Cookie Consent RGPD - Bannière Cookies Conforme CNIL | SynapxLab

TARIF

5 € ht/mois par domaine Hot self

50 € ht/mois par domaine Service Statistics
Veille juridique

500 € ht/mois par domaine Service Marketing
Veille juridique

75 € ht/mois pour 50 domaines Agances

Protection juridique En cas de contrôle CNIL ou de plainte utilisateur, les logs constituent une preuve légale
Traçabilité complète Historique détaillé de tous les changements de consentement
Analytics de consentement Analyser les taux d'acceptation par catégorie pour optimiser votre stratégie
Évolutions de politique Prouver sur quelle version de la politique l'utilisateur a consenti
Audit de conformité Faciliter les audits internes et externes

Intégration light (self-hosted)

// Configuration avec logging vers votre propre serveur (Option A - Self-hosted)
window.CookieConsent.init({
  logger: {
    enabled: true,
    endpoint: '/api/consent/log',        // URL de ton endpoint Laravel (routes/api.php)
    headers: {
      //  CSRF : utile surtout si tu passes par une route "web".
      // Pour une route "api" Laravel (stateless), ce header n'est pas requis 
      'X-CSRF-TOKEN': document.querySelector('meta[name="csrf-token"]')?.content
    }
  },
  
  // Services (exemples minimaux)
  statistics: {
    google_analytics_key: 'G-XXXXXXX'
  },
  marketing: {
    google_adsense_key: 'ca-pub-XXXXXXX'
  }
});

Intégration minimale (sans logging)

// Configuration sans logging serveur (préférences en localStorage uniquement)
window.CookieConsent.init({
  statistics: {
    google_analytics_key: 'G-XXXXXXX'
  },
  marketing: {
    google_adsense_key: 'ca-pub-XXXXXXX'
  }
});

Bon à savoir :

anonymousId : Génère un device_id unique stocké en localStorage
L'IP est récupérée et hashée côté serveur automatiquement
Le User-Agent est envoyé automatiquement et hashé côté serveur

Sans logger.enabled, les préférences sont uniquement stockées en localStorage, sans journalisation serveur.

Astuce dev : Ouvre F12 → Réseau pour voir la requête POST vers /api/consent/log

Structure du payload envoyé

Ces données sont automatiquement enregistrées côté navigateur à chaque modification de consentement.

Si vous avez activé l'option logger.enabled: true dans la configuration JS, elles sont aussi envoyées vers votre serveur pour être historisées.

Données envoyées (via fetch POST)

{
  "consent_id": "2f4019d3-8739-4aba-a414-c1d609c940dd",
  "device_id": "cc_6041de70-0fab-425c-bb38-a48d45da7545",
  "site_path": "/",
  
  "consent_action": "accept",              // "accept" | "reject" | "customize" | "revoke"
  "consent_method": "banner",              // "banner" | "settings"
  
  "pref_cookies": true,
  "pref_statistics": false,
  "pref_marketing": false,
  
  "banner_version": "2.4.0",
  "locale": "fr-FR",
  "timezone": "Europe/Paris",
  
  
}

Bon à savoir :

consent_id : UUID unique par événement (permet le suivi précis)
device_id : Identifiant pseudo-anonyme du navigateur (format cc_xxx)
consent_action : Type d'action effectuée par l'utilisateur
consent_method : Provenance de l'action (bannière initiale ou page de paramètres)
banner_version : Version du texte de consentement affiché
IP et User-Agent sont traités côté serveur uniquement (hashés pour pseudonymisation)

Format localStorage

Parallèlement, les préférences sont stockées en local dans localStorage['politecookiebanner'] :

{
  "cookies": true,
  "statistics": false,
  "marketing": true
}
// Le reste (UA, IP/ip_hash, banner_version, etc.) part uniquement au serveur si logger.enabled = true

Schéma SQL

Implémentation des recommandations CNIL pour le journal de consentement : minimisation, pseudonymisation, et preuve vérifiable (art. 7.1 RGPD / Cookie).

Pré-requis : Serveur web (Apache/Nginx), PHP 7.4+, base MySQL/MariaDB, certificat SSL (HTTPS).
Vous êtes responsable de la maintenance, sécurité, backups et conformité.

CREATE TABLE consent_logs (
  id               BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,

  -- Identifiants techniques pseudonymisés
  consent_id       CHAR(36)         NOT NULL,          -- UUID v4 par événement
  device_id        VARCHAR(64)      NULL,              -- ex: "cc_xxx" (pseudo-ID navigateur)

  -- Contexte
  site_path        VARCHAR(255)     NOT NULL,
  consent_action   ENUM('accept','reject','customize','revoke') NOT NULL DEFAULT 'accept',
  consent_method   ENUM('banner','settings') NOT NULL DEFAULT 'banner',

  -- Choix utilisateur (minimisation)
  pref_cookies     TINYINT(1)       NOT NULL DEFAULT 0,
  pref_statistics  TINYINT(1)       NOT NULL DEFAULT 0,
  pref_marketing   TINYINT(1)       NOT NULL DEFAULT 0,

  -- Versionnage probant (preuve « à quoi » l'utilisateur a consenti)
  banner_version   VARCHAR(32)      NOT NULL,
  policy_hash      VARCHAR(64)      NULL,              -- hash immuable du texte de politique (SHA-256)

  -- Métadonnées non identifiantes
  locale           VARCHAR(16)      NULL,
  timezone         VARCHAR(64)      NULL,

  -- PII pseudonymisées (si nécessaire pour audit)
  ip_hash          VARBINARY(32)    NULL,              -- SHA-256(salt+IP)
  ua_hash          VARBINARY(32)    NULL,              -- SHA-256(salt+User-Agent)

  created_at       DATETIME(6)      NOT NULL DEFAULT CURRENT_TIMESTAMP(6),

) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Textes de la bannière (version française)

Ces textes sont affichés dans la bannière et font partie de la preuve de consentement. La version banner_version permet de tracer exactement à quel texte l'utilisateur a consenti.

Textes de la bannière v2.4.0 (français)

En-tête

Titre : "Gérer le consentement aux cookies"
Fermeture (aria-label) : "Fermer la bannière Cookie Consent"

Message principal

"Pour vous offrir la meilleure expérience possible, nous utilisons des cookies pour stocker certaines informations sur votre appareil. En acceptant, vous nous aidez à améliorer nos services et à mieux comprendre comment vous naviguez sur notre site. Si vous refusez, certaines fonctionnalités pourraient ne pas fonctionner de manière optimale."

Catégories de cookies

Notice de journalisation (si logger activé)

📋 Preuve de consentement aux cookies

Conformément à nos obligations légales (article 7.1 du RGPD) et aux recommandations de la CNIL, nous conservons une trace de vos préférences de consentement (cookies de fonctionnalité, statistiques, publicitaires), la version du bandeau présenté et un identifiant technique d'événement (UUID). Afin de limiter le traitement de données personnelles, votre adresse IP et les informations relatives à votre navigateur sont transformées en empreintes pseudonymisées par un processus de hachage irréversible avec secret serveur. Ces journaux de consentement sont conservés pour une durée maximale de 13 mois, exclusivement à des fins de preuve du recueil de votre consentement. Vous pouvez modifier vos choix à tout moment en cliquant sur le lien "Gérer mes cookies" accessible en bas de page.

Boutons d'action

Accepter : "Tout Accepter"
Refuser : "Tout Refuser"
Préférences : "Personnaliser mes choix"
Enregistrer : "Enregistrer mes préférences"
Supprimer : "Supprimer mes préférences"

Structure complète pour audit CNIL

Pour répondre à un contrôle CNIL, vous devez pouvoir fournir une preuve complète de consentement qui combine les logs d'actions ET les textes exacts affichés à chaque version.

Important : Le CSV des logs seul ne suffit pas. Le policy_hash doit pouvoir être relié au texte exact que l'utilisateur a lu au moment de son consentement.

Les 3 fichiers requis pour un audit

1️⃣ Fichier : consent_logs_YYYY-MM.csv

Contenu : Journal des actions de consentement

Colonnes :

consent_id - UUID unique de l'événement
device_id - ID pseudo-anonyme de l'appareil
consent_action - accept | reject | customize | revoke
consent_method - banner | settings
pref_* - Choix utilisateur (booléens)
banner_version - Version du bandeau affiché
policy_hash - Hash de la politique cookies
ip_hash + ua_hash - Données pseudonymisées
created_at - Timestamp microseconde
locale + timezone - Contexte géographique

2️⃣ Fichier : banner_versions.csv

Contenu : Historique des textes de bannière

Colonnes :

banner_version - ex: 2.4.0
policy_hash - SHA-256 du texte complet
effective_date - Date de mise en production
deprecated_date - Date de retrait (NULL si actif)
title - Titre de la bannière
message - Message principal
functional_text - Texte catégorie fonctionnelle
cookies_text - Texte catégorie cookies
statistics_text - Texte catégorie statistiques
marketing_text - Texte catégorie marketing
logging_notice - Notice de journalisation

3️⃣ Fichier : audit_report_YYYY-MM.pdf

Contenu : Rapport de synthèse reliant logs + textes

Sections obligatoires :

Contexte - Période, domaines, version active
Statistiques - Nombre de consentements par type
Preuve de transparence - Lien consent_id → texte affiché
Textes intégraux - Contenu complet de chaque banner_version
Conformité RGPD/CNIL - Checklist des articles respectés

Lien entre les fichiers

consent_logs.csv             banner_versions.csv
──────────────────           ───────────────────
consent_id: abc123           banner_version: 2.4.0
banner_version: 2.4.0   ───► policy_hash: a7f3c892
policy_hash: a7f3c892        texts: "Gérer le consentement..."
created_at: 2025-01-15       effective_date: 2025-01-01
pref_statistics: true
    │
    │ PERMET DE PROUVER
    ▼
"L'utilisateur abc123 a consenti le 2025-01-15 
aux statistiques après avoir lu le texte de la 
version 2.4.0 (hash a7f3c892) qui indiquait : 
'Ces cookies nous permettent de mesurer l'audience
du site...'"

Checklist conformité CNIL

✅ Art. 7.1 RGPD : Preuve du consentement (consent_id + timestamp)
✅ Transparence : Texte exact affiché conservé (banner_versions)
✅ Minimisation : IP/UA hashés, pas de stockage inutile
✅ Rétention limitée : Purge automatique ≤ 13 mois
✅ Révocabilité : Action "revoke" tracée dans les logs
✅ Granularité : Choix par catégorie (cookies/stats/marketing)
✅ Versionnage : Politique trackée via banner_version + policy_hash
✅ Exports : CSV/PDF générables à la demande