Google Consent Mode v2 en Suisse : guide de mise en œuvre

Qu'est-ce que Google Consent Mode v2 ?

Google Consent Mode v2 (GCM v2) est un mécanisme introduit par Google qui permet à vos balises Google (Google Analytics, Google Ads, Floodlight, etc.) d'adapter leur comportement en fonction des choix de consentement exprimés par vos visiteurs. Plutôt que de bloquer entièrement les balises lorsque le consentement est refusé, GCM v2 permet à Google de collecter des données agrégées et anonymisées à des fins de modélisation — tout en respectant la décision de l'utilisateur.

Annoncée en novembre 2023, cette mise à jour majeure est devenue obligatoire pour les annonceurs utilisant les fonctionnalités de personnalisation et de remarketing de Google à partir de mars 2024. Elle introduit deux nouveaux signaux de consentement en plus des deux existants.

Les 4 signaux de consentement de GCM v2

Google Consent Mode v2 s'articule autour de quatre paramètres de consentement distincts :

1. ad_storage

Contrôle le stockage des cookies liés à la publicité (par exemple, les cookies de conversion Google Ads). Si refusé, les cookies publicitaires ne sont pas écrits.

2. analytics_storage

Gère les cookies analytiques de Google (Google Analytics 4, Universal Analytics). En cas de refus, les sessions ne sont pas associées à un identifiant persistant.

3. ad_user_data (nouveau dans v2)

Détermine si les données comportementales de l'utilisateur peuvent être envoyées à Google à des fins publicitaires. Ce signal concerne notamment les listes de remarketing et la correspondance de clients.

4. ad_personalization (nouveau dans v2)

Contrôle si Google peut utiliser les données de l'utilisateur pour la personnalisation des annonces (remarketing, audiences similaires). Un refus empêche la création de profils publicitaires personnalisés.

Ces quatre signaux doivent tous être configurés correctement dans votre implémentation GCM v2 pour être conforme aux exigences de Google.

Mode basique vs mode avancé : quelle différence ?

Mode basique : les balises ne se déclenchent que si le consentement est accordé. Aucune donnée n'est transmise en cas de refus. Solution plus simple, mais vous perdez toute visibilité sur les conversions non consenties.

Mode avancé : les balises se déclenchent dès le chargement de la page avec des capacités réduites. Google peut collecter des signaux anonymisés (sans identifiants personnels) même sans consentement, puis modéliser les conversions manquantes. Ce mode nécessite que votre politique de confidentialité mentionne explicitement cette collecte de données agrégées.

Pour la majorité des entreprises suisses avec des campagnes Google Ads actives, le mode avancé offre un meilleur équilibre entre conformité et performance marketing.

GCM v2 est-il obligatoire pour les sites web suisses ?

La réponse courte : oui, si vous utilisez Google Ads avec du remarketing ou si vous ciblez des utilisateurs dans l'Espace Économique Européen (EEE).

Voici la situation précise :

• Si vous utilisez Google Ads pour le remarketing, les audiences similaires ou la personnalisation : Google exige la mise en place de GCM v2. Sans cela, vos fonctionnalités de remarketing seront désactivées.
• Si vous ciblez des utilisateurs dans l'UE/EEE : le règlement sur les données européen (RGPD) et les politiques publicitaires de Google rendent GCM v2 indispensable.
• Si vous utilisez uniquement Google Analytics sans publicité : GCM v2 reste très fortement recommandé pour la conformité, même si ce n'est pas formellement obligatoire.

Contexte suisse : la nLPD

La nouvelle Loi sur la Protection des Données (nLPD), en vigueur depuis le 1er septembre 2023, impose des exigences de transparence et de consentement similaires au RGPD pour certains traitements de données. Bien que la nLPD ne soit pas le RGPD, elle exige :

• Une information claire sur les finalités du traitement des données personnelles
• Un consentement libre, spécifique, éclairé et univoque pour les traitements non nécessaires
• La possibilité de retirer le consentement facilement

GCM v2, couplé à une bannière de consentement conforme à la nLPD, vous permet de satisfaire ces exigences tout en maintenant la performance de vos campagnes Google.

Interaction entre GCM v2 et la nLPD

La nLPD et GCM v2 sont complémentaires, mais il est important de comprendre leurs articulations :

Ce que GCM v2 fait pour vous : il signale à Google les choix de consentement de vos utilisateurs, permettant à vos balises de fonctionner de manière appropriée selon ces choix.

Ce que la nLPD exige en plus :

1. Une bannière de consentement présentant des options claires (accepter/refuser/personnaliser)
2. Une politique de confidentialité à jour mentionnant l'utilisation de Google Analytics, Google Ads et du mode consentement avancé si applicable
3. Un journal d'audit des consentements pour prouver la conformité en cas de contrôle
4. La possibilité de retirer le consentement aussi facilement qu'il a été accordé

Attention : GCM v2 seul ne suffit pas pour la conformité nLPD. Il doit être intégré dans une stratégie globale de gestion du consentement avec une CMP (Consent Management Platform) adaptée.

Mise en œuvre technique de GCM v2

Via Google Tag Manager (GTM)

La méthode la plus courante pour les sites suisses utilisant GTM :

Étape 1 : Créer la balise de consentement par défaut

Créez une balise HTML personnalisée qui s'exécute au tout début (priorité maximale) :

<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}

  // Paramètres par défaut : tout refusé
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'wait_for_update': 500
  });
</script>

Étape 2 : Mettre à jour le consentement depuis votre CMP

Une fois que l'utilisateur a fait ses choix, envoyez la mise à jour :

gtag('consent', 'update', {
  'ad_storage': userAcceptedAds ? 'granted' : 'denied',
  'analytics_storage': userAcceptedAnalytics ? 'granted' : 'denied',
  'ad_user_data': userAcceptedAds ? 'granted' : 'denied',
  'ad_personalization': userAcceptedAds ? 'granted' : 'denied'
});

Via gtag.js directement

Si vous n'utilisez pas GTM, intégrez directement dans votre code :

<!-- Dans le <head>, avant tout autre script Google -->
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied'
  });
</script>
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>

Intégration avec une CMP

La CMP est le maillon central : elle collecte le consentement de l'utilisateur et transmet les signaux appropriés à GCM v2. Une CMP conforme doit :

1. Afficher la bannière de consentement avant tout déclenchement de balises
2. Stocker les choix de l'utilisateur de manière persistante
3. Appeler gtag('consent', 'update', {...}) immédiatement après le choix
4. Respecter les préférences sauvegardées lors des visites suivantes
5. Permettre la révocation du consentement depuis la politique de confidentialité

PrivaGuard CMP : support natif de GCM v2

La CMP PrivaGuard a été conçue dès le départ pour la conformité suisse nLPD et intègre nativement Google Consent Mode v2. Voici ce qu'elle gère automatiquement :

• Initialisation des défauts : les quatre signaux GCM v2 sont configurés en mode denied avant le chargement de toute balise
• Mise à jour en temps réel : dès que l'utilisateur accepte ou refuse des catégories, les signaux GCM v2 sont mis à jour instantanément
• Persistance des préférences : le cookie _pg_consent stocke les choix et les signaux corrects sont renvoyés à chaque visite
• Compatibilité GTM et gtag.js : fonctionne avec les deux méthodes d'implémentation
• Trilinguisme : FR/DE/EN intégré, adapté au marché suisse romand, alémanique et anglophone
• Mode avancé ou basique : configurable selon vos besoins depuis le tableau de bord PrivaGuard
• Journal d'audit : chaque consentement est enregistré pour la traçabilité nLPD

L'intégration se fait en quelques minutes via un simple script dans votre <head> :

<script
  src="https://cdn.privaguard.ch/cmp.js"
  data-site-id="votre-site-id"
  async>
</script>

Vérification avec Google Tag Assistant

Après l'implémentation, vérifiez que tout fonctionne correctement :

1. Installez Google Tag Assistant (extension Chrome) ou utilisez le mode Aperçu de GTM
2. Naviguez sur votre site sans accepter les cookies
3. Vérifiez que les balises Google Ads et GA4 apparaissent en état "Consent Pending" ou ne se déclenchent pas
4. Acceptez le consentement analytique et vérifiez que analytics_storage passe à granted
5. Utilisez le rapport de consentement dans Google Analytics 4 (Admin > Flux de données > Vérification du tag)
6. Vérifiez le dataLayer dans la console : window.dataLayer doit contenir les événements de consentement corrects

Erreurs fréquentes à éviter

1. Ne pas initialiser les défauts avant le chargement des balises C'est l'erreur la plus courante. Si le script GCM v2 se charge après vos balises Google, des données peuvent être collectées avant que les paramètres de consentement soient appliqués. Utilisez toujours l'ordre de chargement correct.

2. Oublier ad_user_data et ad_personalization Les anciens guides ne mentionnent que ad_storage et analytics_storage. GCM v2 exige les quatre signaux. Un oubli entraîne la désactivation des fonctionnalités de remarketing.

3. Négliger le paramètre wait_for_update En mode avancé, wait_for_update: 500 (millisecondes) donne à votre CMP le temps de lire les préférences sauvegardées avant que les balises ne se déclenchent. Sans cela, les retours sur le site sont traités comme de nouveaux visiteurs sans consentement.

4. Confondre GCM v2 et conformité totale GCM v2 est un outil technique, pas un cadre juridique. Il ne remplace pas une politique de confidentialité conforme, une bannière de consentement adéquate ou un registre de traitements.

5. Ne pas tester en navigation privée Testez toujours votre implémentation en navigation privée pour simuler un nouveau visiteur sans cookies préexistants.

6. Ignorer les utilisateurs mobiles Vérifiez que votre CMP et votre implémentation GCM v2 fonctionnent correctement sur mobile, où les comportements de stockage des cookies peuvent différer.

Checklist de conformité GCM v2 pour la Suisse

• Les quatre signaux GCM v2 sont initialisés en mode denied avant tout chargement de balise
• La CMP met à jour les signaux GCM v2 en fonction des choix de l'utilisateur
• Le mode avancé ou basique est configuré selon votre stratégie
• La politique de confidentialité mentionne l'utilisation de GCM v2
• Les préférences de consentement sont sauvegardées et respectées lors des visites suivantes
• Le retrait du consentement est aussi simple que son accord
• Un journal d'audit des consentements est maintenu (exigence nLPD)
• L'implémentation est testée avec Google Tag Assistant

Votre site web est-il conforme à la nLPD et à Google Consent Mode v2 ? Utilisez PrivaScan pour analyser gratuitement vos cookies, trackers et l'état de votre bannière de consentement en quelques secondes — sans installation, sans engagement.