TL;DR
Google Analytics 4 (GA4) dépose des cookies (_ga, _ga_XXXXXX, _gid) qui permettent à Google de suivre les visiteurs et leur comportement. Sous le RGPD, l'utilisation de GA4 nécessite un consentement préalable pour les cookies analytiques. Ne pas bloquer GA4 avant le consentement expose votre site à un risque de non-conformité, comme l'ont rappelé la CNIL et plusieurs autorités européennes.
Google Analytics est l'outil d'analyse le plus utilisé au monde. Mais depuis 2022 et les décisions de plusieurs autorités européennes concernant Universal Analytics, son successeur GA4 fait l'objet d'une attention particulière. Comment utiliser GA4 de manière conforme ? Ce guide répond à cette question.
Ce guide couvre les cookies déposés par GA4, le cadre réglementaire applicable, comment conditionner GA4 au consentement via une CMP, et les erreurs les plus fréquentes.
Quels cookies GA4 dépose-t-il et quelles données collecte-t-il ?
GA4 dépose des cookies dans le navigateur du visiteur pour identifier et suivre les sessions. Ces cookies permettent à Google d'agréger des données de comportement (pages vues, durée de session, événements) et de les associer à un identifiant de visiteur persistant.
Les cookies principaux de GA4
- _ga : identifiant unique de visiteur, valable 2 ans par défaut, déposé sur votre domaine
- _ga_XXXXXX (où XXXXXX est votre ID de mesure) : cookie de session GA4, valable 2 ans
- _gid : identifiant de session, valable 24 heures
- _gat_UA-XXXXXX : cookie de limitation du débit de requêtes (si présent), valable 1 minute
GA4 collecte notamment : les URL consultées, les événements d'interaction (clics, scroll, formulaires), les données de performance, la géolocalisation approximative, et les informations d'appareil et de navigateur. Ces données sont envoyées aux serveurs de Google, dont une partie est hébergée aux États-Unis.
GA4 et le transfert de données hors UE
Le transfert de données vers les serveurs de Google aux États-Unis est l'un des points de friction identifiés par les autorités européennes. Depuis l'adoption du Data Privacy Framework (DPF) en 2023, Google est certifié sous ce cadre, ce qui régularise les transferts transatlantiques. Cependant, l'obligation de consentement préalable pour les cookies analytiques reste entière et indépendante de la question du transfert.
Consultez notre guide sur la durée de conservation des cookies RGPD pour les règles applicables aux cookies _ga.
GA4 nécessite-t-il un consentement sous le RGPD ?
Oui. GA4 dépose des cookies persistants à finalité analytique qui ne sont pas strictement nécessaires au fonctionnement du service. La directive ePrivacy et le RGPD imposent un consentement préalable pour de tels traceurs. Il n'existe pas d'exemption générale pour les outils d'analyse d'audience.
Le contexte réglementaire de 2022
En 2022, plusieurs autorités européennes (dont des équivalents nationaux de la CNIL) ont statué que l'utilisation de Google Analytics (Universal Analytics) créait des transferts de données vers les États-Unis non conformes au RGPD dans les conditions techniques de l'époque. Ces décisions n'ont pas interdit GA, mais elles ont mis en lumière l'impératif de conformité : consentement préalable, configuration correcte, et évaluation des transferts.
La position de la CNIL sur GA4
La CNIL a publié des recommandations sur Google Analytics. Elle indique que l'utilisation de GA4 est possible à condition de recueillir un consentement préalable, de configurer correctement les paramètres de confidentialité (anonymisation des IP, désactivation des signaux Google, configuration de la rétention de données), et de mettre en place Google Consent Mode v2.
Avant de configurer GA4 sous consentement, réalisez un audit de cookies de votre site pour identifier tous les traceurs actifs.
Comment conditionner GA4 au consentement ?
La méthode recommandée est d'utiliser Google Consent Mode v2 combiné à une CMP conforme. Cette approche permet à GA4 de fonctionner en mode dégradé (sans cookies) avant le consentement, puis de charger complètement les données après acceptation.
Google Consent Mode v2 et GA4
Google Consent Mode v2 transmet à GA4 l'état de consentement de l'utilisateur via deux paramètres clés : analytics_storage (pour les cookies analytiques) et ad_storage (pour les cookies publicitaires). Avant consentement, GA4 fonctionne sans cookies et collecte des données agrégées et anonymisées. Après acceptation, les cookies complets sont déposés.
Notre guide complet sur Google Consent Mode v2 couvre la configuration technique détaillée.
Configuration recommandée de GA4 pour la conformité
- Activer Google Consent Mode v2 via votre CMP avant le chargement de GA4
- Configurer analytics_storage = 'denied' et ad_storage = 'denied' par défaut dans le dataLayer
- Désactiver les signaux Google (Google Signals) dans les paramètres GA4 si votre audience est principalement européenne
- Réduire la rétention des données à 14 mois (paramètre le plus court disponible dans GA4)
- Activer l'anonymisation des IP (par défaut dans GA4, mais vérifier que le paramètre n'est pas désactivé)
- Ne pas activer la personnalisation des annonces (désactiver Google Ads Personalization)
GA4 sans GTM : chargement conditionnel
Si vous chargez le snippet GA4 directement dans le code de votre site sans GTM, votre CMP doit bloquer le script jusqu'à l'acceptation. La plupart des CMP modernes proposent un mécanisme de blocage de scripts basé sur la réécriture de l'attribut type ou sur un tag manager interne.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Erreurs fréquentes avec GA4 et le RGPD
GA4 est chargé dans le <head> sans condition. Le script et les cookies se déclenchent dès le chargement de la page, avant la bannière. Correction : passer par GTM avec Consent Mode v2, ou bloquer le script via la CMP.
L'exemption de consentement pour les analytics est invoquée. La CNIL reconnaît une exemption limitée pour certains outils d'analyse d'audience sous conditions strictes, mais GA4 dans sa configuration standard ne répond pas à ces critères. GA4 envoie des données à Google et ne peut pas être considéré comme un outil de mesure interne à l'organisation.
L'anonymisation de l'IP est présentée comme suffisante pour éviter le consentement. L'anonymisation partielle de l'IP ne dispense pas du consentement préalable pour les cookies persistants de GA4. Ce sont deux questions distinctes.
Google Consent Mode v2 est configuré mais en mode 'basic' seulement. Le mode 'basic' de Consent Mode ne charge pas GA4 du tout avant le consentement. Le mode 'advanced' permet à GA4 de fonctionner en mode dégradé et de modéliser les conversions. Choisissez selon votre besoin, mais comprenez les différences.
Les signaux Google (Google Signals) sont activés sans information spécifique. Google Signals permet le remarketing cross-device et la mesure des audiences. Il traite des données supplémentaires et nécessite une information et un consentement spécifiques. Désactivez-le si vous ne l'utilisez pas.
La rétention de données GA4 est laissée à 26 mois (valeur par défaut). Réduisez-la à 14 mois dans les paramètres GA4 (Admin > Data Settings > Data Retention) pour respecter le principe de minimisation des données.
Checklist de conformité GA4 et RGPD
- Bloquer le script GA4 ou GTM par défaut via votre CMP
- Implémenter Google Consent Mode v2 avec analytics_storage et ad_storage en 'denied' par défaut
- Vérifier que GA4 ne dépose aucun cookie _ga avant l'acceptation (test en navigation privée)
- Réduire la rétention des données à 14 mois dans les paramètres GA4
- Désactiver Google Signals si vous ne faites pas de remarketing cross-device
- Ne pas activer la personnalisation des annonces Google
- Mentionner GA4 et Google Ireland Ltd dans votre politique de confidentialité
- Documenter le transfert de données vers les États-Unis et la couverture par le DPF
- Vérifier que le consentement est requis avant tout événement GA4 (PageView, clic, etc.)
- Documenter le traitement dans votre registre RGPD (article 30)
Conclusion
GA4 peut être utilisé de manière conforme au RGPD à condition de recueillir un consentement préalable et de configurer correctement Google Consent Mode v2. La combinaison CMP + Consent Mode v2 vous permet de conserver des données analytiques tout en respectant les choix de vos visiteurs.
Scannez votre site pour vérifier que les cookies _ga ne se déposent pas avant le consentement avec le scanner de cookies FlowConsent.
Questions fréquentes
GA4 est-il interdit par le RGPD ?
Non, GA4 n'est pas interdit. Il est soumis à l'obligation de consentement préalable comme tout outil analytique déposant des cookies persistants. Avec Google Consent Mode v2 et une CMP conforme, vous pouvez l'utiliser légalement tout en conservant une partie de vos données analytiques.
L'anonymisation des IP dans GA4 suffit-elle pour éviter le consentement ?
Non. L'anonymisation des IP est une bonne pratique qui réduit le caractère identifiant des données, mais elle ne dispense pas du consentement pour les cookies _ga et _ga_XXXXXX, qui sont persistants et permettent de suivre les visiteurs dans le temps.
Qu'est-ce que Google Consent Mode v2 et pourquoi l'utiliser avec GA4 ?
Google Consent Mode v2 est un mécanisme qui transmet l'état de consentement à GA4 et aux autres produits Google. Avant acceptation, GA4 fonctionne sans cookies et collecte des données agrégées. Après acceptation, les cookies complets sont déposés. C'est la méthode recommandée pour concilier conformité RGPD et analytics.
GA4 peut-il être utilisé sous l'exemption de consentement pour les analytics ?
La CNIL reconnaît une exemption limitée pour certains outils de mesure d'audience strictement fonctionnels, mais GA4 dans sa configuration standard n'y répond pas : il envoie des données à Google (tiers), dépose des cookies persistants de 2 ans, et peut être utilisé à des fins publicitaires. Utilisez-le sous consentement.
Comment vérifier que GA4 ne se charge pas avant le consentement ?
Ouvrez votre site en navigation privée, avant d'interagir avec la bannière. Dans l'onglet Network de Chrome DevTools, filtrez sur 'google-analytics' ou '.com/g/'. Si des requêtes apparaissent avant toute interaction, vos scripts ne sont pas correctement bloqués.