Consent Mode v2 et RGPD : comment assurer la conformité de votre site ?

Depuis l'entrée en vigueur du Digital Markets Act (DMA) le 7 mars 2024, le Google Consent Mode v2 est une obligation légale pour tous les annonceurs européens utilisant les services publicitaires de Google. Mais être "conforme Consent Mode v2" ne signifie pas automatiquement être conforme au RGPD — les deux notions répondent à des exigences différentes.

RGPD et Consent Mode v2 : quelle relation ?

Le RGPD

Le Règlement Général sur la Protection des Données (RGPD/GDPR) encadre le traitement des données personnelles en Europe. Pour les cookies publicitaires et analytiques, il impose un consentement libre, éclairé, spécifique et univoque avant tout dépôt de cookie, la possibilité de refuser aussi facilement qu'accepter, et l'absence de dark patterns.

Le Digital Markets Act (DMA)

Le DMA s'applique spécifiquement aux grandes plateformes désignées comme "gatekeepers" (dont Google). Il impose de recueillir le consentement explicite des utilisateurs européens avant de combiner leurs données entre différents services Google.

Les obligations concrètes pour votre site

1. Utiliser une CMP certifiée Google

Google maintient une liste de CMP partenaires certifiées pour le Consent Mode. Ces partenaires ont été validés pour l'intégration correcte des signaux de consentement. Parmi elles : Sirdata, Axeptio, Didomi, OneTrust, Cookiebot, Usercentrics…

2. Configurer les valeurs par défaut à denied

Conformément au RGPD, aucun cookie ne doit être déposé avant le consentement. Vos valeurs par défaut doivent être denied pour tous les paramètres :

gtag('consent', 'default', {
  'ad_storage': 'denied',
  'analytics_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied'
});

3. Mettre à jour les signaux après le choix de l'utilisateur

// Exemple : acceptation totale
gtag('consent', 'update', {
  'ad_storage': 'granted',
  'analytics_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted'
});

Comment vérifier la conformité de votre implémentation ?

Pour réaliser cet audit, utilisez [GCS GCD Decode by Sirdata](/) : ouvrez votre site en navigation privée, copiez les paramètres gcs et gcd depuis les requêtes réseau, et décodez-les pour vérifier que les valeurs correspondent au scénario en cours.

Les principales erreurs de conformité à éviter

❌ Erreur 1 : Valeurs par défaut à granted

C'est la violation la plus grave. Elle signifie que des cookies sont déposés avant tout consentement. Signal d'alarme : GCS = G111 dès la première requête, avant toute interaction avec la bannière.

❌ Erreur 2 : Absence de mise à jour après le choix

Votre CMP affiche la bannière et enregistre le refus, mais n'exécute pas la commande gtag('consent', 'update', {...}). Les tags continuent à fonctionner selon les valeurs par défaut. Signal d'alarme : GCS reste G100 même après acceptation.

❌ Erreur 3 : Ne pas inclure ad_user_data et ad_personalization

Le Consent Mode v2 exige les 4 paramètres. Une implémentation qui ne gère que ad_storage et analytics_storage est incomplète et ne satisfait pas aux exigences du DMA.

Checklist de conformité Consent Mode v2 + RGPD

• Une CMP est en place sur votre site
• La CMP est conforme au référentiel CNIL / IAB TCF v2.2
• La CMP supporte le Consent Mode v2 avec les 4 paramètres
• Les valeurs par défaut sont configurées à denied pour tous les paramètres
• La commande consent default est exécutée avant le chargement des tags Google
• La commande consent update est exécutée par la CMP après le choix de l'utilisateur
• Le GCS observé en navigation privée (avant choix) est G100 (et non G111)
• Le GCS observé après acceptation est G111
• Le GCS observé après refus est G100
• Les 4 paramètres sont présents et corrects dans le GCD décodé