Le Google Consent Mode a récemment fait l’actualité, notamment à l’occasion de la sortie de sa V2 en mars 2024. Il vient répondre aux obligations du Digital Market Act (DMA).
Pour faire simple : la récolte des données sur un site web est encadrée juridiquement. La nécessité d’obtenir le consentement de l’utilisateur et de contrôler l’usage de ses données est un enjeu très important pour la CNIL notamment, mais aussi à l’échelle de l’Union Européenne. Google a donc dû mettre en place le Google Consent Mode pour permettre en premier lieu de communiquer le choix de consentement à Google.
Si le tracking server-side est une réponse aux limitations technologiques, le consentement lui ne peut être outrepassé sur Google Ads. Sans Consent Mode, vous n’aurez pas la possibilité de mettre en place des actions de remarketing ni le suivi avancé des conversions. Il est une obligation pour tout webmarketeur et doit être impérativement être mis en place sur la totalité des sites web. Mais quelles sont les obligations légales liées au Consent Mode ? Comment fonctionne-t-il et comment le mettre en place ? Dans cet article, je vous dis tout pour que vous soyez en mesure de maîtriser le Google Consent Mode à la perfection.
Qu’est-ce que le Google Consent Mode ?
Définitions
Le Google Consent Mode est une fonctionnalité introduite par Google en septembre 2020, pour répondre aux exigences européennes de protection des données digitales.
Il permet de modéliser des données issues des visiteurs ayant refusé les cookies sur un site web l’ayant implémenté. Pour rappel, le bandeau de cookies est lui aussi une obligation.
Le GCM s’applique pour l’instant uniquement aux outils Google, à savoir :
- Google Analytics 4
- Google Ads
- Google Floodlight
- Google Conversion Linker
Le Google Consent Mode est en lien avec la Consent Management Platform, aussi appelée CMP. C’est la CMP qui gère le consentement des cookies sur un site web. Les CMP les plus connues sont :
- Cookiebot
- Didomi
- OneTrust
- Axeptio
- Trust Commander
Si l’utilisateur accepte les cookies, le Consent Mode est tout de même actif mais il n’y a alors pas de modélisation, le signal étant positif. Si en revanche s’il refuse le consentement, les données sont collectées de façon anonymisée et servent à construire la modélisation dans les outils Google compatibles.
Fonctionnement du Google Consent Mode selon l’acceptation ou non des cookies. Pour le GCM basique ou avancé, vous retrouverez les explications plus bas.
Cadre légal : le Consent Mode face au Digital Market Act
D’un point de vue légal,le Google Consent Mode a été rendu (presque) obligatoire par Google en réaction aux exigences du Digital Market Act (DMA). Le DMA vise à réguler les grandes plateformes numériques pour assurer une concurrence équitable. Il a été mis en place et rendu obligatoire par l’Union Européenne le 6 mars 2024 pour lutter contre les pratiques anticoncurrentielles des GAFAM, de ByteDance (qui possède Tiktok) et de Booking. Le but : corriger les déséquilibres de leur domination sur le marché numérique européen.
À l’occasion du Digital Market Act, plusieurs autres obligations et interdictions ont par ailleurs été mises en place par l’Union Européenne, au-delà du Google Consent Mode.
Quelles évolutions entre le Consent Mode V1 et le Consent Mode V2 ?
Le Consent Mode V1 (aussi appelée version bêta) comportait 2 informations ou signaux liés au consentement que Google nous demandait de transmettre via les tags (balises Google), avec les valeurs “granted” en cas d’accord, et “denied” en cas de refus :
analytics_storage : l’utilisateur autorise-t-il la lecture et l’écriture de cookies dans son navigateur pour des besoins de mesure d’audience ?
ad_storage : l’utilisateur permet-il la lecture et l’écriture de cookies pour des besoins publicitaires ?
Pour information, une balise Google (gtag.js) est un bout de code JavaScript qui, lorsqu’il est déclenché/exécuté sur un site web, envoie des données à un produit Google par l’intermédiaire d’une requête HTTPS, aussi appelée hit.
Pour en revenir à la différence entre la V1 et la V2, il faut comprendre que la V2 s’inscrit dans la continuité de la V1. Avec le Consent Mode V2, 2 nouveaux signaux liés au consentement ont été créés en plus des précédents :
ad_user_data : l'utilisateur consent-il à ce que ses données personnelles soient utilisées à des fins publicitaires ? On parle ici du user_id, des données utilisateur hachées (comme l’email par exemple). Ce signal est important pour le suivi avancé des conversions ou du partage des fonctionnalités entre Google Ads et Google Analytics.
ad_personalization : l'utilisateur consent-il à ce que ses données soient utilisées à des fins de remarketing ? Ce signal est très important si vous souhaitez mener une campagne Google Performance Max de remarketing par exemple puisque si l’utilisateur refuse l’utilisation de ses données, il ne pourra pas être retargeté.
Schéma issu de la documentation de Google, expliquant les 4 signaux du Google Consent Mode.
Concrètement, la V2 permet à Google de vous proposer des rapports plus précis sur ses produits en ajoutant des données modélisées afin de combler les données manquantes dues au non-consentement de certains de vos utilisateurs. Avec un Google Consent Mode V2 correctement paramétré, ce sont 80 % des données nécessaires à la gestion des campagnes publicitaires via les outils Google (Google Ads en tête) qui sont alors récupérées.
Parmi les données anonymes transmises en cas de non consentement via la V2 du Google Consent Mode, on trouve notamment :
- L’adresse IP pour déduire le pays de l’utilisateur (non stockée ensuite),
- Le User Agent pour déduire le type de navigateur et d’appareil,
- Le referrer, le timestamp,
- L’URL de la page (et donc le nom de domaine du site)
- L’information de consentement.
H3 : Deux modes de fonctionnement du Consent Mode : basique et avancé
Le Google Consent Mode fonctionne en interaction avec la plateforme de gestion du consentement en ajustant ensuite le comportement des balises Google vues plus haut.
Par exemple, si un utilisateur refuse le consentement pour les cookies publicitaires, le Google Consent Mode garantit qu'aucun nouveau cookie publicitaire ne sera écrit et qu'aucun cookie publicitaire existant ne sera lu. À la place, des pings sans cookies sont envoyés à Google, qui sont utilisés pour estimer le trafic du site web. Cette méthode permet au site qui l’installe de respecter le choix de l'utilisateur tout en continuant à collecter des données précieuses pour l'analyse et la publicité.
Schéma issu de la documentation officielle de Google qui explique le fonctionnement du Google Consent Mode
Mais deux modes de consentement peuvent être mis en place.
- Le mode de consentement basique suit la logique suivante (voir schéma plus haut) : some text
- L’utilisateur consent à tout -> le tracking normal s’opère
- L’utilisateur ne consent à rien -> pas de tracking
Le consentement basique est plus strict puisqu’il va bloquer tous les tags Google tant que le consentement ne sera pas donné ou refusé. Toutefois, une modélisation des données sera tout de même effectuée à partir de votre base utilisateur consenti mais de manière moins precise, Google n’étant pas capable d’estimer avec précision le trafic consenti du trafic réél.
- Le mode de consentement avancé suit la logique suivante : some text
- L’utilisateur consent à tout -> tracking normal
- L’utilisateur ne consent à rien -> ping sans cookies + modélisation
Derrière ces termes qui font peur se cachent une décision simple : souhaitez-vous bloquer toute information vers Google avant que le consentement utilisateur ne soit donné ?
Voici l’explication officielle de Google sur le fonctionnement de la modélisation :
“ Lorsqu'un utilisateur n'accepte pas les cookies Ads ni les cookies Analytics, le mode Consentement ajuste, à l'aide de l'IA de Google, le comportement des balises Google pertinentes pour ne pas lire ni écrire de cookies pour la publicité ou l'analyse.”
Schéma explicatif de Google expliquant plus en profondeur les différences entre le Consent Mode Advanced et le mode basique.
Mise en place du Consent Mode
Les pré-requis pour sa mise en place
Paramétrer le Google Consent Mode ne suffit pas. Il y a 2 pré-requis indispensables à son bon fonctionnement.
- Tout d'abord, vous devez avoir un système de gestion du consentement capable d'interagir avec le Consent Mode. Si ce n’est pas le cas, il est toutefois possible de configurer le GCM, mais cela demandera une mise en place plus avancée dans Google Tag Manager.
- Ensuite, vous devez utiliser des balises Google pour les produits Google Analytics, Google Ads, Floodlight, et Conversion Linker, car ce sont ces seules balises qui sont compatibles avec le Consent Mode et peuvent ajuster leur comportement en fonction du consentement de l'utilisateur.
Une fois ces deux conditions validées, il reste ensuite le plus important : le volume ! Si Google Ads et Google Floodlight n’auront pas besoin de volume minimum pour fonctionner, en revanche ce n’est pas le cas de la modélisation dans Google Analytics 4. En effet, le Google Consent Mode Avancé ne fonctionnera pas sur tous les sites et cela en raison de paliers d’événements/visites à franchir.
Il sera nécessaire d’avoir :
- 1000 évènements quotidiens réalisés par des utilisateurs n’ayant pas donné leur consentement (analytics_storage: ‘denied’) pendant au moins 7 jours.
- 1000 visiteurs quotidiens acceptant le consentement (analytics_storage=‘granted’) pendant au moins 7 jours durant les 28 derniers jours.
Si vous respectez ces conditions, vous serez donc éligible à la modélisation et donc le Google Consent Mode avancé. Un bandeau informatif apparaîtra alors dans GA4, dès que cette modélisation sera active.
Si vous ne respectez pas ces conditions, pas de panique, vous mettrez alors en place le Consent Mode Basique. Vous aurez cependant une remontée des données moins qualitatives.
Certaines fonctionnalités ne sont en revanche pas compatibles avec les données modélisées, et ce, peu importe votre volume d’évènements ou de visites :
- Audiences
- Explorateur d'utilisateurs, exploration des cohortes et de la durée de vie des utilisateurs
- Segments avec une séquence
- Rapport sur la fidélisation
- Métriques prédictives
- Exportation de données (par exemple, BigQuery Export)
Le Consent Mode dans GA4 et Google Ads
Le cas de Google Ads
La modélisation n’est pas automatique pour Google Ads. Il y a en effet des conditions de volumétrie propre à la régie publicitaire :
- Le seuil de clics quotidiens sur les annonces est de 700 clics sur une période de sept jours, par pays et par groupe de domaines.
Sans ces pré requis, vous n’aurez donc pas accès au mode avancé du Consent Mode.
Le cas de GA4
Comme pour Google Ads, des conditions sont requises pour avoir accès à la modélisation pour GA4.
Les voici :
- La propriété doit collecter au moins 1 000 événements par jour, avec le paramètre analytics_storage='denied' défini pendant au moins sept jours.
- La propriété doit avoir au moins 1 000 utilisateurs par jour envoyant des événements, avec le paramètre analytics_storage='granted' défini pendant au moins 7 des 28 jours précédents.