Consent Mode & CMP — Conformité RGPD sans sacrifier la data
Mise en place du Consent Mode v2 et de votre CMP (Axeptio, Didomi, Cookiebot) pour une conformité RGPD complète sans perdre vos données analytics.
Obligations légales : RGPD et ePrivacy
Le cadre réglementaire est clair : la directive ePrivacy impose le recueil du consentement avant tout dépôt de cookie non essentiel, et le RGPD encadre le traitement des données personnelles. La CNIL a renforcé ses exigences avec ses lignes directrices de 2020 et ses recommandations de 2022. Continuer à poser des cookies publicitaires sans consentement explicite expose à des sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.
En pratique, cela signifie que votre bandeau de consentement doit offrir un choix réel (pas de design trompeur), conserver la preuve du consentement, et bloquer effectivement les tags avant acceptation. La granularité par finalité (analytics, publicité, personnalisation) est requise. Trop de sites affichent un bandeau qui ne bloque rien en réalité, ce qui constitue une non-conformité flagrante facilement détectable par un audit CNIL.
Consent Mode v2 : basic et advanced
Le Consent Mode de Google permet de communiquer l’état du consentement à ses tags (GA4, Google Ads, Floodlight). En mode basic, les tags Google ne se chargent pas du tout tant que l’utilisateur n’a pas consenti. En mode advanced, les tags se chargent avec des pings anonymisés (sans cookies) qui permettent à Google de modéliser les conversions manquantes. Depuis mars 2024, le Consent Mode v2 est obligatoire pour continuer à utiliser les audiences et le remarketing dans l’Espace Économique Européen.
La configuration implique de mapper les signaux de votre CMP (acceptation, refus, par finalité) vers les paramètres Consent Mode (ad_storage, analytics_storage, ad_user_data, ad_personalization). Ce mapping doit être précis : une erreur envoie des signaux contradictoires à Google et fausse la modélisation. On teste systématiquement chaque scénario (accepter tout, refuser tout, accepter analytics seul) pour vérifier que les signaux émis correspondent au choix réel.
Choix et configuration de la CMP
Le choix de la CMP dépend de votre contexte : Axeptio pour une intégration élégante et un bon support français, Didomi pour les organisations multi-sites avec des besoins de gouvernance, Cookiebot pour un scan automatique des cookies avec un bon rapport qualité-prix. Chaque solution a ses spécificités techniques d’intégration avec GTM.
La configuration va au-delà de l’apparence du bandeau. On paramètre la catégorisation des cookies, le comportement par défaut (opt-in strict en Europe), la durée de conservation du consentement, les callbacks JavaScript qui alimentent le data layer GTM. Un audit post-implémentation vérifie que chaque tag respecte bien le choix de l’utilisateur, en utilisant les outils de debug GTM et des outils tiers comme CookieBot Scanner ou OneTrust Cookie Compliance.