Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.
Exemples de constats
Tracking avant consentement détecté
Le cookie « _fbp » (Meta Pixel, marketing) a été défini avant que l’utilisateur n’ait donné son consentement. Le cookie a été émis 1,2 seconde après le chargement de la page, alors que la bannière de consentement était encore en cours de montage. Pour résoudre, limitez le script Meta Pixel derrière le toggle « marketing » de votre plateforme de gestion du consentement.
Cookie : _fbp Domain : .example.com Category : marketing Set at : t=1.2s (banner not yet interacted with) Expiry : 90 days
SameSite=None sans flag Secure
Le cookie de session « sid » est défini avec SameSite=None mais sans flag Secure. Les navigateurs Chromium moderne et Firefox rejettent silencieusement cette combinaison, donc une partie de vos users — toute personne ayant un navigateur mis à jour dans les trois dernières années — perdra l’état de façon intermittente. Le développement local masque le problème car localhost est traité comme Secure.
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Fix: add Secure flag and ensure the cookie is only set over HTTPS: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
Expiration des cookies supérieure à 13 mois
Le cookie « _ga » (Google Analytics, analytics) est défini avec une expiration de 24 mois. La plupart des autorités européennes de protection des données ont publié des recommandations considérant 13 mois comme le maximum « de facto » pour les cookies analytics, en invoquant la proportionnalité ePrivacy. Un audit par un régulateur le signalerait comme une rétention excessive.
Cookie : _ga Expiry : 24 months (730 days) DPA cap : 13 months (CNIL, ICO, AEPD) Fix: in your GA4 admin, set "Data retention" to 14 months or less, or self-host with a custom expiry.
Scannez votre site en 60 secondes
25 credits gratuits. Pas de carte bancaire. Des constats réels sur la page qui vous intéresse.