Aller au contenu principal
IA & Data

Consent Mode v2 + CNIL en 1 clic : ce que le Data Analyst doit vraiment configurer dans GTM en 2026

FB

Fabien Bourgois

Expert Data & IA

1 mai 20267 min de lecture
Consent Mode v2 + CNIL en 1 clic : ce que le Data Analyst doit vraiment configurer dans GTM en 2026

Je vais d’abord chercher les sources les plus récentes et pertinentes avant de rédiger.J’ai toutes les sources nécessaires. Je rédige maintenant l’article.

Consent Mode v2 + CNIL en 2026 : ce que tu dois vraiment configurer dans GTM (et ce que tu crois avoir fait mais pas encore)

La plupart des sites francophones ont un bandeau cookies. Beaucoup ont même « activé le Consent Mode ». Mais entre cocher une case dans une CMP et avoir une implémentation qui ne biaise pas tes données GA4, il y a une distance que peu d’analysts ont vraiment mesurée.

Voici ce qu’il faut comprendre, configurer, et auditer en 2026.

Le contexte réglementaire en deux minutes chrono

Le Consent Mode v2 est sorti en novembre 2023 avec deux nouveaux paramètres de consentement et une distinction formelle entre deux modes d’implémentation. Depuis mars 2024, il est obligatoire pour tous les annonceurs ciblant des utilisateurs dans l’EEE et le Royaume-Uni.

Côté CNIL, la situation est plus nuancée qu’on ne le croit. GA4 ne remplit pas les critères pour bénéficier d’une exemption de consentement. La CNIL permet bien l’utilisation sans consentement de certains outils, mais sous des conditions strictes que Google Analytics ne satisfait pas. En revanche, Matomo Cloud et Matomo On-Premise peuvent être implémentés sans recueil du consentement si correctement configurés, conformément aux critères établis par la CNIL.

Le « 1 clic » dont parle Matomo depuis avril 2026, c’est ça : la nouvelle fonctionnalité permet d’évaluer le setup actuel par rapport aux conditions d’exemption CNIL, d’appliquer les paramètres supportés en un clic, et de voir clairement ce qui nécessite encore une attention manuelle. Pratique. Mais ça ne résout pas ton problème si tu utilises GA4.

Pour GA4, le consentement est obligatoire car GA4 implique un transfert de données vers les États-Unis et crée des cookies. Point. La CNIL a annoncé une vague de contrôles ciblés pour le premier semestre 2026 avec des sanctions systématiques après le 30 juin 2026. Ce n’est plus de la théorie.

Basic vs Advanced : le choix qui détermine la qualité de tes données

Le Consent Mode v2 se décline en deux versions : Basic et Advanced. En Basic, tous les tags sont bloqués jusqu’à l’obtention du consentement. Si un utilisateur clique sur « Refuser », tu ne récupères aucune donnée.

En Advanced, c’est différent. Si un utilisateur refuse les cookies, les tags se chargent quand même et envoient des pings anonymes sans cookies à Google. Ces pings fournissent suffisamment de données pour que Google utilise la modélisation et comble les conversions manquantes dans tes rapports.

Le problème avec le Basic, c’est qu’il crée un biais structurel dans tes données. Tes analytics ne couvrent que les personnes ayant accepté le tracking, ce qui crée un dataset biaisé. Les utilisateurs sensibles à la vie privée se comportent souvent différemment de ceux qui acceptent tous les cookies, et tu ne verras jamais ce comportement.

Plus grave encore : les utilisateurs consentants convertissent typiquement 2 à 5 fois plus que les non-consentants. Le Basic mode, qui ne trace que les consentants, gonfle donc artificiellement ton taux de conversion reporté. Tu crois convertir à 5%, tu convertis en réalité à 3%. L’Advanced avec modélisation corrige ce biais et te donne une vision plus précise, même si plus sobre, de la vraie performance.

Ce que tu dois configurer dans GTM, concrètement

La séquence d’initialisation — c’est là que tout se joue

L’état par défaut doit être « denied » ; le gtag('consent', 'default', {...}) est appelé avant le chargement du Google Tag. Après que l’outil de consentement a capturé le choix de l’utilisateur, les signaux sont mis à jour via la commande update.

Les développeurs qui implémentent leur propre solution de consentement doivent définir l’état de consentement par défaut avant toute interaction de l’utilisateur, puis mettre à jour cet état en fonction des choix, en s’assurant que les mises à jour sont tracées avant toute transition de page.

Le Consent Mode v2 inclut désormais les paramètres ad_user_data et ad_personalization en plus des deux historiques analytics_storage et ad_storage. Beaucoup de setups anciens passent encore seulement les deux premiers paramètres, laissant la mise à jour v2 à moitié faite.

Le flux logique d’un Consent Mode v2 Advanced dans GTM

[Page load]
    │
    ▼
gtag('consent', 'default', {
    analytics_storage: 'denied',
    ad_storage: 'denied',
    ad_user_data: 'denied',
    ad_personalization: 'denied',
    wait_for_update: 500
})
    │
    ▼
[GTM container loads]
    │
    ├──► Tags GA4 / Ads se chargent en mode "denied"
    │         └──► Envoient des cookieless pings (page path, device, pays)
    │              SANS identifiants persistants
    │
    ▼
[Utilisateur interagit avec le bandeau]
    │
    ├── Accepte → gtag('consent', 'update', { all: 'granted' })
    │              └──► Tags basculent en mode full tracking
    │
    └── Refuse  → Tags restent en mode "denied"
                   └──► Pings continuent, modélisation possible

L’étape critique est de s’assurer que tes Google Tags sont déclenchés par l’événement gtm_consent_update.

Activer la modélisation comportementale dans GA4

Pour activer la modélisation comportementale dans GA4, va dans Admin > Property Settings > Data Display > Reporting Identity et sélectionne « Blended ». Si tu sélectionnes « Observed », GA4 n’affiche que les utilisateurs ayant accepté les cookies et ne fait aucune modélisation. Blended utilise les pings du mode Advanced pour récupérer les données manquantes.

Pour que la modélisation s’active, ta propriété doit avoir au moins 1 000 utilisateurs quotidiens avec analytics_storage='granted' pendant au moins 7 des 28 derniers jours — ce sont les données consenties que Google utilise pour entraîner ses modèles — et au minimum 1 000 événements par jour avec analytics_storage='denied' pendant au moins 7 jours.

Checklist d’audit : les pièges les plus fréquents

1. Le default se charge après le GTM. Si le snippet GTM est dans le <head> avant ton appel consent default, des hits partent sans état de consentement. L’appel default doit s’exécuter avant le chargement du Google Tag, sinon les premières requêtes réseau partent sans état de consentement.

2. Le template CMP est obsolète. Si tu utilises un template GTM fourni par une CMP, assure-toi qu’il est mis à jour vers la version compatible v2. Les anciens templates ne passent que deux paramètres et peuvent ne pas supporter le format de mise à jour du consentement que Google exige.

3. Tu ne testes que le parcours « accepter ». Beaucoup ne testent que le chemin « accept all ». Teste les scénarios « reject all » et de consentement partiel pour vérifier que les tags se comportent correctement — vérifie qu’aucun cookie n’est posé, qu’aucune donnée personnelle n’est transmise, et que les cookieless pings se déclenchent correctement en mode Advanced.

4. Server-side sans forwarding du consentement. Si tu utilises GTM server-side, les signaux de consentement doivent être transférés du container web vers le container serveur. Sans forwarding explicite, le container serveur n’a aucune visibilité sur l’état de consentement de l’utilisateur et peut traiter des données qui devraient être bloquées.

5. Le Reporting Identity laissé sur « Observed ». Voir plus haut. C’est silencieux, ça ne génère aucune erreur, et ça fausse tous tes ratios.

Prompt IA pour auditer ton implémentation Consent Mode v2

Tu peux utiliser ce prompt avec ChatGPT ou Claude en lui fournissant un export de ton dataLayer ou les logs de Tag Assistant :

Tu es un expert en Digital Analytics spécialisé en Consent Mode v2 et GTM.

Voici les logs de mon dataLayer / Tag Assistant : [COLLER LES LOGS ICI]

Analyse et dis-moi :
1. Le gtag('consent', 'default') se déclenche-t-il AVANT le container GTM ?
2. Les 4 paramètres v2 sont-ils tous présents (analytics_storage, ad_storage,
   ad_user_data, ad_personalization) ?
3. Y a-t-il un événement 'consent' de type 'update' déclenché après
   l'interaction utilisateur ?
4. Des tags GA4 ou Ads se chargent-ils AVANT l'état de consentement ?
5. Génère une liste priorisée des corrections à apporter avec le code GTM
   correspondant.

La vraie question que personne ne pose

On passe beaucoup de temps à débattre Basic vs Advanced, CNIL vs DPF, Matomo vs GA4. Mais le vrai risque en 2026, c’est l’implémentation qui semble conforme et ne l’est pas. Même si ton bandeau cookies a l’air conforme, beaucoup de sites laissent encore les scripts de tracking se charger avant le consentement. Qu’il s’agisse d’un tag manager mal configuré ou d’une CMP mal paramétrée, le risque est le même. L’enjeu n’est pas seulement de savoir si un bandeau apparaît, mais ce qui se passe avant et derrière lui.

Alors : quand as-tu audité ton implémentation pour la dernière fois avec le mode « Reject All » activé et les DevTools ouverts ?

Catégories

CookieGDPRIASolutions
Retour au blogVoir les formations