Bandeau cookies CNDP — conformité réelle

Le bandeau cookies est le sujet de conformité où la distance entre la perception et la réalité est la plus grande. Une direction qui voit un beau bandeau s'afficher sur la home de son site se convainc facilement que la conformité est faite. L'auditeur qui ouvre la page dans un navigateur en mode investigation découvre généralement l'inverse : des scripts tiers qui se sont déjà déclenchés, des cookies tracking déposés avant tout clic, une absence de catégorisation utile, aucune preuve archivée du consentement. C'est, statistiquement, le point de non-conformité le plus généralisé du Web marocain.

Ce que la doctrine impose, en clair

Le fondement juridique combine la loi 09-08 sur la protection des données personnelles et les principes de la directive ePrivacy européenne (article 5(3)) que la CNDP reprend en pratique dans sa doctrine de gradation. Quatre exigences ressortent :

Le consentement explicite est requis pour tout cookie ou traceur qui n'est pas strictement nécessaire au fonctionnement du service. Une session technique, un panier d'achat, une préférence de langue : ces cookies peuvent fonctionner sans consentement préalable. Tout le reste — mesure d'audience, marketing, personnalisation, réseaux sociaux — exige un acte positif clair de l'utilisateur.

Cet acte doit être éclairé par une information préalable accessible. Pas une mention vague « nous utilisons des cookies pour améliorer votre expérience », mais une information précise sur les catégories de cookies déposés, leurs finalités, les destinataires, la durée de conservation. La page « gérer mes cookies » doit être accessible sans friction depuis n'importe quel endroit du site.

Le consentement doit être spécifique par finalité. Pas un consentement global qui autorise tout d'un clic. La granularité par catégorie est la norme courante : au minimum deux catégories (nécessaires + non nécessaires), idéalement quatre ou cinq pour une granularité utile.

Et il doit être aussi simple à retirer qu'à donner. Cela signifie qu'à tout moment, l'utilisateur doit pouvoir revenir sur ses choix avec le même nombre de clics qu'il a fallu pour les exprimer. Un bouton « accepter tout » bien visible en page d'accueil et un retrait caché dans la politique cookies à trois clics de profondeur est un schéma déloyal — typique des bandeaux cosmétiques.

Le test technique en trente secondes

Voici comment vérifier rapidement si un bandeau cookies est réellement conforme ou seulement cosmétique. Le test prend littéralement trente secondes par site.

Ouvrir le site dans une fenêtre de navigateur privée (pour neutraliser les cookies existants). Ouvrir les outils développeur, onglet réseau. Recharger la page. Avant de cliquer sur quoi que ce soit dans le bandeau, regarder les requêtes sortantes. Si une seule requête part vers un domaine de tracking — google-analytics.com, googletagmanager.com, facebook.net, linkedin.com/insights, hotjar.com, clarity.ms — le site est en non-conformité. C'est aussi simple que ça.

Le second test : cliquer sur « refuser » dans le bandeau, puis vérifier l'onglet « stockage » du navigateur. Aucun cookie de tracking ne doit être présent. Si l'on en trouve, le bandeau a un effet cosmétique mais pas opérationnel.

Le troisième : naviguer sur trois autres pages, puis revenir vérifier le stockage. Le consentement doit être persistant entre les pages — l'utilisateur ne doit pas avoir à reconfirmer son choix à chaque page.

La majorité des sites professionnels marocains échoue à l'un des trois tests. Pas parce que les équipes sont incompétentes, mais parce que les solutions « plug and play » qu'elles ont installées ne font pas réellement le travail. Elles affichent ; elles ne bloquent pas.

Le blocage runtime — ce qui sépare la conformité de la façade

Bloquer un tracker avant consentement n'est pas une option technique secondaire. C'est l'enjeu central. La différence entre un bandeau qui « informe que des cookies sont déposés » (et les dépose effectivement) et un bandeau qui « recueille un consentement avant déposer quoi que ce soit » est une différence de nature, pas de degré.

Techniquement, deux approches existent.

L'approche interception au runtime consiste à empêcher le navigateur d'exécuter les scripts tiers tant que le consentement n'a pas été donné. Une couche intermédiaire — généralement une CMP (Consent Management Platform) — intercepte les chargements de scripts et les retient. Quand l'utilisateur consent à une catégorie, les scripts correspondants sont libérés. Quand l'utilisateur retire son consentement, les scripts ne sont plus exécutés au prochain chargement. Cette approche est techniquement plus complexe, mais c'est la seule qui produit une vraie conformité.

L'approche chargement conditionnel consiste à n'injecter les scripts tiers qu'après lecture du consentement stocké. Plus simple à implémenter, elle nécessite que tous les scripts tracking soient chargés via un mécanisme contrôlé par le code de l'organisation. Elle convient bien à un site moderne en framework JavaScript, moins à un site WordPress avec une vingtaine de plugins qui injectent leurs propres scripts.

L'approche pseudo-blocage — qui affiche un bandeau mais laisse tout charger en arrière-plan — n'est pas une approche, c'est un manquement. Pourtant, c'est ce qui domine sur le marché.

Le piège du prestataire de conformité non conforme

Voici une situation qu'on rencontre régulièrement en audit. Une organisation a investi dans une solution de gestion du consentement, généralement Cookiebot, OneTrust, ou un équivalent. Elle pense que le sujet est traité. Elle paie un abonnement mensuel à ce titre.

Or, les principales solutions du marché sont des SaaS américains. Leur usage implique un transfert de données personnelles (au minimum, les empreintes de navigateur et les choix de consentement) vers les États-Unis ou d'autres juridictions hors UE/Maroc. Ce transfert doit être autorisé par F118 ou encadré par des clauses contractuelles types adoptées explicitement. Beaucoup d'organisations marocaines ont déployé Cookiebot ou OneTrust sans avoir traité cette dimension. Résultat : la solution censée résoudre un problème de conformité en a créé un nouveau, parfois plus visible.

L'alternative pragmatique consiste à utiliser des solutions auto-hébergées en UE — il en existe plusieurs en open source de qualité (Klaro, Tarteaucitron, Orejime) — ou à développer une CMP minimale intégrée au site quand le périmètre est limité. C'est moins glamour qu'une solution SaaS, mais c'est aligné avec la logique de souveraineté que la doctrine encourage.

La page « politique cookies » — ce qu'elle doit contenir

Au-delà du bandeau, la page dédiée doit exister, être facilement accessible, et contenir au minimum :

La liste exhaustive des cookies déposés, organisée par catégorie. Pour chaque cookie : nom technique, finalité concrète, durée de conservation, type (propre ou tiers). Cette liste est censée refléter ce qui se passe réellement sur le site — pas une projection théorique. Quand on l'audite, on confronte le contenu de la page avec l'inventaire technique réel.

Une explication des choix offerts à l'utilisateur. Ce qu'il peut faire pour modifier, retirer, supprimer. Avec un lien direct vers l'interface de gestion, pas seulement vers les paramètres du navigateur.

L'identité du responsable du traitement de ces cookies, avec un canal de contact pour exercer ses droits. Logiquement, c'est le DPO ou le canal de contact général prévu en politique de confidentialité.

La doctrine de la CNDP ne fixe pas un format unique pour cette page, mais les recommandations de la CNIL pour le contexte français constituent une référence très opérationnelle, qu'on peut transposer en l'enrichissant des spécificités marocaines.

La trajectoire d'une mise en conformité réussie

Sur un site existant qui démarre de zéro côté cookies, voici la trajectoire qui marche :

Semaine 1 : inventaire technique complet. Quels cookies sont déposés. Par quels scripts. Pour quelles finalités. Sans cet inventaire, toute action ultérieure est désorganisée.

Semaines 2 à 3 : classification des cookies par catégorie et arbitrage. Lesquels sont strictement nécessaires (vraiment, pas par confort) ? Lesquels relèvent de la mesure d'audience ? Lesquels sont marketing ? Lesquels sont des trackers tiers qu'on pourrait éliminer ?

Semaines 3 à 5 : implémentation de la CMP avec blocage runtime effectif. Tests en environnement de pré-production. Validation que le blocage fonctionne avant déploiement.

Semaine 6 : bascule en production avec un suivi attentif. Vérification des taux de consentement, ajustements de la formulation du bandeau si nécessaire.

Semaines 7 à 8 : rédaction de la page politique cookies alignée sur la réalité technique post-déploiement. Mise à jour de la politique de confidentialité avec un renvoi explicite vers la page cookies.

Semaine 9 : audit final par un œil externe. C'est l'étape qu'on saute le plus souvent et qui révèle pourtant les détails passés inaperçus.

Ressources

• CNIL — cookies et traceurs
• EDPB — guidelines consent
• Klaro — CMP open source auto-hébergeable
• Site officiel CNDP
• Guide pilier — Conformité CNDP au Maroc 2026
• F118 et transferts internationaux
• Service — Accompagnement mise en conformité

Dans la presse économique marocaine (Médias24, L'Économiste), les sujets cookies font régulièrement les rubriques tech depuis trois ou quatre ans. Le marché a globalement intégré le principe, sans avoir intégré la pratique. Le décalage entre les deux est précisément ce qu'un audit sérieux met en lumière, et c'est ce qui fait la valeur d'un accompagnement structuré. Le bandeau qui fait sourire l'œil et coincer l'auditeur est devenu un cliché du marché — et l'un des rares défauts qui se corrige bien.

Mehdi A. — expert protection des données, contributeur DataSouv. Article relu et validé par Amine Rais, fondateur.