Consent Mode v2, 2 ans après : ce que les sanctions CNIL révèlent (et ce que je vois sur 25 comptes)

Deux ans après l’obligation Consent Mode v2 imposée par Google, une majorité d’annonceurs reste en situation de fragilité juridique et technique.

Sur les prospects qui viennent me voir pour confier leurs campagnes Google Ads à Elorion, au moins un sur deux arrive avec une CMP décorative, ou sans CMP du tout. La bannière s’affiche, les boutons existent, mais derrière, rien ne filtre.

Pendant ce temps, la CNIL a multiplié les sanctions par neuf en un an. Voici ce qu’elle reproche réellement aux entreprises, et ce que je vérifie sur chaque compte avant d’engager un euro de budget media.

2025, l’année où la CNIL a changé d’échelle

En 2025, la CNIL a prononcé 83 sanctions pour un total de 486,8 millions d’euros d’amendes. C’est près de neuf fois le montant cumulé de 2024 (55 millions d’euros). Sur ces 83 décisions, 21 concernaient directement les cookies et autres traceurs publicitaires.

Deux dossiers (Google et Shein) concentrent 98 % du montant total. Le reste se répartit sur 67 sanctions simplifiées qui visent des TPE, PME et professions libérales, dont la plupart restent confidentielles mais bien réelles. Sur ce segment PME, plus de 70 % des sanctions portent sur un seul reproche : refuser les cookies n’est pas aussi simple que les accepter.

Je constate la même chose en audit. La mise en demeure ne tombe pas parce qu’un site a « oublié » sa CMP. Elle tombe parce que la CMP installée ne fait pas son travail, et l’annonceur ne s’en rend pas compte.

Trois sanctions qui résument l’année

Trois décisions de 2025 dessinent une cartographie claire de ce que la CNIL traque sur le tracking publicitaire. Je les ai choisies parce qu’elles touchent des enjeux qu’on retrouve à toutes les échelles, du géant de la tech au commerçant local.

Google : 325 millions d’euros pour cookie wall et pubs non consenties

Le 1er septembre 2025, la CNIL a sanctionné Google de 325 millions d’euros via la délibération SAN-2025-004. Deux manquements distincts :

• l’affichage de publicités au format email entre les messages des utilisateurs Gmail, sans consentement préalable
• le dépôt de cookies publicitaires à la création d’un compte Google, conditionné à l’acceptation pour accéder au service

Ce dernier point est une première. La CNIL a sanctionné la pratique du « cookie wall » qui conditionne l’accès au service à l’acceptation des traceurs. Plus de 74 millions de comptes français concernés. L’injonction prévoit en plus 100 000 euros d’astreinte par jour si la mise en conformité tarde au-delà de six mois.

Shein : 150 millions d’euros pour bannière incomplète et dépôt avant choix

Le même jour, via la délibération SAN-2025-005, la CNIL a sanctionné Shein (Infinite Styles Services Co. Limited) de 150 millions d’euros. Le motif intéresse directement n’importe quel annonceur e-commerce :

• des cookies publicitaires étaient déposés dès l’arrivée sur shein.com, avant toute interaction avec la bannière
• la bannière proposait trois boutons « Paramètres », « Tout refuser » et « Accepter », mais sans informer l’utilisateur de la finalité publicitaire des cookies
• une seconde pop-up ne proposait qu’un bouton « accepter », sans information de finalité
• au second niveau de la bannière, aucune information sur l’identité des partenaires tiers susceptibles de déposer des cookies

Le montant tient compte des 12 millions de visiteurs mensuels français du site. Les griefs techniques (dépôt avant consent, information lacunaire sur les finalités, partenaires opaques) sont exactement ceux que je retrouve sur la moitié des sites annonceurs que j’audite.

67 sanctions simplifiées contre des PME

C’est la donnée la moins commentée et pourtant la plus parlante pour les annonceurs Elorion. La CNIL ne publie pas le détail nominatif de ces sanctions simplifiées, mais leur volume parle : 67 décisions en 2025, dont la majorité écrasante sur le sujet « refuser les cookies n’est pas aussi simple que les accepter » (source : Hogan Lovells, panorama 2025).

Une PME n’est pas à l’abri parce qu’elle est petite. La CNIL la contrôle plus vite, sanctionne plus vite, et veut industrialiser sa procédure de mise en conformité.

Les 5 erreurs que je vois sur les comptes que j’audite

Quand j’ouvre un compte Google Ads que je n’ai pas configuré moi-même, je commence toujours par le tracking et la conformité avant de regarder les campagnes. Cinq patterns reviennent dans la majorité des cas.

1. La CMP « décorative »

La bannière s’affiche, propose « accepter » et « refuser », mais derrière, aucun script n’est conditionné au choix de l’utilisateur. Les tags Google Ads, Meta Pixel et GA4 se chargent avant même que le bouton soit cliqué. Le visiteur croit refuser, vous croyez être en conformité, la réalité juridique et technique est la même : tout passe.

2. Les tags chargés avant le signal de consent

Variante plus subtile de la précédente. La CMP est en place, mais les tags Google se déclenchent sur « All Pages » dans GTM sans condition de consentement. Résultat : sur la première page vue, tout est déposé. Le consent arrive deux secondes trop tard.

3. Consent Mode v2 absent ou en mode basic

Le Consent Mode v2 est obligatoire depuis mars 2024 pour utiliser Google Ads à pleine capacité en Europe. Pourtant, sur les comptes que je récupère, la majorité tourne soit sans Consent Mode, soit en mode « basic » qui bloque les tags en cas de refus.

Smart Bidding tourne alors en aveugle sur 40 à 60 % du trafic. La modélisation Google n’a aucune donnée à exploiter. Les CPC montent, le ROAS chute, et personne ne fait le lien avec la conformité.

4. Le server-side qui contourne au lieu de respecter

Le server-side tagging est souvent vendu comme une parade au refus de consent, ce qui est un contresens technique et juridique. Un server-side bien configuré reçoit le signal de consent et ajuste son comportement en conséquence. Un server-side mal configuré devient un outil de contournement, et expose l’annonceur à une sanction plus lourde, l’intention de contourner étant démontrable côté technique.

5. La CMP gratuite laissée par défaut depuis 18 mois

Beaucoup d’annonceurs ont installé une CMP gratuite (celle de leur thème WordPress ou un plugin lambda) au moment où la pression CNIL est montée en 2023. Depuis, plus personne ne l’a touchée. Les listes de catégories sont périmées, les nouveaux scripts ajoutés au site ne sont pas mappés, la durée de mémorisation n’a pas été revue. La conformité s’est érodée sans bruit, et personne ne la regarde.

Ma méthode pour réconcilier conformité et performance

Beaucoup d’annonceurs voient la conformité comme une perte de données face à un objectif de performance. Faux problème. Une chaîne de tracking propre, sous Consent Mode v2 advanced, remonte souvent plus de conversions qu’un tracking historique cassé. Voici la méthode que j’applique sur chaque compte Elorion.

1. Une CMP qui filtre vraiment (et qui est auditable)

Je travaille avec SirData, partenaire technique d’Elorion sur la conformité (disclosure : Elorion est revendeur SirData). Deux raisons à ce choix. La CMP filtre les scripts en fonction du choix utilisateur, et la console permet de vérifier en quelques minutes que la conformité tient dans le temps. Une CMP qui n’est pas auditable est une CMP qu’on ne saura pas défendre face à un contrôle.

2. Consent Mode v2 en mode advanced

Le mode advanced envoie à Google des signaux pingués (sans données personnelles) même en cas de refus utilisateur. Google modélise alors les conversions manquantes. Vous récupérez entre 15 et 30 % de visibilité sur les conversions perdues, sans poser un seul cookie chez les utilisateurs qui ont refusé. Le dispositif est légal, performant, et pourtant sous-déployé sur la plupart des comptes que je récupère.

3. Un server-side qui respecte les signaux

Le server-side est la colonne vertébrale de la conformité moderne, pas une option à côté. Bien configuré, il reçoit le signal de consent côté client, et adapte les hits envoyés à Google et Meta en conséquence. Pour l’enjeu côté tracking pur (sans le volet RGPD), j’ai détaillé le sujet ici : Votre tracking perd entre 15 et 40 % de vos conversions.

4. Un audit de conformité tous les 90 jours

Les sites bougent, les scripts s’ajoutent, les CMP évoluent. Sans revue régulière, tout dérive en six mois. Je refais le point complet à chaque trimestre sur les comptes que je gère, en m’appuyant sur les nouveaux outils GTM 2026 qui simplifient ce travail (voir Google Tag Manager 2026 : ce qui change vraiment).

Cas concret : un hôtel-spa indépendant remis sur des données fiables

Ce cas est anonymisé, mais factuel. J’ai récupéré la gestion publicitaire d’un hôtel-spa indépendant en 2023, autour de 5 millions d’euros de chiffre d’affaires annuel. L’établissement ne faisait pas de Google Ads à ce moment-là. Un pixel Meta tournait pour ses campagnes Facebook et Instagram, GA4 collectait les visites côté analytics, et c’était à peu près tout l’écosystème data. Le pixel et les tags GA4 se déclenchaient sans condition de consent, et le suivi s’arrêtait à la réservation en ligne : aucune visibilité sur ce qui devenait une vente effective, ni sur ce que valait vraiment un nouveau client.

La remise à plat a tenu en trois leviers, activés en parallèle :

1. Une CMP qui filtre vraiment, configurée avec la liste réelle des scripts présents sur le site
2. Une chaîne de tracking server-side qui reçoit le signal de consent et adapte les hits envoyés à Meta, à GA4 (puis plus tard à Google Ads) en conséquence
3. Un suivi de la conversion jusqu’à la vente, pas seulement jusqu’à la réservation : matching CRM et attribution sur le chiffre d’affaires réellement encaissé

Depuis cette remise à plat, l’établissement acquiert mieux ses nouveaux clients. Les campagnes optimisent enfin sur des données qui reflètent la réalité commerciale, pas sur des proxys partiels remontés à moitié. La conformité fait partie de l’équation, elle n’en est pas un coût caché.

Ce qu’il faut vérifier avant de dépenser un euro de plus en media

Si vous gérez vos campagnes Google Ads en interne ou avec une agence, voici trois vérifications que vous pouvez faire cette semaine.

1. Ouvrez votre site en navigation privée, refusez les cookies sur la bannière, puis ouvrez la console développeur (clic droit, « Inspecter », onglet « Network »). Filtrez sur « google » ou « doubleclick ». S’il y a des requêtes qui partent malgré votre refus, votre CMP est décorative.
2. Dans Google Ads, allez dans « Outils > Diagnostic des balises ». Si Consent Mode v2 n’apparaît pas en mode advanced, vous laissez de l’argent sur la table chaque jour.
3. Dans GTM, vérifiez les paramètres de consentement de votre Google Tag et de vos tags Google Ads Conversion. Si aucune condition de consent n’est définie, vous êtes en risque sur les deux fronts (conformité ET performance).

Si l’un de ces trois points ne passe pas, vous avez une fragilité juridique et un trou de performance ouvert sur votre compte. Les deux coûtent cher.

Ce qu’il faut retenir

Le RGPD n’est pas un sujet juridique en marge de votre Google Ads, c’est le socle de votre tracking. En 2025, la CNIL a montré qu’elle savait viser large (Google, Shein) et profond (67 sanctions simplifiées sur des PME). Le motif de loin le plus fréquent : refuser les cookies n’est pas aussi simple que les accepter, et les tags se chargent avant que l’utilisateur ait choisi.

Sur les comptes que j’audite, au moins un sur deux est dans cette situation, sans le savoir. La bonne nouvelle, c’est que la mise en conformité ne coûte ni en trafic ni en performance. Une CMP qui filtre vraiment, le Consent Mode v2 en mode advanced, et un server-side qui respecte les signaux : les trois piliers d’un setup 2026 propre. Vos campagnes y gagnent autant que votre tranquillité juridique.

Si votre tracking n’est pas conforme, votre budget media est aussi en risque. Un audit rapide de votre setup CMP, Consent Mode v2 et tags Google Ads vous dit en 48 h où vous en êtes, et ce qu’il faut corriger en priorité.
> Demandez un diagnostic gratuit

Sources et références

• CNIL, Délibération SAN-2025-004 du 1er septembre 2025 – sanction Google 325 M€
• CNIL, Publicités insérées entre les courriels et cookies : la CNIL sanctionne Google – communiqué officiel
• CNIL, Cookies placed without consent: SHEIN fined 150 million euros by the CNIL – délibération SAN-2025-005, 1er septembre 2025
• CNIL, Sanctions et mesures correctrices : l’action de la CNIL en 2025 – bilan annuel
• CNIL, Refuser les cookies doit être aussi simple qu’accepter : bilan des mises en demeure – doctrine cookies
• Hogan Lovells, Panorama des délibérations de la CNIL en 2025 – analyse juridique
• Google, Consent Mode v2 : documentation officielle
• SirData, Plateforme CMP partenaire d’Elorion

Questions fréquentes

Le Consent Mode v2 est-il vraiment obligatoire en France ?

Oui, pour tout annonceur qui utilise Google Ads (Search, Display, Shopping, YouTube, Performance Max) sur des utilisateurs basés dans l’Espace Économique Européen ou au Royaume-Uni. L’obligation date de mars 2024. Sans Consent Mode v2 actif, les fonctionnalités d’audience, de remarketing et de modélisation de conversions sont désactivées ou dégradées. Google en fait un prérequis pour utiliser sa plateforme publicitaire à pleine capacité.

Une PME peut-elle vraiment être sanctionnée par la CNIL ?

Oui. Sur les 83 sanctions de 2025, 67 sont passées par la procédure simplifiée, qui vise les TPE, PME et professions libérales. La majorité de ces décisions restent confidentielles, mais les amendes existent. La CNIL a annoncé que les cookies restent une priorité de contrôle pour 2026.

Consent Mode v2 en mode advanced ou basic, quelle différence concrète ?

Le mode basic bloque les tags Google si l’utilisateur refuse les cookies. Vous ne récupérez rien. Le mode advanced laisse les tags se charger, mais sans déposer de cookies ni envoyer de données personnelles, et permet à Google de modéliser les conversions perdues. Sur les comptes que je gère, le passage de basic à advanced apporte en moyenne 15 à 30 % de conversions récupérées via la modélisation. La modélisation reste légale parce qu’aucune donnée personnelle n’est traitée pour les utilisateurs qui ont refusé.

Mon tag Google Ads se charge avant le consentement utilisateur. Qu’est-ce que je risque ?

C’est le motif de sanction le plus fréquent en 2025. Vous risquez une mise en demeure à court terme, puis une sanction pécuniaire si vous ne corrigez pas. Le montant dépend du chiffre d’affaires de l’entreprise et de la durée du manquement. Au-delà du risque CNIL, Google Ads peut suspendre vos campagnes si la conformité Consent Mode v2 n’est pas détectée. Et côté performance, vous polluez vos données d’audience avec du trafic non consenti, ce qui dégrade vos signaux Smart Bidding.

Une CMP gratuite peut-elle suffire pour être conforme ?

Sur le papier, oui. En pratique, rarement. Les CMP gratuites font le job au moment de l’installation, mais la conformité s’érode vite : nouveaux scripts ajoutés au site, mises à jour de doctrine CNIL, durées de conservation à revoir. Sans audit régulier et sans console qui permet de vérifier que les scripts sont vraiment bloqués, une CMP gratuite installée il y a 18 mois est généralement décorative aujourd’hui. Une CMP managée comme SirData reste à jour et auditable, c’est ce qui justifie son coût.

Le server-side tagging est-il un contournement du RGPD ?

Non, à condition qu’il soit configuré pour respecter les signaux de consent. Un server-side bien fait reçoit le statut « consent granted » ou « consent denied » depuis le navigateur, et ajuste les hits envoyés à Google ou Meta en conséquence. Le server-side qui ignore ces signaux et envoie tout devient un contournement, et expose l’annonceur à une sanction plus lourde car l’intention de contourner est démontrable. La techno n’est pas en cause, sa configuration l’est.

Besoin d’un expert pour vos campagnes digitales ?
Sans engagement – réponse sous 24h.
> Prendre contact