Consultant Consent Mode v2 : CMP, conformité CNIL, récupération de conversions modélisées
Consultant Consent Mode v2 : choix CMP (Axeptio, Didomi, Cookiebot, OneTrust), basic vs advanced, audit conformité CNIL, récupération de conversions modélisées.
Par Ron Kopelman, consultant analytics freelance — mis à jour le 18 mai 2026
Quand un visiteur refuse les cookies : deux options possibles
Aujourd'hui, en France, entre 30 et 55 % des visiteurs refusent les cookies sur la bannière.
Google vous propose deux façons de gérer ces refus. Le bon choix dépend de votre situation.
Si le visiteur refuse les cookies, vous ne mesurez rien. Aucun signal n'est envoyé à Google. Votre site est parfaitement respectueux mais vous perdez la donnée de mesure pour 30-55 % de vos visiteurs.
Recommandé pour la santé, le public, les sites institutionnels où la prudence prime sur la performance.
Nom technique : Consent Mode Basic
Si le visiteur refuse, vous envoyez à Google un signal anonyme (pas de cookie, pas d'identifiant). Google ne sait pas qui c'est, mais il sait qu'il y a eu une vente. Il estime statistiquement les chiffres qu'il vous manque.
Recommandé pour la majorité des sites e-commerce et lead gen qui veulent garder de la mesure.
Nom technique : Consent Mode Advanced
Le Consent Mode v2 de Google est obligatoire depuis mars 2024 pour les annonceurs qui veulent garder l’accès au remarketing Google Ads, aux conversions modélisées, et aux audiences cookieless. Pas un déclaratif marketing : un cadre technique précis qui exige que la CMP, le conteneur GTM web et server-side, et les tags GA4/Ads/Meta poussent les signaux gtag('consent', ...) au bon moment, dans le bon ordre, avec les bonnes catégories. Mon rôle de consultant Consent Mode v2 est de cadrer le choix de la CMP, déployer une implémentation conforme RGPD + CNIL, et mesurer la récupération de conversions modélisées dans GA4 et Google Ads.
Pourquoi un Consent Mode v2 mal câblé fait perdre des conversions
Quatre situations se rejouent en permanence sur les sites que j’audite.
La CMP n’envoie jamais les signaux consent update. La bannière s’affiche, l’utilisateur clique, les cookies se posent — mais le gtag('consent', 'update', {...}) qui annonce à Google que l’utilisateur a accepté n’est jamais déclenché. Conséquence : Google Ads voit tout le trafic en mode “denied” par défaut, applique le modeling cookieless, et perd la précision sur les conversions réelles.
Le mode Basic est choisi par défaut alors qu’on aurait dû passer en Advanced. Le mode Basic bloque purement et simplement les tags Google avant consentement — pas de ping du tout. Le mode Advanced laisse passer des pings cookieless dégradés qui alimentent les conversions modélisées. Sur les sites avec un taux d’acceptation inférieur à 65 %, le mode Advanced récupère typiquement 8 à 18 % de conversions supplémentaires dans GA4. Sur les sites avec une volumétrie suffisante pour activer le behavioral modeling (au-delà de 1 000 events/jour), c’est même indispensable.
Le mapping CMP ↔ Consent Mode est inversé. La CMP a deux catégories “analytics” et “marketing”, mais elle pousse analytics_storage quand l’utilisateur accepte la marketing, et l’inverse. Conséquence : les cookies GA4 ne se posent pas alors qu’ils devraient, et les pixels publicitaires se chargent alors qu’ils ne devraient pas. C’est un bug courant sur les migrations depuis tarteaucitron vers une CMP commerciale.
La documentation juridique ne suit pas la réalité technique. Le registre des traitements et la LIA (Legitimate Interest Assessment) parlent de cookies marketing actifs après consentement, mais le code dans GTM les charge en avance. Un contrôle CNIL ou un audit interne révèle la divergence et déclenche une mise en demeure.
Récupération moyenne mesurée sur la dernière dizaine de missions Consent Mode v2 : +12 à +28 % de conversions Google Ads en 30 jours, simplement en remettant les signaux d’équerre. Sans changer la CMP. Sans changer le taux d’acceptation.
Mes missions Consent Mode v2 type
1. Audit conformité Consent Mode v2
Diagnostic complet d’une implémentation existante : signaux gtag réellement envoyés, mapping CMP, déclenchement des tags GA4/Ads/Meta, cohérence avec le registre des traitements et la LIA, conformité aux dernières lignes directrices CNIL 2024-2026. Livrable type d’un audit tracking ciblé sur le périmètre consent.
2. Choix et déploiement d’une CMP
Vous êtes en tarteaucitron et vous devez basculer, ou vous démarrez un nouveau site. Je vous accompagne dans le choix entre Axeptio, Didomi, Cookiebot, OneTrust, ou une solution custom, puis je déploie l’intégration GTM web + server-side.
3. Migration depuis tarteaucitron
Cas très fréquent : tarteaucitron a fait son temps, n’a pas de support officiel Consent Mode v2, et les sites RGPD-sensibles veulent monter en gamme. Migration vers Axeptio (FR) ou Cookiebot (EU) sans rupture de service, avec récupération de l’historique des consentements quand c’est techniquement possible.
4. Basic vs Advanced — arbitrage
Mission courte (2-3 jours) pour vous aider à choisir entre les deux modes. Je modélise le manque à gagner du Basic vs Advanced sur vos volumes réels, je documente les implications RGPD, je rends une recommandation chiffrée.
5. Intégration sGTM + Consent Mode
Cas avancé : votre tracking est en server-side, il faut donc gérer les signaux consent à deux niveaux (navigateur + sGTM) et router intelligemment les events selon le consentement. Le sGTM peut filtrer ce qui part vers Meta CAPI, Enhanced Conversions, ou des plateformes tierces.
6. Documentation juridique (LIA + registre + DPA)
Souvent demandé par le DPO ou le service juridique en amont d’un contrôle CNIL. Je rédige ou je relis la LIA, j’aligne le registre des traitements sur la réalité technique, je vérifie les Data Processing Agreements avec les éditeurs de CMP et de pixels.
Quelle CMP choisir en 2026
Aucune CMP n’est “la meilleure” dans l’absolu. Le bon choix dépend de votre secteur, de votre volume, de vos exigences RGPD et de votre stack technique.
| CMP | Atout | Limite | Pour qui |
|---|---|---|---|
| Axeptio | Équipe FR, prix lisible, design moderne, ergonomie bannière reconnue, support TCF v2.3 | Reporting Power BI moins avancé qu’OneTrust, intégrations entreprise plus limitées | PME, ETI, sites premium FR/EU sensibles au design |
| Didomi | TCF v2.3 natif, intégrations Google et IAB exhaustives, gouvernance multi-marques, conformité internationale | Tarif rapidement élevé en croissance, interface admin dense | Groupes, médias multi-marques, retail multi-pays |
| Cookiebot | Pionnier européen, scan auto des trackers, prix raisonnable, support 35+ langues | Design vieillissant, customisation UI limitée | Sites multilingues qui veulent une solution stable et low-touch |
| OneTrust | Référence enterprise mondiale, intégrations gouvernance, audit trail complet | Complexité de mise en place, ticket d’entrée élevé, latence support FR | Groupes cotés, secteurs réglementés, contraintes compliance globales |
| tarteaucitron | Open-source, gratuit, ancré dans la communauté FR | Pas de support officiel Consent Mode v2, plus de maintenance active, recommandation CNIL plus tiède en 2026 | Sites institutionnels low budget, à condition d’accepter les limites |
Sur les missions e-commerce et lead gen B2B en France, je recommande Axeptio dans 60 % des cas (équipe FR, prix raisonnable, support qui répond). Sur les groupes multi-marques, Didomi. Sur les institutions qui doivent rester en open-source, on peut maintenir tarteaucitron correctement mais c’est un compromis à documenter avec le DPO.
Comment je déploie un Consent Mode v2 proprement
Étape 1 — Cartographie des tags et catégories
Je fais l’inventaire de tous les tags GTM (web + server-side) et je les classe par catégorie de consent : ad_storage, analytics_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage, security_storage. Chaque tag doit savoir explicitement dans quelle catégorie il appartient et comment il se comporte si le signal est en denied.
Étape 2 — Configuration des signaux gtag côté CMP
Selon la CMP, l’intégration prend deux formes : (a) un script natif de la CMP qui pousse les signaux directement, ou (b) un événement dataLayer que GTM convertit en gtag('consent', 'update', ...). Je préfère systématiquement l’option (b) — elle garde tout dans GTM, donc tout est traçable et modifiable sans toucher au code de la CMP.
Étape 3 — Implémentation du consent default
Avant tout signal utilisateur, GTM doit pousser un gtag('consent', 'default', ...) qui déclare l’état initial. C’est l’étape oubliée la plus fréquente — sans ce default, Google ne sait pas si vous êtes en Basic ou Advanced. Je configure ce default au tout début de l’initialisation GTM, avant n’importe quel autre tag.
Étape 4 — Basic vs Advanced — la décision
Le mode Basic bloque les tags Google avant consentement. Pas de ping du tout. Plus simple à expliquer au DPO. Convient aux sites avec un taux d’acceptation très élevé (supérieur à 80 %) ou aux secteurs très sensibles RGPD (santé, public).
Le mode Advanced laisse passer des pings cookieless dégradés qui n’identifient pas l’utilisateur, mais qui permettent à Google d’alimenter les conversions modélisées et le behavioral modeling. Récupération typique de 8 à 18 % de conversions sur les sites mass-market. Convient aux sites e-commerce et lead gen avec un taux d’acceptation entre 50 % et 80 %.
Comparatif chiffré dans le guide Basic vs Advanced Consent Mode.
Étape 5 — Recette stricte
Tests en navigation privée, avec consent accepté puis refusé, sur les parcours critiques. Je vérifie pour chaque tag : (a) qu’il ne se charge pas avant consentement quand il ne devrait pas, (b) qu’il se charge correctement après consentement, (c) que les signaux gtag partent à GA4 et que GA4 les reconnaît dans les rapports “Vérification” de l’interface, (d) que Google Ads voit la couverture Consent Mode dans son diagnostic.
Étape 6 — Documentation juridique alignée
Je relis la LIA et le registre des traitements pour qu’ils correspondent à la réalité technique. Si vous n’avez pas de DPO interne, je peux vous orienter vers des prestataires juridiques spécialisés analytics.
Cas concrets
Site e-commerce premium ~5 M€ de CA (mode de vie / décoration). Implémentation initiale Axeptio + Consent Mode Basic, taux d’acceptation 58 %. Mission : passage en Advanced + remise à plat du mapping des catégories + sGTM pour router les conversions sensibles. Résultat 30 jours après : +21 % de conversions Google Ads modélisées dans GA4, +14 % de conversions Meta. ROI atteint en 3 semaines sur le seul média payant.
Média avec abonnement (paywall). CMP custom interne héritée d’avant 2024, sans support Consent Mode v2 officiel. Mission : migration vers Didomi avec gouvernance multi-marques, déploiement Consent Mode Advanced sur les 4 sites du groupe, alignement de la LIA. Effort 5 semaines. Résultat sur les conversions subscribe Google Ads : +17 % en 60 jours, attribution data-driven enfin fiable.
Institution publique (formation continue, ~500 K visiteurs/an). Setup en tarteaucitron + GA4, sans Consent Mode v2 du tout. Mission : maintien de tarteaucitron (contrainte open-source) + déploiement Consent Mode v2 via un wrapper custom + recettage CNIL. Effort 3 semaines. Résultat : conformité validée par le DPO, GA4 Advanced actif, behavioral modeling enclenché malgré un taux d’acceptation de 42 %.
Combien coûte une mission Consent Mode v2
| Mission | Périmètre | Prix |
|---|---|---|
| Audit conformité Consent Mode v2 | Diagnostic complet + plan d’action priorisé | 1 800 € HT (~3 jours) |
| Déploiement Consent Mode v2 complet | Choix CMP + intégration GTM web + recettage + doc juridique alignée | 4 500 € HT (~7 jours) |
| Migration tarteaucitron → CMP commerciale | Choix + déploiement + récupération historique consents + recettage | 3 800 € HT (~6 jours) |
| Arbitrage Basic vs Advanced | Modélisation + recommandation chiffrée | 1 200 € HT (~2 jours) |
| Suivi post-déploiement | Audit mensuel des signaux + KPI conformité | 600 € HT/mois |
Tarifs CMP eux-mêmes à votre charge (entre 0 € pour tarteaucitron, 30 € à 300 €/mois pour Axeptio/Cookiebot, et plusieurs milliers d’euros par an pour Didomi enterprise et OneTrust).
Foire aux questions
Le Consent Mode v2 est-il obligatoire ?
Oui pour les annonceurs Google Ads et Floodlight qui veulent garder l’accès au remarketing, aux audiences personnalisées, et aux conversions modélisées. Pour un site sans média payant Google, ce n’est pas obligatoire au sens légal, mais c’est fortement recommandé pour préserver la qualité de la donnée GA4 en environnement post-cookies.
Quelle différence entre Consent Mode v1 et v2 ?
Le v2 ajoute deux nouveaux signaux : ad_user_data (consentement à l’envoi des données utilisateur à Google) et ad_personalization (consentement à la personnalisation publicitaire). Ces deux signaux sont obligatoires depuis mars 2024. Le v1 ne couvrait que ad_storage et analytics_storage.
Faut-il choisir Basic ou Advanced ?
Cela dépend de votre taux d’acceptation et de votre secteur. Si vous êtes au-dessus de 80 % et dans un secteur sensible RGPD, restez en Basic. Entre 50 % et 80 % d’acceptation, Advanced est presque toujours rentable. Sous 50 %, Advanced devient indispensable pour récupérer un signal exploitable. J’analyse votre cas dans la mission “Arbitrage Basic vs Advanced”. Guide complémentaire : Basic vs Advanced Consent Mode — décision chiffrée.
Quelle est la position de la CNIL ?
La CNIL n’interdit pas le Consent Mode v2 — elle insiste sur la liberté du consentement, la clarté de l’information, et la possibilité de refuser aussi simplement que d’accepter. Les implémentations sanctionnées en 2024-2025 portaient sur des bannières trompeuses ou des refus difficiles, pas sur l’usage du Consent Mode lui-même. Lecture détaillée : Bilan CNIL 2025 — vraies sanctions.
Peut-on continuer avec tarteaucitron ?
Oui techniquement, à condition d’ajouter manuellement la couche Consent Mode v2 par-dessus (tarteaucitron n’a pas de support natif). C’est faisable et je le fais sur les institutions, mais ça demande de la maintenance et la CNIL recommande désormais des CMP avec audit trail. Pour les sites commerciaux, je conseille plutôt de migrer.
Combien de temps prend le déploiement ?
Une à deux semaines calendaires pour un déploiement standard (5-7 jours de mon temps consultant), plus 30 jours d’observation pour mesurer l’effet sur les conversions Google Ads et GA4. Pour une migration tarteaucitron → Cookiebot/Axeptio, comptez 3 semaines avec une équipe interne disponible pour les recettes.