Guide d'audit CookieYes pour les agences (2026)

TL;DR - CookieYes est l'un des CMP les plus largement déployés dans l'écosystème WordPress, avec une bannière certifiée Google, une offre gratuite généreuse et un support de l'IAB TCF sur les paliers Pro et Ultimate. Un auto-scan depuis n'importe quel CMP constitue un inventaire opérationnel utile, mais ce n'est pas le même artefact qu'une preuve indépendante issue d'un vérificateur tiers. Ce guide explique comment auditer une installation CookieYes en pratique - et quand l'auto-scan suffit.

Liste de contrôle d'audit CookieYes (version courte)

Vérifiez si le loader GTM apparaît au-dessus du snippet CookieYes - cet ordre signifie que GTM remporte la course au premier rendu.
Vérifiez que l'état par défaut de Consent Mode v2 est denied pour les quatre paramètres : analytics_storage, ad_storage, ad_user_data et ad_personalization.
Dans un profil de navigateur propre avec les outils de développement ouverts, capturez chaque requête tierce qui se déclenche avant tout clic sur la bannière.
Cliquez sur Tout refuser, rechargez et recapturez le réseau - rien de non essentiel ne devrait apparaître après le refus.
Comparez le comportement réseau post-refus à la déclaration de cookies CookieYes ; un écart entre les deux est un défaut courant.
Exportez un fichier .har horodaté comme trace d'audit durable - une preuve plus solide qu'une capture d'écran du tableau de bord.

La version complète, avec ce qu'il faut chercher à chaque étape, figure ci-dessous.

Ce que CookieYes fait bien

CookieYes dispose d'une forte empreinte WordPress : c'est un CMP certifié Google, son plugin WordPress compte plus d'un million d'installations actives et l'éditeur revendique plus de 1,5 million d'entreprises utilisatrices. Pour un site WordPress, quelle qu'en soit la taille, le plugin permet d'obtenir une bannière fonctionnelle en quelques clics, et l'intégration WordPress fait partie des plus abouties de la catégorie (custom post types, plugins multilingues, page builders).

L'offre gratuite est inhabituellement généreuse. 0 EUR / 0 USD / 0 GBP par mois donne droit à 5 000 pages vues mensuelles et 100 pages scannées sur un domaine - de quoi exploiter une installation fonctionnelle sur un petit site sans jamais payer. Le premier palier payant (Basic, $10/month en affichage USD) porte ces seuils à 100 000 pages vues mensuelles et 600 pages scannées. Google Consent Mode v2 est disponible sur tous les niveaux, y compris le niveau gratuit. Le palier Pro ($25/month en affichage USD) ajoute IAB TCF, GPC, le ciblage géographique et un scan mensuel programmé. Le palier Ultimate ($55/month) supprime totalement le plafond de pages vues.

Pour un opérateur dont le besoin principal est "afficher une bannière claire sur un site WordPress, enregistrer le consentement, gater les tags évidents", CookieYes fait le travail, et c'est une vraie force du produit. La difficulté arrive à la question suivante : comment savoir que cela fonctionne réellement dans des sessions utilisateur réelles, surtout sur des sites qui ne sont pas WordPress ?

Problèmes courants d'implémentation CookieYes que les auto-scans peuvent manquer

Comme tout scan automatisé, un scan CookieYes suit un parcours de scan borné et une fenêtre d'observation. Le script qui s'exécute lorsque le crawler visite votre site n'est pas nécessairement celui qui s'exécute quand un utilisateur réel arrive depuis une IP allemande un mardi après-midi. Quatre schémas que nous observons régulièrement sur les sites protégés par CookieYes et qui ressortent lors d'audits utilisateur réels :

1. Conditions de course entre tag manager et Consent Mode. Le problème le plus fréquent, partagé avec tous les autres CMP du marché. Le snippet Google Tag Manager est codé en dur en ligne au-dessus du loader CookieYes, donc GTM s'initialise (et tout tag dont le consentement par défaut est granted se déclenche) avant que l'auto-blocker n'ait l'occasion d'intervenir. Ou bien Consent Mode v2 est câblé avec un ou plusieurs des quatre paramètres positionnés par défaut sur 'granted' au lieu de 'denied', produisant le même résultat sans le problème d'ordre de chargement. L'audit est simple : vérifier l'ordre des scripts, vérifier les valeurs par défaut de Consent Mode, puis valider la trace réseau du premier chargement.

2. Limites de portée du plugin WordPress. CookieYes peut bloquer les scripts et cookies non essentiels dans les flux typiques de plugins WordPress, mais la documentation de l'éditeur indique que les scripts ou cookies créés en dehors du contrôle de CookieYes peuvent tout de même nécessiter une gestion manuelle. On le voit le plus souvent avec des widgets marketing collés directement dans le footer.php, des widgets de chat installés via des instructions "collez ce snippet" et des formulaires intégrés qui chargent leurs propres outils analytiques. C'est là qu'un audit au niveau navigateur aide : il vérifie le réseau réel du premier chargement, pas seulement la configuration du plugin.

3. Les installations hors WordPress n'ont pas accès aux facilités d'intégration du plugin WordPress. CookieYes fonctionne sur tout site capable d'insérer une balise script, et le tableau de bord SaaS traite Shopify, Wix, les stacks personnalisés et les sites headless de façon identique. Le blocage automatique des cookies et le blocage des iframes sont disponibles sur tous les paliers, mais l'intégration de thème spécifique à WordPress, l'UX admin native et les facilités exclusives au plugin restent réservées à WordPress. Sur un site Shopify ou Next.js, vous obtenez la bannière, le stockage du consentement et l'auto-blocking, mais les implémentations sur stack personnalisé devraient tout de même être vérifiées script par script car les balises collées directement dans les fichiers de thème ou injectées par d'autres applications peuvent se trouver hors du chemin de consentement.

4. Scripts marketing conditionnels et déclenchés par comportement. Un enregistreur déclenché au scroll, un widget de chat différé, une branche de test A/B ou un tag injecté dynamiquement peuvent ne pas être exercés par un parcours de crawler fixe. Traitez-les comme des cibles de vérification manuelle : reproduisez l'action utilisateur, refusez le consentement, rechargez et vérifiez si le tag se déclenche encore.

Liste de contrôle d'audit étape par étape

Chaque étape se fait dans un navigateur ; un scanner externe raccourcit le travail manuel.

Ouvrez le site dans un profil navigateur propre, outils de développement ouverts, filtre réseau sur "tiers". Rechargez. Tout ce qui se déclenche avant que vous ne cliquiez sur un bouton de la bannière est suspect.
Vérifiez la position du snippet GTM. Si le loader GTM figure au-dessus du loader CookieYes dans la source de la page, l'auto-blocker entre en course avec le tag manager. Sur WordPress, vérifiez que l'option "charger avant les autres scripts" du plugin est activée.
Vérifiez l'état par défaut de Consent Mode v2. Recherchez gtag('consent', 'default' dans la page rendue. L'argument doit positionner les quatre paramètres - analytics_storage, ad_storage, ad_user_data, ad_personalization - sur 'denied'. Si l'un d'eux indique 'granted', c'est la mauvaise configuration.
Cliquez sur refuser. Rechargez. Vérifiez la même capture réseau. Une installation CookieYes correctement configurée ne doit montrer aucun tracker tiers dans le réseau post-refus. Si Meta Pixel, LinkedIn Insight ou Google Analytics se déclenchent encore après le refus, l'état de consentement n'est pas propagé.
Testez la persistance du consentement entre les pages. Cliquez sur refuser, naviguez vers une seconde page. La bannière ne doit pas réapparaître. Si elle réapparaît - le schéma consent_respawn - la portée ou la durée du cookie est erronée, peu importe ce que dit le tableau de bord.
Sur WordPress, auditez les injections du thème et du page builder. Cherchez des balises script codées en dur dans header.php, footer.php et tout bloc "HTML personnalisé" du page builder. Elles contournent l'auto-blocking du plugin.
Basculez la page dans chacune de vos langues actives. Vérifiez que la déclaration de cookies est traduite et que les trackers listés correspondent au scan actuel, pas à celui du trimestre précédent.
Testez depuis une IP non européenne. Certaines configurations CookieYes ciblent géographiquement la bannière sur les visiteurs européens uniquement. Si vous servez des utilisateurs en Suisse, au Royaume-Uni ou au Brésil, vérifiez que la bannière s'affiche comme prévu.
Comparez la capture réseau à la déclaration CookieYes. Chaque service non essentiel qui pose des cookies ou chaque domaine de tracking qui se déclenche avant consentement doit apparaître, classifié, dans la déclaration. L'écart entre comportement réel et trackers déclarés est un défaut courant.
Sauvegardez la capture réseau comme preuve. Un fichier .har horodaté constitue une trace d'audit durable - une preuve plus solide qu'une capture d'écran du tableau de bord.

Quand CookieYes seul suffit

Nous ne recommandons pas d'ajouter un audit externe à chaque déploiement CookieYes. Pour le profil suivant, le scanner intégré de CookieYes est suffisant et un second outil constitue une surcharge :

Un seul site WordPress, une ou deux langues, un domaine.
Le plugin WordPress CookieYes (et non l'embed SaaS uniquement) afin de bénéficier de l'auto-blocking et de l'injection consciente du thème.
Pas de Google Tag Manager ou simplement une installation basique de Google Analytics 4 via l'injection contrôlée du plugin.
Aucune exigence de reporting client.
Aucun profil à scrutation élevée (faible trafic, contenu B2C non sensible, aucune plainte antérieure).

Pour ce profil, l'offre gratuite ou Basic de CookieYes fait l'affaire et tout outillage supplémentaire est une taxe. L'offre gratuite en particulier (5 000 pages vues mensuelles, 100 pages scannées) constitue un point d'entrée fonctionnel pour de nombreux petits sites réels.

Quand ajouter un audit indépendant

L'intérêt d'une vérification externe croît avec trois facteurs, et l'un d'eux est plus tranchant pour les utilisateurs CookieYes que pour la plupart des CMP :

Portefeuille multi-CMS. C'est le coin le plus tranchant. Le plugin WordPress de CookieYes est particulièrement abouti côté WordPress ; sur Shopify, Wix, du Next.js sur mesure ou du commerce headless, le même produit fonctionne sans l'intégration de thème spécifique à WordPress ni l'UX admin native. Les agences gérant un portefeuille de clients sur des stacks hétérogènes bénéficient d'une couche d'audit uniforme qui se moque du CMS sous-jacent. Un scanner externe produit le même dossier de preuves pour le site WordPress, la boutique Shopify et la page d'atterrissage stack personnalisé.

Complexité des tags marketing. GTM, Meta Pixel, conversion Google Ads, LinkedIn Insight, TikTok Pixel, tagging côté serveur - chaque tag supplémentaire multiplie la surface d'exposition où un défaut "granted par défaut" peut déclencher des trackers avant consentement.

Profil à scrutation élevée. La mise en œuvre du consentement aux cookies fait fréquemment l'objet de l'attention des autorités de protection des données (DPA), donc pour les opérateurs susceptibles d'attirer l'attention d'un régulateur si une plainte tombait - éditeurs à fort trafic, médias financés par la publicité, services financiers, santé - une trace de preuves durable et non éditrice est matériellement différente d'une capture d'écran de tableau de bord fournie par l'éditeur.

Dossiers de preuves pour les achats. Les clients grands comptes dans des secteurs régulés demandent souvent des preuves techniques indépendantes dans le cadre de l'onboarding fournisseurs. Un rapport de scan externe répond à cette demande d'une manière qu'une capture d'écran du tableau de bord CookieYes ne peut pas.

CookieYes vs. audit indépendant

Feature	CookieYes Free + paid tiers based on pageviews	GDPR Privacy Monitor Free + paid plans
Cookie scanner (self-scan)	✓	✕
Banner UI generator	✓	✕
WordPress plugin (1M+ installs)	✓	✕
Google-certified CMP	✓	✕
IAB TCF signaling	Pro tier+	✕
Geo-targeting	Pro tier+	✕
Free tier with real pageview budget	✓	Free + paid plans
Independent technical verification	✕	✓
Multi-CMS portfolio reports	✕	✓
Evidence pack for client deck / audit file	✕	✓

CookieYes et GDPR Privacy Monitor sont des produits différents qui répondent à des besoins différents. CookieYes génère et gère votre UX de consentement, particulièrement bien sur WordPress ; GDPR Privacy Monitor vérifie que le résultat se comporte correctement en conditions réelles, quel que soit le CMS sous-jacent.

Risk score: 43 / 100

Une installation CookieYes propre sur un site WordPress unique devrait habituellement se situer dans la bande à faible risque. Un score dans les 40 indique typiquement la présence d'un problème pratique - par exemple un tracker qui se déclenche avant consentement, un problème de persistance post-refus ou une configuration de bannière à revoir.

Sample scan

45 / 100

Medium Risk · 8 trackers · pre-consent tracking: yes

See sample report →

Lancez un scan indépendant sur le site que vous auditez

Lancer un scan gratuit ou voir un rapport d'exemple pour voir à quoi ressemble une capture externe à côté du tableau de bord CookieYes.

Foire aux questions

L'offre gratuite CookieYes suffit-elle pour mon petit site WordPress ?

Pour un seul petit site WordPress en dessous de 5 000 pages vues mensuelles, avec une ou deux langues, sans GTM, sans pixels marketing au-delà de Google Analytics 4 et sans exigence de reporting d'agence - oui, l'offre gratuite est réellement suffisante. L'offre gratuite de CookieYes fait partie des plus généreuses du marché et constitue un point d'entrée fonctionnel pertinent pour les petits sites. Si vous la dépassez, le palier payant Basic ($10/month en affichage USD) porte le budget de pages vues à 100 000.

Comment CookieYes se compare-t-il à Cookiebot ?

Des produits différents avec des audiences cibles différentes. CookieYes est plugin-first et particulièrement solide sur WordPress ; Cookiebot est dashboard-first et tout aussi solide sur l'ensemble des intégrations CMS. Les deux sont compatibles avec Google et disposent de scanners crédibles. Cookiebot supporte IAB TCF sur ses paliers payants ; CookieYes supporte IAB TCF sur les paliers Pro et Ultimate. L'offre gratuite de CookieYes est plus généreuse pour les sites à faible trafic ; le palier Premium Lite de Cookiebot est à 7 EUR/mois lorsque l'EUR est sélectionné alors que le palier Basic de CookieYes est à $10/month en affichage USD, mais la tarification de Cookiebot dépend du nombre de domaines et de sous-pages, de sorte qu'un usage agence multi-domaines peut rapidement dépasser le palier d'entrée. Choisissez selon votre stack principal : les agences WordPress-first préfèrent souvent CookieYes ; les boutiques multi-CMS et les équipes SaaS-first préfèrent souvent Cookiebot.

CookieYes est certifié Google. Cela signifie-t-il qu'il est conforme par défaut ?

Non, et la certification ne le prétend pas. La certification Google signifie que l'intégration Consent Mode v2 du CMP répond aux exigences de Google - elle ne certifie pas qu'une installation donnée respecte les choix de consentement de l'utilisateur dans des sessions réelles. La certification est un signal au niveau de l'éditeur ; votre déploiement spécifique peut toujours déclencher des trackers avant consentement si le tag manager est mal configuré ou si des scripts contournent la portée du plugin. Une vérification indépendante détecte l'écart entre "le CMP est certifié" et "cette installation spécifique fonctionne".

CookieYes fonctionne-t-il en dehors de WordPress ?

Oui. Le tableau de bord SaaS génère une balise script qui s'insère dans n'importe quelle page HTML, et le stockage du consentement fonctionne de la même manière sur Shopify, Wix, headless ou stack personnalisé. La page tarifaire de CookieYes liste le blocage automatique des cookies et le blocage des iframes parmi les fonctionnalités disponibles sur tous les paliers, y compris en dehors de WordPress. Ce qui est réellement réservé à WordPress, c'est la couche plugin WordPress : l'intégration de thème, l'UX admin native WordPress et les facilités spécifiques au plugin. Sur Shopify ou un stack personnalisé, vous obtenez tout de même la bannière, le stockage du consentement et l'auto-blocking, mais les opérateurs devraient tout de même vérifier le gating script par script car les balises collées dans les fichiers de thème ou injectées par d'autres applications peuvent se trouver hors du chemin de consentement. Les agences gérant des portefeuilles multi-CMS associent souvent CookieYes à une couche d'audit indépendante pour confirmer que le comportement réel correspond au tableau de bord sur l'ensemble des stacks.

Pourquoi CookieYes peut-il sembler propre alors qu'un audit d'agence trouve encore des trackers pré-consentement ?

Généralement parce qu'un tag est en dehors du chemin contrôlé par le plugin, que GTM n'est pas conscient du consentement, ou qu'un script s'exécute avant que l'état de consentement ne soit appliqué. Une trace navigateur en direct détecte cet écart. Un tableau de bord d'auto-scan peut ne pas reproduire toutes les conditions de course du premier chargement ni tous les parcours déclenchés par l'utilisateur, alors qu'une trace réseau navigateur propre montre ce qui se déclenche réellement avant que l'utilisateur n'interagisse avec la bannière.

Lancez un scan de vérification CookieYes gratuit

Avant de rédiger un plan de remédiation, voyez ce qu'une capture indépendante révèle sur le site que vous auditez. Le scan gratuit de GDPR Privacy Monitor renvoie une décomposition au niveau réseau de ce qui se déclenche avant consentement, de ce qui survit au refus et de ce que dit la déclaration de cookies par rapport à ce que fait réellement le réseau. Aucun compte n'est requis pour le premier scan.

Lancer un scan gratuit ou voir un rapport d'exemple pour voir le format avant de vous engager.

Autres guides d'audit : Cookiebot · OneTrust · Iubenda · Complianz Contexte : Le tracking pré-consentement expliqué

Tarifs et fonctionnalités vérifiés le 2026-05-06 sur cookieyes.com/pricing. La page tarifaire de CookieYes fait foi en cas d'évolution des chiffres. Programmez un rappel trimestriel pour revérifier.