ServicesÀ proposNotesContact Me contacter →
EN FR
Note

Exigences de confidentialité US pour Consent Mode

Pourquoi les sites uniquement US ont de plus en plus besoin de Consent Mode — les exigences produit Enhanced Conversions, l'expansion des lois sur la confidentialité au niveau des États, et la configuration régionale recommandée.

Planté
ga4google adsanalyticsdata quality

Consent Mode n’est pas légalement requis pour le trafic uniquement US en vertu de la loi fédérale actuelle. Deux facteurs poussent à l’implémentation dans tous les cas : les exigences produit de Google qui imposent des paramètres spécifiques pour Enhanced Conversions et le remarketing indépendamment de la géographie, et l’expansion de la législation sur la confidentialité au niveau des États qui converge vers un cadre de consentement national de facto.

Les exigences produit de Google

Même sans obligation légale, deux fonctionnalités produit de Google nécessitent les paramètres v2 :

Enhanced Conversions envoie des données personnelles hachées (adresse email, numéro de téléphone, adresse physique) à Google pour la correspondance d’identité avec la base d’utilisateurs de Google. Étant donné que des données personnelles sont traitées à des fins publicitaires, Google exige que le paramètre ad_user_data soit implémenté et défini sur granted avant d’utiliser ces données. Cette exigence s’applique quelle que soit la géographie de l’utilisateur.

Sans ad_user_data, les données Enhanced Conversions sont silencieusement abandonnées côté serveur. Votre implémentation semble fonctionner en mode preview, mais le pipeline de correspondance d’identité est désactivé. Enhanced Conversions fournit typiquement 5 à 15 % de conversions attribuées en plus, donc ce n’est pas une fonctionnalité mineure — cela affecte directement les performances d’optimisation de vos Google Ads.

Le remarketing nécessite le paramètre ad_personalization. Lorsque ce paramètre n’est pas défini sur granted, les audiences de remarketing cessent de se construire. Aucun nouvel utilisateur n’entre dans les listes d’audience, et l’appartenance aux audiences existantes n’est pas actualisée. Si vous diffusez des campagnes de retargeting via Google Ads, ce paramètre doit être présent et accordé pour les utilisateurs que vous souhaitez inclure dans les audiences.

Ce ne sont pas des exigences de conformité au sens RGPD. Ce sont des exigences produit que Google a liées à l’API Consent Mode. Si vous utilisez Enhanced Conversions ou le remarketing, vous avez besoin de Consent Mode v2 que vos utilisateurs soient dans l’UE ou non.

L’expansion du paysage de la confidentialité au niveau des États

Les États-Unis n’ont pas de loi fédérale globale sur la confidentialité, mais les États individuels comblent rapidement ce vide. Au début 2026 :

  • 20 États ont désormais des lois globales sur la confidentialité, et d’autres entrent en vigueur tout au long de 2026
  • 8 États exigent la reconnaissance du signal Global Privacy Control (GPC) du navigateur
  • La Californie, le Colorado et le Connecticut ont mené une enquête conjointe ayant abouti à des règlements à sept chiffres pour non-conformité

Les réglementations 2026 de la Californie ajoutent deux dispositions qui affectent directement les implémentations d’analytics et de publicité :

  1. Évaluations des risques obligatoires pour les activités de traitement des données impliquant des informations personnelles à des fins publicitaires
  2. Interdictions élargies des dark patterns — les boutons de consentement asymétriques (grand bouton “Accepter”, petit lien “Refuser”) sont explicitement cités comme non conformes

L’impact pratique : même si votre site ne cible que des utilisateurs américains, une portion significative et croissante de votre audience vit dans des États dotés de lois sur la confidentialité exigeant une forme de mécanisme de consentement ou d’opt-out pour l’utilisation des données publicitaires.

Les mécanismes spécifiques à la confidentialité US de Google

Google fournit deux mécanismes pour la conformité à la confidentialité US qui s’intègrent avec Consent Mode :

Le Restricted Data Processing (RDP) est le mécanisme de conformité CCPA de Google. Lorsqu’il est activé, Google limite la façon dont il utilise les données personnelles pour les utilisateurs concernés. Le RDP peut être déclenché via l’API Consent Mode ou via une configuration séparée dans Google Ads et GA4.

L’IAB Privacy Multi-State Privacy Agreement via les chaînes GPP fournit un moyen standardisé de communiquer les signaux de confidentialité US. La chaîne Global Privacy Platform (GPP) est le successeur de la chaîne US Privacy (spécifique au CCPA) et couvre plusieurs cadres d’État dans un seul signal.

Les CMP qui prennent en charge à la fois TCF v2.2 (pour l’EEE/Royaume-Uni) et GPP (pour les US) peuvent gérer les deux cadres réglementaires via la même bannière de consentement.

Configuration recommandée

La configuration recommandée utilise des valeurs par défaut spécifiques à la région qui respectent le modèle de consentement de chaque juridiction :

// EEE et Royaume-Uni : opt-in requis (refusé par défaut)
gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'region': ['EEA', 'GB'],
  'wait_for_update': 500
});


// Californie : modèle opt-out (accordé par défaut, fournir un opt-out)
gtag('consent', 'default', {
  'ad_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted',
  'analytics_storage': 'granted',
  'region': ['US-CA']
});


// Reste des US : accordé par défaut
gtag('consent', 'default', {
  'ad_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted',
  'analytics_storage': 'granted',
  'region': ['US']
});

Le paramètre region suit une règle du plus spécifique l’emporte : US-CA remplace le paramètre général US pour les utilisateurs californiens. Au fur et à mesure que d’autres États adoptent des lois sur la confidentialité, vous pouvez ajouter des entrées spécifiques à la région (par exemple, US-CO pour le Colorado, US-CT pour le Connecticut) sans changer la valeur par défaut plus large.

Pour les utilisateurs californiens, le mécanisme d’opt-out est crucial. Le consentement est accordé par défaut, mais les utilisateurs doivent avoir un moyen visible de refuser le consentement. Lorsqu’ils exercent ce droit (généralement via un lien “Do Not Sell My Personal Information” ou en envoyant le signal GPC), le CMP doit déclencher :

gtag('consent', 'update', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'granted'  // Analytics généralement autorisé
});

Notez que le stockage analytics reste souvent accordé dans le cadre de l’opt-out CCPA puisque l’utilisateur se désinscrit de la vente de données personnelles, pas de la mesure analytics. Cette distinction varie selon la loi de l’État et doit être examinée avec un conseiller juridique.

Portée de l’implémentation

La loi sur la confidentialité US s’étend : plus d’États, des exigences plus strictes, davantage d’application. Le travail d’implémentation est le même qu’il soit fait de manière proactive ou réactive :

  • Configurer des valeurs par défaut de consentement spécifiques à la région
  • S’assurer que le CMP prend en charge à la fois TCF v2.2 et GPP
  • Câbler le CMP pour envoyer les quatre paramètres v2
  • Ajouter des mécanismes d’opt-out pour les États qui les exigent