Scanner cookies : comment savoir ce que votre site traque vraiment
L'inventaire cookies manuel est presque toujours faux — les sites modernes posent plus de cookies que les développeurs ne le supposent. Comment fonctionne un scanner cookies, comment faire un inventaire rapide vous-même, et où les solutions automatiques ont du sens.
« Nous savons quels cookies nous posons. » J'entends souvent cette affirmation — et elle n'est presque jamais vraie. À chaque deuxième audit cookie, je découvre des outils de tracking dont ni l'agence web ni le directeur ne savaient. Voici pourquoi l'inventaire manuel rate presque toujours, comment fonctionne un scanner automatique, et quand quelle approche se justifie.
Pourquoi l'inventaire manuel rate presque toujours
La plupart des exploitants de sites pensent : « Nous utilisons Google Analytics et un service newsletter. Rien d'autre ne tourne. » En réalité :
- Outils embed (YouTube, Vimeo, Calendly) posent leurs propres cookies souvent oubliés
- Fournisseurs CDN (Cloudflare, jsDelivr) peuvent poser des cookies n'appartenant pas au site lui-même
- Plugins CMS (notamment WordPress) apportent souvent leurs propres cookies que l'admin ne connaît pas
- Chargement dynamique de tags via Tag Manager peut charger des outils configurés en backend dont l'équipe frontend n'a pas conscience
- Scripts tiers (live chat, heatmaps, outils A/B test) apportent souvent plusieurs cookies par outil
Réalité : qui pense avoir 5 cookies en a généralement 15. Qui en estime 15 en a 30.
Comment fonctionne un scanner automatique
Un scanner cookies moderne travaille en plusieurs étapes :
- Lancer un navigateur headless (typiquement Chromium via Playwright ou Puppeteer)
- Appeler le site comme un visiteur normal
- Lire les cookies après le premier chargement de page
- Simuler des interactions — fermer la bannière cookie, cliquer des liens, remplir des formulaires
- Relire les cookies — beaucoup ne sont posés qu'après interaction
- Visiter les sous-pages — parcourir le sitemap ou les liens internes
- Saisir local storage et session storage — ce sont aussi des mécanismes de tracking
- Identifier les pixels de tracking — images envoyant des requêtes HTTP à des serveurs tiers
- Établir le rapport — liste de cookies avec fournisseur, finalité (si connue de la bibliothèque), durée de conservation
Le scanner Aiara va encore plus loin : il identifie les scripts de tracking chargés dynamiquement, vérifie les exports de données pertinents pour la LPD et compare les résultats avec une base de données cookies pour classer automatiquement (nécessaire / statistique / marketing).
Inventaire rapide manuel avec DevTools
Si vous voulez faire un inventaire rapide de votre propre site :
- Ouvrir le mode incognito dans Chrome (empêche les anciens cookies de fausser l'image)
- Ouvrir DevTools avec F12 ou Cmd+Option+I
- Onglet Application → Cookies → Votre domaine
- Regardez les cookies first-party — posés par votre propre site
- Passez aux domaines tiers dans la liste des cookies — Google, Meta, etc.
- Onglet Network → filtre « Doc » et « Script » → regardez quels scripts tiers se chargent
- Local storage et session storage également à vérifier dans l'onglet Application
Cet inventaire trouve environ 60-70 % de tous les cookies d'un site. Le reste n'est découvert que par un scan automatique qui parcourt sous-pages, logins et formulaires.
Ce que fait le tracking sans cookie
Un piège que beaucoup négligent : tout tracking n'a pas besoin d'un cookie. Mécanismes de tracking sans cookie fréquents :
- Local storage — comme un cookie mais techniquement différent, souvent pas dans les listes de cookies
- Session storage — temporaire, mais traité comme données personnelles selon certaines définitions LPD
- Pixels de tracking — petites images envoyant une requête HTTP avec paramètres de tracking à des serveurs tiers
- Tracking côté serveur — données envoyées directement du serveur à Google/Meta, le navigateur ne voit rien
- Fingerprinting — identification via propriétés du navigateur (polices, plugins, taille d'écran) sans cookie
Un bon scanner saisit au moins les trois premières catégories. Le tracking côté serveur et le fingerprinting ne sont reconnaissables que par revue de code.
Les cookies les plus fréquents sur les sites suisses — et leur but
Un bref aperçu du top 15 :
| Cookie | Fournisseur | Finalité | Catégorie |
|---|---|---|---|
| _ga | Google Analytics | Identification utilisateur | Statistique |
| _gid | Google Analytics | ID de session | Statistique |
| _gcl_au | Google Ads | Tracking conversion | Marketing |
| _fbp | Meta Pixel | Tracking conversion | Marketing |
| __hstc | HubSpot | Tracking utilisateur | Marketing |
| hubspotutk | HubSpot | Consentement cookie | Marketing |
| hjSession* | Hotjar | Enregistrement session | Statistique |
| YSC | YouTube Embed | Statistique vidéo | Statistique |
| VISITOR_INFO1_LIVE | YouTube Embed | Préférence utilisateur | Statistique |
| __cf_bm | Cloudflare | Protection bots | Nécessaire |
| PHPSESSID | Serveur web | Session | Nécessaire |
| _csrf | Framework web | Protection CSRF | Nécessaire |
| consent_v1 | Bannière Aiara | Stockage consentement | Nécessaire |
| _calendly_session | Calendly | Prise de rendez-vous | Fonctionnel |
| __stripe_mid | Stripe | Sécurité paiement | Nécessaire |
Ces 15 cookies couvrent environ 80 % de tous les sites PME suisses. Le reste, ce sont des outils sectoriels.
Scanner Aiara — ce qu'il fait concrètement
Le scanner Aiara visite un site avec Chromium headless, clique à travers jusqu'à 600 sous-pages, simule diverses interactions utilisateur et produit une liste de cookies avec :
- Nom de cookie et fournisseur
- Catégorie présumée (basée sur la base de données cookies)
- Durée de conservation (depuis les headers HTTP)
- First-party vs. third-party
- Pays d'export des données (basé sur la base des fournisseurs)
- Indications de conformité LPD (par ex. « cookie marketing chargé sans consentement »)
Les résultats sont directement repris dans la bannière cookie et la politique de confidentialité. En cas de changement — par ex. nouvelle intégration d'outil par l'équipe marketing — le scanner se signale automatiquement.
Qui a besoin d'un scanner automatique ?
Comme règle pratique :
- Sites pure carte de visite (statique, pas de marketing) → vérification DevTools manuelle suffit
- PME avec stack marketing standard (Google Analytics, newsletter) → scan trimestriel
- E-commerce, stacks marketing multi-outils → scan continu recommandé
- Agences web avec beaucoup de clients → solution automatisée impérative, sinon non extensible
L'effort pour un scan mensuel propre est nettement plus petit que celui d'une seule enquête PFPDT — et la probabilité de trouver un pixel de tracking caché est élevée.
Questions fréquentes
Qu'est-ce qu'un scanner cookies ?
Un outil automatisé qui visite un site comme un vrai navigateur et enregistre tous les cookies posés, entrées de local storage et pixels de tracking. Contrairement à l'inventaire manuel, il détecte aussi les cookies posés seulement sur certaines sous-pages ou après interaction utilisateur.
Combien de cookies a un site PME suisse moyen ?
Généralement entre 10 et 30 cookies — et 5 à 15 pixels de tracking ou entrées local storage. Plus il y a d'outils marketing en usage, plus il y en a. Un restaurant suisse typique : env. 8 cookies. Une boutique e-commerce avec stack marketing : facilement 40.
Puis-je trouver mes cookies manuellement ?
Oui, avec les DevTools du navigateur (F12 → Application → Cookies). Mais : vous ne voyez que les cookies posés sur la page concrètement appelée — pas ceux qui apparaissent seulement après des clics ou sur des sous-pages. Un scanner automatique visite tout le site.
Que coûtent les scanners cookies ?
Entre gratuit (pour un inventaire rapide d'un seul site) et CHF 50-200/mois pour solutions professionnelles avec surveillance continue. Le scanner public d'Aiara est gratuit pour un échantillon rapide, le scan Pro est inclus dans l'abonnement domaine (CHF 240/an).
À quelle fréquence devrais-je scanner ?
Après chaque mise à jour majeure du site de toute façon. Sans mises à jour : au moins trimestriellement. Qui intègre régulièrement des outils marketing (outil newsletter, plateforme webinar, nouveau pixel pub) : mensuellement. Chez Aiara le scan tourne automatiquement en arrière-plan.
Prêt pour un consentement cookies propre ?
Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.
Découvrir AiaraAutres articles
22 avril 2026 · 5 min de lecture
Catégories de cookies expliquées : nécessaires, fonctionnels, statistiques, marketing
15 avril 2026 · 4 min de lecture
Radar de risques selon l'annexe A du PFPDT : évaluer systématiquement les risques de protection des données
25 mars 2026 · 5 min de lecture