Depuis le , Google impose le Consent Mode V2 comme prérequis pour utiliser Google Ads et GA4 en Europe. Cette exigence a créé un faux sentiment de conformité chez de nombreuses PME : « puisque Google le demande, c'est forcément conforme ». En réalité, le Google Consent Mode soulève des questions sérieuses de conformité CNIL et de souveraineté des données.
Ce comparatif analyse le fonctionnement du Google Consent Mode V2, ses limites juridiques, et les alternatives souveraines disponibles en 2026.
Les règles CNIL sur les cookies : ce que dit la loi
Le cadre juridique des cookies en France repose sur trois textes :
- Article 82 de la loi Informatique et Libertés : transposition de la directive ePrivacy, impose le consentement préalable pour les cookies non essentiels.
- Délibération CNIL 2020-091 du : les lignes directrices qui définissent les exigences concrètes pour les bandeaux de consentement.
- RGPD, articles 6 et 7 : conditions du consentement valide (libre, spécifique, éclairé, univoque).
« La poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l'internaute. [...] Refuser les traceurs doit être aussi aisé que de les accepter. »
CNIL, Délibération n° 2020-091 du 1er octobre 2020, Lignes directrices cookies et traceurs
Les exigences pratiques d'un CMP conforme :
- Blocage préalable : aucun cookie non essentiel ne doit être déposé avant le consentement
- Refus aussi simple que l'acceptation : un bouton « Tout refuser » au même niveau que « Tout accepter »
- Choix granulaire : possibilité d'accepter ou refuser par catégorie (analytics, marketing, fonctionnel)
- Preuve du consentement : stockage horodaté du choix de l'utilisateur
- Retrait facile : l'utilisateur doit pouvoir modifier ses choix à tout moment
- Durée de validité : le consentement expire après 13 mois maximum
Google Consent Mode V2 : fonctionnement et limites
Comment fonctionne le Consent Mode
Le Google Consent Mode est un mécanisme intégré à Google Tag Manager qui adapte le comportement des tags Google selon le consentement de l'utilisateur. Il fonctionne en deux modes :
- Mode basic : les tags Google ne se déclenchent qu'après le consentement. Pas de données envoyées à Google sans consentement. Conforme sur le papier.
- Mode advanced : les tags Google se déclenchent dès le chargement de la page, avant le consentement. Des « pings sans cookie » (cookieless pings) sont envoyés à Google, qui les utilise pour la modélisation de conversion et le machine learning.
Les problèmes du mode advanced
Le mode advanced pose plusieurs problèmes de conformité :
- Données envoyées avant consentement : les cookieless pings transmettent l'URL de la page, l'adresse IP (tronquée), le user-agent et un horodatage à Google. Même sans cookie, ces données constituent un transfert de données personnelles au sens du RGPD.
- Transfert vers les États-Unis : ces pings sont envoyés aux serveurs de Google, une entreprise soumise au Cloud Act et à FISA 702.
- Modélisation opaque : Google utilise ces données pour la « conversion modeling », un processus non auditable par le responsable de traitement.
- Base légale incertaine : Google invoque l'« intérêt légitime » pour les cookieless pings. La CNIL n'a pas validé cette base légale pour les traceurs publicitaires.
La DPA autrichienne (DSB) et la DPA belge (APD) ont déjà émis des réserves sur le Consent Mode advanced. La CNIL n'a pas encore publié de position officielle, mais ses lignes directrices de 2020 sont claires : aucune donnée ne doit être transmise avant le consentement explicite.
CMP souverains : les alternatives
Un CMP souverain est une plateforme de gestion du consentement dont les données restent en Europe et qui ne dépend d'aucun écosystème publicitaire américain.
Comparatif des solutions CMP
| CMP | Pays | Données | Blocage scripts | TCF 2.2 | CNIL conforme | Prix (PME) |
|---|---|---|---|---|---|---|
| COCORRIDOR CMP | France | France | Oui (natif) | Non (pas nécessaire) | Oui | Inclus dans l'offre PRO |
| Axeptio | France | France | Oui | Oui | Oui | à partir de 19 €/mois |
| Didomi | France | France / UE | Oui | Oui | Oui | Sur mesure (> 100 €/mois) |
| Orejime | Allemagne (open source) | Votre serveur | Oui | Non | Oui | Gratuit (self-hosted) |
| Tarteaucitron | France (open source) | Votre serveur | Oui | Non | Oui | Gratuit (self-hosted) |
| Google Consent Mode | États-Unis | États-Unis | Partiel (mode advanced = non) | Via CMP tiers | Basic : oui. Advanced : contestable | Gratuit |
| Cookiebot | Danemark (Usercentrics, DE) | UE | Oui | Oui | Oui | 12 €/mois |
| OneTrust | États-Unis | US / UE (selon config) | Oui | Oui | Dépend de la configuration | > 200 €/mois |
Pourquoi choisir un CMP souverain
Un CMP souverain offre trois avantages décisifs par rapport au Google Consent Mode :
- Conformité certaine : aucune donnée transmise avant consentement, stockage en France, pas de transfert hors UE.
- Indépendance : pas de dépendance à l'écosystème Google. Si vous migrez vos analytics vers Matomo, vous n'avez plus besoin du Consent Mode.
- Blocage effectif : le CMP COCORRIDOR bloque réellement les scripts tiers (via l'attribut
type="text/plain") et ne les active qu'après consentement. Il nettoie automatiquement les cookies déjà déposés en cas de refus.
Les sanctions CNIL liées aux cookies en 2024-2025
La CNIL a fait des cookies une priorité de contrôle. Quelques sanctions récentes :
- : 10 mises en demeure pour dépôt de cookies analytics avant consentement (entreprises anonymisées, dont 6 PME).
- : amende de 50 000 € contre un e-commerçant pour absence de bouton « Tout refuser » sur la première couche du bandeau.
- : amende de 150 000 € contre une marketplace pour cookies Meta Pixel déposés malgré le refus de l'utilisateur.
- : la CNIL publie une FAQ mise à jour sur le Google Consent Mode, rappelant que le mode advanced nécessite une base légale propre.
La tendance est à l'intensification : la CNIL dispose désormais d'outils automatisés pour détecter les bandeaux non conformes et les dépôts de cookies sans consentement.
Guide de mise en œuvre d'un CMP souverain
L'installation d'un CMP souverain est généralement simple. Voici les étapes pour le CMP COCORRIDOR :
- Créer votre configuration CMP dans le dashboard COCORRIDOR (catégories de cookies, textes, couleurs)
- Ajouter le script sur votre site (une seule ligne de code)
- Taguer vos scripts tiers avec l'attribut
data-coco-categorypour le blocage automatique - Tester : vérifiez qu'aucun cookie non essentiel n'est déposé avant consentement
- Surveiller : les preuves de consentement sont stockées automatiquement en France
Vérifiez la conformité de votre bandeau actuel avec un scan gratuit COCORRIDOR, qui détecte les cookies déposés avant consentement et les scripts non bloqués.
Foire aux questions
Le Google Consent Mode basic est-il conforme CNIL ?
En mode basic, les tags Google ne se déclenchent qu'après consentement explicite. Aucune donnée n'est envoyée à Google sans consentement. Sur le plan du blocage préalable, c'est conforme. Le problème réside dans le transfert de données vers les États-Unis après consentement (problématique Cloud Act/FISA 702) et dans le fait que Google reste le destinataire des données de consentement elles-mêmes.
Faut-il un CMP si mon site n'utilise que Matomo en mode exempté ?
Si Matomo est votre seul outil d'analyse et qu'il est configuré en mode exempté CNIL (pas de cookies, données anonymisées, pas de transfert hors UE), vous n'avez techniquement pas besoin de bandeau de consentement pour l'analytics. Cependant, si votre site utilise d'autres cookies (fonctionnels, intégrations tierces, vidéos embedées, boutons de partage), un CMP reste nécessaire pour ces éléments.
Combien coûte la mise en place d'un CMP souverain ?
Les solutions open source (Tarteaucitron, Orejime) sont gratuites mais nécessitent une intégration manuelle. Les CMP SaaS souverains varient de 0 € (inclus dans l'offre PRO COCORRIDOR) à 200 €/mois (Didomi, pour les grands sites). Pour une PME typique, le coût se situe entre 0 et 20 € par mois. L'installation prend entre 30 minutes et 2 heures selon la complexité du site.
Mon CMP actuel est Cookiebot. Dois-je le changer ?
Cookiebot (désormais intégré à Usercentrics, entreprise allemande) est un CMP européen conforme CNIL. Le principal reproche : il utilise Akamai (CDN américain) pour servir son script, ce qui implique un transfert de données techniques (IP) vers les États-Unis. Si la souveraineté complète est votre objectif, un CMP français (COCORRIDOR, Axeptio, Tarteaucitron) offre une meilleure garantie. Si votre priorité est la conformité CNIL au sens strict, Cookiebot reste acceptable.