La bannière de consentement aux cookies est le premier élément que voit un visiteur en arrivant sur un site, et c’est aussi le premier point de contrôle de la CNIL en cas d’audit. Mal configurée, elle expose le site à une amende pouvant atteindre 100 000 € pour les manquements répétés, comme l’a montré la sanction Google de 150 millions d’euros en 2022 ou Amazon à 35 millions la même année. Pourtant, beaucoup de sites WordPress et Shopify continuent d’afficher des bandeaux non conformes : refus moins facile que l’acceptation, scripts qui se chargent avant le clic, choix par défaut pré-cochés, pas de granularité par finalité. Ces erreurs sont la plupart du temps dues à une méconnaissance des règles plutôt qu’à une mauvaise foi, et elles se corrigent en une après-midi avec les bons outils. Chez Propuls’Lead, nous accompagnons les éditeurs de sites dans la configuration de leur bannière cookies, et nous déployons un agent de vérification qui contrôle en continu la conformité du consentement.
Comprendre ce que la CNIL exige précisément d’une bannière cookies
La CNIL a publié en 2020 des lignes directrices très précises sur le consentement aux cookies, complétées par des recommandations en 2024. Ces règles s’appliquent à tous les traceurs non strictement nécessaires au fonctionnement du site, c’est-à-dire principalement les cookies analytics non exemptés, les cookies publicitaires, les pixels de réseaux sociaux, les outils de personnalisation et les chats commerciaux.
Six exigences précises s’imposent à la bannière de consentement. Exigence 1 : refuser doit être aussi simple qu’accepter, ce qui implique deux boutons de niveau hiérarchique équivalent au premier niveau de la bannière. Exigence 2 : aucun traceur non essentiel ne doit être déposé avant le clic explicite sur accepter ou personnaliser. Exigence 3 : le choix doit être granulaire par finalité (analytics, marketing, personnalisation, réseaux sociaux). Exigence 4 : aucune case ne doit être pré-cochée. Exigence 5 : le consentement doit pouvoir être retiré à tout moment via un lien permanent dans le pied de page. Exigence 6 : le site doit conserver la preuve du consentement pendant au moins 13 mois pour pouvoir la produire en cas de contrôle. Les cookies dits strictement nécessaires (session, panier, langue) sont exemptés et peuvent être déposés sans consentement. Notre article sur headers de sécurité HTTP WordPress et Content Security Policy revient sur les autres pans techniques de la conformité.
Mettre en œuvre une bannière conforme sur WordPress et Shopify
Sur WordPress, la mise en place d’une bannière conforme passe par cinq étapes. Étape 1 : auditer les traceurs déjà déposés par le site, à l’aide d’un outil comme CookieServe ou directement via l’onglet Application du DevTools du navigateur. Étape 2 : choisir un module CMP (Consent Management Platform) reconnu par la CNIL : Complianz, CookieYes, Axeptio ou Didomi sont les options les plus utilisées. Étape 3 : installer et configurer le module en blocage par défaut (les scripts ne se chargent qu’après consentement). Étape 4 : associer chaque script tiers du thème ou des plugins à une catégorie cookies via le système de classification du module. Étape 5 : tester la bannière depuis trois navigateurs différents et vérifier que rien ne fuit avant clic.
Sur Shopify, la mise en œuvre passe par quatre étapes adaptées à la plateforme. Étape 1 : activer la bannière native depuis Paramètres, Confidentialité du client, Bannière de cookies, et choisir la version personnalisable. Étape 2 : si la bannière native ne suffit pas (cas fréquent en France où la granularité par finalité n’est pas toujours complète), installer Pandectes, iubenda ou Consentmo depuis l’App Store. Étape 3 : configurer la classification des cookies en associant chaque application Shopify et chaque script du thème à une catégorie. Étape 4 : activer le mode Customer Privacy API pour que les applications Shopify respectent automatiquement le consentement, et tester depuis le storefront en mode incognito. Notre article sur Shopify et applications tierces, évaluer la sécurité avant d’installer une app revient sur l’évaluation amont des applications, qui simplifie la classification cookies en aval.
Et avec un agent IA ?
La vérification continue de la conformité d’une bannière cookies est un travail technique répétitif qui se prête bien à l’agentification. Trois activités peuvent être confiées à un agent dédié. Activité 1 : audit hebdomadaire automatisé qui charge le site dans un navigateur headless, simule trois parcours (sans interaction, refus, acceptation), et liste les cookies déposés à chaque étape pour vérifier qu’aucun traceur non essentiel ne fuit avant consentement. Activité 2 : suivi des évolutions de scripts tiers (un plugin WordPress mis à jour ajoute parfois un nouveau cookie non classifié), avec alerte automatique. Activité 3 : génération mensuelle d’un rapport synthétique avec la liste des écarts détectés et la procédure de correction.
L’agent en pratique se construit autour d’un modèle Claude Sonnet branché sur Playwright pour le crawl headless et sur une base de référence des cookies attendus stockée dans Airtable. Le prompt système cadre l’agent : « Tu es un auditeur de bannière cookies CNIL. Tu charges le site avec trois scénarios (no-consent, reject-all, accept-all), tu listes les cookies déposés à chaque étape, tu compares à la base de référence, tu signales tout écart et tu génères la procédure de correction. » L’orchestration se fait dans n8n avec un déclencheur hebdomadaire. Chez Propuls’Lead, nous concevons et déployons les agents qui vérifient et corrigent la bannière cookies à la place de nos clients, dans le cadre de la méthodologie PROPULSE. Le gain mesurable observé sur les sites accompagnés se situe entre 2 et 4 heures par mois économisées, avec un taux de fuite de cookies passé en moyenne de 18 % à moins de 2 % en trois mois. Notre article sur WordPress, comment scanner un site WordPress pour détecter les malwares avant qu’il ne soit trop tard revient sur la logique de scan automatisé adjacente.
Quand l’humain reprend la main
L’agent de vérification ne décide pas seul des choix de configuration de la bannière. Trois cas exigent une décision humaine. Cas 1 : arbitrage sur l’inclusion ou l’exclusion d’un nouveau service tiers (un outil d’analytics, un chat, un système de réservation). L’agent peut documenter les implications RGPD du service, mais la décision d’utiliser ou non un service relève du métier et de l’équilibre entre besoin commercial et risque juridique.
Cas 2 : refonte du wording de la bannière. Le texte affiché aux visiteurs doit être clair, sans dark pattern, en français correct et adapté à l’audience. L’agent peut générer des variantes, mais le choix final relève du marketing et de la direction juridique du site. Cas 3 : réponse à un signalement CNIL ou à une réclamation utilisateur. L’agent fournit les preuves de consentement archivées, mais la rédaction de la réponse engage la responsabilité juridique du propriétaire. Notre article sur Shopify et fraude, détecter et prévenir les commandes frauduleuses revient sur la même articulation entre détection automatisée et décision humaine sur les sujets sensibles.
Stack recommandée par Propuls’Lead
Pour agentifier la vérification de la bannière cookies, nous recommandons une stack adaptée aux deux écosystèmes. Côté CMP sur WordPress : Complianz pour la flexibilité, Axeptio pour l’expérience utilisateur soignée, Didomi pour les sites à fort trafic. Côté CMP sur Shopify : Pandectes pour le rapport qualité-prix, iubenda pour la couverture multi-pays. Côté agent : Playwright pour le crawl headless, n8n pour l’orchestration, Claude Sonnet pour l’analyse contextuelle, Airtable pour la base de référence des cookies attendus. Côté monitoring : un tableau Notion qui agrège les écarts détectés et alimente la roadmap de correction. Cette stack se déploie en 2 à 4 jours pour un site standard. Sur les sites accompagnés, ce dispositif a permis de passer 19 sites sur 20 en conformité totale validée par un audit externe dans le mois suivant le déploiement.