Une boutique Shopify française associe souvent thème, applications, checkout, analyse et pixels publicitaires. Certains composants échappent à Google Tag Manager. Afficher une bannière ne suffit donc pas : les technologies doivent réellement respecter le choix du visiteur.
L'objectif est de construire une chaîne cohérente : informer, recueillir un choix libre, l'enregistrer, le transmettre aux bons outils et permettre son retrait. Ce guide présente une architecture pratique pour Shopify et Google Consent Mode v2. Il ne constitue pas un avis juridique et ne promet pas une conformité automatique. La configuration dépend des finalités, des applications, des marchés et des recommandations en vigueur.
Le consentement Shopify est une architecture
Commencez par inventorier les technologies actives et choisissez une source principale pour le statut de consentement. Deux bandeaux qui enregistrent des préférences différentes peuvent produire des états contradictoires entre la boutique et le paiement.
Une architecture cohérente suit généralement quatre étapes :
- Le bandeau décrit des finalités compréhensibles et rend le refus aussi accessible que l'acceptation.
- La préférence est enregistrée et synchronisée avec Shopify lorsque c'est pertinent.
- Les balises, pixels et scripts consultent le statut avant tout traitement facultatif.
- Une modification du choix met à jour les signaux et les futurs déclenchements.
La Customer Privacy API de Shopify permet de lire et de mettre à jour certaines préférences dans l'environnement de la boutique. Une CMP peut l'utiliser pour synchroniser ses catégories, à condition que leur correspondance soit définie avec précision.
La Web Pixels API encadre l'exécution de pixels et leur accès aux événements clients. Elle ne signifie pas que tous les pixels sont automatiquement autorisés, bloqués ou bien classés. Pour chacun, vérifiez les événements reçus, les données transmises, la finalité et les conditions de déclenchement.
Shopify évolue. Vérifiez sa documentation actuelle et testez la boutique publiée, notamment après une modification d'application ou du checkout. Une option dans l'administration ne prouve pas que tous les scripts tiers suivent le choix.
Séparer le nécessaire du facultatif
Le panier, la session, la sécurité, la prévention de la fraude et le paiement peuvent nécessiter certains traitements pour fournir le service demandé. La mesure d'audience, l'attribution publicitaire, le remarketing et la personnalisation comportementale doivent être évalués séparément et exigent généralement une gestion prudente du consentement avant le dépôt ou la lecture de traceurs.
| Composant | Finalité fréquente | Approche prudente |
|---|---|---|
| Panier et session | Conserver les articles | Documenter le caractère nécessaire |
| Sécurité et paiement | Protéger et finaliser l'achat | Ne pas y rattacher du marketing |
| Analyse | Mesurer trafic et conversions | Attendre le choix correspondant |
| Publicité | Attribution et remarketing | Attendre le consentement marketing |
| Personnalisation | Adapter le contenu | Expliquer la finalité et proposer un choix |
La valeur commerciale d'un outil ne le rend pas strictement nécessaire. Inspectez les cookies, le localStorage, les requêtes réseau et les événements envoyés, plutôt que de vous fier au nom d'une catégorie.
Google Consent Mode v2 : quatre signaux
Le Google Consent Mode transmet un statut aux balises Google compatibles :
analytics_storageconcerne le stockage lié à l'analyse ;ad_storageconcerne le stockage publicitaire ;ad_user_dataindique si des données utilisateur peuvent être envoyées à Google à des fins publicitaires ;ad_personalizationindique si elles peuvent servir à la publicité personnalisée et au remarketing.
Définissez un état default prudent avant les balises concernées, puis envoyez un update après le choix. Une option « analyse uniquement » peut accorder analytics_storage tout en maintenant les trois signaux publicitaires sur denied. Une mise à jour tardive n'annule pas une requête déjà envoyée.
Consent Mode est une couche technique de signalisation. Il ne recueille pas à lui seul un consentement valable, ne remplace ni l'information ni l'interface de choix, et ne dispense pas d'une analyse juridique. Le mode avancé peut permettre des communications limitées sans stockage après un refus ; sa pertinence doit être évaluée pour la configuration concernée. Consultez aussi nos guides sur Google Consent Mode v2 et son déploiement avec Google Tag Manager.
Trois voies de mise en œuvre
Paramètres et mécanismes de Shopify
Commencez par les réglages de confidentialité et les marchés ciblés dans l'administration. Cette voie limite le code personnalisé et peut convenir à une boutique simple. Elle ne garantit pas que chaque application externe, script du thème ou pixel personnalisé suive le même état.
CMP connectée par script
Une CMP peut centraliser le bandeau, les catégories, la mémorisation du choix et les mises à jour techniques. CookiePilot peut être envisagé comme une option pratique fondée sur une CMP et un script. Il ne s'agit pas d'affirmer qu'une application Shopify native CookiePilot ou qu'une intégration universelle en un clic existe. L'insertion, le mapping des catégories et les pixels doivent être configurés puis testés.
Examinez les fonctionnalités de CookiePilot, les formules disponibles ou contactez l'équipe pour évaluer cette approche.
Google Tag Manager et scripts personnalisés
GTM permet d'associer des exigences de consentement aux balises. Publiez le statut par défaut avant les balises dépendantes. Contrôlez aussi ce qui se trouve hors du conteneur : scripts du thème, applications injectant du code et pixels personnalisés.
Cadre français
En France, le RGPD encadre le traitement des données personnelles et les règles sur les traceurs concernent notamment l'accès ou le stockage d'informations sur le terminal. La CNIL publie des lignes directrices et ressources sur les cookies et autres traceurs. L'ARCEP intervient dans le champ des communications électroniques. Une boutique visant plusieurs pays doit aussi examiner les attentes locales.
Documentez pour chaque technologie son fournisseur, sa finalité, les données concernées, sa durée et sa catégorie. Le refus doit avoir un effet technique réel et la modification du choix rester accessible. Pour les principes généraux, consultez notre guide du bandeau cookies et du RGPD.
Matrice de tests avant mise en ligne
Commencez chaque scénario dans un profil de navigateur propre. Fermez les fenêtres privées entre les essais et videz le stockage lorsque nécessaire.
| Scénario | Points à vérifier |
|---|---|
| Première visite | État par défaut avant l'analyse et la publicité |
| Tout refuser | Aucun stockage facultatif ni requête marketing incompatible |
| Analyse uniquement, si proposée | Analyse autorisée, publicité toujours refusée |
| Tout accepter | Catégories et quatre signaux mis à jour sans doublon |
| Modifier le choix | Nouveau statut enregistré et respecté |
| Panier et checkout | Achat fonctionnel sans marketing indu |
| Retour du paiement | Préférence conservée, conversion non dupliquée |
| Web Pixels | Événements reçus seulement dans les conditions prévues |
| Mobile | Bandeau, panier et paiement utilisables sur petit écran |
Dans les outils de développement, inspectez Cookies, Local Storage, Session Storage et Network. Filtrez les domaines Google et ceux des autres fournisseurs. Utilisez Tag Assistant ou le mode Preview de GTM pour vérifier l'ordre des événements, puis comparez leurs indications aux requêtes réelles. Testez sur ordinateur, mobile et plusieurs navigateurs.
Liste de contrôle
- Inventorier applications, scripts, balises GTM, Google tags et Web Pixels.
- Décrire finalité, fournisseur, données, durée et catégorie.
- Séparer panier, sécurité et paiement de l'analyse et du marketing.
- Choisir une seule source principale de consentement.
- Définir les quatre signaux avant les balises concernées.
- Relier le choix à la Customer Privacy API si elle est utilisée.
- Contrôler les technologies situées hors de GTM.
- Tester refus, choix partiel, acceptation et retrait.
- Parcourir produit, panier, checkout, paiement et page de retour.
- Refaire les tests après une modification importante.
Pour WooCommerce, consultez le guide du bandeau cookies WooCommerce. Pour comparer des CMP, voyez aussi CookiePilot face à Cookiebot.
Questions fréquentes
Toutes les boutiques Shopify ont-elles besoin d'un bandeau cookies ?
Cela dépend des technologies, des finalités et des marchés. Une boutique limitée aux fonctions nécessaires diffère d'une boutique utilisant analyse, pixels publicitaires et remarketing.
Les paramètres de confidentialité de Shopify suffisent-ils ?
Ils sont un bon point de départ, mais il faut tester applications, Web Pixels, scripts du thème et outils externes. L'administration ne démontre pas le comportement de toute la boutique.
Consent Mode v2 rend-il une boutique conforme au RGPD ?
Non. Il transmet des signaux techniques. La validité du consentement, l'information, le paramétrage des traceurs et la base juridique restent à analyser.
Peut-on autoriser l'analyse et refuser la publicité ?
Oui, si l'interface le propose et si le mapping est correct. analytics_storage peut être accordé tandis que ad_storage, ad_user_data et ad_personalization restent refusés.
Le refus du marketing doit-il bloquer le checkout ?
Non, en principe. Les fonctions nécessaires au panier, à la sécurité et au paiement doivent rester séparées des finalités publicitaires facultatives.
Quand faut-il refaire les tests ?
Après un changement du thème, d'une application, de GTM, d'un pixel ou du checkout. Un contrôle périodique aide aussi à détecter les changements de tiers.
Prochaine étape
Si vous souhaitez centraliser le bandeau, les catégories et les signaux techniques, évaluez CookiePilot comme solution CMP ou script pour votre architecture réelle. Commencez par l'inventaire, testez d'abord le refus, puis choisissez une mise en œuvre contrôlable par vos équipes techniques et juridiques.
Ecrit par
Marcin
Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.
