Google Consent Mode v2 et RGPD en 2026 : guide d'implémentation

Si vous utilisez Google Ads, Google Analytics 4 ou le suivi de conversions, vous avez probablement reçu des alertes vous demandant d'activer le Consent Mode v2. Depuis mars 2024, Google l'impose pour continuer à mesurer les conversions et à diffuser des annonces personnalisées dans l'Espace économique européen. Ce guide explique ce qu'est le Consent Mode, comment il s'articule avec le RGPD et votre bannière cookie, et comment le mettre en place sans erreur.

Qu'est-ce que le Consent Mode v2

Le Consent Mode (mode consentement) est un mécanisme qui permet à vos balises Google d'adapter leur comportement selon le choix de consentement de l'internaute. Concrètement, votre bannière cookie communique l'état du consentement à Google via des signaux. Google ajuste alors ce qu'il collecte.

La version 2, obligatoire depuis 2024, ajoute deux nouveaux signaux liés à la publicité :

• ad_storage : stockage lié à la publicité (cookies publicitaires)
• analytics_storage : stockage lié à la mesure d'audience (cookies analytics)
• ad_user_data : autorisation d'envoyer des données utilisateur à Google à des fins publicitaires (nouveau en v2)
• ad_personalization : autorisation d'utiliser les données pour la publicité personnalisée et le remarketing (nouveau en v2)

Sans Consent Mode v2 correctement configuré, Google cesse progressivement de remplir vos audiences de remarketing et dégrade la mesure des conversions pour les utilisateurs européens.

Pourquoi Google l'impose : le lien avec le RGPD et le DMA

Le Consent Mode v2 n'est pas qu'une exigence technique de Google. Il répond à deux obligations légales :

• Le RGPD et la directive ePrivacy : tout cookie non strictement nécessaire (analytics, publicité) exige un consentement préalable, libre et éclairé avant dépôt. C'est exactement ce que la CNIL sanctionne le plus souvent.
• Le Digital Markets Act (DMA) : il oblige les grandes plateformes comme Google à obtenir une base légale claire pour traiter les données des Européens.

Autrement dit, Google reporte sur vous, annonceur, la responsabilité de recueillir un consentement valable. Le Consent Mode est le tuyau par lequel ce consentement remonte. Pour comprendre le cadre général du consentement, voyez notre guide de la bannière cookie conforme.

Mode basique ou mode avancé : la distinction clé

Il existe deux façons d'implémenter le Consent Mode, et le choix a des conséquences sur la conformité.

Mode basique (basic)

Les balises Google ne se chargent pas du tout tant que l'utilisateur n'a pas consenti. Aucun signal n'est envoyé avant le choix. C'est le mode le plus protecteur et le plus simple à justifier au regard du RGPD : rien ne part avant le consentement.

Inconvénient : vous perdez toute mesure pour les utilisateurs qui refusent, et la modélisation de conversion de Google est moins précise.

Mode avancé (advanced)

Les balises Google se chargent dès l'arrivée, mais en mode dégradé : tant que l'utilisateur n'a pas consenti, Google n'envoie que des pings sans cookie (données anonymes, agrégées). Si l'utilisateur accepte ensuite, le suivi complet s'active.

Ce mode offre une meilleure mesure grâce à la modélisation, mais il fait l'objet de débats : envoyer des pings (même sans cookie) avant le consentement peut être discuté au regard d'une lecture stricte de la CNIL. Le point rassurant est que ces pings ne déposent pas de cookie et ne contiennent pas d'identifiant ; ils ne relèvent donc pas de l'article 82 de la loi Informatique et Libertés qui vise le stockage sur le terminal.

Notre recommandation pour un freelance ou une PME prudente : le mode basique, ou le mode avancé uniquement si vous maîtrisez bien sa configuration et documentez votre analyse.

Mise en place pas à pas

Voici la marche à suivre avec Google Tag Manager (GTM), le cas le plus fréquent.

Étape 1 : définir l'état par défaut sur « refusé »

Avant tout chargement de balise, déclarez que tous les consentements sont refusés par défaut. C'est l'exigence RGPD fondamentale : pas de coche pré-cochée, refus par défaut.

gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
  wait_for_update: 500
});

Le paramètre wait_for_update laisse à votre bannière le temps de remonter le choix réel avant que les balises ne s'exécutent.

Étape 2 : mettre à jour selon le choix de l'utilisateur

Quand l'internaute clique « Accepter » (ou paramètre finement ses préférences), votre bannière envoie une mise à jour :

gtag('consent', 'update', {
  ad_storage: 'granted',
  analytics_storage: 'granted',
  ad_user_data: 'granted',
  ad_personalization: 'granted'
});

En cas de refus, ces valeurs restent à denied. Si l'utilisateur accepte seulement la mesure d'audience mais refuse la publicité, seul analytics_storage passe à granted.

Étape 3 : relier votre bannière (CMP)

Une CMP (Consent Management Platform) sérieuse gère ces signaux automatiquement. Votre bannière doit :

• bloquer les cookies non essentiels avant le choix ;
• proposer un refus aussi simple que l'acceptation (bouton « Tout refuser » au même niveau que « Tout accepter ») ;
• conserver une preuve de consentement horodatée ;
• permettre de retirer son consentement aussi facilement.

La bannière configurable de ConformeRGPD remonte nativement ces signaux et journalise chaque consentement. Voyez le détail technique dans notre guide de la bannière cookie.

Les erreurs fréquentes à éviter

• Activer le Consent Mode sans vraie bannière : envoyer granted par défaut sans recueillir de consentement est non conforme et expose à une sanction. Le Consent Mode ne remplace pas la bannière, il la prolonge.
• Cookies déposés avant le choix : si Google Analytics ou le pixel se déclenche avant le clic, le Consent Mode est court-circuité. Vérifiez avec un scanner gratuit qu'aucun cookie tiers n'est posé avant consentement.
• Bouton refuser caché ou en second plan : la CNIL exige une symétrie acceptation / refus. Un « Tout refuser » moins visible est sanctionnable.
• Oublier les deux nouveaux signaux v2 (ad_user_data, ad_personalization) : sans eux, vos campagnes Ads et le remarketing se dégradent.

Faut-il forcément utiliser le Consent Mode ?

Non. Le Consent Mode est nécessaire si vous utilisez l'écosystème publicitaire et analytics de Google et voulez en conserver la mesure. Si vous avez fait le choix d'une mesure d'audience sans cookie (Plausible, Matomo en mode exempté, Vercel Analytics), vous n'avez pas besoin du Consent Mode — et vous évitez même la bannière pour la partie analytics. C'est une option de plus en plus retenue par les sites soucieux de simplicité et de respect de la vie privée. Comparez les approches dans notre article sur Google Analytics et le RGPD.

Conclusion

Le Consent Mode v2 est devenu incontournable pour tout annonceur utilisant Google dans l'Union européenne. Bien implémenté, il concilie mesure marketing et respect du RGPD : refus par défaut, signaux pilotés par une vraie bannière, preuve de consentement conservée. Mal implémenté — ou utilisé comme prétexte pour déposer des cookies sans consentement — il expose aux mêmes sanctions que n'importe quel cookie non conforme.

Avant de toucher à votre configuration Google, assurez-vous que la base est saine : aucun cookie tiers avant le choix, une bannière symétrique, une politique de confidentialité à jour. Scannez votre site gratuitement pour vérifier l'ordre de chargement de vos balises.