitant. Consignez dans le contrat de projet qui entretient les textes légaux, qui répond aux demandes des personnes concernées et qui s'occupe de la bannière. Les responsabilités non clarifiées retombent en cas de doute sur l'agence — exactement ce qu'on veut exclure contractuellement.

16. Processus défini pour les nouveaux outils et pixels. Trois mois après le lancement, le marketing du client demande un nouveau pixel de conversion — et personne ne pense à la bannière. Convenez donc d'une procédure fixe : chaque nouvel outil passe par les étapes attribuer une catégorie de bannière, compléter la déclaration de protection des données, vérifier le contrat avec le prestataire. Sans processus, la plus belle conformité de lancement appartient au passé après un trimestre.

17. Rythme de rescan fixé. Les sites évoluent insidieusement : les mises à jour de plugins apportent de nouveaux cookies, les services changent de domaines. Un scan automatique par trimestre — mieux : par mois — révèle les écarts entre la réalité et la configuration de la bannière avant qu'un client, un concurrent ou une autorité ne le fasse.

Bloc 4 — Remise (points 18 à 20)

La meilleure configuration ne sert à rien si le client ne la comprend pas. Les trois derniers points transforment une fin de projet en remise propre.

18. Le client connaît son tableau de bord. Lors de la remise, montrez où se trouvent les statistiques de consentement, les réglages de la bannière et les rapports de scan — une demi-heure suffit. Un client qui comprend sa propre solution de consentement n'appelle pas l'agence pour chaque détail et remarque lui-même quand quelque chose cloche.

19. Processus d'entretien des textes légaux convenu. Un nouveau produit, un nouveau fournisseur de newsletter, soudain une boutique en ligne — chaque changement d'activité peut toucher la déclaration de protection des données. Clarifiez explicitement : le client signale-t-il les changements à l'agence, ou entretient-il les textes lui-même via un générateur ? Les deux fonctionnent ; seule la variante non clarifiée ne fonctionne pas.

20. Documentation remise. Quels outils sont intégrés, quelles catégories de cookies configurées, quels contrats conclus, qui a accès à quoi. Cela ressemble à du travail de fourmi, mais cela économise des heures à chaque demande d'accès, chaque refonte et chaque changement de personnel. Et en cas de litige, la documentation prouve que l'agence a travaillé proprement — c'est aussi votre propre protection.

Pour les agences avec de nombreux clients

Pour un seul site, cette check-list se traite en une à deux heures. Pour trente sites clients, elle devient un problème de processus — personne ne vérifie 600 points à la main, et certainement pas chaque trimestre. C'est exactement pour cela qu'Aiara a été conçu : un tableau de bord central pour tous les domaines clients, des scans automatiques avec notification en cas d'écart, des textes légaux générés et entretenus par client, ainsi que des journaux de consentement intégrés. Les agences bénéficient de conditions partenaires avec paliers de rabais et facturation groupée — vous trouverez les détails sur Aiara pour les agences.

Questions fréquentes

L'agence web est-elle responsable si la bannière cookies du client n'est pas conforme ?

Vis-à-vis des autorités, c'est l'exploitant du site qui répond — il est le responsable du traitement au sens de la loi sur la protection des données. L'agence peut toutefois être responsable sur le plan contractuel : qui livre un site web en tant qu'ouvrage doit un ouvrage sans défaut, et selon l'accord conclu, cela inclut la conformité juridique promise. S'y ajoute le dommage réputationnel lorsqu'un client reçoit du courrier du Préposé fédéral à la protection des données et à la transparence à cause d'un site fraîchement livré.

Chaque site client a-t-il besoin d'une bannière cookies ?

Non. Si un site ne dépose que des cookies techniquement nécessaires, une déclaration de protection des données transparente suffit en Suisse. Dès que des cookies statistiques, de confort ou marketing sont déposés — ce qui est le cas de la plupart des sites d'entreprise —, une véritable solution de consentement s'impose. Et si l'offre s'adresse aussi à des personnes dans l'UE, la bannière est de toute façon incontournable.

Comment tester si les scripts sont bloqués avant le consentement ?

Ouvrir le site dans une fenêtre privée, lancer les outils de développement, choisir l'onglet Network, recharger la page — et ne rien cliquer. Si des requêtes vers google-analytics.com, facebook.com ou d'autres domaines de traçage apparaissent, quelque chose se charge avant le consentement. Il vaut aussi la peine de vérifier sous Application → Cookies quels cookies ont déjà été déposés sans aucune interaction.

À quelle fréquence les agences devraient-elles rescanner les sites clients ?

Au moins chaque trimestre, idéalement chaque mois — et en plus après chaque mise à jour majeure, changement de plugin ou nouvel outil marketing intégré. Les sites évoluent insidieusement : une mise à jour de plugin apporte un nouveau cookie, le marketing ajoute un pixel, et la configuration de la bannière ne correspond plus à la réalité.

Que propose Aiara concrètement aux agences web ?

Un tableau de bord central pour tous les domaines clients, des scans de cookies automatiques avec notification en cas d'écart, des textes légaux générés en quatre langues, des journaux de consentement intégrés et un programme partenaire avec paliers de rabais et facturation groupée. La plupart des points de cette check-list peuvent ainsi être automatisés au lieu d'être cochés à la main pour chaque client.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara