Cookilio vs Tarteaucitron : quel gestionnaire cookies ?
Cookilio vs Tarteaucitron : faut-il choisir la gratuité ou la preuve ?
Quand on cherche un gestionnaire de cookies conforme au RGPD, deux logiques s’affrontent. D’un côté, l’open source : gratuit, transparent, communautaire. De l’autre, une solution éditeur : payante, accompagnée, avec des garanties juridiques solides. Cookilio et Tarteaucitron incarnent ces deux approches.
Tarteaucitron existe depuis 2013. C’est un projet open source français créé par Amauri Champeaux, disponible sur GitHub avec près d’un millier d’étoiles et une communauté active. Il équipe des milliers de sites, notamment dans le secteur public.
Cookilio, édité par DPLIANCE, est une CMP souveraine avec preuve de consentement server-side, widget ultra-léger et accompagnement à l’installation. Deux outils français, deux visions du consentement.
Dans un contexte où la CNIL a infligé près de 487 millions d’euros d’amendes en 2025 — dont une part significative liée au non-respect des règles sur les traceurs (source : bilan CNIL 2025) — le choix de votre CMP mérite une analyse approfondie.
Le consentement : un enjeu qui dépasse la technique
Avant de comparer des fonctionnalités, posons la question essentielle : à quoi sert une CMP ?
Pas seulement à afficher un bandeau. Une CMP doit :
- Informer l’utilisateur de manière claire et complète
- Recueillir un consentement libre, spécifique et éclairé
- Bloquer tout script tiers avant consentement explicite
- Prouver que le consentement a été obtenu conformément à la loi
La CNIL rappelle que “chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve” (source : CNIL - FAQ cookies). C’est sur ce quatrième point que Tarteaucitron et Cookilio divergent fondamentalement.
Tarteaucitron : le choix de la communauté
Les forces de Tarteaucitron
Tarteaucitron est un projet remarquable. Il a démocratisé la gestion des cookies en France bien avant que la CNIL ne durcisse ses recommandations. Ses atouts sont réels :
- Gratuit et open source : le code est sur GitHub, auditable par tous
- Large catalogue de services : plus de 100 services préconfigurés dans la version open source, et jusqu’à 225 dans la version Pro (source : tarteaucitron.io)
- Communauté active : contributions régulières, documentation fournie par la communauté
- Léger : le script client-side est performant et rapide à charger
- Pas de dépendance à un tiers : le code tourne directement sur votre site
- Version Pro disponible : à 190 EUR HT/an, elle ajoute un plugin WordPress, des statistiques et le support (source : tarteaucitron.io/pricing)
Les limites de Tarteaucitron
Mais Tarteaucitron a des limites structurelles qu’il est important de connaître :
- Pas de preuve de consentement server-side : le consentement est stocké dans un cookie ou dans le localStorage du navigateur de l’utilisateur. Si l’utilisateur supprime ses cookies, la preuve disparaît. En cas de contrôle CNIL, vous n’avez aucun enregistrement côté serveur.
- 100 % client-side : toute la logique tourne dans le navigateur. Pas de backend, pas de base de données, pas de registre centralisé.
- Pas de dashboard analytics : pas de visibilité sur les taux de consentement, les choix des utilisateurs ou l’évolution dans le temps.
- Intégration technique : la mise en place requiert des compétences en développement web. Il faut modifier le code source du site, configurer chaque service en JavaScript.
- Pas de support commercial (version open source) : en cas de problème, vous dépendez de la communauté GitHub et des forums.
Cookilio : la preuve avant tout
L’approche Cookilio
Cookilio part d’une conviction : la vie privée est un droit, et le consentement est un engagement à tenir. Cela se traduit par des choix techniques précis :
- Preuve de consentement server-side : chaque consentement est enregistré dans votre propre base de données avec un identifiant de corrélation unique (correlation ID), un horodatage et le détail des choix par vendor.
- Widget Preact ultra-léger : le widget client est construit en Preact, un framework de 3 Ko, pour un impact minimal sur les performances de votre site.
- Bannière multi-étapes (wizard) : l’utilisateur est guidé étape par étape à travers ses choix, pas confronté à un mur de texte.
- Blocage granulaire des scripts : chaque vendor dispose de scripts d’approbation et de rejet spécifiques. Aucun script tiers ne s’exécute avant le consentement explicite.
- Auto-hébergé : les données restent sur vos serveurs. Souveraineté totale.
- Personnalisation complète : 8 couleurs, position de la bannière, logo, délais d’affichage.
- Support et installation : DPLIANCE accompagne l’installation (250 EUR HT, frais uniques) et assure le support.
Tableau comparatif détaillé
| Critère | Cookilio | Tarteaucitron (open source) | Tarteaucitron Pro |
|---|---|---|---|
| Prix | 9 EUR HT/mois + 250 EUR HT installation | Gratuit | 190 EUR HT/an |
| Preuve de consentement | Server-side, correlation IDs, sur vos serveurs | Client-side uniquement (cookie/localStorage) | Client-side uniquement |
| Stockage du consentement | Base de données MariaDB (vos serveurs) | Navigateur de l’utilisateur | Navigateur de l’utilisateur |
| Bannière | Wizard multi-étapes | Bandeau classique | Bandeau classique |
| Services préconfigurés | Non (configuration manuelle) | 100+ services | 225+ services |
| Blocage des scripts | Par vendor, scripts d’approbation/rejet | Par service, blocage client-side | Par service, blocage client-side |
| Dashboard analytics | Interface admin Angular | Non | Statistiques d’activation |
| Plugin WordPress | Non | Non (intégration manuelle) | Oui |
| Multi-langue | UI français, textes personnalisables | Oui (communauté) | Oui |
| Support | Inclus (DPLIANCE) | Communauté GitHub | Support commercial |
| Compétences requises | Faibles (installation accompagnée) | Élevées (intégration JavaScript) | Modérées |
| Souveraineté des données | Totale (vos serveurs) | Totale (client-side) | Totale (client-side) |
| Stack technique | Preact + NestJS + MariaDB + Angular | JavaScript vanilla | JavaScript vanilla |
| Open source | Non | Oui | Non |
La preuve server-side : pourquoi c’est décisif
C’est le coeur du sujet. Détaillons.
Le problème du client-side
Avec Tarteaucitron, le consentement est stocké dans un cookie ou dans le localStorage du navigateur. Concrètement, cela signifie :
- Si l’utilisateur supprime ses cookies (ce que font régulièrement les utilisateurs soucieux de leur vie privée), la preuve disparaît
- Si l’utilisateur change de navigateur, la preuve n’existe pas sur le nouveau navigateur
- En navigation privée, la preuve est perdue à la fermeture de la fenêtre
- Vous n’avez aucun registre centralisé des consentements recueillis
- En cas de contrôle CNIL, vous ne pouvez pas produire de preuve formelle
La solution server-side de Cookilio
Avec Cookilio, chaque interaction de consentement est enregistrée côté serveur :
- Un correlation ID unique lie chaque preuve à une session utilisateur
- L’enregistrement est immuable dans votre base de données MariaDB
- Vous disposez d’un historique complet des consentements via l’interface d’administration Angular
- En cas de contrôle, vous pouvez exporter les preuves directement depuis votre infrastructure
Cette différence n’est pas théorique. La CNIL a sanctionné 21 organisations en 2025 pour des manquements liés aux traceurs (source : bilan CNIL 2025). Pouvoir produire une preuve solide est votre meilleure protection.
Intégration et mise en place
Tarteaucitron : pour les développeurs
L’installation de Tarteaucitron en version open source requiert :
- L’ajout du script sur votre site
- La configuration de chaque service en JavaScript
- La modification du code source pour remplacer les balises de scripts tiers par les appels Tarteaucitron
- Des tests manuels pour vérifier que chaque service est correctement bloqué/débloqué
C’est faisable, mais cela demande un développeur à l’aise avec JavaScript et une bonne compréhension du fonctionnement des traceurs.
Cookilio : installation accompagnée
L’installation de Cookilio est prise en charge par DPLIANCE :
- Configuration des vendors dans l’interface d’administration
- Intégration du widget Preact sur votre site (un script à ajouter)
- Configuration des scripts d’approbation et de rejet pour chaque vendor
- Tests et validation
Les frais d’installation (250 EUR HT) couvrent cet accompagnement. Vous n’avez pas besoin d’être développeur pour gérer vos vendors au quotidien.
Le coût réel : gratuit n’est pas toujours gratuit
Tarteaucitron est gratuit. Mais le coût réel inclut :
- Le temps développeur pour l’intégration initiale (comptez plusieurs heures à plusieurs jours selon la complexité du site)
- La maintenance : mises à jour, ajout de nouveaux services, résolution de bugs
- Le risque juridique : absence de preuve server-side en cas de contrôle
- L’absence de support : en cas de problème critique, vous êtes seul
Cookilio coûte 9 EUR HT/mois + 250 EUR HT d’installation. Sur la première année, cela représente 358 EUR HT. À partir de la deuxième année, 108 EUR HT. En contrepartie, vous avez une preuve de consentement solide, un support et une installation accompagnée.
La version Pro de Tarteaucitron à 190 EUR HT/an comble certaines lacunes (plugin WordPress, statistiques, support) mais ne résout pas le problème fondamental : l’absence de preuve server-side.
À qui s’adresse chaque solution ?
Choisissez Tarteaucitron si :
- Vous avez un développeur capable de gérer l’intégration et la maintenance
- Vous n’avez pas de contrainte forte sur la preuve de consentement
- Le budget est votre critère principal
- Vous valorisez l’open source et l’indépendance technique totale
- Votre site est simple avec peu de services tiers
Choisissez Cookilio si :
- La preuve de consentement server-side est une priorité (contrôle CNIL, secteur réglementé)
- Vous préférez une installation accompagnée et un support réactif
- La souveraineté des données sur vos propres serveurs est non négociable
- Vous voulez une bannière wizard multi-étapes, pas un simple bandeau
- Vous n’avez pas de développeur dédié à la gestion des cookies
FAQ
Tarteaucitron est-il suffisant pour être conforme au RGPD ?
Tarteaucitron permet de bloquer les scripts avant consentement et d’informer l’utilisateur, ce qui couvre une partie des obligations. Cependant, l’absence de preuve de consentement server-side est une faiblesse. La CNIL exige que chaque acteur puisse prouver le consentement obtenu. Un cookie côté client, suppressible par l’utilisateur, peut ne pas constituer une preuve suffisante lors d’un contrôle.
Cookilio est-il open source ?
Non. Cookilio est un logiciel édité par DPLIANCE. En revanche, il est auto-hébergé : vous déployez la solution sur votre propre infrastructure, ce qui vous donne un contrôle total sur vos données de consentement, contrairement à un SaaS hébergé chez un tiers.
Le widget Cookilio est-il aussi léger que Tarteaucitron ?
Le widget Cookilio est construit en Preact (environ 3 Ko), ce qui en fait l’un des widgets CMP les plus légers du marché. Tarteaucitron est également léger. Les deux solutions ont un impact minimal sur les performances et les Core Web Vitals.
Puis-je utiliser Tarteaucitron et ajouter ma propre preuve server-side ?
Techniquement, c’est possible : vous pourriez développer un système qui enregistre les choix de consentement côté serveur en complément de Tarteaucitron. Mais cela représente un développement significatif (API, base de données, corrélation des sessions). Cookilio intègre cette fonctionnalité nativement.
Combien de services Tarteaucitron supporte-t-il nativement ?
La version open source supporte plus de 100 services préconfigurés (Google Analytics, YouTube, Facebook, Twitter, etc.). La version Pro en propose plus de 225. Cookilio n’a pas de librairie préconfigurée : chaque vendor est configuré manuellement, ce qui offre plus de contrôle mais demande un travail de configuration initial.
La conformité RGPD ne se limite pas à afficher un bandeau. Elle exige de pouvoir prouver que le consentement a été recueilli correctement. C’est sur cette exigence que Cookilio fait la différence.
Découvrir Cookilio — la CMP souveraine avec preuve de consentement intégrée.