Google Ads et RGPD : guide de conformité 2026
Google Ads est-il conforme au RGPD ? Rôles des acteurs, consentement aux traceurs, Consent Mode v2, Customer Match et transferts hors UE.
La question que l’on me pose le plus souvent à propos de Google Ads n’est pas la bonne. Ce n’est pas « Google Ads est-il conforme au RGPD ? » — Google fournit le cadre contractuel attendu. La vraie question, celle qui expose l’annonceur à une sanction, c’est : avez-vous le droit de déclencher les balises Google, et avec quel consentement ? Depuis l’arrivée du Consent Mode v2 en mars 2024, le sujet s’est durci. Voici ce qu’il faut comprendre, et ce qu’il faut configurer.
Google Ads : responsable indépendant, parfois sous-traitant
Premier réflexe à corriger : non, Google n’est pas votre simple prestataire technique comme votre hébergeur. Dans l’écosystème publicitaire de Google, l’annonceur et Google sont chacun responsable de traitement au sens de l’article 4(7) du RGPD. Vous déterminez vos finalités (vendre, générer des leads, faire de la notoriété) et vos critères de ciblage ; Google poursuit en parallèle ses propres finalités (amélioration de ses services, sécurité, mesure agrégée). Chacun répond de son propre traitement.
La nuance, c’est que la qualification dépend de la fonctionnalité. Pour certaines opérations de mesure — typiquement les données de conversion ou les listes que vous importez — Google propose les Google Ads Data Processing Terms, dans lesquelles il agit cette fois comme sous-traitant au sens de l’article 28, c’est-à-dire sur vos instructions et pour vos seules finalités. Le même produit peut donc relever de deux régimes selon la brique utilisée.
La conséquence pratique est nette, et c’est là que beaucoup d’annonceurs se trompent : la qualification de Google ne vous décharge de rien. Que Google soit responsable indépendant ou sous-traitant, c’est vous qui restez responsable du recueil du consentement sur votre site, de l’information de vos visiteurs et de la documentation du traitement. Vous ne pouvez pas « déléguer » votre conformité à Google.
Le vrai point dur : le consentement aux traceurs
Google Ads repose sur des traceurs déposés sur votre site : balise globale (gtag), suivi des conversions, balise de remarketing. Aucun de ces traceurs n’est strictement nécessaire au fonctionnement du site. Or l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5.3 de la directive ePrivacy, impose le consentement préalable pour tout dépôt de traceur non essentiel.
Concrètement, la balise Google ne doit se déclencher qu’après acceptation explicite de l’utilisateur, via une CMP conforme. Le pilotage technique passe le plus souvent par Google Tag Manager, configuré pour ne charger les tags publicitaires qu’au signal de consentement positif. Tant que l’utilisateur n’a pas accepté — ou s’il refuse — aucune donnée ne doit partir vers Google.
Ce n’est pas une exigence théorique. Le 31 décembre 2021, la CNIL a sanctionné Google à hauteur de 150 millions d’euros (délibération SAN-2021-023) parce que les utilisateurs de google.fr et youtube.com ne pouvaient pas refuser les cookies aussi facilement qu’ils pouvaient les accepter. Le montant a été justifié par le nombre de personnes concernées et les revenus publicitaires tirés des données collectées. Le message vaut pour tout annonceur : sur les traceurs publicitaires, l’autorité est intraitable. Pour le panorama complet, voir notre analyse des sanctions RGPD.
Consent Mode v2 : obligatoire, mais pas suffisant
Depuis mars 2024, Google impose le Consent Mode v2 pour continuer à utiliser les fonctionnalités d’audience de Google Ads dans l’Espace économique européen (remarketing, Customer Match). C’est une exigence née du Digital Markets Act : sans transmission d’un signal de consentement à Google, vous perdez l’accès à ces fonctionnalités.
Le Consent Mode v2 ajoute deux paramètres aux signaux historiques : ad_user_data (autorisation d’envoyer des données utilisateur à des fins publicitaires) et ad_personalization (autorisation de personnalisation et de remarketing). Concrètement, votre CMP doit transmettre ces signaux à Google selon le choix réel de l’internaute.
Attention au contresens fréquent : le Consent Mode v2 n’est pas, en soi, une preuve de conformité RGPD. C’est un mécanisme technique exigé par Google. En mode « basic », les balises ne se chargent pas sans consentement ; en mode « advanced », elles peuvent se charger pour transmettre des signaux anonymisés et alimenter la modélisation statistique de Google, même en l’absence de consentement. Le mode advanced ne vous dispense en aucun cas du recueil du consentement préalable au dépôt des traceurs : il faut articuler proprement le réglage technique avec le cadre juridique, sous peine de croire conforme une configuration qui ne l’est pas.
Customer Match : la base légale de vos listes
La fonctionnalité Customer Match permet d’importer une liste d’adresses e-mail (hashées) pour cibler ou exclure des audiences, ou pour activer les conversions optimisées (« enhanced conversions »). Ce traitement mérite une vigilance particulière, car vous transmettez à Google des données que vous avez collectées par ailleurs.
Vous devez disposer d’une base légale valide à deux niveaux : pour la collecte initiale des adresses, et pour leur transmission à Google à des fins de ciblage publicitaire. Le consentement (article 6(1)(a)) est la base la plus sécurisante. L’intérêt légitime (article 6(1)(f)) peut être envisagé pour des clients existants, mais à condition d’un test de mise en balance documenté et d’un droit d’opposition effectif. Dans tous les cas, votre politique de confidentialité doit mentionner explicitement ce partage de données avec Google à des fins publicitaires.
Un piège récurrent : récupérer des e-mails via un formulaire de contact ou un achat ne vaut pas autorisation de les verser dans Customer Match. Sans base distincte couvrant le ciblage publicitaire, l’opération est irrégulière. Les règles de la prospection commerciale s’appliquent ici aussi.
Transferts hors UE : Google LLC et le Data Privacy Framework
Les données collectées via Google Ads transitent vers des serveurs de Google LLC, société américaine. Depuis l’adoption du EU-US Data Privacy Framework en juillet 2023, les transferts vers les entreprises américaines certifiées sous ce cadre bénéficient d’une décision d’adéquation de la Commission européenne ; Google y est certifié. Pour les flux non couverts, Google s’appuie sur les clauses contractuelles types (décision d’exécution (UE) 2021/914).
Cela ne vous dispense pas de deux obligations. D’abord, documenter ces transferts hors UE dans votre registre des traitements et les mentionner dans votre politique de confidentialité. Ensuite, suivre l’évolution du cadre : comme le Privacy Shield invalidé en 2020 (arrêt Schrems II), la décision d’adéquation actuelle pourrait être remise en cause. Mieux vaut conserver la traçabilité des garanties mobilisées.
Ce que vous devez configurer côté annonceur
Pour rester conforme, l’essentiel tient en quelques réglages concrets. Acceptez les conditions de traitement des données de Google et activez la politique de consentement de l’UE dans votre compte. Déployez vos balises Google exclusivement au signal de consentement positif, via une CMP et un gestionnaire de tags, puis testez régulièrement que rien ne se déclenche en cas de refus — y compris après chaque mise à jour de la CMP. Documentez le traitement dans votre registre (finalités, données, transferts, durées), informez vos visiteurs dans votre politique de confidentialité, et privilégiez le suivi des conversions côté serveur quand c’est possible, sans oublier qu’il ne dispense pas du consentement.
Cartographier proprement chacun de vos outils marketing — qui est responsable, qui est sous-traitant, quels transferts, quelle base légale, quel consentement — est exactement le type de travail fastidieux que Legiscope automatise, en générant un registre à jour à partir de vos traitements réels.
Ce qu’il faut retenir
- Dans l’écosystème publicitaire, Google est responsable de traitement indépendant ; pour certaines fonctions de mesure, il peut agir comme sous-traitant via les Google Ads Data Processing Terms. Dans les deux cas, votre conformité reste la vôtre.
- Le point dur, c’est le consentement préalable aux traceurs (article 82 loi I&L) : les balises Google ne doivent se charger qu’après acceptation via une CMP conforme.
- Le Consent Mode v2 est obligatoire depuis mars 2024 pour les audiences Google Ads dans l’EEE, mais ce n’est pas une preuve de conformité RGPD — c’est un mécanisme technique à articuler avec le cadre juridique.
- Customer Match exige une base légale couvrant explicitement le ciblage publicitaire : le consentement est la solution la plus robuste.
- Documentez le transfert hors UE (DPF, CCT) au registre et informez vos visiteurs. La CNIL a déjà sanctionné Google à 150 M€ sur le refus des cookies (SAN-2021-023).
FAQ
Google Ads est-il conforme au RGPD ?
Google fournit le cadre contractuel attendu : conditions de traitement des données, clauses contractuelles types, certification au Data Privacy Framework. Mais votre conformité dépend de votre propre configuration : recueil du consentement avant le dépôt des balises, information de vos visiteurs, base légale pour Customer Match, documentation au registre. Google conforme ne signifie pas votre site conforme.
Le Consent Mode v2 suffit-il à être conforme au RGPD ?
Non. Le Consent Mode v2 est une exigence technique imposée par Google depuis mars 2024 pour transmettre les signaux de consentement et continuer à utiliser les fonctionnalités d’audience. Il ne remplace pas l’obligation juridique de recueillir un consentement préalable au dépôt des traceurs via une CMP conforme. En mode « advanced », des signaux peuvent même partir sans consentement : la configuration doit être pilotée avec soin pour rester licite.
Puis-je importer ma liste de clients dans Google Ads (Customer Match) ?
Seulement si vous disposez d’une base légale couvrant la transmission à Google à des fins de ciblage publicitaire. Le consentement est la base la plus sécurisante ; l’intérêt légitime est envisageable pour des clients existants, sous réserve d’un test de mise en balance documenté et d’un droit d’opposition effectif. Votre politique de confidentialité doit mentionner ce partage. Récupérer des e-mails par un autre canal ne vaut pas autorisation de les y verser.
Faut-il bloquer Google Ads tant que l’utilisateur n’a pas consenti ?
Oui pour le dépôt des traceurs. Les balises Google (conversion, remarketing, gtag) ne doivent se déclencher qu’après un consentement positif recueilli via votre CMP. En cas de refus, aucune donnée ne doit être transmise. Le suivi des conversions côté serveur peut offrir une alternative technique, mais il ne dispense pas du consentement dès lors que des données personnelles sont en jeu.