Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentGoogle Maps est un service de cartographie pouvant être intégré sur votre site web. Lors du chargement direct, il dépose des cookies et transfère des données vers les serveurs Google aux États-Unis, ce qui nécessite le consentement de l'utilisateur avant le chargement de la carte.
Google Maps est une plateforme de cartographie web exploitée par Google LLC. Les propriétaires de sites web l'intègrent via une iframe pour afficher des cartes interactives, des itinéraires et des marqueurs de localisation. Bien que très utile, l'intégration directe de Google Maps déclenche le dépôt de cookies et la transmission de données vers les serveurs Google aux États-Unis avant que le visiteur n'ait eu la possibilité de consentir.
Lorsqu'une iframe Google Maps se charge, Google dépose plusieurs cookies sur l'appareil du visiteur. Le cookie NID enregistre les préférences utilisateur et dure jusqu'à 13 mois. Le cookie CONSENT indique si l'utilisateur a interagi avec l'interface de consentement de Google et persiste 2 ans. Le cookie 1P_JAR agrège des statistiques de site web à des fins publicitaires, pendant environ un mois. Le cookie SOCS gère l'état de consentement propre à Google et dure généralement 13 mois. Tous ces cookies sont considérés comme non essentiels au sens du RGPD et de la directive ePrivacy, ce qui signifie qu'un consentement préalable est obligatoire avant le chargement de la carte.
En vertu du RGPD et de la directive ePrivacy, vous devez obtenir un consentement libre, spécifique, éclairé et univoque avant de charger tout contenu tiers non essentiel, y compris Google Maps. Intégrer la carte directement sans portail de consentement est non conforme. Votre politique de cookies doit lister chaque cookie déposé par Google Maps, son objet, sa durée et le responsable du traitement (Google LLC). Vous devez également mentionner le transfert de données personnelles vers les États-Unis dans le cadre des Clauses Contractuelles Types et inclure Google dans votre liste de sous-traitants.
L'approche conforme la plus répandue est la solution deux-clics: remplacer l'iframe par une image de remplacement ou un aperçu flou de la carte avec un bouton de consentement. Ce n'est qu'après que le visiteur a cliqué pour accepter que la véritable iframe Google Maps se charge et que les cookies sont déposés. Ce schéma est accepté par les autorités de contrôle européennes comme une mise en oeuvre valide du consentement préalable pour les contenus tiers intégrés. Les plateformes de gestion du consentement et les plugins dédiés peuvent automatiser ce processus et l'intégrer à votre registre global de consentement aux cookies.
Google LLC est une entreprise américaine soumise aux lois de surveillance américaines, dont la FISA 702. Les données transférées lors du chargement de Google Maps transitent vers l'infrastructure Google aux États-Unis. Ce transfert est couvert par les CCT de Google et le cadre EU-US Data Privacy Framework (si Google est certifié). Vous devez divulguer ce transfert dans votre politique de confidentialité et, le cas échéant, dans une Analyse d'Impact relative à la Protection des Données. Les visiteurs situés dans l'UE ont le droit de savoir que leurs données peuvent être consultées par les autorités américaines dans certains cadres légaux.
Si vous souhaitez afficher un emplacement sans déclencher les cookies Google, envisagez d'utiliser une image de carte statique générée via l'API Google Maps Static (rendu côté serveur sans cookies côté client), une intégration basée sur OpenStreetMap comme Leaflet.js (sans cookies Google), ou simplement un bloc d'adresse avec un lien ouvrant Google Maps dans un nouvel onglet uniquement lorsque le visiteur choisit de cliquer. Chaque option échange l'interactivité contre une simplicité de conformité.
Les sites web utilisant Google Maps doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Les intégrations Google Maps transfèrent des données de géolocalisation et des identifiants utilisateurs à Google LLC aux États-Unis via des CCT. Une AIPD est recommandée avant d'intégrer Google Maps si des données personnelles significatives (localisation, comportement de navigation) sont collectées. Évaluez la nécessité d'intégrer la carte complète plutôt qu'une image de carte statique. Vérifiez si la solution deux-clics ou une iframe conditionnée au consentement atténue suffisamment le risque. Les conditions de traitement des données et les CCT de Google doivent être examinées et documentées. Si vous traitez des données de localisation de résidents de l'UE, l'article 35 du RGPD peut s'appliquer.
Exemple de texte de consentement
Pour afficher cette carte interactive, nous devons charger du contenu depuis Google Maps (Google LLC, États-Unis). Cela permettra à Google de déposer des cookies et de collecter des données sur votre utilisation. Consentez-vous au chargement de la carte?
Domaines tiers contactes
maps.googleapis.commaps.google.comfonts.gstatic.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| NID | Preference | 13 months | Stores user preferences (language, region, number of search results) to personalise the Google Maps experience. |
| CONSENT | Functional | 2 years | Records whether the visitor has seen and interacted with Google's consent interface, and stores the consent state across Google services. |
| 1P_JAR | Marketing | 1 month | Aggregates website statistics and is used by Google for advertising measurement and optimisation purposes. |
| SOCS | Functional | 13 months | Manages Google's consent state for the current user, used to remember choices made in Google's own consent dialogs across sessions. |
Google Maps utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Commencer gratuitementOui. Lorsqu'une iframe Google Maps se charge sur une page, Google dépose immédiatement plusieurs cookies sur l'appareil du visiteur, notamment NID (préférences, 13 mois), CONSENT (suivi du consentement, 2 ans), 1P_JAR (publicité et analytique, 1 mois) et SOCS (état du consentement, 13 mois). Ces cookies sont déposés avant toute interaction de l'utilisateur avec la carte et sont classés comme non essentiels, ce qui signifie qu'un consentement préalable est requis en vertu du RGPD et de la directive ePrivacy.
Oui. Comme Google Maps dépose des cookies non essentiels et transfère des données personnelles à Google LLC aux États-Unis, vous devez recueillir un consentement libre, spécifique, éclairé et univoque de chaque visiteur avant le chargement de la carte. Intégrer simplement l'iframe sans portail de consentement est non conforme. La solution deux-clics ou l'intégration d'une plateforme de gestion du consentement sont les approches d'implémentation standard acceptées par les autorités de contrôle européennes.
La solution deux-clics remplace l'iframe Google Maps par un espace réservé (une image statique, un aperçu flou ou une bannière d'information) et un bouton de consentement. La carte ne se charge qu'après que le visiteur a activement cliqué pour accepter. Cette approche garantit qu'aucun cookie Google n'est déposé et qu'aucune donnée n'est transmise à Google avant l'obtention du consentement. C'est le schéma le plus utilisé et juridiquement accepté pour les intégrations conformes de Google Maps dans l'UE.
Oui. Lorsque Google Maps se charge, des données telles que les adresses IP, les identifiants d'appareils et le comportement de navigation sont transmises aux serveurs de Google LLC aux États-Unis. Cela constitue un transfert international de données au sens du Chapitre V du RGPD. Le transfert repose sur des Clauses Contractuelles Types et, le cas échéant, sur la certification au cadre EU-US Data Privacy Framework. Vous devez mentionner ce transfert dans votre politique de confidentialité et dans toute Analyse d'Impact relative à la Protection des Données pertinente.
Oui. L'utilisation de l'API Google Maps Static pour générer une image de carte côté serveur signifie qu'aucun JavaScript Google ne s'exécute dans le navigateur du visiteur et qu'aucun cookie n'est déposé côté client. Des bibliothèques basées sur OpenStreetMap telles que Leaflet.js offrent des cartes interactives sans cookies Google ni transferts de données vers les États-Unis. Un simple bloc d'adresse avec un lien ouvrant Google Maps dans un nouvel onglet uniquement lorsque le visiteur clique est également une option respectueuse de la vie privée qui ne nécessite aucun consentement.
Le consentement (article 6(1)(a) du RGPD) est la base légale applicable au chargement d'une intégration Google Maps, car elle dépose des cookies non essentiels et transfère des données à un tiers à des fins incluant la publicité et l'analytique. L'intérêt légitime ne peut pas être invoqué pour justifier le dépôt de cookies non essentiels au titre de la directive ePrivacy. Vous devez donc mettre en place un mécanisme de consentement et veiller à ce que vos registres d'activités de traitement reflètent cette base légale.
Une AIPD est recommandée si votre utilisation de Google Maps implique un traitement à grande échelle de données de localisation ou si la carte est utilisée pour inférer des informations sensibles sur les visiteurs. En vertu de l'article 35 du RGPD, une AIPD est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes. Même lorsqu'elle n'est pas strictement obligatoire, la documentation d'une évaluation des risques liés au transfert de données vers les États-Unis et de l'efficacité des CCT est considérée comme une bonne pratique par la plupart des autorités de protection des données européennes.
Votre politique de cookies doit lister chaque cookie déposé par Google Maps (NID, CONSENT, 1P_JAR, SOCS), son objet, sa durée et le responsable du traitement (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis). Vous devez également mentionner le transfert de données vers les États-Unis et renvoyer vers la politique de confidentialité de Google. Si vous utilisez une plateforme de gestion du consentement, assurez-vous que Google Maps est catégorisé sous la catégorie de consentement appropriée (généralement «Marketing» ou «Fonctionnel» selon l'utilisation que vous faites de l'intégration) et que le registre de consentement inclut le choix de l'utilisateur pour ce service spécifique.