Valider le Consent Mode Google v2 demande des vérifications techniques et juridiques précises : 4 paramètres, état initial denied, CMP certifiée, modélisation et tests réseau. Je détaille une checklist pratique et des méthodes de test pour corriger pertes d’audience, conversions modélisées et risques légaux.
Pourquoi vérifier l’implémentation du Consent Mode Google v2
Parce qu’une remontée apparente dans GA4 n’atteste ni conformité ni intégrité des données.
Beaucoup considèrent qu’un événement visible dans l’interface GA4 signifie que le Consent Mode v2 est correctement implémenté. Cependant, l’interface peut afficher des événements sans indiquer l’envoi des quatre paramètres v2 (ad_storage, analytics_storage, functionality_storage, personalization_storage), l’état initial du consentement, ni l’activation effective de la modélisation des conversions. Cela crée un faux sentiment de sécurité qui masque des lacunes techniques et juridiques.
- Piège fréquent : L’interface GA4 montre des hits mais ne prouve pas que la TCString (élément du cadre IAB TCF) a été transmise correctement, ni que les paramètres de consentement ont été envoyés au bon moment (avant le tag) ou que Google a déclenché la modélisation en cas de refus.
- Trois conséquences concrètes d’un mauvais setup :
- Première conséquence : Google Ads peut couper les audiences et le remarketing dans l’Espace économique européen (EEE) si les signaux de consentement ne sont pas conformes, réduisant la diffusion des campagnes ciblées.
- Deuxième conséquence : Pertes de conversions modélisées estimées entre 10 % et 30 % selon audits terrain, ce qui affecte la précision de l’attribution et les optimisations automatiques (ROAS, CPA).
- Troisième conséquence : Exposition juridique accrue avec risques d’observations ou d’amendes par les autorités de protection des données (par exemple la CNIL) si le consentement n’est pas correctement collecté et documenté.
- Sources officielles à consulter : Documentation Google Consent Mode v2 (Google Developers), Guides Google Ads/GA4 sur la modélisation des conversions (Google Support), Recommandations CNIL sur les cookies et traceurs (CNIL).
| GDPR | Réglementation européenne sur la protection des données personnelles (General Data Protection Regulation). |
| CMP | Consent Management Platform, outil qui collecte et gère le consentement des utilisateurs. |
| IAB TCF | Cadre de transparence et de consentement créé par l’IAB pour standardiser les échanges de consentement. |
| TCString | Chaîne encodée fournie par le TCF qui contient le statut de consentement et les finalités. |
| Modélisation des conversions | Méthode par laquelle Google estime les conversions manquantes à partir de signaux agrégés lorsque le consentement empêche l’envoi complet des données. |
| EEA | Espace économique européen, zone juridique où s’appliquent strictement les règles GDPR. |
Perte de ciblage, baisse du ROAS et ruptures d’attribution pèsent directement sur le business; c’est pourquoi un audit technique prioritaire permet de vérifier l’envoi des paramètres, la séquence d’appel des tags et l’activation réelle de la modélisation.
Formez-vous à Google Analytics !
Maîtriser Google Analytics est crucial pour comprendre votre audience, optimiser vos campagnes, améliorer l'expérience utilisateur et mesurer vos conversions... Gagnez du temps avec nos formations Google Analytics.
Passer maintenant à la checklist technique des contrôles à effectuer.
Quels sont les 7 contrôles essentiels à réaliser
Validation rapide et pragmatique pour que Consent Mode v2 respecte la vie privée sans casser la mesure. Voici les vérifications essentielles à faire, chacune avec tests et corrections pratiques.
Les 7 contrôles sont 1) envoyer les 4 paramètres v2, 2) état initial denied, 3) CMP certifiée et TCString IAB, 4) modélisation activée, 5) inspection des requêtes collect (gcs/gcd), 6) vérification des audiences Ads/remarketing en EEA, 7) tests serveurs/edge cases.
Contrôle 1 — Paramètres à envoyer
- Les quatre paramètres sont ad_storage, analytics_storage, ad_user_data, ad_personalization. Leur rôle est de décrire les permissions pour publicité, analytics, données utilisateurs et personnalisation.
- Ils apparaissent dans le payload réseau (ex. gtag ou dataLayer) comme consent={ad_storage: »denied »,analytics_storage: »granted »,…} ou dans la query string gcs/gcd.
- Valeurs GCS usuelles: G100 = refus total, G111 = consentement total. GCD contient lettres p/q/r/l: p/q = préférences/partage, r = requête complète, l = configuration incomplète (lock ou missing CMP).
| Contrôle 1 | Vérifier dataLayer/gtag et query string | Envoyer les 4 clés, corriger code CMP ou gtag init |
Contrôle 2 — État initial « privacy by default »
- Vérifier que l’état initial est denied: navig. privée, ne pas interagir avec la bannière, ouvrir Tag Assistant; valeur gcs initiale G100 et gcd contenant q ou p mais jamais r.
| Contrôle 2 | Test en navigation privée + Tag Assistant | Réinitialiser script CMP pour défaut denied |
Contrôle 3 — CMP et TCString IAB
- Vérifier CMP certifiée (ex. Axeptio, Cookiebot, Didomi, OneTrust, Usercentrics, CookieYes, TrustArc) et présence du TCString IAB v2.2 dans le réseau. Préparer migration IAB TCF v2.3 avant le 28 février 2026.
| Contrôle 3 | Chercher tcString dans les requêtes réseau | Mettre à jour CMP ou activer export TCString |
Contrôle 4 — Modélisation active
- Vérifier dans GA4 et Google Ads que la modélisation (consent-mode modelling) est activée. Si inactive, perte de conversions mesurées et baisse d’attribution.
| Contrôle 4 | Paramètres GA4 / Google Ads → mesures | Activer modélisation et vérifier rapports |
Contrôle 5 — Inspection des requêtes « collect »
- Utiliser Chrome DevTools, filtrer par « collect » ou « gcs » et vérifier la présence des champs consent dans le corps de la requête. Exemple typique:
https://www.google-analytics.com/g/collect?v=2&tid=G-XXXXXX&gcs=G100&gcd=qp~1| Contrôle 5 | DevTools → filter « collect », inspecter payload | Corriger envoi consent via gtag()/dataLayer |
Contrôle 6 — Audiences & remarketing en EEA
- Vérifier côté Google Ads que les audiences ne sont pas réduites: contrôler logs d’audience et trafic référent EEA, comparer périodes avant/après.
| Contrôle 6 | Rapports audiences Ads, segment EEA | Activer signals, vérif. param consent et modélisation |
Contrôle 7 — Cas particuliers
- Tester server-side (GTM server), SSR, crawlers et pages sans JS. S’assurer que l’état initial reste denied et que la mesure cookie-less (modélisation) prend le relais.
| Contrôle 7 | Tests end-to-end incluant bots et SSR | Adapter serveur GTM et headers consent, documenter exceptions |
Comment tester techniquement étape par étape
Suivez ces étapes de test en local puis en production : navigation privée, Tag Assistant, filtrage réseau collect, vérification TCString, simulation consent, validation GA4/Ads.
Ces tests valident que Consent Mode v2 transmet correctement l’état de consentement et que la modélisation se déclenche quand nécessaire.
- Étape 1 — Environnement et prérequis.
- Installer Chrome/Edge à jour et activer la fenêtre privée (Incognito).
- Ajouter l’extension Tag Assistant (Google) pour debug gtag/GTM.
- Avoir accès aux comptes GA4 et Google Ads, et au panneau d’administration de votre CMP (pour forcer états).
- Étape 2 — Test d’état initial (sans interaction).
- Ouvrir DevTools → Network. Appliquer le filtre texte « collect » (champ Filter). Charger la page en navigation privée.
- Cliquer sur la requête vers https://www.google-analytics.com/g/collect ou https://www.google-analytics.com/mp/collect.
- Vérifier Query String Parameters ou Request Payload : chercher les paramètres gcs et gcd dans l’URL, et/ou l’objet JSON « consent ».
- Attendu : gcs = G100 (indique l’état par défaut côté Google) et gcd contient les flags q/p (valeurs codées). Si l’utilisateur n’a pas interagi, ad_storage et analytics_storage doivent être « denied » ou « unknown ».
- Étape 3 — Test d’acceptation et de refus.
- Accepter la bannière puis filtrer à nouveau « collect ». Vérifier que ad_storage et analytics_storage passent à « granted » (ou « granted » équivalent) et que les champs nouveaux ad_user_data et ad_personalization apparaissent/reflettent l’état.
- Refuser et vérifier l’inverse : ad_storage/analytics_storage = « denied », absence ou valeur « denied » pour ad_user_data/ad_personalization.
- Étape 4 — Vérifier TCString IAB.
- Surveiller les requêtes vers l’endpoint de la CMP dans Network et chercher « tcString » ou « TCString » dans la réponse ou la requête. Présence = utilisateur a un TC String IAB rempli; absence = pas de TC String transmis.
- Étape 5 — Vérifier modélisation et remontée GA4/Ads.
- Utiliser GA4 DebugView et Realtime pour voir les événements et conversions. Surveiller les métriques « Conversions », « Users » et la colonne « Modeled conversions » dans Google Ads.
- Vérifier dans Admin > Data Settings > (paramètres de collecte / Consent Mode) que la modélisation est activée pour la propriété GA4.
Exemples JS :
gtag('consent', 'default', {
'ad_storage':'denied',
'analytics_storage':'denied',
'ad_user_data':'denied',
'ad_personalization':'denied'
});Cette commande initialise l’état par défaut (avant interaction).
gtag('consent', 'update', {
'ad_storage':'granted',
'analytics_storage':'granted',
'ad_user_data':'granted',
'ad_personalization':'granted'
});Cette commande applique l’état après acceptation.
- Tests côté server-side (GTM Server).
- Activer un tag de Log temporaire dans le container server pour afficher le payload entrant. Vérifier que le champ consent (ou les params gcs/gcd) est présent et que la tag GA4/server transmet ces valeurs vers Google.
- Vérifier les logs d’entrées et la requête sortante vers Google (mp/collect) pour la présence des mêmes paramètres de consent.
| Action | Résultat attendu |
| Filtre Network = « collect » | Voir requête vers g/collect ou mp/collect |
| Inspecter gcs/gcd | gcs = G100 et gcd contient q/p en état initial |
| Accepter bannière + gtag(‘consent’,’update’) | ad_storage/analytics_storage = granted; ad_user_data/ad_personalization présents |
| Vérifier GA4 DebugView | Événements remontés ; conversions modélisées si consent manquant |
Que faire si des anomalies sont détectées
Prioriser corrections sur l’état initial, la CMP certifiée et l’activation de la modélisation, puis monitorer.
Si des anomalies sont détectées dans le Consent Mode v2, appliquer un plan d’action opérationnel, méthodique et tracé pour limiter la perte de données et rétablir la conformité.
- Étape corrective 1 : Ajuster l’état initial sur denied via gtag/dataLayer/CMP et re-tester en navigation privée. La valeur initiale doit être « denied » pour éviter les collectes avant consentement. Tester en navigation privée évite l’influence du cache et des cookies.
- Étape corrective 2 : Config CMP – activer/enregistrer le TCString IAB. TCString = Transparency and Consent String, format standardisé par l’IAB pour transmettre le consentement. Vérifier que la CMP est certifiée Google (console CMP IAB) et mettre à jour la version TCF (TCF = Transparency and Consent Framework) si nécessaire.
- Étape corrective 3 : Corriger l’envoi des 4 paramètres v2 dans la couche de données ou le tag manager ; vérifier le snippet JS ci-dessous et l’adapter si besoin.
| Snippet à vérifier (exemple gtag/dataLayer) |
| window.dataLayer = window.dataLayer || []; |
| window.dataLayer.push({ |
| ‘event’: ‘consent_update’, |
| ‘ad_storage’: ‘denied’, /* ad_storage = publicité */ |
| ‘analytics_storage’: ‘denied’, /* analytics_storage = analytics */ |
| ‘personalization_storage’: ‘denied’, |
| ‘security_storage’: ‘granted’ |
| }); |
- Étape corrective 4 : Activer ou corriger la modélisation côté GA4/Google Ads. La modélisation permet d’estimer conversions manquantes lorsque le consentement fait défaut. Vérifier paramètres dans Admin > Data Settings > Consent Mode et activer modelling.
- Étape corrective 5 : Si server-side tagging, synchroniser développeurs back/front pour transmettre le consentement client (TCString/headers) et enregistrer logs horodatés pour audits.
- Étape corrective 6 : Tests de régression et monitoring : surveiller taux de consentement, delta de conversions modélisées, taille des audiences Ads en EEA (Europe économique area). Durée recommandée : 2 à 4 semaines après correction pour confirmer stabilité.
| Ticket modèle | |
| Titre | Fix Consent Mode v2 — état initial et envoi params |
| Description | Forcer état initial à denied, valider TCString CMP, corriger envoi ad/analytics/personalization/security et activer modélisation GA4. |
| Étapes de reproduction | 1) Ouvrir page en navigation privée; 2) Vérifier dataLayer; 3) Simuler refus de cookies; 4) Mesurer requêtes gtag. |
| Priorité | Haute |
Checklist finale (export CSV possible): « Tâche;Responsable;État;Date » — inclure : état initial=denied; TCString enregistré; CMP certifiée; 4 paramètres envoyés; modélisation activée; logs server-side; surveillance 2-4 semaines.
Si les anomalies persistent, faire appel à un expert pour audit et correction approfondie. Pour assistance, contactez-moi discrètement via mon point de contact habituel.
Prêt à sécuriser votre mesure et éviter pertes et risques légaux ?
Valider un Consent Mode Google v2 va bien au-delà de l’apparence des données dans GA4 : il faut envoyer les quatre paramètres, garantir un état initial denied, utiliser une CMP certifiée avec TCString, activer la modélisation et tester en conditions réelles (navigateur, serveur, edge cases). En appliquant la checklist et les tests décrits, vous réduisez les pertes d’audience et de conversions modélisées, et vous limitez les risques juridiques. Bénéfice immédiat pour votre business : données plus fiables, meilleures audiences et optimisation du ROAS.
FAQ
-
Le simple affichage d’événements dans GA4 suffit-il pour valider le Consent Mode ?
Non. GA4 peut afficher des événements même si les quatre paramètres v2 ne sont pas envoyés, si l’état initial est incorrect ou si la modélisation est inactive. Il faut vérifier les paramètres ad_storage, analytics_storage, ad_user_data et ad_personalization, l’état initial denied et la présence du TCString via la console réseau. -
Quels sont les quatre paramètres à contrôler en priorité ?
ad_storage, analytics_storage, ad_user_data et ad_personalization. Ces champs déterminent la manière dont Google traite les cookies, les identifiants et la personnalisation publicitaire et doivent apparaître dans les requêtes réseau (collect) et/ou dans la couche de données. -
Comment vérifier l’état initial par défaut ?
Ouvrez une fenêtre en navigation privée, ne touchez pas la bannière de cookies, lancez Tag Assistant ou inspectez DevTools (filtre « collect »). L’indicateur gcs initial doit être G100 et gcd doit contenir q ou p (jamais r). Toute valeur granted par défaut est non conforme au principe privacy by default. -
La CMP doit-elle être certifiée par Google et supporter IAB TCF ?
Oui. Utilisez une CMP certifiée par Google et qui émet un TCString IAB (v2.2 aujourd’hui, préparation à v2.3 recommandée). Cela garantit l’interopérabilité et la traçabilité du consentement auprès des plateformes publicitaires. -
Que faire en cas de pertes de conversions modélisées après changement du Consent Mode ?
Vérifiez d’abord la transmission complète des 4 paramètres et l’activation de la modélisation dans GA4/Ads. Ensuite corrigez l’état initial et la configuration CMP, testez en navigation privée et surveillez les métriques pendant 2 à 4 semaines. Si besoin, engagez un expert pour audit server-side et reconciliation des données.
A propos de l’auteur
Franck Scandolera — expert & formateur en Tracking avancé server-side, Analytics Engineering, Automatisation No/Low Code (n8n) et intégration de l’IA en entreprise. Responsable de l’agence webAnalyste et de l’organisme de formation Formations Analytics. Références : Logis Hôtel, Yelloh Village, BazarChic, Fédération Française de Football, Texdecor. Disponible pour aider les entreprises : contactez moi.
⭐ Analytics engineer, Data Analyst et Automatisation IA indépendant ⭐
- Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
- Data Analyst & Analytics engineering : tracking avancé (GA4, Matomo, Piano, GTM server, Tealium, Commander Act, e-commerce, CAPI, RGPD), entrepôt de données (BigQuery, Snowflake, PostgreSQL, ClickHouse), modèles (Airflow, dbt, Dataform), dashboards décisionnels (Looker, Power BI, Metabase, SQL, Python).
- Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
- Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.