Un tribunal allemand dit que GTM necessite le consentement

Le tribunal de Hanovre juge que le chargement de GTM transmet des donnees a Google et requiert le consentement RGPD. Implications pratiques.

La decision du tribunal de Hanovre

Le tribunal administratif de Hanovre a rendu une decision qui concerne directement toutes les entreprises europeennes utilisant Google Tag Manager. Le raisonnement est simple : lorsqu’un navigateur charge le fichier gtm.js depuis les serveurs de Google, il transmet automatiquement l’adresse IP de l’utilisateur, son user-agent et d’autres metadonnees techniques. Ce transfert de donnees personnelles vers Google se produit avant meme qu’un seul tag ne s’execute.

Le tribunal en conclut que ce chargement initial constitue un traitement de donnees personnelles au sens du RGPD et necessite donc le consentement prealable de l’utilisateur.

Une idee recue veut que Consent Mode protege contre ce type de probleme. C’est inexact. Consent Mode controle le comportement des tags qui s’executent dans le conteneur GTM. Il peut bloquer les cookies, limiter les donnees envoyees ou activer la modelisation. Mais il n’empeche pas le chargement initial du script gtm.js lui-meme.

Autrement dit, meme avec Consent Mode correctement configure, le navigateur envoie une requete HTTP aux serveurs de Google pour telecharger le fichier JavaScript. Cette requete contient l’adresse IP et les en-tetes du navigateur. Le traitement de donnees a lieu avant que Consent Mode n’entre en jeu.

L’implementation conforme

La solution technique est claire, meme si elle implique une refonte de l’ordre de chargement de vos scripts. Le principe : la CMP (plateforme de gestion du consentement) doit se charger en premier, sans aucune dependance a GTM. Le script GTM n’est injecte dans la page qu’apres que l’utilisateur a donne son consentement.

En pratique, cela signifie que le snippet GTM ne doit plus figurer dans le <head> de votre page HTML de maniere inconditionnelle. Il doit etre charge dynamiquement par la CMP, uniquement apres collecte du consentement. La plupart des CMP du marche (Cookiebot, OneTrust, Didomi, Axeptio) proposent cette fonctionnalite, mais elle n’est pas toujours activee par defaut.

Pour une implementation conforme de votre CMP, il est essentiel de tester le flux complet : verifier qu’aucune requete vers googletagmanager.com ne part avant le consentement.

Impact sur les implementations existantes

La grande majorite des sites europeens chargent GTM de maniere inconditionnelle. Le snippet standard fourni par Google s’execute des le chargement de la page, avant toute interaction utilisateur. Toutes ces implementations sont potentiellement non conformes a la lecture du tribunal de Hanovre.

Les consequences pratiques dependent de la juridiction. La decision allemande n’a pas de portee contraignante en France, mais elle cree un precedent que la CNIL ou d’autres autorites pourraient suivre. Les entreprises soumises au RGPD ont interet a anticiper.

Les alternatives a considerer

Le server-side GTM offre une solution elegante : le script est servi depuis votre propre domaine, sans requete vers Google cote client. Les donnees transitent par votre serveur avant d’etre relayees. Cette architecture elimine le probleme identifie par le tribunal, puisque le navigateur ne communique jamais directement avec les serveurs de Google.

Besoin d'aide sur ce sujet ?

Je peux vous accompagner sur la mise en place ou l'optimisation de votre tracking.

Prendre rendez-vous