Conformité e-commerce

WooCommerce : vos cookies sont trop cuits

Vous avez installé un bandeau, coché mentalement la case « conforme », et vous êtes retourné vendre. Le problème, c'est que dans la majorité des boutiques qu'on audite, ce bandeau a la même utilité qu'un extincteur peint sur un mur : ça rassure, ça ne sauve rien.

Fred Gaveau17 juin 2026~11 min de lecture

Vous avez fait comme tout le monde. Le souci, c'est que « tout le monde » se trompe. Bonne nouvelle quand même : ce n'est presque jamais la faute de WooCommerce. Et ça se répare.

La vérité en deux phrases

WooCommerce de base n'est pas hors-la-loi à cause de ses cookies : panier et session sont généralement défendables comme « strictement nécessaires ». Le pétrin commence quand on empile par-dessus analytics, pixels publicitaires, retargeting, heatmaps et relance de panier — et que toute cette quincaillerie se déclenche avant que le visiteur ait dit oui.

Traduction : le coupable n'est pas la caisse enregistreuse, ce sont les mouchards qu'on a scotchés dessus.

Les cookies WooCommerce « honnêtes »

WooCommerce pose des cookies fonctionnels — woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_ — pour suivre le panier et le retrouver côté serveur. Ils ne contiennent pas directement de donnée personnelle.

Et c'est là qu'on se fait avoir : « pas de donnée personnelle dans le cookie » ne signifie pas « hors RGPD ». Un identifiant unique rattaché en coulisses à un panier, un compte ou une commande participe à l'identification d'une personne. Le RGPD range d'ailleurs les identifiants en ligne, cookies compris, parmi ce qui rend quelqu'un identifiable. Le cookie joue les innocents ; le serveur, lui, sait très bien qui vous êtes.

En clair :

• cart_hash, items_in_cart, wp_woocommerce_session_ → strictement nécessaires, sans opt-in, tant qu'ils ne servent pas en douce au marketing.
• woocommerce_recently_viewed → suspect d'office. S'il nourrit de la reco, du retargeting ou un outil tiers, traitez-le en non-essentiel.

Côté WordPress, même logique : cookies d'authentification (nécessaires), mais cookies de commentaire (comment_author_*) conservés près d'un an et parfaitement inutiles à un achat. À déclarer, voire à congédier.

La règle du jeu européenne : deux serrures, une seule clé ne suffit pas

En Europe, on ne contrôle pas une porte mais deux :

1. Poser ou lire le traceur relève de l'ePrivacy (en France, l'article 82 de la loi Informatique et Libertés) — même si le cookie ne contient aucune donnée personnelle.
2. Ce qu'on fait des données récoltées relève du RGPD.

Le socle n'a pas bougé, et il est sans pitié pour les malins : continuer à naviguer ne vaut pas consentement ; il faut un acte positif clair ; et toute pirouette autre qu'un « oui » franc — fermer le bandeau, par exemple — compte pour un refus. Surtout, refuser doit être aussi simple qu'accepter. Le coup du bouton « Accepter » en vert fluo et du « Refuser » planqué trois sous-menus plus bas a vécu.

Certains traceurs sont exemptés (panier, authentification, sécurité, et une mesure d'audience très encadrée). Mais — détail que beaucoup oublient — exempté ne veut pas dire invisible : il faut quand même en informer l'internaute.

Les 7 plaies du WooCommerce non conforme

1. Tout baptiser « nécessaire ». Le panier, d'accord. Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Criteo, Google Ads et l'affiliation, certainement pas. « Nécessaire » n'est pas un synonyme de « pratique pour mon marketing ».
2. Le bandeau filou. « Tout accepter » en grand, refus en tout petit, cases précochées, et aucune preuve du consentement. Du design qu'on appelle poliment dark pattern, et impoliment de l'entourloupe.
3. Le tir avant le top départ. Le grand classique : Tag Manager, Meta Pixel et l'analytics partent avant le clic. Le bandeau arrive alors comme les pompiers après l'incendie.
4. Le retargeting. Panier abandonné, relance comportementale, audiences pub, pixels de conversion → consentement obligatoire. Poursuivre un client à travers le web avec ses chaussures vues hier, ça se demande poliment.
5. L'analytics « gris ». La mesure d'audience peut être exemptée, mais sous conditions serrées (finalité limitée, pas de suivi inter-sites, pas de recoupement, pas de revente). Beaucoup de configs GA4 passent à côté et le savent.
6. Le CAPTCHA gourmand. Nécessaire à la sécurité, il peut être exempté ; mais si le fournisseur se sert au passage pour ses propres affaires, le consentement revient sur la table.
7. Le faux « first-party ». Faire transiter un mouchard tiers par un sous-domaine maison ne le rend pas honnête — ça déguise le traceur, ça ne le dédouane pas, et ça ajoute un risque de sécurité en prime.

Au-delà du bandeau : la confidentialité pour de vrai

Trois angles morts qui coûtent cher :

• Sécurité des sessions : HTTPS, attributs Secure, HttpOnly, SameSite bien réglés, extensions à jour. Un cookie de session mal protégé, c'est une clé sous le paillasson.
• Le cache : Panier, Mon compte et Commande hors cache, point. Sinon vous risquez de servir le panier — ou pire, les infos — d'un client à un autre. WooCommerce le répète assez fort.
• Les extensions : paiement, livraison, CRM, newsletter, avis, anti-fraude… chacune peut arroser des tiers en données. À auditer une par une.

Vous vendez à l'étranger ? Bienvenue dans la tour de Babel réglementaire

Dès que vous franchissez la frontière, vous ne jouez plus avec une règle mais avec quatre — et elles ne demandent pas la même chose au même moment. La nuance qui fait mal : être en règle à Paris ne vous protège ni à Sacramento, ni à Montréal.

🇪🇺 Union européenne — le shérif le plus strict

Modèle opt-in : rien de non essentiel avant un consentement clair, et un refus aussi simple qu'un « oui ». C'est le régime de référence, celui que les autres regardent — souvent en copiant la copie. Si vous êtes carré ici, vous avez déjà fait le plus dur.

🇩🇪 Allemagne — l'Europe, version double serrure et perfectionniste

Opt-in aussi, mais l'Allemagne ne fait jamais rien à moitié : deux textes en parallèle, le TDDDG (ex-TTDSG, § 25, pour le dépôt du cookie) et le DSGVO (le RGPD local, pour l'usage des données). Base légale en double exemplaire, donc.

Le bandeau doit afficher Accepter et Refuser à égalité dès le premier écran (consigne de la DSK). Et l'addition pique : jusqu'à 300 000 € par infraction au titre du TDDDG, en sus des plafonds RGPD.

Nouveauté locale, l'EinwV (en vigueur depuis le 1er avril 2025) crée des services de consentement reconnus — l'utilisateur règle ses préférences une fois, les sites participants les respectent. L'idée est de tarir le déluge de bandeaux. C'est facultatif : personne n'est forcé de s'y brancher.

🇺🇸 Californie (CCPA/CPRA) — le mouton à cinq pattes : opt-out

Changement complet de logique. La Californie ne réclame pas d'opt-in préalable : elle marche au « on prévient, vous vous opposez ». Concrètement :

• un lien « Do Not Sell or Share My Personal Information » ;
• la prise en compte du signal navigateur Global Privacy Control (GPC) comme opposition.

Du neuf en 2026 : de nouvelles règles de la CPPA sont entrées en vigueur le 1er janvier. S'opposer ne doit pas demander plus d'étapes qu'accepter (la chasse aux dark patterns a traversé l'Atlantique), et l'entreprise doit confirmer que l'opposition a bien été prise en compte, GPC compris. Le tout vise les entreprises au-dessus d'~26,6 M$ de CA, ou traitant 100 000+ Californiens, ou tirant 50 %+ de leurs revenus de la revente de données.

🇨🇦 Québec (Loi 25) — l'Europe parle aussi français

La Loi 25 réclame un consentement exprès, clair et éclairé avant tout cookie non essentiel — analytics, pixels, scripts tiers compris. Le bandeau purement informatif et le « si vous continuez, c'est que vous acceptez » sont recalés. Il faut en plus la confidentialité par défaut (traçage non essentiel coupé d'origine) et conserver la preuve du consentement. Note salée en cas de faux pas : jusqu'à 25 M$ CA ou 4 % du CA mondial.

Le mémo à coller au-dessus de l'écran

Morale : une CMP « Europe seulement » vous laisse à poil en Californie, et une approche « opt-out à l'américaine » vous met hors-jeu en Europe comme au Québec. Il vous faut une CMP géo-adaptative : opt-in pour l'UE, l'Allemagne et le Québec ; opt-out + GPC pour la Californie. Une réglementation à géométrie variable mérite un bandeau à géométrie variable.

La checklist qui se vérifie au navigateur (pas sur parole)

La conformité ne se lit pas dans la politique cookies — elle se constate dans la console (F12 → Application → Cookies, et l'onglet Réseau). Le reste, c'est de la littérature.

Avant tout clic :

• Seuls les cookies strictement nécessaires sont posés (panier, session, sécurité).
• Aucun GA4, Meta Pixel, Tag Manager, Hotjar ou pixel pub n'a démarré.

Après « Tout refuser » :

• Aucun traceur marketing/analytics non exempté ne part. Le refus bloque les scripts ; il ne se contente pas de cacher le bandeau sous le tapis.

Après « Tout accepter » :

• Seuls les traceurs annoncés s'activent. Pas de passagers clandestins.

Réglages CMP :

• « Tout accepter » et « Tout refuser » à égalité, choix granulaires, blocage avant consentement, preuve conservée, retrait aussi simple que l'acceptation.
• Géo-adaptation : opt-in (UE / Allemagne / Québec) vs opt-out + GPC (Californie).
• Google Consent Mode v2 actif si vous utilisez GA4.
• WordPress Consent API exploitée par vos plugins (utile — mais elle ne fait pas le travail toute seule).

Paperasse honnête :

• Politique cookies = vos vrais cookies (nom, domaine, finalité, durée, catégorie, responsable, tiers, base légale, transfert hors UE, retrait) — pas un copier-coller de générateur.
• Politique de confidentialité couvrant les traitements WooCommerce réels (compte, commande, livraison, paiement, facturation, support, avis, marketing, anti-fraude, durées).
• Panier / Mon compte / Commande exclus du cache.
• Liste des sous-traitants et transferts hors UE tenue à jour.

L'erreur reine de 2026 reste la politique de confidentialité générique pondue par un générateur, qui ne connaît ni vos sous-traitants, ni vos transferts hors UE, ni vos durées réelles. En cas de plainte, c'est la première pièce qu'on retourne — et la plus accablante.

En sortie de caisse

WooCommerce tout nu se gère très bien côté cookies. WooCommerce habillé — thème premium, Tag Manager, pixels, analytics, CAPTCHA, avis, chat, relance de panier — bascule vite dans l'illégalité si rien n'est audité ni bloqué avant consentement. Et dès que vous passez les frontières, vous jonglez avec plusieurs régimes qui se contredisent poliment.

Personne ne peut certifier un site sans inspecter ses cookies réels, ses requêtes réseau, ses extensions et sa CMP. C'est précisément ce qu'un outil d'analytics respectueux de la vie privée devrait vous permettre : compter vos visiteurs sans vous compter parmi les contrevenants.

Mis à jour en juin 2026. Cet article informe ; il ne remplace ni un audit ni un avocat — deux choses qu'aucun bandeau cookies n'a jamais remplacées. Sources principales : CNIL (lignes directrices et recommandation cookies, FAQ avril 2026), documentation WooCommerce, TDDDG / DSGVO et EinwV (Allemagne), CCPA/CPRA et règles CPPA 2026 (Californie), Loi 25 (Québec). Les points signalés d'une réserve doivent être validés par un juriste de la juridiction concernée avant toute décision.