C'est quoi les cookies, et faut-il « tout accepter » ou « tout refuser » ?

Réponse rapide

Les cookies sont de petits fichiers qu'un site demande à votre navigateur de retenir, utilisés à la fois pour des choses anodines (rester connecté, garder votre panier, mémoriser la langue) et pour vous pister entre les sites à des fins publicitaires — les bandeaux « tout accepter / tout refuser » en France et dans l'UE ne concernent que les cookies de pistage, donc « tout refuser » est presque toujours le bon clic.

Ce que ce n'est PAS

Les cookies ne sont PAS des virus ou des malwares — ils ne peuvent pas exécuter de code sur votre machine, rien installer, ni voler de fichiers. Et tout refuser ne vous déconnectera PAS et ne cassera PAS la connexion : les cookies qui vous gardent connecté sont « essentiels » et sont exemptés du bandeau. Le bandeau parle spécifiquement des cookies de pistage et de publicité.

Pour aller plus loin

Un cookie est un petit morceau de texte qu’un site demande à votre navigateur de retenir et de renvoyer à chaque future requête vers le même site. Ce mécanisme minuscule est la colonne vertébrale de tout ce qui distingue un web de pages déconnectées d’un web qui vous reconnaît.

Plusieurs choses différentes sont appelées « cookies », avec des conséquences très différentes :

  • Cookies de session et essentiels. Vous gardent connecté, conservent le panier, mémorisent langue et thème. Le site ne peut pas fonctionner sans eux, vous ne pouvez pas vraiment les refuser, et la loi les considère comme exemptés. Toujours propriétaires.
  • Cookies de préférences propriétaires. Mémorisent des réglages non essentiels — menus repliés, annonces fermées. Risque faible, valeur faible.
  • Cookies d’analyse. Indiquent au propriétaire du site combien de personnes ont visité, d’où elles viennent, quelles pages elles lisent. Généralement propriétaires en 2026 ; certaines installations anciennes embarquent encore du Google Analytics tiers.
  • Cookies de publicité / pistage. Posés par des tiers (régies publicitaires, courtiers de données, plateformes de retargeting) dont les scripts sont embarqués dans la page. Ils relient votre navigation à travers de nombreux sites et construisent un profil utilisé pour cibler la publicité — et, de plus en plus, pour enrichir des bases revendues ailleurs. Ce sont les cookies dont parle le bandeau européen.

Le bandeau « tout accepter / tout refuser » est imposé par la directive ePrivacy (la « loi cookies », 2002, modifiée 2009) et durci par le RGPD (2018). Sous ce régime, les cookies non essentiels nécessitent un consentement éclairé, libre, spécifique et univoque. La CNIL en France, l’ICO au Royaume-Uni et leurs équivalents ont jugé à plusieurs reprises que « tout refuser » doit être aussi facile que « tout accepter » dès le premier écran — les sites qui cachent « tout refuser » à trois clics de profondeur sont non conformes et certains ont été sanctionnés (Google a été condamné à 150 M€ et Facebook à 60 M€ par la CNIL en janvier 2022 précisément pour ce motif ; d’autres sanctions ont suivi).

Ce que fait vraiment « tout refuser » :

  • Refuse les cookies d’analyse et de publicité.
  • Ne vous déconnecte pas — les cookies essentiels ne sont pas affectés.
  • Ne « casse » pas le site visuellement. Le site garde la même apparence et fonctionne pareil.
  • Ne vous rend pas anonyme : le fingerprinting, le pistage basé compte et le pistage par IP fonctionnent encore dans une certaine mesure.

Ce que fait vraiment « tout accepter » :

  • Vous fait accepter d’être pisté sur, typiquement, plusieurs centaines d’entreprises tierces dont le site intègre les scripts.
  • Permet à ces entreprises de construire un profil long terme de vos centres d’intérêt, achats et déplacements entre sites.
  • N’affecte pas votre état de connexion ou le fonctionnement de la page — c’est ce qui rend « tout refuser » quasiment gratuit.

Réflexe pratique : « tout refuser » est le défaut sûr pour presque toutes les visites. Le seul cas où « tout accepter » apporte éventuellement quelque chose, c’est un site que vous visitez tous les jours et dont vous voulez précisément les analyses ou personnalisations — et même alors, les paramètres internes du site offrent généralement un contrôle plus fin.

Le bandeau est aussi un test révélateur du site lui-même. Si un site rend « tout refuser » difficile à trouver — enfoui dans « gérer mes préférences », stylisé en lien gris pâle à côté d’un bouton « tout accepter » brillant, exigeant que vous bascule des dizaines d’interrupteurs — c’est un choix délibéré de l’opérateur. Cela vous dit quelque chose de la priorité qu’il donne à vos données face à votre confort. En 2026, plusieurs navigateurs (Brave, DuckDuckGo, Firefox via la protection contre le pistage, Safari) gèrent automatiquement les bandeaux ou refusent automatiquement les cookies non essentiels, ce qui retire complètement le clic.

On nous pose aussi

Quelle est la différence entre cookies essentiels, propriétaires et tiers ? +

Les cookies **essentiels** sont nécessaires au fonctionnement du site — rester connecté, garder le panier, mémoriser la langue. Le bandeau ne demande pas la permission pour ces cookies parce qu'il n'y a pas de choix ; sans eux le site casse. Les cookies **propriétaires** (first-party) sont posés par le site que vous visitez. Les cookies **tiers** (third-party) sont posés par d'autres entreprises dont le code est intégré à la page — typiquement publicité et analyse — et ils sont conçus pour vous suivre d'un site à l'autre.

« Tout refuser » va-t-il casser le site ? +

Presque jamais. Les cookies essentiels (connexion, panier, préférences) sont exemptés du bandeau et restent quoi qu'il arrive. « Tout refuser » refuse les cookies de pistage et de publicité. La page sera la même et fonctionnera pareil ; la différence est que les annonceurs ne vous profilent plus à travers les dizaines de sites que vous visitez.

Si je « tout refuse », les sites me reconnaissent-ils quand je suis connecté ? +

Oui — votre connexion est un cookie essentiel propriétaire, indépendant du bandeau. Refuser le pistage n'affecte pas le fait d'être connecté à votre banque, votre messagerie ou votre réseau social. Le bandeau concerne spécifiquement la couche publicité/analyse posée par-dessus, pas votre relation avec le site lui-même.

Pourquoi certains bandeaux rendent « tout accepter » plus simple que « tout refuser » ? +

Parce que le revenu du site dépend du pistage. Beaucoup de sites conçoivent le bandeau pour que « Tout accepter » soit un gros bouton coloré tandis que « Tout refuser » est un lien grisé enfoui sous « gérer mes préférences ». Ce schéma s'appelle un « dark pattern » et est de plus en plus illégal sous le droit européen : la CNIL en France, l'ICO au Royaume-Uni, et d'autres autorités ont jugé à plusieurs reprises que « tout refuser » doit être aussi facile que « tout accepter » dès le premier écran. Plusieurs sites ont été sanctionnés ; beaucoup ne sont toujours pas conformes.

Les cookies sont-ils en voie de disparition ? +

Les cookies tiers de pistage — ceux dont parle le bandeau — sont en cours de retrait par les navigateurs. Safari et Firefox en bloquent déjà l'essentiel. Chrome, après des années de report, est passé à un blocage similaire en 2024-2025. Les traqueurs n'ont pas abandonné : ils basculent vers le fingerprinting (vous identifier par les particularités de votre navigateur), le pistage propriétaire et des identifiants basés sur l'e-mail comme Unified ID 2.0. Le bandeau cookies est la partie la plus visible d'une tendance plus large — mais pas la dernière étape.

Aussi expliqué

Que cache vraiment la navigation privée (incognito) ?

La navigation privée (appelée Incognito, InPrivate selon le navigateur) dit à votre navigateur de ne pas enregistrer historique, cookies et saisies sur cet appareil — c'est tout ; votre employeur, votre école, votre opérateur, les sites que vous visitez et n'importe quel réseau publicitaire de la page voient exactement la même chose qu'en navigation normale.

Le cadenas dans mon navigateur, ça veut dire quoi exactement ?

Le cadenas signifie que la connexion entre votre appareil et le site est chiffrée, donc personne sur votre Wi-Fi, votre réseau d'entreprise ou chez votre opérateur ne peut lire ce que vous envoyez ou recevez — mais il ne signifie PAS que le site lui-même est honnête, légitime ou digne de confiance pour vos données.
← Retour au glossaire grand public