Consent Mode v2 et RGPD sur Shopify : guide technique 2026

Google Consent Mode v2 est obligatoire pour le trafic UE et UK depuis le 6 mars 2024, et c'est le pont technique entre votre bannière cookies Shopify et les produits publicitaires Google. Sans lui, Google Ads cesse d'alimenter les listes de remarketing et Smart Bidding perd les signaux personnalisés qu'il utilise pour enchérir.

Ce guide détaille l'installation complète sur Shopify : l'API Customer Privacy, le template GTM, les tests avec Google Tag Assistant, et l'impact sur votre tracking de conversion et votre attribution. Toutes les étapes sont vérifiées contre la documentation officielle Google Consent Mode et la référence de l'API Customer Privacy de Shopify.

Qu'est-ce que Google Consent Mode v2 ?

Consent Mode est une API Google qui indique aux balises Google comment se comporter en fonction du choix de consentement d'un utilisateur. La version 2, introduite en novembre 2023 et rendue obligatoire pour le trafic UE et UK le 6 mars 2024, ajoute deux paramètres à la version d'origine :

• ad_user_data : consentement pour envoyer les données utilisateur à Google à des fins publicitaires.
• ad_personalization : consentement pour les annonces personnalisées (retargeting, Customer Match).

Ces deux signaux complètent les cinq précédents : ad_storage, analytics_storage, functionality_storage, personalization_storage et security_storage. Au total, Consent Mode v2 expose sept types de consentement, dont quatre pilotent le comportement publicitaire (ad_storage, ad_user_data, ad_personalization, analytics_storage).

La documentation officielle Google Consent Mode sur developers.google.com.

Pourquoi Google a imposé la v2

Sous le Digital Markets Act et la politique mise à jour "EU User Consent" de Google, Google a besoin d'un signal explicite indiquant que l'utilisateur a consenti à la publicité personnalisée avant d'utiliser ses données pour les audiences, Customer Match ou Smart Bidding. Sans ce signal, Google Ads peut toujours diffuser des annonces, mais :

• Les nouvelles audiences de remarketing ne se remplissent plus.
• Les listes Customer Match se dégradent pour tout enregistrement sans preuve de consentement.
• Smart Bidding perd les signaux first-party qui optimisent les enchères.

Pour une boutique Shopify qui s'appuie sur le remarketing Google Ads ou sur Performance Max, l'impact financier est direct. J'ai vu des marchands perdre 15 à 30 % de ROAS Google Ads dans les premières semaines qui ont suivi l'entrée en application de mars 2024 lorsque Consent Mode v2 manquait.

Mode Basique ou mode Avancé : lequel choisir ?

Consent Mode propose deux variantes, et le choix conditionne à la fois votre perte de données et votre posture de conformité vis-à-vis de la CNIL.

Mode Basique

En mode Basique, aucune balise Google ne se déclenche avant que l'utilisateur clique sur la bannière. Si le consentement est refusé, rien n'est envoyé à Google. C'est la configuration la plus prudente du point de vue CNIL : un visiteur qui refuse les cookies est totalement invisible pour Google.

La contrepartie, c'est une perte de données sèche. Vous ne mesurez que les utilisateurs qui consentent activement, et la modélisation de conversion dans Google Ads retombe sur un modèle général calibré à l'échelle de l'écosystème Google Ads, pas sur l'historique de votre compte.

Mode Avancé

En mode Avancé, la balise Google se charge dès le chargement de la page avec tous les signaux de consentement en denied. Avant l'interaction avec la bannière, elle envoie des pings sans cookies : pas d'identifiant persistant, aucun cookie écrit, juste un état de consentement et des signaux d'événements clés. Quand l'utilisateur consent, la balise bascule en mesure complète.

Google utilise ces pings sans cookies pour entraîner un modèle de conversion spécifique à l'annonceur. Dans les benchmarks internes cités dans la documentation de la plateforme de tags Google, le mode Avancé récupère environ 65 à 70 % des conversions qui seraient sinon perdues.

La question RGPD, c'est que ces pings sans cookies portent encore des informations type IP (tronquée) et User Agent. Les autorités européennes ont débattu de la nécessité de consentement pour cette collecte. En pratique, la position de la CNIL est que ces pings relèvent de l'exemption de mesure d'audience à condition qu'ils ne permettent pas la ré-identification, ce que Google documente.

Pour la plupart des marchands Shopify avec du trafic UE, le mode Avancé est le bon choix par défaut. Le mode Basique reste préférable pour les boutiques à contrainte juridique forte ou dans les verticales très régulées (santé, finance).

Le volet Shopify : l'API Customer Privacy

Shopify gère le consentement côté marchand via l'API Customer Privacy, une API JavaScript exposée à window.Shopify.customerPrivacy. C'est la source de vérité pour les surfaces Shopify : Web Pixels, analytics de checkout, audiences marketing et tout pixel d'app installé via le Shopify App Store.

La documentation officielle de l'API Customer Privacy sur shopify.dev.

Charger l'API

L'API n'est pas chargée par défaut, il faut la demander explicitement :

window.Shopify.loadFeatures(
  [
    {
      name: 'consent-tracking-api',
      version: '0.1',
    },
  ],
  (error) => {
    if (error) {
      console.error("Échec de chargement de l'API Customer Privacy", error);
      return;
    }
    // API prête sur window.Shopify.customerPrivacy
  },
);

Lire l'état de consentement

Quatre méthodes retournent true ou false selon le consentement actuel :

window.Shopify.customerPrivacy.preferencesProcessingAllowed();
window.Shopify.customerPrivacy.analyticsProcessingAllowed();
window.Shopify.customerPrivacy.marketingAllowed();
window.Shopify.customerPrivacy.saleOfDataAllowed();

Écouter les changements

L'événement visitorConsentCollected se déclenche à chaque modification du consentement :

document.addEventListener('visitorConsentCollected', (event) => {
  console.log(event.detail);
  // { marketingAllowed: true, analyticsAllowed: false, ... }
});

Cet événement est la clé pour relier le consentement Shopify à Google Tag Manager. Gardez-le en tête, on y revient dans la section d'implémentation.

Écrire le consentement

setTrackingConsent persiste le choix et l'applique aux pixels Shopify :

window.Shopify.customerPrivacy.setTrackingConsent(
  {
    analytics: true,
    marketing: true,
    preferences: true,
  },
  () => console.log('Consentement enregistré'),
);

La recommandation Shopify, que je partage : ne lisez ou n'écrivez jamais les cookies Shopify directement. Passez toujours par cette API pour que votre stack continue de fonctionner quand Shopify publie une nouvelle version de ses cookies.

Implémentation pas à pas sur Shopify

Voici la séquence exacte que j'applique quand je déploie pour un marchand. Le flux complet repose sur trois briques : Shopify, un CMP (Consent Management Platform) et Google Tag Manager.

Étape 1 : activer la bannière cookies dans l'admin Shopify

Dans Paramètres → Confidentialité des clients → Bannière de cookies, activez la bannière. Shopify propose une bannière native qui couvre une conformité de base. Sélectionnez les régions où le consentement est requis (UE, EEE, UK, et si besoin des régions au niveau état comme la Californie).

Pour la majorité des marchands avec du trafic UE sérieux, la bannière native est trop limitée : pas de consentement granulaire par catégorie, pas d'intégration IAB TCF, pas d'argument d'intérêt légitime. Dans ce cas, désactivez-la et installez un CMP dédié à l'étape 2.

Étape 2 : installer un Consent Management Platform depuis le Shopify App Store

Pour une boutique en production, je recommande un CMP comme Pandectes, Consentmo ou CookieYes. Ces apps :

• Fournissent une bannière alignée sur le IAB TCF v2.2, le cadre industriel maintenu par IAB Europe depuis mai 2023.
• Écrivent le consentement via window.Shopify.customerPrivacy.setTrackingConsent, donc les Web Pixels Shopify le respectent.
• Injectent un signal Consent Mode v2 dans le dataLayer que GTM peut lire.
• Supportent des bannières spécifiques par région (une pour l'UE, une pour la Californie, une pour le Brésil).

La configuration du CMP prend environ 20 minutes : définir les catégories (strictement nécessaires, fonctionnels, analytics, marketing), régler l'état par défaut, personnaliser le texte.

Étape 3 : connecter Google Tag Manager

Dans GTM, il faut trois éléments.

A. Un template de consentement par défaut. Créez un nouveau tag de type "Consent Mode" (ou importez un template depuis la galerie GTM). Mettez tous les signaux v2 et l'historique analytics_storage à denied par défaut :

gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'wait_for_update': 500,
});

Déclenchez ce tag sur Consent Initialization - All Pages. Les 500 ms de wait_for_update laissent au CMP le temps de pousser l'état réel de consentement avant que les autres tags évaluent leurs conditions.

B. Un déclencheur de mise à jour du consentement. Créez un déclencheur d'événement personnalisé qui écoute visitorConsentCollected depuis Shopify, ou l'événement que votre CMP pousse au dataLayer (Pandectes pousse par exemple consent_update). Quand il se déclenche, appelez updateConsentState avec les choix réels de l'utilisateur :

gtag('consent', 'update', {
  'ad_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted',
  'analytics_storage': 'granted',
});

C. Vérifications de consentement sur chaque tag. Dans GTM, ouvrez chaque tag (GA4, Google Ads Conversion, Google Ads Remarketing) et allez dans Paramètres avancés → Paramètres de consentement. Activez "Exiger un consentement supplémentaire pour que le tag se déclenche" et sélectionnez les signaux concernés (ad_storage pour le remarketing, analytics_storage pour GA4).

Publiez le conteneur.

Étape 4 : laisser les Web Pixels Shopify récupérer le signal

Les Web Pixels Shopify (pixels personnalisés configurés dans l'admin Shopify, ou pixels d'apps fournis par des apps) lisent le consentement via l'API Customer Privacy, pas via GTM. Parce que l'étape 1 ou 2 a déjà écrit le consentement dans customerPrivacy, les pixels le respectent automatiquement.

Si vous utilisez un pixel d'app comme le Pixel Facebook via une Shopify app, vérifiez dans les paramètres de l'app qu'elle écoute bien le consentement et ne se déclenche pas de manière inconditionnelle. Pour Meta, cela veut dire que l'app doit être compatible avec l'équivalent Consent Mode côté Meta (via la Conversions API ou le paramètre consent du Pixel).

Tester avec Google Tag Assistant

Impossible de livrer ce déploiement sans le tester, et l'outil de référence est l'extension Chrome gratuite Google Tag Assistant. Voici le protocole que je fais tourner sur chaque boutique.

1. Installez Tag Assistant Companion depuis le Chrome Web Store.
2. Ouvrez votre boutique Shopify dans une fenêtre navigation privée fraîche.
3. Cliquez sur Add domain dans Tag Assistant et renseignez l'URL de votre boutique.
4. Rechargez la page. Tag Assistant commence l'enregistrement.
5. Avant tout clic sur la bannière, regardez l'onglet Consent. Vous devez voir les valeurs par défaut : ad_storage: denied, ad_user_data: denied, ad_personalization: denied, analytics_storage: denied.
6. Cliquez sur Tout accepter dans la bannière. En moins de 500 ms, l'onglet Consent doit afficher un événement Update avec tous les signaux en granted.
7. Rechargez la page. L'onglet Consent doit afficher granted dès le chargement (le CMP a persisté le choix).
8. Relancez le test avec Tout refuser et vérifiez que les signaux restent en denied après l'interaction.

Vérification croisée dans l'interface Google Ads : Outils → Tag → Paramètres de consentement affiche un diagnostic une fois la v2 remontée. Il faut en général 24 à 48 heures après la mise en production pour que l'écran passe de "Non détecté" à "Actif".

Si l'onglet Consent de Tag Assistant est vide ou mélange granted et unset, la cause la plus fréquente c'est que GTM déclenche les balises Google avant que le consentement par défaut n'ait été évalué. La solution : vérifier que le tag Consent Mode default a bien comme déclencheur Consent Initialization - All Pages, et que tous les autres tags utilisent Initialization - All Pages ou un événement page.

Impact sur le tracking de conversion et l'attribution

Déployer Consent Mode v2 ne préserve pas magiquement toutes vos données. La mesure change de forme, concrètement de trois manières.

1. Le volume de conversions brut baisse

Pour les utilisateurs qui refusent, aucun cookie n'est écrit et aucun identifiant persistant n'est stocké. Le mode Avancé continue d'envoyer des pings sans cookies, mais les conversions Google Ads basées sur ces pings sont modélisées, pas observées. Sur le trafic UE, prévoyez une baisse de 10 à 25 % des conversions Google Ads remontées juste après l'activation de la bannière, selon votre taux de refus.

2. L'attribution devient plus bruyante sur le paid social et search

Avec moins d'événements de clic observables, les modèles d'attribution (premier clic, dernier clic, data-driven) ont moins de signal. L'attribution cross-device se dégrade en particulier, parce que l'état de consentement de l'utilisateur peut différer entre mobile et desktop. C'est là que le tracking UTM first-party devient décisif.

J'ai construit un petit outil compagnon, le générateur de liens UTM, précisément pour garder une chaîne d'attribution propre qui ne dépend pas des cookies tiers. Quand votre trafic payant arrive sur votre boutique Shopify avec des paramètres UTM cohérents, vous conservez un chemin mesurable entre la campagne et la conversion, quoi que décide l'utilisateur côté cookies.

3. Les canaux post-consentement prennent de la valeur

Les canaux qui interviennent après le consentement, où l'utilisateur a explicitement accepté d'être contacté, conservent une chaîne d'attribution mesurable indépendante des cookies navigateur. L'email, le SMS et le marketing WhatsApp entrent dans cette catégorie. Le consentement sur lequel ils reposent est explicite et documenté dans le CRM, donc chaque message peut être rattaché à un événement de revenu via la table de commandes du marchand.

C'est une des raisons pour lesquelles j'ai construit Kanal autour de WhatsApp et Shopify : dans un monde Consent Mode v2, les canaux où vous contrôlez le registre de consentement sont les plus fiables pour le reporting ROI. Pour le cadre complet des KPI, voir notre guide ROI et benchmarks WhatsApp marketing.

Spécificités françaises : CNIL, TCF et intérêt légitime

La CNIL adopte une ligne plus stricte que la plupart des autorités européennes sur le consentement cookies. Quelques points que je fais systématiquement valider à mes clients.

La page de référence CNIL sur les cookies et traceurs.

• Refuser doit être aussi facile qu'accepter. La bannière doit proposer un bouton "Tout refuser" au même niveau que "Tout accepter". Pas de cases pré-cochées. Pas de cookie wall qui bloque l'accès au site. Les lignes directrices cookies de la CNIL sont explicites.
• Le consentement doit être granulaire. Au minimum un curseur par finalité (mesure, publicité ciblée, réseaux sociaux, personnalisation). Un bouton "Tout accepter" seul n'est pas valable.
• Le consentement est tracé et auditable. Tout CMP sérieux stocke un Consent ID et un timestamp. La méthode Shopify window.Shopify.customerPrivacy.consentId() renvoie cet identifiant que vous pouvez croiser avec le journal d'audit.
• L'intérêt légitime n'est pas un contournement pour la publicité. Selon la lecture CNIL, les finalités publicitaires ne peuvent pas s'appuyer sur l'intérêt légitime comme base légale. Le consentement est obligatoire.
• La CNIL sanctionne. En 2021 et 2022, elle a prononcé des amendes allant jusqu'à 150 millions d'euros (Google) et 60 millions d'euros (Facebook) sur les parcours de consentement cookies. Les marchands Shopify sont une cible moins visible, mais des e-commerçants français ont été contrôlés et sanctionnés de 100 000 à 300 000 euros pour des consentements défaillants.

Sur la standardisation européenne, le IAB Europe Transparency and Consent Framework v2.2, lancé en mai 2023, est le standard industriel. Un CMP inscrit sur la Global Vendor List IAB Europe et conforme TCF couvre le volet interopérabilité technique.

Les erreurs classiques que je vois sur les boutiques Shopify

Après avoir déployé ce paramétrage chez des dizaines de marchands Shopify, voici les erreurs les plus fréquentes.

Erreur 1 : laisser le conteneur GTM se charger sans consentement. Le script GTM lui-même n'a pas besoin de consentement, mais si vous mettez autre chose que le Consent Mode default dans le conteneur GTM, les balises se déclenchent avant l'évaluation du consentement. Gardez GTM minimal : seul le template de consentement se charge sur Consent Initialization.

Erreur 2 : oublier les Web Pixels Shopify. Les Pixels Facebook et Google installés directement dans le thème Shopify contournent GTM. Migrez-les vers l'API Customer Events (Web Pixels Shopify), qui lit le consentement depuis customerPrivacy automatiquement.

Erreur 3 : ne pas installer la Conversions API Meta côté serveur. Le Pixel Meta perd du signal sous Consent Mode v2 de la même façon que les balises Google. Installer Meta CAPI via une Shopify app avec routage consent-aware préserve les conversions serveur pour les utilisateurs qui consentent.

Erreur 4 : ne pas scoper les valeurs par défaut aux bonnes régions. Les valeurs par défaut Consent Mode doivent être appliquées uniquement aux régions où une bannière est affichée. Pour le trafic US (hors Californie), la plupart des boutiques n'ont pas besoin d'un analytics_storage: denied par défaut. Utilisez le paramètre region dans gtag('consent', 'default', ...) pour ne pas dégrader la mesure là où le consentement n'est pas requis.

Erreur 5 : livrer sans tester avec Tag Assistant. Tous les marchands que j'ai vus avec un paramétrage cassé ont sauté l'étape Tag Assistant. Vingt minutes de test en navigation privée évitent 90 % des bugs.

Un plan de déploiement réaliste

Pour une boutique Shopify avec du trafic UE et un budget Google Ads, voici le plan que j'applique. Compter deux semaines calendaires avec une à deux heures de travail par jour.

1. Semaine 1, jour 1-2 : audit de l'existant. Lister chaque tag, pixel et app qui touche la vitrine. Identifier ceux qui requièrent un consentement.
2. Semaine 1, jour 3-4 : installation et configuration du CMP. Première version dans un thème de préproduction.
3. Semaine 1, jour 5 : mise à jour GTM : consent default, déclencheur d'update, vérifications de consentement sur chaque tag. Publication en preview.
4. Semaine 2, jour 1-2 : recette Tag Assistant sur desktop et mobile. Tester les parcours Accepter, Refuser, Paramétrer.
5. Semaine 2, jour 3 : mise en production. Surveiller le diagnostic Consent Settings de Google Ads et les rapports GA4.
6. Semaine 2, jour 4-7 : mesurer le delta. Comparer les volumes de conversion, l'attribution et le ROAS.

Les marchands que j'ai accompagnés sur ce parcours voient typiquement une baisse de 12 à 20 % des conversions Google Ads déclarées la première semaine, qui se stabilise autour de 8 à 12 % une fois que la modélisation Google s'appuie sur assez de données historiques.

FAQ

Le Consent Mode v2 est-il obligatoire pour les marchands Shopify en France ?

Le Consent Mode v2 est requis si vous voulez continuer à utiliser le remarketing Google Ads, les audiences Google Analytics et les fonctionnalités de publicité personnalisée pour le trafic européen. Google l'a rendu indispensable à partir du 6 mars 2024 : sans les signaux de Consent Mode v2, les listes de remarketing ne se remplissent plus. Ce n'est pas une obligation légale en tant que telle, mais c'est le pont technique entre le consentement RGPD et les produits publicitaires Google.

Quelle est la différence entre Consent Mode Basique et Avancé ?

Le mode Basique bloque le déclenchement des balises Google tant que l'utilisateur n'a pas donné son consentement, aucune donnée n'est envoyée avant le clic. Le mode Avancé charge les balises avec des valeurs par défaut refusées et envoie des pings sans cookies que Google utilise pour la modélisation des conversions. L'Avancé récupère davantage de mesure (modèle spécifique à l'annonceur, environ 65 à 70 % de récupération modélisée selon la documentation Google), le Basique est plus simple et plus conservateur du point de vue CNIL.

Shopify transmet-il automatiquement le consentement à Google ?

Non. L'API Customer Privacy de Shopify gère le consentement pour les surfaces gérées par Shopify (Web Pixels, checkout, audiences) via l'événement visitorConsentCollected. Le transfert de ces signaux aux balises Google nécessite une passerelle explicite, en général un template Google Tag Manager qui écoute l'événement Shopify et appelle gtag('consent', 'update', ...) avec les quatre paramètres v2. Une app de type CMP sur le Shopify App Store peut aussi automatiser ce lien.

Comment vérifier que mon Consent Mode v2 fonctionne correctement ?

Installez l'extension Chrome Google Tag Assistant, ouvrez votre boutique en navigation privée et observez l'état de consentement dans la timeline. Vous devez voir un état par défaut avec ad_storage, ad_user_data, ad_personalization et analytics_storage en denied, suivi d'un événement update après le clic sur la bannière. L'onglet Consent Settings de Google Ads affiche aussi un diagnostic une fois les données remontées.

Le Consent Mode v2 va-t-il casser mon tracking et mon attribution ?

Le nombre brut de conversions baisse car les utilisateurs qui refusent ne sont plus trackés par cookie. Le mode Avancé compense partiellement via la modélisation, mais l'attribution devient plus bruyante sur les canaux payants. C'est pour cela que beaucoup de marchands Shopify renforcent leurs signaux first-party côté serveur, par exemple les UTM poussés dans le CRM (Klaviyo, Kanal), et que les canaux post-consentement comme le marketing WhatsApp conservent une chaîne d'attribution mesurable, indépendante des cookies tiers.

Que risque un marchand Shopify qui n'implémente pas Consent Mode v2 ?

Pour le trafic UE et UK, les fonctionnalités Google Ads qui dépendent de la mesure personnalisée (audiences, listes de remarketing, Smart Bidding avec signaux first-party) se dégradent ou s'arrêtent. Vous ne recevez pas d'amende CNIL pour l'absence de Consent Mode v2 en tant que telle, les sanctions visent les bandeaux cookies absents ou invalides au titre de la directive ePrivacy. En revanche, vous perdez le lien technique entre votre CMP et Google, ce qui dégrade vos performances publicitaires pendant que vos concurrents conservent la donnée modélisée.

Et après ?

Si vous avez du trafic UE sur Shopify, vous ne pouvez pas passer à côté de Consent Mode v2. Le chantier tient en deux semaines, avec un chemin clair : activer l'API Customer Privacy Shopify, installer un CMP, câbler GTM, valider avec Tag Assistant. La vraie question, c'est comment continuer à mesurer quand les cookies tiers disparaissent.

J'ai conçu Kanal pour aider les marchands Shopify à investir dans les canaux post-consentement où l'attribution reste nette : WhatsApp, email, SMS. Quand la mesure paid media est bousculée par les signaux de consentement, les canaux où vos clients ont explicitement opté deviennent votre surface de croissance la plus fiable. Pour aller plus loin sur les métriques qui comptent dans ce nouveau monde, consultez notre guide ROI et KPI WhatsApp marketing et essayez le générateur de liens UTM pour conserver une attribution intacte tout au long du parcours.