Catégories de cookies expliquées : nécessaires, fonctionnels, statistiques, marketing

« Quelle catégorie est ce cookie ? » — cette question apparaît dans chaque projet d'implémentation. Et étonnamment souvent la classification est fausse. Voici une vue d'ensemble claire des quatre catégories, avec exemples concrets du quotidien des agences web suisses.

Vue d'ensemble des quatre catégories

Cookies nécessaires

Cookies sans lesquels le site ne fonctionne pas techniquement. Exemples :

• Cookies de session (PHPSESSID, JSESSIONID) : identifient la session en cours
• Protection CSRF (_csrf, XSRF-TOKEN) : empêchent les Cross-Site-Request-Forgery
• Panier (cart_id, basket) : obligatoires dans les boutiques e-commerce
• Connexion (auth_token, remember_me) : pour les zones connectées
• Consentement cookie (cookie_consent, aiara_consent) : sauvegarde le choix de consentement
• Paiement Stripe (__stripe_mid, __stripe_sid) : pour la sécurité des paiements
• Cloudflare (__cf_bm) : protection contre les bots

Ces cookies n'ont pas besoin de consentement mais doivent être mentionnés dans la politique de confidentialité.

Cookies fonctionnels

Cookies qui rendent l'utilisation plus confortable mais ne sont pas techniquement obligatoires. Exemples :

• Préférence langue (locale, lang) : retient la langue choisie
• Sélection de thème (theme=dark) : retient mode clair/sombre
• Géo-localisation (country, region) : pour contenu régional
• Taille de police (font_size) : paramètre d'accessibilité
• Préférences bannière cookie (banner_dismissed) : ne pas réafficher la bannière

Ces cookies sont à la limite : information recommandée, consentement en Suisse généralement pas obligatoire, en pratique RGPD recommandé.

Cookies statistiques

Cookies qui collectent des statistiques de site. Exemples :

• Google Analytics 4 (_ga, ga*) : tracking site
• Matomo (_pk_id, _pk_ses) : analytique self-hosted
• Hotjar (hjSession, hjUser) : enregistrement de session
• Plausible (en configuration cookie-less sans cookie)
• Statistiques YouTube Embed (YSC, VISITOR_INFO1_LIVE) : si vidéos YouTube intégrées

Ces cookies ont généralement besoin de consentement — même s'ils ne sont pas directement pour la publicité. Le guide PFPDT recommande opt-in, la LPD voit cela similaire.

Cookies marketing

Cookies pour tracking publicitaire, ciblage et mesure de conversion. Exemples :

• Google Ads (_gcl_au, _gcl_aw) : tracking conversion
• Meta Pixel (_fbp, fr) : publicité Facebook/Instagram
• LinkedIn Insight Tag (li_oatml) : publicité B2B
• TikTok Pixel (_ttp) : publicité TikTok
• HubSpot CRM (__hstc, hubspotutk) : marketing automation
• Salesforce Pardot : tracking de leads

Ces cookies ont obligatoirement besoin de consentement. Ils ne peuvent être chargés qu'après opt-in, et le consentement doit être documenté.

Erreurs de classification les plus fréquentes

Erreur 1 — Classer Google Analytics comme « nécessaire ». Certains sites le justifient par « nous l'utilisons de toute façon pour nos statistiques internes ». C'est faux : la statistique n'est pas nécessaire au sens de la fonction technique.

Erreur 2 — Catégoriser les cookies de live-chat comme « fonctionnels ». Des outils comme Intercom ou Drift sont souvent conçus comme outils de CRM et de génération de leads. Dès que des données circulent vers le fournisseur à des fins marketing, c'est du marketing — pas du fonctionnel.

Erreur 3 — Catégoriser de manière forfaitaire YouTube embed comme « statistique ». Quiconque intègre une vidéo YouTube charge des cookies YouTube. YouTube fait aussi du tracking utilisateur pour Google Ads. Plus correct : traiter comme cookie marketing, ou mieux : utiliser youtube-nocookie.com qui fait nettement moins de tracking.

Erreur 4 — Outils A/B test comme « statistique ». Des outils comme VWO ou Optimizely peuvent être classés comme statistique s'ils ne collectent que des données agrégées anonymes. Mais dès que la personnalisation entre en jeu (segmentation utilisateur), cela devient marketing.

Arbre de décision de classification

Pour chaque nouveau cookie poser ces questions :

1. Le site fonctionne-t-il sans le cookie ?

   • Non → Nécessaire
   • Oui, continuer à 2

2. Des données sont-elles transmises à des tiers ?

   • Non → Fonctionnel
   • Oui, continuer à 3

3. Quelle est la finalité de la transmission de données ?

   • Pure analyse de site, données agrégées anonymes → Statistique
   • Tracking publicitaire, ciblage, conversion → Marketing

En cas de doute : choisir la catégorie plus stricte. Il est toujours plus sûr de classer un cookie comme marketing et d'exiger le consentement plutôt que d'être trop laxiste.

Ce qui se passe avec une classification correcte

Qui classe proprement offre aux utilisateurs un vrai choix :

• Tout refuser : seuls les cookies nécessaires sont posés
• Statistique seulement : nécessaires + statistiques activés, marketing reste désactivé
• Tout accepter : les quatre catégories actives

Cette granularité est exigence PFPDT et RGPD. Les bannières sans cette possibilité de choix sont considérées insuffisantes.

Classification dans la base de données cookies d'Aiara

Aiara entretient une base de données cookies avec plus de 1500 cookies connus et leur classification par défaut. Quand le scanner trouve un cookie connu sur un site, il est automatiquement correctement catégorisé. Pour les cookies inconnus, le responsable du site est invité à effectuer une classification manuelle — avec les trois questions de l'arbre de décision en aide.

Le résultat : moins d'erreurs de classification, configuration cohérente de la bannière, et en cas de contrôle aléatoire du PFPDT une justification documentée pour chaque attribution.