En 2026, respecter les règles de consentement ne se limite plus à cocher une case RGPD. Pour les éditeurs de sites comme pour les marketeurs, il s’agit désormais d’un enjeu stratégique qui impacte à la fois la conformité légale, la performance marketing et la qualité de l’expérience utilisateur.
Avec l’entrée en vigueur de nouvelles obligations imposées par le Digital Markets Act, la généralisation du Google Consent Mode v2, et la montée en puissance des CMP certifiées, le paysage de la gestion du consentement a changé en profondeur. Ce qui fonctionnait encore en 2023 ne suffit plus aujourd’hui. La granularité des préférences, les délais de traitement du consentement, les données partagées avec les outils marketing… Tout est scruté de près, y compris par les navigateurs et les régulateurs.
Cet article fait le point complet sur les évolutions à connaître et les bonnes pratiques à adopter en 2026, pour :
- Comprendre le fonctionnement technique du Consent Mode v2 de Google et ses bénéfices concrets ;
- Choisir une CMP certifiée compatible avec les exigences du TCF 2.3 (et bientôt GPC) ;
- Gérer efficacement les préférences utilisateurs, la durée de validité du consentement et les outils à relier dans la stack (GTM, CRM, Analytics…) ;
- Anticiper les zones à risque (comme le cas GTM en Allemagne) et optimiser sa conformité sans sacrifier la performance.
Que vous soyez responsable acquisition, chef de projet CRM, éditeur média ou e-commerçant, ce guide vous permettra de mettre votre stack en ordre pour continuer à mesurer, activer et personnaliser dans un cadre 100 % conforme.
Résumez tout l’article en un clic grâce à l’IA :
Le cadre réglementaire européen évolue rapidement, poussant éditeurs et marketeurs à revoir leurs outils de collecte de consentement. Le Digital Markets Act (DMA), entré en vigueur en mars 2024, oblige notamment les « gatekeepers » (Google, Facebook…) à être plus transparents sur la collecte de données des utilisateurs. En réaction, Google a annoncé fin 2023 que tout annonceur devait se conformer à sa politique européenne de consentement pour continuer à utiliser la personnalisation publicitaire.
Concrètement, depuis le 16 janvier 2024, tout site diffusant des pubs personnalisées dans l’EEE ou au Royaume-Uni doit utiliser une CMP certifiée Google intégrée au cadre TCF de l’IAB. En Suisse, cette obligation est entrée en vigueur le 31 juillet 2024. En pratique, seuls les sites où une CMP certifiée (OneTrust, Usercentrics, Cookiebot, Quantcast, Didomi, Axeptio… – la liste officielle est mise à jour par Google) gère le consentement peuvent diffuser des annonces personnalisées ; les autres ne pourront proposer que des « publicités limitées » ou non personnalisées.
Google Consent Mode v2 : fonctionnement et obligations
Pour s’aligner sur ces exigences, Google a lancé la version 2 du Consent Mode fin novembre 2023. Cette version oblige les sites utilisant Google Analytics ou Google Ads à informer Google de l’état du consentement de l’utilisateur au moment du chargement des pages. Google exige que tous les sites servant des annonces aux utilisateurs de l’UE/EEE mettent en œuvre le Consent Mode v2. Sans cela, GA4 et Google Ads ne collecteront quasiment plus de données de conversion pour les internautes européens, ce qui impacte fortement les campagnes marketing.
Dans sa forme technique, le Consent Mode v2 introduit deux nouveaux indicateurs dans l’API Google (gtag('consent', ...)) en plus de ad_storage et analytics_storage (déjà présents en v1). Ces nouveaux paramètres sont :ad_personalization (consentement pour publicité personnalisée) et ad_user_data (consentement pour données utilisateur publicitaires). Un site doit envoyer ces quatre consentements dès le chargement (via un gtag ou Google Tag Manager configuré). On distingue deux modes d’implémentation : le mode basique, où les balises Google sont bloquées tant que l’internaute n’a pas interagi avec la bannière de cookies, puis ajustées à son choix (opt-in ou opt-out); et le mode avancé, où les balises se chargent avant que l’utilisateur ne voit la bannière, en envoyant des requêtes « sans cookie » (cookieless pings) si le consentement est refusé. Ce mode avancé permet de capturer des signaux agrégés pour modéliser les conversions perdues en l’absence de consentement (voir ci-dessous).
Concrètement : deux campagnes A et B avec 100 clics chacune et 10 conversions enregistrées (10%) sans signal de consentement (« Unknown consent »). Le mode Consentement v2 de Google peut modéliser ces données manquantes et estimer les conversions non consenties, potentiellement jusqu’à 65% des conversions perdues.
Autrement dit, mettre en place correctement le Consent Mode v2 (avec une CMP rapide à notifier Google) permet de limiter la perte de performances publicitaires tout en respectant la vie privée.
CMP certifiées et évolution du TCF
Au-delà de Consent Mode, l’IAB TCF reste la norme de marché pour synchroniser le consentement entre CMP et écosystème publicitaire. Google impose que les CMP utilisées soient non seulement intégrées au TCF, mais aussi « certifiées Google » (ce programme ne vérifie que la compatibilité technique avec le TCF et le spec Additional Consent de Google). Seule la circulation du TC string via une CMP certifiée garantit l’éligibilité aux pubs personnalisées. Par ailleurs, le TCF v2.3 – adopté par l’IAB Tech Lab – remplacera le v2.2. Les éditeurs et fournisseurs de CMP ont jusqu’au 28 février 2026 pour migrer vers la version 2.3 du cadre TCF. Après cette date, tout nouveau TC string devra respecter la version 2.3 (les anciennes chaînes v2.2 générées avant le 28/02/26 resteront acceptées). Google a d’ores et déjà annoncé qu’il accepte le format v2.3 depuis octobre 2025 et encourage les éditeurs à débuter la migration sans attendre la date butoir. Cette future version clarifiera notamment la déclaration des fournisseurs, introduira un segment « Disclosed Vendors », pour renforcer transparence et contrôle utilisateur.
Exemples d’outils CMP (non exhaustif) : Didomi, OneTrust, Usercentrics, Cookiebot, Quantcast, Sourcepoint, Priduct et l’éditeur français Axeptio. Ces solutions proposent un bandeau de consentement (cookie banner) multilingue et, le plus souvent, un central de préférences où l’utilisateur peut ajuster à tout moment ses choix (catégories de cookies, campagnes email, etc.). Toute CMP utilisée pour les pubs personnalisées doit être listée comme « certified » par Google (pour la France, on retrouve Didomi, Axeptio, Cookiebot, Commanders Act, etc.)
Préférences utilisateur et bonnes pratiques
La réglementation impose en outre une gestion responsable du consentement au-delà du simple clic sur « Accepter ». Par exemple, le RGPD prévoit que le consentement reste valable seulement tant qu’il est « libre, spécifique, éclairé et univoque ». La CNIL recommande une durée de validité courte pour les consentements significatifs : « généralement, une conservation des choix pendant 6 mois constitue une bonne pratique ». Au-delà de cette échéance, il est conseillé de redemander l’accord des utilisateurs, surtout si l’on modifie les usages des données ou rajoute des cookies tiers. D’autre part, toute personne doit pouvoir retirer facilement son consentement. C’est pourquoi les CMP modernes incluent souvent un tableau de bord (« préférences ») permettant à l’internaute de modifier ses choix (activer/désactiver des catégories de cookies) à tout moment, et pas seulement lors de la première visite.
D’un point de vue technique, il faut veiller à bien synchroniser ces préférences avec toute la stack marketing : Google Analytics, outils de CRM et autres plateformes publicitaires. Par exemple, si l’utilisateur refuse les cookies publicitaires, le code du site doit mettre à jour les tags correspondants (ad_storage='denied', etc.) pour tous les outils. Pour rendre cela robuste, on recommande souvent de charger en premier la CMP, d’attendre son signal, puis d’initialiser (ou bloquer) les tags via Google Tag Manager ou un chargement conditionnel de scripts. Notons aussi que l’Europe travaille sur des initiatives comme le Global Privacy Control (GPC), un standard de signal opt-out au niveau du navigateur ; bien que non obligatoire en France pour l’instant, certaines CMP (Didomi, OneTrust…) le supportent pour anticiper l’avenir.
Cas particulier : Google Tag Manager et conformité allemande
Dernier point important pour « mettre sa stack en ordre » : une récente jurisprudence allemande (mars 2025) a statué que Google Tag Manager requiert un consentement explicite préalable. Le tribunal administratif de Hanovre a jugé que le simple chargement de GTM (gtm.js) envoie des données techniques (adresse IP, etc.) à Google avant tout consentement de l’utilisateur, ce qui est contraire au droit allemand (TTDSG) et au RGPD. Autrement dit, déployer GTM sans opt-in préalable est risqué en Allemagne (et potentiellement dans l’UE). La solution consiste à « gater » GTM : ne charger GTM qu’une fois que l’utilisateur a donné son consentement marketing sur la CMP. Concrètement, on charge d’abord la CMP, puis au clic de l’internaute on injecte dynamiquement le container GTM. Cela garantit que gtm.js ne tourne pas (et n’envoie pas de data) en cas de refus. Notez que cette technique bloque alors tous les tags dans GTM si l’utilisateur refuse, d’où l’intérêt de tester soigneusement l’implémentation. Certaines solutions avancées (comme le container « Addingwell » de Didomi) proposent des architectures serveurs pour éviter ces fuites de données au niveau client, mais l’essentiel est de comprendre que GT Manager + Consent Mode ne suffisent pas : il faut empêcher tout ping vers Google avant consentement explicite.
En résumé, pour début 2026, que doivent prévoir les sites ?
- Mis en place une CMP certifiée et conforme TCF 2.3 (voire également GPC si pertinent);
- Configuré Google Consent Mode v2 (basique ou avancé selon le besoin) via cette CMP;
- Vérifié l’intégration technique dans GTM et les autres tags afin de n’activer aucun service tiers sans consentement;
- Assuré que les préférences utilisateurs (durée, accès/modification) suivent les recommandations (ex. CNIL).
Cela garantira d’être en règle vis-à-vis du RGPD/ePrivacy et de tirer le meilleur parti des outils Google (Analytics, Ads, etc.) en limitant la perte de données marketing.
