Google Tag Manager et RGPD : configuration conforme
Configurer Google Tag Manager en conformité RGPD : déclenchement conditionnel des tags, intégration CMP, consent mode et bonnes pratiques.
Google Tag Manager et RGPD : configuration conforme
Google Tag Manager (GTM) est l’outil de gestion de balises le plus utilise au monde, déployé sur des millions de sites web. Son rôle est de centraliser le déploiement et la gestion des scripts tiers – analytics, publicité, retargeting, pixels de conversion – sans intervention directe dans le code source. Or, la plupart de ces scripts deposent des traçeurs soumis au consentement préalable de l’utilisateur. La configuration de GTM constitue donc un maillon critique de la conformité RGPD et ePrivacy. Un GTM mal configure peut rendre non conforme l’intégralité de l’écosystème de traçeurs du site, indépendamment de la qualité de la CMP déployée.
GTM ne déposé pas de cookies : un malentendu a dissiper
La nature technique de GTM
Google Tag Manager est un conteneur qui orchestré le chargement de scripts tiers. En lui-même, le conteneur GTM ne déposé aucun cookie sur le terminal de l’utilisateur. Le script gtm.js qui constitue le conteneur ne cree pas de traçeurs. Ce sont les balises (tags) configurées à l’intérieur du conteneur qui, une fois déclenchées, deposent des cookies et collectent des données : Google Analytics, Google Ads, Facebook Pixel, LinkedIn Insight Tag, et tout autre outil marketing.
Pourquoi cette distinction est essentielle
Cette distinction technique à une conséquence juridique majeure : GTM en lui-même n’est pas soumis au recueil du consentement au titre de l’article 82 de la loi Informatique et Libertés (article 5.3 de la directive ePrivacy). Le conteneur peut se charger sans consentement préalable. En revanche, chaque balise à l’intérieur du conteneur doit être évaluée individuellement pour déterminer si elle déposé des traçeurs soumis à consentement.
La CNIL a confirmé cette analyse. Le chargement du conteneur GTM est licite sans consentement, à condition qu’aucune balise soumise à consentement ne se déclenche avant que ce consentement ne soit effectivement recueilli. C’est la configuration interne du conteneur qui détermine la conformité.
Architecture conforme : les principes fondamentaux
Le déclenchement conditionnel
Le principe cardinal de la conformité GTM est le déclenchement conditionnel des balises en fonction du statut de consentement. Chaque balise doit être associée à un déclencheur qui verifie le signal de consentement avant de s’exécuter. Ce mécanisme repose sur l’interaction entre la CMP et GTM via le dataLayer.
Concrètement, la CMP (Axeptio, Didomi, Cookiebot, OneTrust) transmet au dataLayer un évènement et des variables indiquant les catégories de traçeurs acceptées par l’utilisateur. GTM utilise ces informations pour déclencher ou bloquer les balises correspondantes. Pour le choix et la configuration d’une CMP, consultez notre guide sur les CMP et la gestion du consentement.
Les trois catégories de balises
La configuration conforme implique de classer chaque balise dans l’une des trois catégories suivantes :
Les balises exemptées sont les scripts strictement nécessaires au fonctionnement du site. Elles n’ont pas besoin de consentement et peuvent se déclencher immédiatement : equilibrage de charge, authentification, panier d’achat, sécurité. Ces balises sont rares dans GTM, car la plupart des scripts strictement nécessaires sont intégrés directement dans le code source.
Les balises soumises à consentement constituent la majorité des balises GTM : analytics (Google Analytics, Adobe Analytics), publicité (Google Ads, Facebook Ads, LinkedIn Ads), retargeting, A/B testing avec collecté de données. Elles ne doivent se déclencher qu’après consentement explicité pour la catégorie correspondante.
Les balises de mesure d’audience exemptées concernent les outils de mesure d’audience configures conformément aux recommandations de la CNIL pour bénéficier de l’exemption de consentement (finalité limitée à la mesure d’audience, pas de recoupement avec d’autres traitements, durée de vie des cookies limitée à 13 mois). Seuls certains outils correctement configures peuvent prétendre à cette exemption. GA4 ne bénéficie pas de cette exemption dans sa configuration standard.
Google Consent Mode v2
Fonctionnement du Consent Mode
Le Google Consent Mode est un mécanisme développé par Google pour intégrer les signaux de consentement dans le fonctionnement de ses balises (Google Analytics, Google Ads). Il fonctionne via deux paramètres principaux :
- analytics_storage : contrôle le dépôt des cookies Google Analytics.
- ad_storage : contrôle le dépôt des cookies publicitaires Google Ads.
Deux paramètres supplémentaires ont été ajoutés dans la version 2 :
- ad_user_data : contrôle l’envoi de données utilisateur a Google à des fins publicitaires.
- ad_personalization : contrôle la personnalisation des annonces.
Lorsque le consentement est refusé, le Consent Mode transmet des pings anonymises (sans cookies, sans identifiant persistant) a Google, qui utilise des modèles statistiques pour estimer les conversions manquantes. Ce mécanisme de “modélisation” soulevé des questions de conformité car il implique toujours la collecte de données (adressé IP tronquee, référent, user-agent), même en l’absence de consentement.
Conformité du Consent Mode avec le droit français
La position de la CNIL sur le Consent Mode n’est pas totalement clarifiée. Les pings envoyés en mode “denied” (sans consentement) collectent des informations qui, même anonymisées partiellement, constituent un accès aux informations stockées dans le terminal de l’utilisateur. L’article 82 de la loi Informatique et Libertés visé tout accès ou inscription d’informations, ce qui inclut potentiellement la lecture du user-agent et d’autres informations techniques.
L’approche la plus sécurisante consiste à ne charger aucune balise Google avant le consentement. Si le Consent Mode est utilisé, il est recommandé de configurer les états par défaut sur “denied” pour tous les paramètres et de ne mettre à jour ces états qu’après le recueil du consentement positif. La CNIL surveille activement ces pratiques et pourrait publier des recommandations spécifiques. Pour les enjeux spécifiques a Google Analytics, consultez notre guide sur GA4 et le RGPD.
Guide de configuration pas a pas
Étape 1 : Définir les variables de consentement
Créer dans GTM des variables de couche de données (dataLayer variables) correspondant aux catégories de consentement définies par votre CMP. Par exemple : consent_analytics, consent_marketing, consent_préférences. Ces variables doivent refléter fidèlement le choix de l’utilisateur tel que transmis par la CMP.
Étape 2 : Créer les déclencheurs conditionnels
Pour chaque catégorie de consentement, créer un déclencheur d’évènement personnalisé qui se déclenche lorsque la variable de consentement correspondante est positive. Le déclencheur doit être configure pour se déclencher sur l’évènement pousse par la CMP (par exemple, “consent_update” ou “cookie_consent_update”) et doit vérifier que la variable de consentement est égale a “true” ou “granted”.
Étape 3 : Associer les balises aux déclencheurs
Chaque balise doit être associée au déclencheur conditionnel de sa catégorie. La balise Google Analytics doit utiliser le déclencheur “consent_analytics = true”. Le pixel Facebook et le LinkedIn Insight Tag doivent utiliser le déclencheur “consent_marketing = true”. Aucune balise soumise à consentement ne doit avoir comme déclencheur le simple chargement de page (All Pages) sans condition de consentement.
Étape 4 : Configurer le Consent Mode (si utilise)
Si vous optez pour le Google Consent Mode, configurer les paramètres par défaut dans la balise d’initialisation du consentement. Tous les paramètres doivent être sur “denied” par défaut. Créer ensuite une balise de mise à jour du consentement qui modifie les paramètres en “granted” lorsque l’utilisateur accepté les catégories correspondantes via la CMP.
Étape 5 : Tester rigoureusement
Le mode Apercu de GTM permet de vérifier le comportement de chaque balise. Tester systématiquement trois scénarios : refus total (aucune balise soumise à consentement ne doit se déclencher), acceptation partielle (seules les balises des catégories acceptées doivent se déclencher), et acceptation totale. Vérifier également le comportement lors d’une modification du consentement (retrait). Des outils externes comme l’extension CNIL CookieViz ou les outils de développement du navigateur permettent de vérifier l’absence de cookies non consentis.
Erreurs fréquentes à éviter
Le tag qui se déclenche avant le consentement
L’erreur la plus courante est le déclenchement d’une balise sur l’évènement “Page View” ou “DOM Ready” sans condition de consentement. Même une fraction de seconde suffit : si le tag se déclenche et déposé un cookie avant le recueil du consentement, le site est non conforme. Toutes les balises soumises à consentement doivent avoir un déclencheur conditionnel.
La confusion entré GTM cote serveur et consentement
Le server-side tagging via un conteneur GTM serveur ne dispense pas du consentement. Le fait que les données transitent par un serveur intermédiaire avant d’atteindre les plateformes tierces ne modifie pas la nature du traitement. Si les données collectées permettent d’identifier un utilisateur, les règles de consentement s’appliquent intégralement.
L’absence de mise à jour après modification du consentement
L’article 7.3 du RGPD prévoit que le retrait du consentement doit être aussi simple que son octroi. Si un utilisateur modifie ses préférences de cookies via la CMP, GTM doit réagir en temps réel : les balises dont le consentement a été retiré doivent cesser de se déclencher et les cookies correspondants doivent être supprimés. Cela nécessité une configuration spécifique que de nombreux sites négligent.
Les balises inactives mais non supprimées
Les balises en pause dans GTM ne sont pas supprimées : elles restent dans le conteneur et peuvent être réactivées par erreur. Un audit régulier du conteneur GTM est indispensable pour identifier et supprimer les balises obsolètes, les déclencheurs orphelins et les variables inutilisées. Cet audit contribue à la conformité et à la performance du site.
Audit de conformité du conteneur GTM
Un audit régulier du conteneur GTM doit être conduit pour vérifier la conformité. Il comprend l’inventaire exhaustif des balises et leur classification par catégorie de consentement, la vérification des déclencheurs conditionnels pour chaque balise, le test en environnement réel des trois scénarios de consentement, la vérification de la suppression des cookies lors du retrait du consentement, la documentation des résultats et la remédiation des non-conformités. Cet audit s’inscrit dans la démarche de conformité globale aux cookies et au RGPD.
FAQ
GTM est-il conforme au RGPD par défaut ?
Non. GTM est un outil neutre qui exécute les balises selon la configuration définie par l’administrateur. Il n’est ni conforme ni non conforme par nature. La conformité dépend entièrement de la manière dont les balises, déclencheurs et variables sont configures. Un GTM mal configure, avec des balises déclenchées sans condition de consentement, rend le site non conforme indépendamment de la qualité de la CMP. La responsabilité incombe intégralement au responsable du traitement.
Le Google Consent Mode suffit-il a assurer la conformité ?
Le Consent Mode ne suffit pas a lui seul. En mode “denied”, il transmet tout de même des données a Google (pings sans cookies). La conformité de ces pings avec l’article 82 de la loi Informatique et Libertés n’est pas certaine. L’approche la plus sécurisante consiste à bloquer intégralement les balises Google avant consentement. Si le Consent Mode est utilisé, il doit être configure avec tous les paramètres par défaut sur “denied” et couplé à une CMP qui ne transmet le signal “granted” qu’après consentement explicité.
Comment vérifier que les balises ne se declenchent pas avant le consentement ?
Plusieurs méthodes sont disponibles. Le mode Apercu de GTM permet de visualiser l’ordre de déclenchement des balises et les évènements qui les ont déclenchés. Les outils de développement du navigateur (onglet Application > Cookies et onglet Reseau) permettent de vérifier l’absence de cookies et de requêtes vers des serveurs tiers avant consentement. Des outils spécialisés comme CookieViz de la CNIL ou des scanners automatisés (Cookiebot Scanner, OneTrust Assessment) permettent un audit plus systématique. Il est recommandé de conduire ces tests après chaque modification du conteneur GTM.