RGPD et DMA : vos obligations Google Ads en clair

Relisez votre stack : c’est du droit compilé

Prenez les pages de cette branche et retournez-les : pourquoi le Consent Mode existe-t-il ? Parce que le DMA a désigné Google gatekeeper et conditionné le croisement de données au consentement explicite.

Le Consent Mode v2, mode basic ou advanced, obligatoire depuis mars 2024 et durci en juillet 2025, en est l’exécution technique.

Pourquoi les enhanced conversions hachent-elles en SHA-256 ? Parce que transmettre un e-mail en clair à un tiers est exactement ce que le RGPD encadre : le hachage est une exigence devenue feature. Pourquoi la modélisation ? Parce que le refus doit être respecté, et estimé plutôt que contourné.

Votre stack de mesure est du droit compilé. Chaque réglage de la chaîne de mesure Google Ads exécute un article. Le voir change la posture : la conformité cesse d’être une bannière posée par-dessus le dispositif, elle est la raison de sa forme.

Et précisons le statut de cette page avant d’aller plus loin : je vous donne la carte, les textes, leurs effets observables sur votre compte. Les arbitrages (votre base légale, vos mentions, vos registres) appartiennent à votre conseil juridique. Un consultant Ads qui tranche du droit vous rend le même service qu’un avocat qui règle vos enchères.

DMA: Digital Markets Act : règlement européen entré en application en 2023-2024, qui désigne les grandes plateformes numériques comme gatekeepers et leur impose des obligations spécifiques, dont la gestion du consentement pour le croisement de données entre services.
RGPD: Règlement Général sur la Protection des Données (2018) : cadre légal européen imposant une base légale pour tout traitement de données personnelles, et le consentement préalable pour le ciblage publicitaire.
Gatekeeper: Statut attribué par la Commission européenne à une plateforme numérique dominante (Google, Meta, Amazon...) au titre du DMA. Ce statut déclenche des obligations renforcées, dont celles qui ont conduit Google à imposer le Consent Mode v2.

Les deux textes, par leurs effets sur votre compte

Le RGPD (2018) pose le socle : traiter une donnée personnelle exige une base légale, et pour le ciblage publicitaire cette base est, en pratique dominante, le consentement, préalable, libre, éclairé, aussi simple à refuser qu’à donner. S’y ajoutent les droits des personnes (accès, effacement) qui s’appliquent aussi aux données que votre mesure accumule.

Effets observables sur Ads : pas de remarketing sans consentement valide, pas de user data transmise sans base. Toute la doctrine du poste de douane de cette branche en découle.

Le DMA (application 2023-2024) joue à un autre étage : il ne vous régule pas vous, il régule les gatekeepers, dont Google. Pour croiser les données d’un utilisateur entre ses services, Google doit désormais disposer d’un consentement renforcé.

C’est précisément pourquoi Google exige de vous les signaux du Consent Mode : votre bannière est devenue le point de collecte d’une obligation qui pèse sur lui. Comprendre cette mécanique en cascade éclaire tout le reste : quand Google durcit (juillet 2025, jalon de juin 2026), ce n’est pas du zèle produit, c’est du risque réglementaire redistribué vers les annonceurs.

L’erreur que je vois le plus

Traiter la bannière comme la conformité. La bannière est l’interface. La conformité, c’est tout le système en aval : comment le signal remonte, ce qui sort vers Google, ce qui est haché, ce que vous pouvez retrouver et effacer si un utilisateur le demande. Une bannière techniquement conforme sur un dispositif de mesure mal configuré ne vous protège pas.

Ce que ça implique : la conformité comme exigence d’ingénierie

D’où la thèse de cette page, et elle est opérationnelle : la conformité ne s’audite pas en regardant la bannière, elle s’audite comme un système, le long de la même chaîne que la mesure.

La collecte (que captez-vous, où ?), le consentement (recueilli comment, transmis où : le double parcours que vous réglez quand vous choisissez et configurez votre CMP), la transmission (quelles données sortent, vers qui : la liste blanche du poste de douane, là où vous décidez quelles variables user data partent en server-side), les droits (pouvez-vous retrouver et effacer ?).

Quatre maillons, les mêmes que la mesure, parce que c’est le même objet vu de deux fenêtres.

Et un réflexe pour la suite : chaque nouvelle feature de mesure que Google publie encode une obligation. Demandez-vous d’abord laquelle : vous comprendrez la feature plus vite que par sa fiche produit.

Le droit pousse d’un côté ; la technique érode de l’autre, en parallèle, quand les cookies tiers cèdent face à ITP et ATT, c’est la même chaîne qui se reconfigure.

La limite honnête : cette page décrit un cadre à la date du jour ; les textes s’interprètent, la jurisprudence bouge, et les autorités nationales (la CNIL pour la France) publient des lignes directrices qui précisent, ou durcissent, l’application. La carte vieillit ; votre conseil, lui, se tient à jour.

À retenir

Le RGPD exige une base légale pour tout traitement : pour le ciblage, c’est le consentement préalable, libre et éclairé.
Le DMA a désigné Google gatekeeper : c’est la cause directe du Consent Mode v2 obligatoire et du hachage des enhanced conversions.
Votre stack de mesure exécute ces deux textes. Chaque réglage encode un article.
La conformité s’audite comme un système (collecte, consentement, transmission, droits), pas comme une bannière.
Cette page donne la carte : les arbitrages de base légale, mentions et registres appartiennent à votre conseil juridique.

La décision

Une session avec votre conseil juridique, préparée avec votre doc de mesure (la chaîne, les flux, la liste blanche, les parcours testés) : c’est l’audit utile, celui où le juriste voit le système au lieu de la bannière.

De votre côté, la discipline est déjà en place si vous avez suivi la branche : tout ce qui a été construit ici, signaux transmis, hachage, tri des sorties, est exactement ce qu’un système conforme exige. Ce n’était pas un hasard. C’était l’architecte.

Questions fréquentes

Pourquoi le Consent Mode v2 est-il devenu obligatoire ?

Le DMA a désigné Google gatekeeper et lui interdit de croiser des données entre services sans consentement renforcé. Google a répercuté cette obligation sur les annonceurs via le Consent Mode v2, obligatoire depuis mars 2024.

Le RGPD s’applique-t-il à Google Ads ?

Oui, dès que vous transmettez des données personnelles (e-mail haché, ID utilisateur, adresse IP) à Google pour le ciblage ou la mesure, le RGPD s’applique. La base légale la plus courante pour le ciblage est le consentement préalable.

Quelle différence entre RGPD et DMA pour un annonceur Google Ads ?

Le RGPD vous oblige à recueillir un consentement valide avant tout traitement de données personnelles. Le DMA oblige Google à exiger ce consentement pour croiser les données entre ses services. Les deux textes se superposent : votre bannière doit satisfaire les deux.

Dois-je faire appel à un avocat pour être conforme ?

Cette page décrit le cadre et ses effets observables sur votre compte. Les arbitrages de base légale, mentions légales, registres de traitement et choix de CMP relèvent de votre conseil juridique. Ce n’est pas une question de confort : c’est une limite de compétence, y compris la mienne.

Vincent Duquesne

Consultant Google Ads / SEA freelance depuis 2011 · +100 comptes · +20 M€ gérés

Google Partner Premier 2026

Publié le 12 juin 2026 · Mis à jour le 12 juin 2026

RGPD et DMA : le cadre légal qui dessine votre mesure Google Ads