InspectWP Logo
Glossaire

Que sont les cookies ?

8 février 2026

Les cookies sont de petits fichiers texte que les sites web stockent dans le navigateur du visiteur. Techniquement, chaque cookie est une paire clé-valeur avec des métadonnées supplémentaires (date d'expiration, domaine, chemin, indicateurs de sécurité). Le navigateur renvoie tous les cookies correspondants au serveur à chaque requête HTTP, c'est ainsi que les sites web « se souviennent » des choses entre les chargements de page. WordPress utilise les cookies pour les sessions de connexion, les préférences d'administration, les formulaires de commentaires et diverses fins de suivi.

Comment fonctionnent les cookies au niveau technique

Lorsque votre site WordPress envoie une réponse à un navigateur, il peut inclure un ou plusieurs en-têtes Set-Cookie. Chaque en-tête définit un cookie avec un nom, une valeur et des attributs optionnels comme la durée d'expiration et la portée. À chaque requête suivante vers le même domaine (et chemin correspondant), le navigateur inclut automatiquement ces cookies dans l'en-tête de requête Cookie. Le serveur les lit et utilise les données stockées pour identifier l'utilisateur, restaurer l'état de la session ou suivre le comportement.

C'est ce mécanisme qui rend possibles les sessions de connexion. Sans cookies, le serveur n'aurait aucun moyen de savoir que la personne demandant le tableau de bord est la même qui vient de saisir un mot de passe sur la page de connexion.

Cookies internes vs cookies tiers

La distinction entre cookies internes et cookies tiers est centrale aux réglementations sur la vie privée et importe pour tout propriétaire de site WordPress :

  • Cookies internes : Définis par votre propre domaine. Ils incluent les cookies de session de connexion WordPress, les préférences de consentement RGPD stockées par votre extension de bannière de cookies, le contenu du panier WooCommerce et tout cookie créé par votre thème ou code personnalisé. Les cookies internes sont généralement considérés comme moins intrusifs pour la vie privée car ils n'opèrent qu'au sein de votre propre site.
  • Cookies tiers : Définis par des domaines externes via des ressources chargées sur votre page. Lorsque votre site WordPress charge Google Analytics, le pixel Facebook, une intégration YouTube ou un script publicitaire, ces services définissent leurs propres cookies sur des domaines différents. Les cookies tiers peuvent suivre les visiteurs à travers plusieurs sites web, c'est pourquoi ils sont la cible principale des réglementations sur la vie privée. Les principaux navigateurs comme Safari et Firefox bloquent déjà les cookies tiers par défaut, et Chrome est en train de les supprimer également.

Cookies de session vs cookies persistants

Les cookies diffèrent aussi par leur durée :

  • Cookies de session : Ces cookies n'ont pas de date d'expiration explicite. Ils n'existent que dans la mémoire du navigateur et sont supprimés lorsque le navigateur est fermé. WordPress utilise des cookies de session pour les états temporaires qui n'ont pas besoin de persister.
  • Cookies persistants : Ces cookies ont une date d'expiration définie et restent stockés sur l'appareil du visiteur jusqu'à cette date (ou jusqu'à ce que l'utilisateur les efface manuellement). Le cookie de connexion WordPress wordpress_logged_in_* est un cookie persistant qui dure typiquement 48 heures, ou 14 jours si l'utilisateur coche « Se souvenir de moi ». Les cookies Google Analytics comme _ga persistent par défaut pendant 2 ans.

Cookies par défaut de WordPress expliqués

Une installation WordPress standard définit plusieurs cookies, qui ont tous des objectifs spécifiques :

  • wordpress_test_cookie : Défini sur la page de connexion pour vérifier si le navigateur accepte les cookies. Si ce cookie est bloqué, WordPress affiche une erreur indiquant que les cookies doivent être activés pour se connecter.
  • wordpress_logged_in_[hash] : Le principal cookie d'authentification pour les utilisateurs connectés. Il contient le nom d'utilisateur, un horodatage d'expiration et un hash qui vérifie que le cookie n'a pas été altéré. Ce cookie est utilisé pour identifier l'utilisateur sur la partie publique du site.
  • wordpress_[hash] : Un cookie d'authentification distinct utilisé uniquement dans la zone d'administration (/wp-admin/). Il fournit une couche de sécurité supplémentaire en limitant l'accès aux fonctions d'administration.
  • wp-settings-[uid] : Stocke les préférences d'interface d'administration spécifiques à l'utilisateur comme le mode d'éditeur (visuel vs. code), le nombre d'éléments par page dans les listes d'administration et l'état des panneaux.
  • wp-settings-time-[uid] : Enregistre la dernière mise à jour du cookie wp-settings.
  • comment_author_[hash] : Mémorise le nom, l'e-mail et l'URL qu'un visiteur a saisis dans un formulaire de commentaire, afin qu'il n'ait pas à les retaper lors de sa prochaine visite. Défini uniquement lorsqu'un visiteur soumet un commentaire.

Ces cookies WordPress par défaut sont tous des cookies internes et sont généralement considérés comme essentiels (nécessaires au fonctionnement du site). Cependant, les cookies de commentaire sont parfois classés comme non essentiels car commenter est optionnel.

RGPD, ePrivacy et exigences de consentement aux cookies

Le RGPD européen et la directive ePrivacy établissent des règles strictes concernant les cookies. Pour les propriétaires de sites WordPress ciblant des visiteurs européens, ces règles s'appliquent quel que soit l'emplacement de votre serveur :

  • Cookies essentiels : Les cookies strictement nécessaires au fonctionnement du site (sessions de connexion, jetons de sécurité, état du panier d'achat) ne nécessitent pas de consentement. Vous devez tout de même les divulguer dans votre politique de confidentialité.
  • Cookies non essentiels : Les cookies analytiques, marketing, de personnalisation et de suivi tiers nécessitent un consentement éclairé et explicite avant d'être déposés. Le visiteur doit activement opter pour ; les cases pré-cochées ou les bannières « en continuant la navigation » ne constituent pas un consentement valide.
  • Droit de retrait : Les visiteurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné. Votre bannière de cookies devrait inclure un moyen de modifier les préférences à tout moment.
  • Exigences d'information : Vous devez expliquer clairement ce que fait chaque cookie, qui le dépose et combien de temps il dure. Cette information est typiquement fournie dans une page de politique des cookies ou de confidentialité.

Gestion du consentement aux cookies pour WordPress

WordPress n'inclut pas de mécanisme de consentement aux cookies par défaut. Vous avez besoin d'une extension de gestion du consentement. Les options populaires incluent :

  • Complianz : Une extension de consentement RGPD/CCPA complète qui détecte automatiquement les cookies sur votre site et génère des politiques de cookies.
  • CookieYes : Une plateforme de gestion du consentement largement utilisée avec une extension WordPress et une analyse de cookies basée sur le cloud.
  • Real Cookie Banner : Une extension de consentement spécifique à WordPress avec un fort accent sur le droit allemand/européen de la vie privée.
  • Borlabs Cookie : Une extension premium d'origine allemande populaire dans la région DACH. Elle prend en charge des catégories de cookies granulaires et s'intègre à de nombreux services tiers.

Une configuration correcte de gestion du consentement bloque les cookies et scripts non essentiels jusqu'à ce que le visiteur donne son consentement. Cela signifie que Google Analytics, le pixel Facebook et les services similaires ne devraient pas se charger ou déposer des cookies tant que le visiteur n'a pas cliqué sur « Accepter » dans la bannière de consentement.

Indicateurs de sécurité des cookies : SameSite, Secure et HttpOnly

Les cookies modernes peuvent inclure des indicateurs de sécurité qui contrôlent leur transmission et leur accès :

  • Secure : Le cookie n'est envoyé que sur des connexions HTTPS. Sans cet indicateur, les cookies pourraient être interceptés sur des connexions HTTP non chiffrées.
  • HttpOnly : Le cookie ne peut pas être accédé par JavaScript via document.cookie. Cela empêche les attaques de cross-site scripting (XSS) de voler les cookies de session.
  • SameSite : Contrôle si le cookie est envoyé avec les requêtes inter-sites. La valeur Strict signifie que le cookie n'est jamais envoyé inter-sites. Lax autorise le cookie sur les navigations de premier niveau (comme cliquer sur un lien) mais le bloque sur les requêtes POST inter-sites et les iframes. None (combiné avec Secure) permet l'envoi du cookie dans tous les contextes, ce qui est nécessaire pour les cookies tiers qui doivent fonctionner entre domaines.

WordPress définit l'indicateur HttpOnly sur les cookies d'authentification par défaut. Vous pouvez en apprendre davantage sur ces indicateurs dans notre article sur les en-têtes de sécurité HTTP.

Combien de cookies est trop

Chaque cookie est envoyé avec chaque requête HTTP au domaine correspondant. Cela signifie que si votre site WordPress dépose 20 cookies totalisant 4 Ko, ces 4 Ko de données de cookies sont inclus dans chaque requête pour les pages, images, feuilles de style, scripts et appels AJAX. Sur une page comportant 80 requêtes, cela fait 320 Ko de données supplémentaires qui transitent dans les deux sens.

Les navigateurs imposent des limites sur les cookies :

  • Par domaine : La plupart des navigateurs autorisent environ 50 cookies par domaine, avec une limite de taille totale d'environ 4 Ko par cookie.
  • Total par cookie : Le nom et la valeur combinés d'un seul cookie ne devraient pas dépasser 4 096 octets.

Si votre site WordPress dépose de nombreux cookies (en particulier des cookies volumineux provenant de scripts d'analyse et publicitaires), cela peut ralentir sensiblement le chargement des pages. Pour éviter cela, envisagez de servir les ressources statiques depuis un domaine ou sous-domaine sans cookies, et minimisez le nombre de scripts tiers que vous chargez.

Ce que vérifie InspectWP

InspectWP liste tous les cookies déposés par votre site WordPress lors de l'exploration, y compris leurs noms, valeurs, domaines, chemins et attributs de sécurité (Secure, HttpOnly, SameSite). Cela vous aide à identifier les cookies tiers qui peuvent nécessiter un consentement RGPD, à repérer les cookies provenant de services que vous n'avez pas sciemment ajoutés, et à vérifier que vos cookies d'authentification ont les indicateurs de sécurité appropriés. La liste des cookies dans votre rapport InspectWP est un point de départ utile pour construire ou mettre à jour votre politique de cookies.

Article précédent

Qu'est-ce que PHP ?

Article suivant

Qu'est-ce que la mise en cache dans WordPress ?

Articles liés

Qu'est-ce qu'une meta description ?

Qu'est-ce que le contenu mixte ?

Qu'est-ce que le lazy loading ?

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement