GTM bientôt soumis à consentement en France ?
GTM est soumis à consentement en Allemagne. A quand cette application du RGPD en France ?
Laurent Naigeon
Web Analyst
Derrière ce titre un peu provocateur se cache une réalité : Google Tag Manager (GTM), selon une récente décision de justice en Allemagne, transmet l’adresse IP des internautes et n’est donc pas conforme au RGPD. Son usage devrait, par conséquent, être soumis au consentement préalable de l’utilisateur — et cela même si vous avez mis en place le Consent Mode V2 de Google.
Rappel des faits
Le site Noz.de a été attaqué en justice en Allemagne pour non-conformité de son dispositif de recueil du consentement. Malgré des ajustements, le tribunal a jugé que l’installation de GTM restait problématique.
Pourquoi ? Parce que, dans la plupart des cas, GTM est chargé avant même que l’internaute n’ait donné son accord. Ce simple fait entraîne déjà un transfert de données personnelles (identifiant unique, adresse IP, UserAgent, pays, referer) vers des serveurs hors de l’Union européenne.
D’autre part, la cour a estimé que GTM n’est pas strictement nécessaire au fonctionnement du site.
En conclusion, elle a demandé au site noz.de de retirer le tag GTM ou de le soumettre au consentement de l’internaute, ce que le site à fait depuis la décision du tribunal.
Lire le détail complet de la procédure (en allemand).
Cela pourrait-il arriver en France ?
La réponse est toute simple : oui !
La CNIL en France et son homologue allemande appliquent toutes deux le même cadre légal, le règlement général de protection des données RGPD.
On se souvient qu’en janvier 2022, l’autorité autrichienne de protection des données a, la première, statué que Google Analytics nécessitait un consentement explicite. Quelques mois plus tard, la CNIL et les autres autorités nationales ont confirmé la même interprétation.
Quelles alternatives pour les sites français ?
Face à ce risque, plusieurs options s’offrent aux éditeurs de sites :
- Utiliser un outil de mesure d’audience exempté de consentement, comme Wysistat. Voir la liste sur le site de la CNIL
- Soumettre GTM au consentement de l’internaute, via votre CMP (Consent Management Platform).
- Utiliser un Tag Manager alternatif, qui héberge en France et respecte les directives de la CNIL (par ex un Tag Manager Open Source).
Conclusion
Le cas de GTM en Allemagne montre une tendance claire : les régulateurs européens serrent la vis sur les outils de tracking. La prudence recommande d’anticiper dès maintenant, plutôt que d’attendre une injonction de la CNIL.
Si vous utilisez GTM, posez-vous dès aujourd’hui la question : est-il indispensable ? Et si oui, votre implémentation respecte-t-elle vraiment le consentement de vos visiteurs ?