Comprendre les cookies et traceurs Facebook et leur fonctionnement

Qu’est-ce que Facebook / Meta Pixel ?

Facebook (désormais Meta) propose des services publicitaires et analytiques permettant :

• la mesure des conversions

• le suivi des interactions entre les sites web et Facebook

• le ciblage publicitaire personnalisé (retargeting)

• l’optimisation des campagnes Meta Ads

Pour cela, Facebook dépose des cookies et identifiants permettant de reconnaître un utilisateur, mesurer son activité en ligne et construire un profil publicitaire cross-site.

Ces cookies impliquent un traitement de données personnelles, notamment lorsqu’ils permettent d’identifier un utilisateur Facebook connecté, ou de suivre l’activité web à des fins publicitaires.

Le consentement préalable est donc obligatoire avant activation du Pixel Meta ou dépôt des cookies associés.

Liste des cookies web déposés par Facebook

• _fbc

  

  Utilisé pour suivre les clics sur les publicités Facebook et déterminer la source des campagnes publicitaires.

  Consentement requis : Oui

• _fbp

  

  Utilisé pour suivre l’activité des utilisateurs à travers différents sites pour améliorer la publicité et l’analyse.

  Consentement requis : Oui

• c_user

  

  Authentification et maintien de la connexion pour une navigation fluide entre différentes pages et applications Facebook.

  Consentement requis : Oui

• csrf

  

  Protection contre la falsification de requête intersite (CSRF).

  Consentement requis : Oui

• datr

  

  Sécurité du compte et prévention contre la fraude et les cyberattaques, y compris les attaques par déni de service.

  Consentement requis : Oui

• dbln

  

  Sécurité du compte et prévention contre les activités malveillantes sur la plateforme.

  Consentement requis : Oui

• fr

  

  Utilisé pour diffuser, mesurer et améliorer la pertinence des publicités sur Facebook.

  Consentement requis : Oui

• oo

  

  Désactivation des publicités basées sur les activités de l’utilisateur sur des sites tiers.

  Consentement requis : Oui

• presence

  

  Support des fenêtres de discussion Messenger et autres interactions en temps réel sur Facebook.

  Consentement requis : Oui

• sb

  

  Sécurité et protection contre les accès non autorisés aux comptes Facebook.

  Consentement requis : Oui

• xs

  

  Authentification et maintien de la connexion pour améliorer l’expérience utilisateur sur les produits Meta.

  Consentement requis : Oui

Rappel des obligations de conformité RGPD

Lorsqu’un site utilise Facebook / Meta Pixel, il doit :

• afficher une bannière de consentement conforme avant chargement du pixel

• permettre l’acceptation et le refus aussi simples l’un que l’autre

• ne pas déclencher le pixel avant consentement

• documenter la preuve du consentement

• informer clairement des finalités :

Les sanctions envers Meta pour manquement au RGPD

Facebook/Meta a été à plusieurs reprises épinglé en Europe au sujet du consentement pour la publicité comportementale, de la transparence et des transferts de données vers les États-Unis :

• Absence de base légale valable pour la pub comportementale : en janvier 2023, l’autorité irlandaise (DPC) a infligé 390 M€ à Meta (Facebook + Instagram), après des décisions contraignantes de l’EDPB (European Data Protection Board) confirmant que le « contrat » n’était pas une base légale adaptée au ciblage publicitaire.

• Transferts de données vers les États-Unis : en mai 2023, Meta a été sanctionné 1,2 Md€ et sommée de cesser les transferts non conformes (Chapitre V RGPD), à la suite d’une décision contraignante de l’EDPB et de la décision finale du DPC.

• Mise en conformité en cours et critiques sur le “pay-or-consent” : Meta a annoncé en 2024 un abonnement “sans pub” en Europe et des options « moins personnalisées », mais des organisations de consommateurs (BEUC) estiment en 2025 que le dispositif reste problématique au regard du RGPD/DMA.

• Actions nationales (France) : la CNIL avait déjà sanctionné Facebook (cookies/consentement) fin 2021, rappelant l’exigence d’un refus aussi simple que l’acceptation pour les traceurs publicitaires.

 

Conséquence pratique pour les éditeurs de sites

ces antécédents confirment la nécessité de ne jamais déposer les cookies/traceurs Meta (ex. _fbp, _fbc, fr) ni appeler le Pixel/Facebook SDK avant un consentement préalable, libre, spécifique et éclairé.

Tant que l’utilisateur n’a pas cliqué « Accepter » pour la finalité « Publicité/Reciblage », bloquez les scripts et documentez la preuve du consentement (CMP).