Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Google Tag Manager (GTM) est un système gratuit de gestion des balises de Google qui permet aux marketeurs et développeurs de gérer et déployer des balises JavaScript sur des sites web sans modifier directement le code source. GTM lui-même ne collecte pas de données personnelles — c'est un conteneur qui charge d'autres balises. Cependant, il est le mécanisme de livraison des balises d'analyse, de publicité et de remarketing qui collectent des données personnelles. La conformité RGPD nécessite la configuration de GTM avec le Mode de consentement v2 et une CMP.
Google Tag Manager (GTM) est le gestionnaire de tags gratuit lancé par Google en 2012 et utilisé par plus de 30 millions de sites dans le monde. Le script conteneur (gtm.js) est chargé une fois sur chaque page; l''éditeur configure ensuite déclencheurs, variables et tags via une interface web, sans modifier le code pour chaque nouveau tag. GTM est le mécanisme standard de distribution de Google Analytics 4, Google Ads, Floodlight, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, tags HTML personnalisés et de nombreux vendeurs tiers.
Le conteneur GTM ne dépose par défaut aucun cookie persistant sur le domaine de l''éditeur; il peut déposer _gcl_au et _gcl_aw quand le Google Ads conversion linker est activé. Tous les autres cookies observés proviennent des tags vendeurs déclenchés par GTM (Google Analytics, Google Ads, Meta Pixel, etc.). Le simple chargement de gtm.js depuis googletagmanager.com transmet toutefois l''IP, le user agent et le Referer à Google avant tout consentement.
La CNIL a précisé en 2020 que GTM n''est pas en soi strictement nécessaire et donc non exempté de consentement lorsqu''il charge des tags non exempts. Google Consent Mode v2 (obligatoire depuis mars 2024 pour l''EEE, la Suisse et le Royaume Uni) permet à GTM de transmettre l''état de consentement aux tags Google et d''ajuster leur comportement: en mode basique le tag est bloqué jusqu''au consentement, en mode avancé le tag continue à transmettre des données agrégées cookieless. L''éditeur doit collecter un consentement explicite avant d''activer le mode avancé et informer les utilisateurs.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google Ireland Limited est le cocontractant pour les clients UE; Google LLC aux États Unis est le principal sous traitant. Le chargement de gtm.js révèle IP et user agent à Google. Les conditions GTM intègrent les CCT (module 3 sous traitant à sous traitant ultérieur) et Google LLC est certifiée au Data Privacy Framework UE États Unis depuis le 10 juillet 2023. Un conteneur GTM server side peut être déployé sur Google Cloud Run en région européenne afin de conserver l''IP et le corps des requêtes dans l''EEE.
Reliez GTM à votre CMP via l''état de consentement de Google Consent Mode v2. Marquez chaque tag non exempt avec le bon type de consentement (ad_storage, analytics_storage, etc.). Désactivez le Preview Mode et le Debug Mode en production. Évitez le chargement de gtm.js pour les utilisateurs ayant refusé toutes les catégories; envisagez un conteneur server side hébergé en UE. Documentez Google Ireland Limited et Google LLC dans le registre des traitements (art. 30 RGPD) et la politique de confidentialité. Rafraîchissez le consentement tous les 6 mois conformément à la délibération CNIL 2020 091.
Les alternatives européennes sont Matomo Tag Manager (open source, France et hébergement UE), Piano Tag Manager (anciennement AT Internet, France), Commanders Act (France) et Tealium iQ (US, hébergement UE possible). Pour le server side: Stape.io, Addingwell (France) et le GTM server side auto hébergé sur Cloud Run, AWS Fargate ou Hetzner.
Les sites web utilisant Google Tag Manager doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
GTM lui même ne requiert pas d'AIPD. Les balises déclenchées par le conteneur, si. Évaluez chacune séparément et tenez à jour l'inventaire global.
Exemple de texte de consentement
Nous utilisons Google Tag Manager (GTM), un gestionnaire de tags gratuit édité par Google Ireland Limited, pour charger des scripts de mesure et de publicité uniquement après obtention du consentement adéquat. Le conteneur GTM se charge depuis googletagmanager.com; cet échange transmet votre adresse IP, votre user agent et l'URL de la page à Google. Nous associons GTM à Google Consent Mode v2 pour que chaque tag (Google Analytics, Google Ads, Meta Pixel, etc.) ne soit activé qu'après acceptation de la catégorie correspondante dans nos préférences cookies. Les données sont traitées aux États Unis dans le cadre du Data Privacy Framework et des clauses contractuelles types.
Domaines tiers contactes
googletagmanager.comgoogletagmanager.comwww.googletagmanager.comwww.googletagmanager.comtagmanager.google.comtagassistant.google.comgstatic.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| gtm_none | session | Session | Google Tag Manager does not set cookies itself — cookies are set by individual tags loaded within the GTM container |
| _gtm_id | First party (Google Tag Manager, optional) | Session | Optional internal session marker used in some advanced server side GTM setups. The base GTM container itself does not set cookies. |
| cookieConsent | First party (managed by your CMP) | 12 months | Stores the consent state communicated to GTM Consent Mode v2 by the integrated CMP. |
Google Tag Manager collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
GTM lui-même ne nécessite pas de consentement — il ne collecte pas de données personnelles. Cependant, il doit être configuré pour ne déclencher les balises non essentielles (analyses, publicité, remarketing) qu'après l'obtention du consentement approprié via votre CMP. Sans gestion du consentement, GTM déclenche toutes les balises par défaut.
Le Mode de consentement v2 permet aux balises Google d'ajuster leur comportement selon les signaux de consentement de votre CMP. Il est devenu obligatoire pour les annonceurs EU/EEE en mars 2024 pour accéder aux fonctionnalités de mesure, de remarketing et d'audience de Google.
Non. GTM lui-même ne dépose pas de cookies. Les cookies sont déposés par les balises individuelles chargées dans le conteneur GTM. Le script de conteneur de GTM ne crée pas de stockage persistant dans le navigateur.
Le GTM côté serveur (sGTM) déplace le traitement des données du navigateur vers votre serveur, réduisant l'exposition côté client. Déployé sur une infrastructure EU, sGTM peut traiter et filtrer les données avant de les transférer aux tiers. Il n'élimine pas les exigences de consentement mais offre un meilleur contrôle sur les flux de données.
Intégrez votre CMP avec GTM pour exposer les signaux de consentement comme des variables GTM. Utilisez des déclencheurs GTM qui vérifient les variables de catégorie de consentement avant de déclencher les balises. Pour les balises Google, mettez en oeuvre le Mode de consentement v2.
Divulguez GTM comme mécanisme utilisé pour gérer les scripts de suivi. Plus important, divulguez chaque catégorie de suivi et les outils spécifiques chargés. La politique de confidentialité doit décrire ce que fait chaque catégorie de balise, sa base légale et les transferts impliqués.
Pas en conformité sur les sites européens où des balises non essentielles sont déployées. Sans CMP, il n'y a aucun mécanisme pour obtenir ou transmettre les signaux de consentement à GTM, ce qui signifie que toutes les balises se déclenchent sans consentement — une violation RGPD pour le suivi non essentiel.
La plupart des principales CMP s'intègrent avec GTM : Cookiebot (Usercentrics), OneTrust, Axeptio, Didomi, CookieYes et Tarteaucitron proposent tous des intégrations GTM natives ou des modèles de balises GTM.
Le conteneur GTM de base ne dépose pas de cookies de tracking. Les cookies n'apparaissent que lorsque les balises se déclenchent (Google Analytics _ga, Google Ads _gcl_au, Meta Pixel _fbp, etc.). Chaque balise doit avoir sa propre entrée dans la politique cookies.
Charger le conteneur vide avant le consentement est admis si aucune balise soumise au consentement ne se déclenche. Couplez GTM à une CMP et à Consent Mode v2 pour que les balises marketing/analytics ne tournent qu'après acceptation.
Intérêt légitime (article 6.1.f RGPD) pour le conteneur vide (dispatcher technique). Consentement (article 6.1.a + article 5.3 ePrivacy) pour chaque balise non essentielle déclenchée depuis GTM.
Oui. gtm.js est servi par le CDN mondial de Google par Google LLC (États-Unis). Server side GTM en région Google Cloud UE garde les payloads en Europe. Les transferts sont couverts par l'EU US Data Privacy Framework.
GTM lui même ne requiert pas d'AIPD. Les balises qu'il déclenche, si : évaluez Analytics, Ads, Pixel séparément puis agrégez dans l'inventaire AIPD.
Connectez une CMP, activez Google Consent Mode v2, configurez consent_types sur chaque balise, restreignez les droits de publication, inscrivez GTM comme sous traitant au registre article 30 et envisagez Server Side GTM en région UE.
Matomo Tag Manager (UE, open source), Piwik PRO Tag Manager (UE), Tealium iQ (US), Adobe Experience Platform Launch (US), Commanders Act TagCommander (France), Tag Manager Plus (open source).
Ne listez pas le conteneur GTM comme cookie (il n'en dépose pas). Listez chaque balise déclenchée séparément. Mentionnez Google LLC comme sous traitant GTM avec la référence EU US Data Privacy Framework.