Est-ce que document.cookie répertorie tous les cookies ?

Non. Les cookies HttpOnly restent côté serveur du point de vue de JavaScript. Les développeurs ne voient que les cookies intentionnellement lisibles par script, limités au chemin d'accès effectif et aux règles SameSite du contexte de navigation actuel.

Qu'est-ce qu'un test de cookies de première partie prouve ?

Il prouve que cette origine peut définir, lire et supprimer un cookie Lax à courte durée de vie — un prérequis pratique pour les flux de connexion, les paniers et les outils de mesure. Cela ne prouve pas que les annonceurs tiers peuvent toujours vous cibler d'un site à l'autre.

Pourquoi le localStorage échouerait-il alors que les cookies fonctionnent ?

Le mode de navigation privée, les politiques informatiques ou le partitionnement peuvent renvoyer une erreur SecurityError pour les API de stockage tout en acceptant des cookies limités. Traisez chaque API comme un accès indépendant lors du débogage d'applications monopages (SPA) défectueuses.

Le Global Privacy Control est-il juridiquement contraignant ?

Le GPC transmet une préférence de refus (opt-out) là où les réglementations et la jurisprudence reconnaissent les signaux automatisés. La conformité opérationnelle dépend toujours du champ d'application juridictionnel, des contrats et de l'interprétation de l'éditeur — et non d'un simple booléen en JavaScript.

10 juin 2026 · 7 min de lecture

Vérificateur de cookies et de suivi — Ce que votre navigateur expose (2026)

Comprenez les tests de cookies de première partie (first-party), les angles morts de HttpOnly, les échecs du stockage Web, le Global Privacy Control, et pourquoi les pages isolées ne peuvent pas auditer tous les traceurs.

Une « vérification des cookies » moderne n'est pas un simple bouton à bascule dans les Paramètres — il s'agit d'une pile complexe de cookies synchrones, de stockage DOM, de bases de données structurées, de quotas et de signaux de confidentialité sortants. Les consommateurs veulent savoir si le suivi est « désactivé », mais les ingénieurs ont besoin de réponses précises : Le navigateur a-t-il renvoyé une erreur sur localStorage.setItem ? Est-ce que navigator.cookieEnabled contredit le test d'écriture ? Est-ce que le Global Privacy Control signale un refus (opt-out) ?

Cet article explique ce qu'un diagnostic en ligne responsable peut révéler dans le navigateur en 2026, ce qu'il ne doit pas prétendre, et comment associer notre outil de statut de cookie / suivi à des vérifications adjacentes (détection du navigateur, examen de l'UA, contexte DNS) lorsque des signalements parviennent aux équipes de support.

Qu'est-ce que JavaScript peut légalement « voir » concernant les cookies ?

document.cookie renvoie une liste de paires nom=valeur séparées par des points-virgules que le document actuel est autorisé à lire. Sont immédiatement exclus les indicateurs HttpOnly, les cookies Secure sur des protocoles incorrects, les cookies hors origine, et les cookies tiers partitionnés résidant dans des compartiments de stockage séparés. La politique de prévention intelligente du suivi (ITP) de Safari, le calendrier d'abandon des cookies tiers par Chrome et la protection renforcée contre le suivi de Firefox influencent tous les cookies qui s'affichent après des événements de navigation.

Surface	Observable depuis un script ?	Mode de défaillance typique
Session de même site `SameSite=Lax`	Oui (si non HttpOnly)	Bloqueurs de contenu, politique d'entreprise
Jeton de rafraîchissement d'authentification (HttpOnly)	Non — par conception	Réduction du rayon d'action des failles XSS
Cookie d'iframe de paiement intégrée	Possible après invite Storage Access	Geste de l'utilisateur + règles intersites
Balise publicitaire dans iframe tierce	Nécessite un cadre partenaire + politiques	Stockage partitionné, cookie tiers bloqué

Comment se comporte le test de première partie (first-party)

Le diagnostic génère un jeton aléatoire, écrit path=/ avec SameSite=Lax, vérifie que document.cookie contient le jeton, puis applique un Max-Age à zéro. Si l'une de ces étapes échoue — ce qui est fréquent avec les profils sécurisés — l'interface utilisateur signale un blocage strict afin que l'assurance qualité puisse corréler les configurations d'extensions sans supposer que navigator.cookieEnabled fait foi.

document.cookie = `${token}=1; path=/; SameSite=Lax; Max-Age=60`;
const ok = document.cookie.split(";").some((pair) => pair.trim().startsWith(`${token}=`));
document.cookie = `${token}=; path=/; SameSite=Lax; Max-Age=0`;

Comparez cela au blanchiment de confidentialité (privacy washing) : un site qui prétend « n'utiliser que des cookies essentiels » tout en chargeant vingt pixels de marketing tiers échouera toujours à l'examen de conformité, même si l'extrait de code ci-dessus s'exécute avec succès.

Le stockage Web n'est pas un clone des cookies

localStorage et sessionStorage renvoient des erreurs lorsque les modes de navigation privée restreignent la persistance, lorsque le quota est dépassé, ou lorsque l'accès au stockage est partitionné pour les iframes sans interaction de l'utilisateur. IndexedDB gère les ensembles de données hors ligne structurés ; l'API Cache stocke les ressources des service workers. Vérifier la disponibilité de ces API sous forme de booléen vous indique si le démarrage d'une application monopage (SPA) peut charger les drapeaux de fonctionnalités côté client — ce qui est distinct du chargement effectif des balises de marketing.

navigator.storage.estimate() affiche la consommation par rapport au quota lorsque cela est autorisé, aidant ainsi à diagnostiquer les cas de « PWA soudainement en lecture seule » lorsque les outils de sauvegarde du système d'exploitation remplissent le disque de profil.

Signaux au-delà du stockage : DNT et GPC

navigator.doNotTrack reste lisible pour les tableaux de bord historiques, mais modifie rarement le comportement des enchères publicitaires. Le Global Privacy Control — lorsque navigator.globalPrivacyControl === true — communique une position de refus (opt-out) que certains frameworks associent aux interdictions réglementaires de vente/partage des données. Afficher ces deux indicateurs permet de sensibiliser les responsables de la conformité, sans pour autant prétendre que l'un ou l'autre remplace une plateforme de gestion du consentement (CMP).

Les vérifications de la Storage Access API sont plus importantes pour les flux intégrés : document.hasStorageAccess() indique si l'iframe actuelle a reçu un accès délégué — ce qui est moins pertinent sur une page éditoriale de premier niveau mais critique pour reproduire des dysfonctionnements sur les fenêtres contextuelles Apple Pay ou OIDC.

Pourquoi ce n'est pas un CMP ou une liste de traceurs

Les plateformes de gestion du consentement (CMP) classent les fournisseurs, les bases légales, les textes des bannières et les sélecteurs précis. Notre outil ne stocke jamais les chaînes du Cadre de transparence et de consentement de l'IAB — il répond uniquement à des questions d'infrastructure : « Ce navigateur peut-il conserver un état de première partie à l'aide des API standards en ce moment même ? ». Associez cette vérification aux panneaux réseau du navigateur, aux gestionnaires de balises et aux requêtes /dns lorsque vous traquez des appels intersites.

Conseils opérationnels pour les équipes de support

Demandez aux utilisateurs d'exécuter le diagnostic dans une fenêtre de navigation privée sans extension, puis avec leur profil d'entreprise. La comparaison des résultats permet d'isoler les règles réseau des conflits d'extensions. Associez ces données à Quel est mon navigateur et Quel est mon User Agent avant d'ouvrir un ticket auprès des fournisseurs d'identité.

Ouvrez Quel est le statut de mes cookies / de mon suivi ? pour accéder au tableau en direct résumant le résultat du test, le nombre de cookies visibles par script, la santé des API de stockage, les estimations de quotas, les indices de Storage Access et la visibilité de DNT/GPC — aucune donnée n'est téléversée au-delà des analyses normales du site décrites dans notre Politique de confidentialité.