Tracking et RGPD : consentement, Consent Mode et conformité
Accueil Blog Tracking et RGPD : consentement, Consent Mode et conformité

Tracking et RGPD : consentement, Consent Mode et conformité

Tracking

Jean-Philippe Gronier

Jean-Philippe Gronier

10 juil. 2026

Pendant des années, le récit dominant de la mesure marketing a tourné autour d'une échéance : la disparition des cookies tiers dans Chrome. Ce récit est aujourd'hui caduc. En avril 2025, Google a renoncé à supprimer les cookies tiers de son navigateur, et en octobre 2025, le projet Privacy Sandbox a été retiré. Le « cookieless » que tout le monde préparait n'aura pas lieu dans les termes annoncés.

Le vrai sujet de 2026 n'est donc pas la technique de remplacement des cookies : c'est le consentement. La conformité de votre tracking marketing au RGPD et aux exigences de la Commission nationale de l'informatique et des libertés (CNIL) est devenue la condition première d'une mesure à la fois légale et exploitable. Le recueil du consentement conditionne aujourd'hui l'utilisation de Google Analytics comme de n'importe quel traceur : une balise qui se déclenche sans base juridique valable n'est pas seulement un risque réglementaire, c'est un traitement de données personnelles qui fragilise la protection des données et la vie privée des internautes, avant même d'être une donnée que Google, à terme, refusera d'utiliser. Le cadre juridique applicable — RGPD et directive ePrivacy — s'appuie sur les recommandations et les lignes directrices publiées par la CNIL, qui précisent ce qu'un consentement explicite, préalable, éclairé et univoque doit recouvrir. Cet article explique comment poser un cadre de consentement conforme, comment le brancher correctement à votre dispositif de mesure, et comment ce même cadre juridique s'étend au-delà du site web, jusqu'au tracking par email et aux pixels de tracking insérés dans vos campagnes.

Pourquoi le consentement est LE sujet de 2026 (et pas le cookieless)

L'abandon de la Privacy Sandbox a un effet contre-intuitif : il replace le consentement au centre. Puisque les cookies tiers survivent dans Chrome, la ligne de partage entre ce qui est autorisé et ce qui ne l'est pas ne passe plus par une contrainte technique du navigateur, mais par le cadre juridique applicable — l'accord de l'internaute.

Deux dynamiques se rejoignent. D'un côté, la CNIL a durci et clarifié sa doctrine sur les traceurs : un bandeau approximatif ne suffit plus, et les contrôles se multiplient sur les sites qui déposent des cookies publicitaires avant tout choix de l'utilisateur. De l'autre, Google conditionne désormais l'usage de ses services publicitaires dans l'Espace économique européen à la transmission d'un signal de consentement. Autrement dit, votre conformité n'est plus seulement une obligation légale : elle est devenue une condition de fonctionnement de vos outils marketing.

C'est ce croisement qui fait du consentement le chantier prioritaire. Investir dans une architecture de collecte alambiquée pour compenser une hypothétique fin des cookies serait une erreur de calendrier. Sécuriser d'abord le recueil du consentement, puis fiabiliser la mesure autour de lui, est la séquence qui correspond à la réalité réglementaire de 2026.

Les 4 exigences d'une CMP conforme

Une plateforme de gestion du consentement (CMP, pour Consent Management Platform) est le composant qui affiche le bandeau et mémorise les choix de l'internaute. Pour être conforme aux attentes de la CNIL, elle doit respecter quatre exigences cumulatives.

  1. Un consentement libre. L'utilisateur doit pouvoir refuser sans subir de dégradation de service ni de pression. Un accès au contenu conditionné à l'acceptation des traceurs publicitaires, ou un bandeau qui réapparaît sans fin après un refus, ne constitue pas un consentement libre.

  2. Un consentement spécifique et éclairé. Le consentement se donne par finalité — mesure d'audience, publicité personnalisée, réseaux sociaux — et non en bloc. L'internaute doit comprendre à quoi il consent, avec une information claire sur les finalités et les destinataires des données avant de choisir.

  3. Un refus aussi simple que l'acceptation. C'est le point le plus contrôlé. S'il existe un bouton « Tout accepter » au premier niveau, il doit exister un bouton de refus équivalent, au même niveau, d'accès aussi immédiat. Reléguer le refus derrière plusieurs clics de « paramétrage » est précisément ce que la CNIL sanctionne.

  4. Un consentement traçable et révocable. Vous devez pouvoir prouver le consentement (horodatage, périmètre, version du bandeau) et l'utilisateur doit pouvoir revenir sur son choix aussi facilement qu'il l'a donné, à tout moment. La preuve du consentement conditionne votre capacité à démontrer votre conformité en cas de contrôle.

Ces quatre exigences se vérifient d'abord dans le paramétrage de la CMP, pas dans le choix de l'éditeur. Une CMP réputée mal configurée reste non conforme.

Consent Mode v2 : ce que c'est, v1 contre v2

Consent Mode est le mécanisme par lequel vos outils Google adaptent leur comportement en fonction du choix de l'internaute. Concrètement, votre CMP transmet l'état du consentement, et les balises Google (Google Ads, Google Analytics via GA4) ajustent ce qu'elles collectent en conséquence. C'est ce signal qui gouverne l'utilisation de Google Analytics sur votre site : sans consentement transmis, Google Analytics ne doit collecter aucune donnée personnelle identifiante. Depuis mars 2024, Consent Mode v2 est requis pour continuer à utiliser les services publicitaires de Google — remarketing, audiences, mesure des conversions — auprès des internautes de l'EEE, et pour que les données remontées par Google Analytics restent exploitables dans les rapports.

La différence entre les versions tient aux signaux transmis. La v1 gérait deux paramètres :

  • ad_storage : autorisation de stockage lié à la publicité (cookies publicitaires) ;
  • analytics_storage : autorisation de stockage lié à la mesure d'audience.

La v2 ajoute deux signaux propres à la publicité, qui sont la raison de son caractère obligatoire :

  • ad_user_data : autorisation d'envoyer des données utilisateur à Google à des fins publicitaires ;
  • ad_personalization : autorisation d'utiliser ces données pour de la publicité personnalisée (remarketing).

Chaque signal vaut granted ou denied, et la valeur reflète directement le choix exprimé dans la CMP. Le rôle de votre implémentation est de garantir que ces quatre signaux partent bien vers Google, dans le bon état, à chaque page — ni plus permissifs que le choix réel de l'utilisateur, ni bloquants au point de perdre toute mesure.

Basic contre Advanced : deux façons de brancher le consentement

Consent Mode se décline en deux modes d'implémentation, dont le choix a des conséquences directes sur le volume de données mesurables.

En mode Basic, les balises Google ne se chargent tout simplement pas tant que le consentement n'est pas accordé. Aucun ping n'est envoyé avant le choix. C'est le mode le plus prudent, mais aussi le plus coûteux en données : tout refus est une perte sèche, sans compensation.

En mode Advanced, les balises Google se chargent dès le départ mais, en l'absence de consentement, elles n'envoient que des pings anonymes et sans cookie — signalant qu'une visite a eu lieu, sans identifier l'internaute ni déposer de traceur. Ces signaux dépersonnalisés servent ensuite de matière première à la modélisation.

Le mode Advanced offre une mesure nettement plus riche à volume de refus égal, mais il exige une implémentation rigoureuse : les pings anonymes doivent être réellement dépourvus d'identifiant et de cookie pour rester conformes. C'est un arbitrage à poser explicitement, en cohérence avec votre politique de confidentialité, et non un réglage par défaut à activer sans réflexion.

La modélisation des conversions : récupérer la donnée manquante

Lorsqu'un internaute refuse le dépôt de cookies, ses conversions ne sont plus observables directement. La modélisation des conversions est la réponse de Google à ce trou de mesure : à partir des signaux anonymes remontés par Consent Mode (en mode Advanced) et de ses propres données, Google estime statistiquement les conversions non observées et les réintègre dans vos rapports.

Cette modélisation n'invente pas de données au hasard : elle s'appuie sur des corrélations mesurées entre trafic consenti et trafic refusé pour combler les écarts. Elle explique pourquoi un compte correctement configuré affiche souvent plus de conversions que ce que le tracking « brut » aurait pu observer — la part refusée est reconstruite, pas perdue.

L'intérêt pour le marketing est direct : bien paramétrée, cette approche permet de rester conforme sans sacrifier le pilotage. C'est tout le paradoxe apparent de 2026 : plus le consentement est rigoureusement recueilli, plus les mécanismes de modélisation fonctionnent proprement, et plus votre mesure reste fiable sur la durée. À l'inverse, une collecte qui triche sur le consentement fragilise à la fois la conformité et la qualité de la modélisation.

Les erreurs fréquentes qui rendent le tracking non conforme

Trois familles d'erreurs reviennent systématiquement dans les audits de conformité.

Les balises qui se déclenchent avant le consentement. C'est la faute la plus lourde. Un pixel publicitaire, une balise Google Analytics (GA4) ou un script tiers qui s'exécute au chargement de la page, avant tout choix de l'internaute, dépose des traceurs sans base légale. L'utilisation de Google Analytics ne devient conforme que si aucune donnée n'est envoyée à Google avant le recueil du consentement. Le problème est souvent invisible à l'œil nu : une balise mal séquencée dans le gestionnaire de balises (GTM) passe inaperçue tant qu'on n'inspecte pas les requêtes réseau. Nous n'entrons pas ici dans le paramétrage détaillé de l'outil de balises : pour l'installation et la configuration pas à pas, reportez-vous à notre guide dédié à l'installation et configuration de Google Tag Manager.

Le bandeau non conforme. Bandeau sans bouton de refus au premier niveau, refus caché derrière un menu de « préférences », cases pré-cochées, ou consentement global qui ne distingue pas les finalités : autant de configurations que la CNIL considère comme invalides. Le test simple : le refus doit être aussi rapide et visible que l'acceptation.

Les dark patterns. Bouton « Accepter » vert et proéminent face à un « Refuser » gris et minuscule, formulations culpabilisantes, réapparition insistante du bandeau après un refus… Ces artifices d'interface, destinés à forcer le consentement, vicient sa liberté et donc sa validité. Un consentement arraché par la manipulation n'est pas un consentement.

À ces erreurs de front s'ajoute une erreur d'architecture : croire que déplacer la collecte côté serveur dispense du consentement. Ce n'est pas le cas — la base légale s'apprécie sur la finalité du traitement, pas sur l'endroit où la donnée transite. Le sujet de la collecte serveur, ses gains et ses limites, est traité à part dans notre article sur le tracking server-side.

Le cas de la mesure d'audience exemptée

Toute mesure ne requiert pas systématiquement un consentement. La CNIL prévoit une exemption pour la mesure d'audience, à des conditions strictes : finalité limitée à la seule statistique anonyme du site, absence de recoupement avec d'autres traitements, pas de suivi inter-sites, et données non transmises à des tiers. Certaines solutions, comme Matomo correctement configuré, entrent dans le périmètre de cette exemption et peuvent alors mesurer l'audience sans bandeau de consentement.

Google Analytics, à l'inverse, ne bénéficie pas de cette exemption : l'utilisation de Google Analytics reste conditionnée au recueil du consentement, car les données remontées à Google sortent du périmètre strictement anonyme et local exigé par la CNIL. C'est un levier précieux pour conserver une vision statistique fiable même auprès des visiteurs qui refusent les traceurs marketing. Les conditions exactes de l'exemption et la comparaison des outils souverains dépassent le cadre de cet article : nous les détaillons dans notre analyse consacrée à l'analytics souverain, GA4 et Matomo.

Le cas des pixels de tracking dans les emails

Le cadre du consentement ne s'arrête pas à la navigation web : il encadre aussi l'utilisation des pixels de tracking dans les emails. Un pixel de tracking (ou pixel espion) est une image invisible, le plus souvent large d'un seul pixel, insérée dans le corps d'un email marketing. Son chargement, déclenché à l'ouverture du message, permet à l'expéditeur de savoir si l'email a été lu, d'en connaître la date d'ouverture et l'heure exacte, et parfois d'identifier le terminal ou la messagerie utilisés. Sur le plan technique, ce pixel invisible fonctionne exactement comme un traceur web classique : il n'est simplement pas déposé dans un navigateur, mais chargé depuis un serveur distant au moment de la lecture du message.

Le cadre juridique applicable à cette pratique est le même que celui des cookies : le RGPD et la directive ePrivacy encadrent conjointement ce type de traceur, et soumettent le dépôt ou la lecture de toute information sur le terminal d'un utilisateur à un consentement préalable, sauf exception strictement définie. La Commission nationale de l'informatique et des libertés (CNIL) a publié des recommandations et des lignes directrices qui visent explicitement l'utilisation des pixels de tracking dans les emails marketing : dès lors qu'il permet de suivre le comportement d'un destinataire — savoir s'il a ouvert le message, à quelle date d'ouverture et à quelle heure —, ce mécanisme constitue un traceur au sens du RGPD, et non une simple statistique technique anodine. Ces lignes directrices assimilent les pixels emails aux cookies : même exigence de recueil du consentement, même exigence d'information du destinataire, même droit d'opposition à garantir.

Concrètement, un annonceur qui souhaite mesurer la date d'ouverture de ses emails doit respecter les mêmes principes que sur un site web : donner une information claire au destinataire sur l'existence du pixel et sa finalité, recueillir un consentement explicite, préalable, éclairé et univoque avant tout suivi — le plus souvent lors de l'inscription à la newsletter, via les CGU ou une case à cocher dédiée et non pré-cochée — et garantir un droit d'opposition simple et permanent, permettant à tout moment de refuser ce suivi sans perdre l'accès au service. Ce droit d'opposition doit être aussi accessible que le lien de désinscription, et rappelé à chaque envoi. L'enjeu est le même que pour un cookie déposé par un site web : protéger les données personnelles du destinataire et respecter sa vie privée, quelle que soit la technologie de suivi employée.

En pratique, cette exigence reste rarement respectée : la majorité des plateformes d'emailing activent le pixel d'ouverture par défaut, sans information spécifique ni recueil du consentement dédié — une zone grise qui expose à un contrôle CNIL au même titre qu'une CMP mal paramétrée sur vos sites web. Une conformité RGPD complète suppose donc d'auditer aussi bien les traceurs déposés par vos sites web que les pixels intégrés à vos campagnes d'emailing, au nom d'une même exigence de protection des données personnelles et de vie privée des utilisateurs.

Checklist de mise en conformité de votre tracking marketing

Pour transformer ces principes en actions vérifiables :

  • Cartographier vos traceurs. Inventoriez toutes les balises et cookies déposés, leur finalité et leur éditeur, avant de décider ce qui relève ou non du consentement.
  • Choisir et paramétrer une CMP conforme. Vérifiez les quatre exigences : consentement libre, spécifique, refus aussi simple que l'acceptation, preuve et révocation.
  • Bloquer tout déclenchement avant choix. Aucune balise soumise à consentement ne doit s'exécuter tant que l'utilisateur n'a pas décidé.
  • Implémenter Consent Mode v2. Assurez la transmission des quatre signaux ad_storage, analytics_storage, ad_user_data et ad_personalization, et arbitrez Basic contre Advanced en connaissance de cause.
  • Auditer le bandeau contre les dark patterns. Symétrie des boutons, absence de cases pré-cochées, formulations neutres.
  • Étendre l'audit aux emails. Vérifiez que vos campagnes d'emailing ne chargent pas de pixel de tracking sans information préalable du destinataire ni consentement dédié, et qu'un droit d'opposition clair est proposé à chaque envoi.
  • Documenter la conformité. Politique de confidentialité à jour, registre des consentements, preuve horodatée.
  • Contrôler par les requêtes réseau. Le seul juge de paix : inspecter ce qui part réellement du navigateur avant et après consentement.

Rendre un dispositif de mesure conforme sans perdre en fiabilité est un exercice d'équilibre entre le droit, l'interface et la technique. Si vous souhaitez sécuriser ce périmètre de bout en bout, découvrez notre accompagnement en tracking marketing et la façon dont nous articulons conformité et qualité de la donnée.