Tout ce que vous voudriez savoir avant d'installer.
Un regard détaillé sur le fonctionnement de DataFirefly Cookie Consent — RGPD/CNIL & Google Consent Mode v2 pour Shopware 6, pourquoi nous l'avons conçu ainsi, et la réflexion derrière les fonctionnalités ci-dessus.
Pourquoi un plugin de consentement dédié sur Shopware
La bannière cookies native de Shopware 6 est un MVP de gestion de cookies fonctionnel mais qui n'a jamais été pensé pour les exigences réglementaires actuelles. Pas de Google Consent Mode v2 natif, pas de journal d'audit utilisable en preuve, pas d'équivalence stricte entre Tout accepter et Tout refuser au premier niveau, pas de détection EEE intelligente, pas d'audit des trackers réellement actifs sur votre site. En 2026, ces lacunes ne sont plus juste un inconvénient : elles coûtent de l'argent (conversions Google Ads européennes perdues parce que Consent Mode v2 n'est pas implémenté correctement) et exposent à des sanctions (jusqu'à 4 pourcent du chiffre d'affaires annuel mondial selon le RGPD, déjà appliquées à des centaines de e-commerçants français par la CNIL). DataFirefly Cookie Consent est conçu pour remplacer intégralement la bannière native et apporter tout ce qui manque, en une installation et zéro développement spécifique.
Google Consent Mode v2 natif et au bon moment
Google a annoncé Consent Mode v2 en novembre 2023, l'a rendu obligatoire pour les conversions Ads européennes en mars 2024, et l'a étendu aux audiences GA4 dans la foulée. Concrètement, si votre site européen ne déclare pas les 7 signaux Consent Mode v2 (ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage) avant le chargement de GTM ou GA4, Google considère votre site comme non-conforme et cesse de remonter les conversions des visiteurs qui ont refusé les cookies. Vous perdez de la mesure et donc de la performance d'optimisation. DataFirefly Cookie Consent imprime le bloc gtag consent default en tout premier dans le head du storefront, avec wait_for_update à 500 millisecondes pour laisser le temps au visiteur de répondre à la bannière, puis émet gtag consent update dès le clic. Le plugin embarque aussi un loader GTM optionnel (renseignez juste votre ID GTM dans la configuration) qui sera chargé automatiquement APRÈS le bloc default. Vous pouvez aussi configurer un ID GA4 standalone (sans GTM) si votre setup est plus simple.
Bannière v3 : équivalence des actions, tous les layouts
La bannière a été repensée pour répondre aux exigences strictes de la CNIL et du Garante Privacy italien. Trois boutons au premier niveau (Tout accepter, Tout refuser, Personnaliser) avec une équivalence visuelle stricte : même taille, même contraste, même hiérarchie typographique. Pas de design dark pattern qui pousserait à accepter par défaut. Trois layouts au choix selon votre charte (barre pleine largeur en bas pour les sites e-commerce classiques, carte d'angle discrète pour les sites contenu, modale centrée bloquante pour les sites avec un fort enjeu de consentement), deux positions (haut ou bas), trois thèmes (clair, sombre, ou auto qui suit prefers-color-scheme), une couleur d'accent personnalisable via color picker. Un bouton flottant persistant en bas à gauche permet à l'utilisateur de rouvrir ses préférences à tout moment, comme le recommande la CNIL. Et tout est responsive sous 640 pixels avec boutons pleine largeur et modale plein écran.
Audit réel : ce que vos visiteurs voient vraiment
La plupart des plugins de consentement vous demandent de déclarer manuellement les cookies que votre site dépose. C'est fragile : un développeur ajoute un nouveau tag GTM, vous oubliez de mettre à jour la déclaration, et votre conformité passe à côté. DataFirefly Cookie Consent prend le problème dans l'autre sens. Depuis le module admin, vous lancez un audit de votre URL : le plugin récupère votre page d'accueil, scanne le HTML et les scripts pour détecter les trackers réellement présents (23 trackers reconnus : Google Analytics 4, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Pinterest Tag, Snapchat Pixel, Twitter X Pixel, Bing UET, Matomo, Microsoft Clarity, Hotjar, Mixpanel, Plausible, HubSpot, Intercom, Crisp, Tawk, YouTube embed, Vimeo embed, Stripe Elements et plus), et interroge la base Shopware pour détecter les 11 plugins serveur connus pour déposer des cookies non-conformes. Un score de conformité 0 à 100 est calculé en comparant les trackers détectés avec les catégories que vous avez activées dans la bannière, et les écarts sont remontés sous forme d'issues classées critical, warning et info. Vous savez exactement quoi corriger.
Journal d'audit : preuve irréversible conforme CNIL
Le RGPD exige une preuve de consentement utilisable en cas de contrôle, c'est-à-dire un enregistrement horodaté que vous pouvez produire à la demande. Mais cette preuve doit aussi respecter le RGPD : pas question de stocker l'IP en clair pendant 5 ans. DataFirefly Cookie Consent applique une double protection unique : chaque IP est d'abord hachée en SHA-256 avec un sel aléatoire de 64 caractères généré à l'installation du plugin et jamais exposé. Même si la base de données fuite, l'IP est mathématiquement non récupérable. Mais comme un hash pur perd l'info géographique, le plugin stocke aussi en parallèle une version tronquée de l'IP : pour IPv4, on garde seulement le réseau classe C (xx.xx.xx.0), pour IPv6 le préfixe 64 bits. Vous gardez la capacité d'analyser les patterns géographiques globaux sans pouvoir réidentifier un utilisateur. Le journal contient aussi le sales channel, la langue, la version de la politique au moment du consentement, la version de la bannière, le snapshot des catégories activées et celui des signaux Consent Mode v2, plus user agent et referer tronqués. Tout est exportable en CSV (avec BOM UTF-8 et séparateur point-virgule, donc directement ouvrable dans Excel français) ou en JSON pretty, depuis le module admin, en un clic. Et une tâche planifiée Shopware purge automatiquement les entrées plus anciennes que la durée de rétention configurée (1825 jours par défaut, recommandation CNIL).
Détection EEE intelligente et Cloudflare-ready
Le RGPD ne s'applique qu'aux visiteurs résidant dans l'EEE plus quelques pays alignés (Royaume-Uni, Suisse). Pour les visiteurs hors EEE, vous pouvez légalement ne pas afficher de bannière de consentement, ce qui améliore mécaniquement le taux d'acceptation moyen et donc la qualité de votre mesure. DataFirefly Cookie Consent détecte le pays du visiteur de manière intelligente : si votre site est derrière Cloudflare, il utilise l'en-tête CF-IPCountry qui est ajouté gratuitement par Cloudflare sur chaque requête (et qui est la méthode la plus rapide et la plus fiable disponible). Sinon, il analyse Accept-Language pour deviner le pays à partir de la locale principale du navigateur. La liste des 31 pays UE et EEE plus Royaume-Uni et Suisse est codée en dur dans le plugin pour ne dépendre d'aucun service externe. Le mode eeaOnly (toggle dans la configuration) déclenche la logique : si activé, les visiteurs détectés hors EEE ne voient simplement pas la bannière, sans aucun cookie déposé, et avec un consentement implicite généré pour Consent Mode v2.
Module Admin Vue 3 complet et compatible 6.7
Tout le module administration a été développé directement sur la stack Vue 3 et les composants Meteor (mt-button, mt-card, mt-text-field, mt-select), qui sont les composants officiels Shopware 6.7. La migration depuis 6.6 (sw-*) est gérée automatiquement par Shopware en arrière-plan. Concrètement, votre admin ressemble à du Shopware 6.7 natif, avec une intégration parfaite dans le menu (Marketing puis DataFirefly Cookie Consent), trois pages bien structurées (Tableau de bord, Audit, Journal), et tous les textes traduits dans les 5 langues du plugin (français, anglais, espagnol, allemand, italien). Le dashboard affiche 6 KPI temps réel calculés en SQL, la page Audit utilise un anneau de score conique en SCSS pur (pas de dépendance graphique externe), et le journal exploite le composant sw-data-grid natif avec pagination, ce qui garantit la cohérence visuelle même si votre admin Shopware est customisé.
Ce que le plugin ne fait pas
DataFirefly Cookie Consent est volontairement centré sur le consentement RGPD et Consent Mode v2. Il ne gère pas le registre RGPD des traitements (RGPD article 30), il ne fait pas d'export DSAR automatique des données personnelles client (RGPD article 15), il ne génère pas votre politique de confidentialité (vous devez disposer de votre propre URL de politique), et il ne fonctionne pas sur Shopware Cloud (la version SaaS hébergée par Shopware, qui ne permet pas l'installation de plugins serveur). Il est compatible avec toutes les installations auto-hébergées Shopware 6.6 et 6.7 (votre propre serveur, VPS, ou hébergement mutualisé compatible Shopware). Pour les autres besoins de conformité RGPD côté Shopware, d'autres plugins de la gamme DataFirefly couvrent ces périmètres.
Il n’y a pas encore d’avis.