Pourquoi Google exige désormais une CMP certifiée

Depuis janvier 2024, Google applique une politique stricte : tout site web diffusant des publicités auprès d’utilisateurs dans l’Espace économique européen (EEE) ou au Royaume-Uni doit recueillir le consentement via une Consent Management Platform certifiée par Google. Il ne s’agit pas de simples recommandations facultatives. Sans certification, les éditeurs s’exposent à des conséquences concrètes qui impactent directement les revenus et la qualité des données.

Cette exigence découle de l’évolution du cadre réglementaire de l’UE. Le Digital Markets Act a désigné Google comme « gatekeeper », ce qui oblige Google à démontrer que les signaux de consentement circulant dans sa stack publicitaire sont légitimes, auditables et conformes au Transparency and Consent Framework (TCF). La réponse de Google a été de créer un programme de certification qui évalue les CMP selon un ensemble défini de critères techniques et opérationnels.

Pour les éditeurs, cela signifie que la CMP choisie n’est plus seulement une question de préférence ou de confort. C’est un facteur bloquant qui détermine si votre inventaire publicitaire EEE génère son plein potentiel de revenus ou se voit réduit à une fraction de ce potentiel.

Ce que signifie réellement la certification CMP de Google

La certification n’est pas un simple tampon automatique. Google évalue les CMP selon plusieurs dimensions avant d’accorder, puis de maintenir, le statut certifié :

• Intégration TCF 2.2+ : La CMP doit être un membre enregistré de l’IAB Europe Transparency and Consent Framework, actuellement en version 2.2, avec la transition vers TCF 2.3 en cours. Cela signifie que la CMP génère des TC Strings que les fournisseurs en aval peuvent analyser pour déterminer le statut de consentement pour des finalités de traitement spécifiques.
• Prise en charge de Consent Mode V2 : La CMP doit envoyer les bons signaux de consentement Google — ad_storage, analytics_storage, ad_user_data et ad_personalization — via l’API Google Consent Mode. La mise à jour V2 a ajouté les deux derniers paramètres, désormais obligatoires pour toute diffusion publicitaire dans l’EEE.
• Comportement par défaut approprié : Avant qu’un utilisateur n’interagisse avec le bandeau, la CMP doit définir des états de consentement par défaut (généralement refusés pour les utilisateurs EEE). Google vérifie qu’aucune balise ne se déclenche avec un consentement accordé avant que l’utilisateur n’ait fait un choix.
• Normes d’interface utilisateur : Le bandeau de consentement doit offrir un véritable choix. Google vérifie que la CMP permet aux utilisateurs d’accepter, de refuser ou de personnaliser leur consentement sans recourir à des modèles de conception trompeurs qui les poussent vers l’acceptation.
• Audits de conformité continus : La certification n’est pas permanente. Google réévalue périodiquement les CMP et peut révoquer la certification si le niveau d’exigence baisse ou si la CMP ne suit pas les mises à jour du framework.

La liste actuelle des CMP certifiées

Google tient à jour une liste publique de CMP certifiées sur ses pages d’assistance. Début 2026, environ 30 à 40 plateformes disposent de la certification. La liste comprend de grandes plateformes pour entreprises, des outils pour le mid-market et des solutions spécialisées. Parmi les noms notables figurent Cookiebot, OneTrust, Usercentrics, Didomi et FlexyConsent.

La liste n’est pas figée. De nouvelles CMP peuvent y être ajoutées lorsqu’elles terminent le processus de certification, et d’autres peuvent en être retirées si elles ne sont plus conformes. Les éditeurs doivent vérifier leur CMP sur la liste officielle, accessible via la page du programme de partenaires CMP de Google, au moins une fois par trimestre. Si votre CMP n’y figure pas, votre diffusion publicitaire dans l’EEE est en danger, quels que soient les arguments du fournisseur de CMP sur son niveau de conformité.

Il est également important de noter que figurer sur la liste ne signifie pas que toutes les CMP certifiées se valent en termes de qualité. La certification établit un socle minimal de conformité, mais la qualité de l’implémentation, les options de personnalisation, l’impact sur les performances et le niveau de support varient fortement d’un fournisseur à l’autre. Les éditeurs doivent évaluer les CMP certifiées sur leurs mérites, au-delà de la seule certification.

Ce qui se passe sans CMP certifiée

Les conséquences de l’absence de CMP certifiée dans l’EEE sont importantes et immédiates :

• Diffusion publicitaire restreinte : Google Ad Manager, AdSense et AdMob limiteront les publicités affichées aux utilisateurs EEE. Dans de nombreux cas, cela signifie uniquement des annonces non personnalisées, voire aucune annonce, selon votre configuration. Les annonces non personnalisées génèrent généralement de 50 à 70 % de revenus en moins que les annonces personnalisées.
• Pas de modélisation des conversions : Les modèles avancés de conversion de Google reposent sur les signaux de consentement. Sans signaux Consent Mode V2 corrects, vous perdez l’accès aux conversions modélisées dans Google Ads et GA4, ce qui crée des lacunes dans vos données d’attribution et rend l’optimisation des campagnes peu fiable.
• Baisse de la demande programmatique : De nombreux SSP et DSP de l’écosystème Google vérifient la présence de TC Strings valides. Sans ces chaînes, les bid requests sont soit filtrées, soit reçoivent des CPM plus faibles, car les acheteurs ne peuvent pas vérifier le statut de consentement.
• Risque de non-conformité : Au-delà de l’application des règles par Google, fonctionner sans consentement adéquat dans l’EEE vous expose à des amendes GDPR infligées par les autorités nationales de protection des données. Ces amendes peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé étant retenu.
• Érosion de la confiance des annonceurs : Les annonceurs directs et les agences auditent de plus en plus la conformité des éditeurs. Fonctionner sans CMP certifiée envoie aux annonceurs premium le signal que votre inventaire peut comporter un risque juridique, ce qui peut vous faire perdre des accords directs.

TCF 2.3 et Consent Mode V2 : le double prérequis

Une idée reçue fréquente consiste à penser que la conformité TCF seule suffit. Ce n’est pas le cas. Google exige à la fois une TC String valide issue d’une CMP enregistrée au TCF et des signaux Consent Mode V2. Ces éléments remplissent des fonctions différentes dans l’écosystème ad tech :

La TC String communique un consentement granulaire, au niveau des fournisseurs, à l’écosystème de la publicité programmatique. Elle indique à chaque acteur de la chaîne d’approvisionnement à quelles finalités de traitement l’utilisateur a consenti. Consent Mode V2, de son côt��, communique l’état du consentement spécifiquement aux balises Google (Analytics, Ads, Floodlight). Une CMP certifiée doit gérer les deux simultanément et veiller à ce qu’ils restent synchronisés.

TCF 2.3, la dernière version du framework, introduit des ajustements concernant la gestion de l’intérêt légitime et les exigences de transparence sur les fournisseurs. Elle renforce les règles encadrant la possibilité pour les fournisseurs d’invoquer l’intérêt légitime comme base juridique et impose une information plus claire aux utilisateurs sur les fournisseurs qui traiteront leurs données. Les CMP qui visent ou conservent la certification Google sont censées prendre en charge TCF 2.3 à mesure qu’il devient la norme tout au long de l’année 2026.

Comment FlexyConsent a obtenu la certification Google

FlexyConsent a été conçu dès le départ avec la certification Google comme objectif central, et non comme un ajout tardif. La plateforme implémente les quatre paramètres de Consent Mode V2 avec des états par défaut en refus pour le trafic EEE. Elle génère des TC Strings conformes aux standards en tant que CMP enregistrée auprès de l’IAB Europe.

Parmi les décisions techniques clés qui ont facilité la certification :

• Chargement du script avant toute autre balise : Le script asynchrone léger de FlexyConsent se charge et définit les états de consentement par défaut avant que Google Tag Manager ou gtag.js ne puissent se déclencher, évitant toute fuite de consentement durant les millisecondes critiques suivant le chargement de la page.
• Paramètres par défaut géo-sensibles : La plateforme détecte la localisation de l’utilisateur et applique des paramètres de consentement adaptés à la région — refusés pour l’EEE et le Royaume-Uni, accordés pour les régions sans obligation explicite de consentement, sauf configuration contraire de l’éditeur.
• Stockage transparent du consentement : Les choix de consentement sont stockés dans des cookies first-party avec des conventions de nommage claires, ce qui les rend auditables par Google lors des revues de certification et par les éditeurs lors de leurs propres contrôles de conformité.
• Support continu des versions TCF : À mesure que le framework évolue de 2.2 à 2.3, FlexyConsent met automatiquement à jour la génération des TC Strings sans nécessiter de modifications côté éditeur ni de mise à jour de script.
• Empreinte de performance minimale : Le script est optimisé pour se charger en moins de 50 millisecondes sur des connexions typiques, de sorte qu’il ne dégrade pas la vitesse de la page ni les scores Core Web Vitals.

Ce que les éditeurs doivent vérifier dès maintenant

Si vous diffusez des publicités dans l’EEE, voici une checklist concrète pour vérifier votre conformité :

• Vérifier la liste des certifiées : Confirmez que votre CMP figure sur la liste officielle des partenaires CMP certifiés de Google. Faites-le chaque trimestre, car la liste évolue.
• Vérifier les signaux Consent Mode V2 : Utilisez Google Tag Assistant ou la console du navigateur pour confirmer que les commandes consent default et consent update se déclenchent avec les quatre paramètres (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Tester la TC String : Utilisez le décodeur de TC String de l’IAB pour vérifier que votre CMP génère des TC Strings valides et interprétables, avec les bons consentements fournisseurs et les bonnes déclarations de finalités.
• Auditer l’ordre de déclenchement des balises : Assurez-vous que le script de votre CMP se charge avant les balises Google. Si les balises se déclenchent avant que le consentement ne soit défini, vous avez une faille de conformité que les systèmes de Google détecteront.
• Analyser les taux de consentement : Si votre taux de consentement EEE est anormalement élevé (au-dessus de 90 %), vérifiez si la conception de votre bandeau offre réellement un choix libre ou si elle pousse les utilisateurs d’une manière que les régulateurs pourraient contester.
• Tester sur tous les appareils : Vérifiez que le parcours de consentement fonctionne correctement sur mobile, tablette et desktop. Les problèmes de consentement sur mobile sont fréquents et passent souvent inaperçus lors de tests uniquement sur desktop.

À retenir : La certification CMP de Google n’est pas un badge marketing — c’est un verrou technique qui détermine si vos revenus publicitaires EEE circulent normalement ou sont bridés. Vérifiez le statut de votre CMP, testez votre implémentation et assurez-vous que les signaux TCF et Consent Mode V2 se déclenchent correctement.

FlexyConsent propose une offre gratuite incluant l’intégralité des fonctionnalités de CMP certifiée par Google, Consent Mode V2 et la prise en charge de TCF 2.3. Pour les éditeurs qui doivent se mettre en conformité rapidement, c’est l’un des moyens les plus rapides de passer de l’installation à une collecte de consentement conforme au niveau de la certification.