Q1 : Est-ce obligatoire d’avoir un bandeau cookie pour un SaaS ?

R : Oui, dès que ton site dépose des cookies non techniques (ex : analytics, marketing), même si tu n’as pas encore d’utilisateur.

Q2 : Le consentement implicite (scroll, navigation) est-il valide ?

R : Non. La CNIL exige un acte positif clair, comme un clic sur "Accepter".

Q3 : Peut-on se contenter d’un lien “en savoir plus” sans boutons ?

R : Non. Il faut proposer au minimum accepter / refuser / paramétrer, dès le premier affichage.

Q4 : Où doit-on stocker le consentement ?

R : Dans un cookie (par exemple cookie_consent) horodaté, conservé max 6 mois.

Q5 : TarteAuCitron est-il encore valable en 2025 ?

R : Oui, s’il est bien configuré (refus explicite, blocage réel). La CNIL le cite encore comme solution conforme.

Cookie consent CNIL : script open source pour SaaS

Introduction

Ton site ou ton SaaS utilise Google Analytics, des pixels marketing ou des services tiers ?
Alors, tu dois impérativement afficher un bandeau de cookie conforme à la CNIL.
Dans ce guide, on t'explique pourquoi c’est obligatoire, comment l’implémenter facilement avec un script open source, et éviter les erreurs fréquentes.

Ce que dit la CNIL (2025) sur le consentement cookies

Depuis la mise à jour des lignes directrices en 2021 (et encore plus renforcées en 2023-2024), la CNIL exige un consentement clair, explicite et granulaire pour tout dépôt de cookie non strictement nécessaire.

Règles clés à respecter :

Pas de dépôt sans consentement (hors cookies techniques)
Consentement libre, éclairé, univoque
Refus aussi simple que l’acceptation
Possibilité de modifier ou retirer son consentement à tout moment

❌ Les bandeaux "en scrollant vous acceptez" ou "OK" par défaut sont interdits.

Étapes pour être conforme sur ton SaaS

1. Faire l’inventaire des cookies utilisés

Commence par identifier tous les cookies utilisés sur ton site :

Analytics (Google, Plausible, Matomo, etc.)
Outils marketing (Hotjar, Facebook Pixel, Intercom…)
Services externes (YouTube embed, Stripe, etc.)

2. Classer les cookies

Type de cookie	Exemple	Consentement requis ?
Technique	Session, préférence langue	❌ Non
Mesure d’audience	Google Analytics, Matomo	✅ Oui
Marketing / tracking	Pixel Meta, retargeting, CRM	✅ Oui
Tiers embarqués	YouTube, Google Maps, réseaux sociaux	✅ Oui

3. Choisir une solution conforme

Plusieurs options s’offrent à toi :

Scripts open source auto-hébergés
CMP certifiées (Consent Management Platform)
Solutions commerciales avec interface graphique

Script open source recommandé : CookieConsent.js (Osano)

Avantages

Gratuit, léger et personnalisable
Conforme aux recommandations CNIL et GDPR
Facile à intégrer en vanilla JS, React, Next.js…

Exemple d’intégration minimaliste

<script src="https://cdn.jsdelivr.net/npm/cookieconsent@3/build/cookieconsent.min.js"></script>
<script>
  window.addEventListener("load", function(){
    window.cookieconsent.initialise({
      palette: {
        popup: { background: "#000" },
        button: { background: "#f1d600" }
      },
      theme: "classic",
      content: {
        message: "Ce site utilise des cookies pour améliorer votre expérience.",
        dismiss: "Accepter",
        deny: "Refuser",
        link: "En savoir plus",
        href: "/politique-de-cookies"
      },
      type: "opt-in",
      onInitialise: function (status) {
        var type = this.options.type;
        var didConsent = this.hasConsented();
        if (didConsent) {
          // Autoriser GA par exemple
          gtag('consent', 'update', { 'analytics_storage': 'granted' });
        }
      }
    });
  });
</script>

🔗 Voir le dépôt GitHub : https://github.com/osano/cookieconsent

Personnaliser le bandeau : les bonnes pratiques

Rendre le refus aussi visible que le bouton "Accepter"
Inclure un lien vers ta page de politique cookies
Proposer une interface de préférences par type de cookies
Adapter les couleurs au branding sans masquer l’intention

Vérifier sa conformité CNIL

Checklist rapide

Le script bloque les cookies tant qu'il n’y a pas de consentement
Le bandeau permet un refus aussi simple que l’acceptation
L’utilisateur peut modifier son choix à tout moment
Consentement conservé max 6 mois
Page d’information détaillée disponible

Outils utiles pour test

https://cookiebot.com/fr/ → test de conformité
https://webbkoll.dataskydd.net/ → test RGPD

Alternatives commerciales simples

Si tu veux aller plus vite, voici des solutions prêtes à l’emploi :

Nom	Prix	Conforme CNIL	Facile à intégrer ?
Axeptio	À partir de 15€/mois	✅ Oui	✅
Cookiebot	Gratuit jusqu’à 100 pages	✅ Oui	✅
TarteAuCitron.js	Gratuit	✅ Oui	✅

Lien avec ton SEO et UX

Google Tag Manager ne suffit pas sans bannière conforme
Trop de SaaS négligent encore ce point, au risque de sanctions CNIL ou d’une perte de confiance utilisateur
Une UX claire et un design cohérent avec le reste du site rassurent

🔗 Découvre sur SaaS Path nos autres guides pratiques pour gérer RGPD, CGU, et confiance utilisateur.

Conclusion

Implémenter un cookie consent conforme à la CNIL, ce n’est pas qu’une case à cocher.
C’est un signal de sérieux, de respect de la vie privée et de professionnalisme.
Avec les bons outils (open source ou non), tu peux être conforme rapidement sans sacrifier l’UX.

Implémenter un cookie consent conforme CNIL