Audit conformité Consent : alignement technique et juridique, préparation CNIL

Audit conformité Consent Mode et CMP : alignement technique/juridique, LIA, registre des traitements, préparation contrôle CNIL. Forfait 1 800 € HT.

Par Ron Kopelman, consultant analytics freelance — mis à jour le 18 mai 2026

Un audit conformité consent vérifie que votre dispositif technique (CMP, GTM, tags, Consent Mode v2) et votre documentation juridique (LIA, registre des traitements, politique de confidentialité, DPA) racontent la même histoire. Dans 70 % des sites que j’audite, ils divergent : la doc juridique parle de cookies marketing chargés après consentement, mais le code en charge plusieurs avant ; le registre des traitements liste 3 finalités, mais GTM en pousse 12 ; la LIA s’appuie sur l’intérêt légitime alors que le code utilise le consentement. Un contrôle CNIL ou une plainte utilisateur révèle cet écart et déclenche une mise en demeure. Mon forfait audit conformité consent : 1 800 € HT pour ~3 jours, livré sous 2 semaines.

Quand cet audit est urgent

Quatre signaux qui imposent l’audit sans attendre.

Vous avez reçu une mise en demeure CNIL ou une plainte utilisateur. Délai d’intervention : sous 7 jours. La CNIL est patiente sur la qualité de la réponse mais pas sur le délai.

Un contrôle est planifié ou rumoré. Si votre secteur est sous focus CNIL (e-commerce premium, santé, médias) et qu’un contrôle est probable dans les 6 mois, anticipez.

Vous avez changé de CMP ou de Consent Mode récemment. Toute migration crée des risques de divergence entre doc et code.

Vous n’avez jamais audité votre dispositif consent. Si votre Consent Mode v2 a été déployé en 2024 et personne ne l’a relu depuis, l’audit est dû.

Le périmètre de l’audit

Volet technique (1,5 jour)

  • CMP : configuration des catégories, design de la bannière (refus aussi simple que l’acceptation, conformité CNIL 2024-2026), audit trail (historique des consentements)
  • GTM : tags qui se chargent avant consentement (toujours suspect), tags qui ne respectent pas le mapping CMP, Consent Mode v2 signaux (consent default posé en premier, consent update après action utilisateur)
  • Tags publicitaires : Meta Pixel, Google Ads, LinkedIn, TikTok, Pinterest — chacun doit être bloqué jusqu’à acceptation
  • Cookies : inventaire des cookies réellement posés, durée, finalité, comparaison avec la déclaration CMP

Volet juridique (1 jour)

  • LIA (Legitimate Interest Assessment) : présence, à jour, conforme aux lignes directrices CNIL
  • Registre des traitements : mention du traitement consent, finalités déclarées, durée de conservation
  • Politique de confidentialité : information utilisateur claire sur l’usage du Consent Mode (Basic ou Advanced), liste des destinataires des données, droits utilisateur
  • DPA (Data Processing Agreement) avec Google, Meta, LinkedIn, et les autres sous-traitants pubs

Alignement (0,5 jour)

Tableau de cohérence entre le déclaré juridiquement et le réel technique. Détection des écarts. Recommandations de mise à jour côté doc ou côté code.

Le livrable

Rapport PDF + Notion partagé contenant :

  • Inventaire des tags déclarés vs réels, avec écarts
  • Inventaire des cookies déclarés vs réels
  • Audit Consent Mode v2 (Basic ou Advanced, signaux, mapping)
  • Audit documentation juridique (LIA, registre, politique de confidentialité, DPA)
  • Liste des écarts classés par sévérité (critique / majeure / mineure)
  • Plan d’action priorisé avec corrections code et corrections doc séparées
  • Checklist préparation contrôle CNIL si applicable
  • Modèles de mise à jour LIA et registre si nécessaire

Cas concrets

E-commerce premium 5 M€ CA : audit suite à un changement de DPO. 14 écarts critiques détectés (4 tags publicitaires hors CMP, LIA non à jour, registre incohérent). Corrections en 5 jours, alignement validé.

Média avec abonnement : audit préventif suite à un contrôle CNIL chez un concurrent. 8 écarts majeurs détectés, mise à jour LIA + politique de confidentialité + corrections GTM. Préparation contrôle CNIL validée.

Institution publique formation continue : audit suite à une plainte utilisateur sur le respect du refus. 3 écarts critiques (cookies analytics qui se chargeaient malgré refus). Corrections en 2 jours, réponse au plaignant transmise dans les 30 jours.

Foire aux questions

Que se passe-t-il en cas de contrôle CNIL ?

La CNIL envoie un courrier listant les points à vérifier (généralement consent, durée de conservation, transferts internationaux). Délai de réponse : 30 jours typiquement, extensible sur demande motivée. Si votre audit conformité a été fait en amont, vous avez déjà tous les éléments — la réponse est rédigée en 2-3 jours.

Pouvez-vous représenter mon entreprise devant la CNIL ?

Non, je ne suis pas juriste. Pour les contentieux CNIL, je vous oriente vers un cabinet spécialisé. Je fournis les éléments techniques et les preuves de bon fonctionnement, le cabinet rédige la réponse juridique.

Et si l’audit révèle de gros écarts ?

C’est plutôt la règle que l’exception — 70 % des sites ont des écarts critiques. L’audit produit un plan d’action et je peux piloter les corrections en mission complémentaire (généralement 3-8 jours selon le volume).

À quelle fréquence faut-il faire cet audit ?

Tous les 12-18 mois, plus à chaque changement majeur (CMP, Consent Mode, refonte tracking, contrôle CNIL planifié, changement DPO).

← Retour à toutes les facettes du métier de consultant analytics

Un audit ou un setup à cadrer ?

Trente minutes en visio pour qualifier votre besoin et savoir si je suis le bon interlocuteur. Premier échange gratuit, sans engagement. Si je ne suis pas le bon, je vous oriente.

Réserver 30 minutes Voir les tarifs

Sans surprise : forfaits affichés en clair, devis validé avant kick-off, pas d'avenant.