Comment fonctionne le blocage de scripts pour la Loi 25?

Le blocage pru00e9alable intercepte le HTML rendu par le serveur. Les balises non essentielles voient leur attribut type changu00e9 de u00abtext/javascriptu00bb en u00abtext/plainu00bb, neutralisant leur exu00e9cution. Apru00e8s consentement de l'utilisateur, le JavaScript cu00f4tu00e9 client ru00e9active dynamiquement les scripts autorisu00e9s, sans rechargement de page.

Qu'est-ce que le Google Consent Mode v2?

Le Consent Mode v2 permet aux balises Google (Analytics, Ads) d'exister en u00e9tat u00abrestreintu00bb avant le consentement , elles utilisent la modu00e9lisation statistique plutu00f4t que les donnu00e9es individuelles. Le script de configuration doit u00eatre injectu00e9 avant tous les autres scripts, en tu00eate de . Compatible avec la Loi 25.

Le blocage de scripts affecte-t-il le SEO?

Non. Le blocage de scripts de suivi (Analytics, Meta Pixel) n'affecte pas le SEO car Google crawler ne du00e9pose pas de cookies et l'indexation n'est pas conditionnu00e9e au consentement. Les scripts bloquu00e9s sont pru00e9sents dans le DOM (visibles des robots) mais simplement inactifs jusqu'au consentement.

Quels scripts sont exemptu00e9s du blocage Loi 25?

Les scripts strictement nu00e9cessaires sont exemptu00e9s : cookies de session (authentification, panier), cookies anti-CSRF (su00e9curitu00e9 des formulaires), cookies de pru00e9fu00e9rence de langue, et tout script de fonctionnalitu00e9 pure sans composante de suivi identifiant. Les scripts analytiques, publicitaires et de ru00e9seaux sociaux sont bloquu00e9s.

10 min

Leçon 3.2 : Le blocage préalable des scripts : comment ça fonctionne

Le cœur technique de la conformité consentement

Le blocage préalable des scripts est l’exigence technique centrale de la Loi 25 : aucun script de suivi ne peut s’exécuter dans le navigateur de l’utilisateur avant qu’il ait activement cliqué sur « Accepter ». Cette obligation transforme l’architecture frontale d’un site web.

Comment fonctionne le blocage préalable?

Le mécanisme repose sur l’interception du tampon de sortie HTML (output buffering) avant envoi au navigateur :

Le serveur intercepte le HTML rendu.
Toutes les balises <script> non essentielles voient leur attribut type muté de text/javascript en text/plain, ce qui neutralise leur exécution.
Un attribut data-cookieconsent=« analytics » (ou marketing) est ajouté.
La page est envoyée au navigateur : scripts présents dans le DOM mais inactifs.
Quand l’utilisateur clique « Accepter » (catégorie correspondante), le JavaScript côté client réactive les scripts autorisés dynamiquement, sans rechargement de page.

Scripts concernés par le blocage

Analytiques : Google Analytics (GA4), Matomo, Hotjar, Microsoft Clarity.
Marketing et reciblage : Meta Pixel, TikTok Pixel, Google Ads, LinkedIn Insight Tag.
Réseaux sociaux : Boutons de partage Facebook/Twitter/LinkedIn (si traceurs).
Chatbots : Intercom, Zendesk, Drift (si collecte identifiante).

Scripts exemptés (essentiels)

Cookie de session (authentification, panier WooCommerce).
Cookie anti-CSRF (sécurité des formulaires).
Cookie de préférence de langue.
Scripts de fonctionnalité pure sans composante de suivi.

Charger Google Analytics en arrière-plan pendant l’affichage de la bannière, même sans déclencher de collecte complète, est une violation de la Loi 25 selon la CAI.

Google Consent Mode v2

Google Consent Mode v2 est une technologie complémentaire qui permet aux balises Google d’exister dans un état restreint avant le consentement. Le script gtag('consent', 'default', {...}) doit être injecté avant tout autre script, en tout début de <head>. En état restreint, Google utilise la modélisation statistique plutôt que les données individuelles, conformité et mesure des conversions préservées.

siteqc-requete-reseau-avant-consentement

SiteQC : blocage natif intégré

SiteQC gère le blocage préalable à l’architecture, tous les scripts tiers sont bloqués avant consentement, Google Consent Mode v2 est configuré automatiquement, et l’activation post-consentement se fait sans rechargement de page.

Points clés

Aucun script non essentiel ne peut s’exécuter avant le clic « Accepter ».
Mécanisme : mutation type=« text/plain » → réactivation JS post-consentement.
Scripts essentiels (session, sécurité) sont exemptés.
Google Consent Mode v2 doit être injecté avant tous les autres scripts.