Google Analytics est-il conforme au RGPD ?

TL;DR

Google Analytics 4 n'est pas conforme au RGPD par défaut. L'outil collecte des données personnelles (adresses IP, identifiants de cookies, données de navigation) et les transfère vers les États-Unis, ce qui a conduit plusieurs autorités européennes à le déclarer non conforme. Il est possible d'utiliser GA4 de manière conforme, à condition de bloquer les scripts avant consentement, de configurer correctement le Consent Mode v2 et de documenter l'ensemble dans votre politique de confidentialité. Sans ces mesures, votre site s'expose à des risques juridiques concrets.

Pourquoi la question se pose encore en 2026

Google Analytics reste l'outil de mesure d'audience le plus utilisé au monde. Pourtant, sa conformité au RGPD fait l'objet de débats et de décisions réglementaires depuis plusieurs années. Le sujet n'est pas théorique : plusieurs autorités de protection des données en Europe ont rendu des décisions défavorables à l'utilisation de Google Analytics.

Le problème central est double. D'une part, GA4 collecte des données qualifiées de données personnelles au sens du RGPD (identifiants uniques, adresses IP, données de navigation). D'autre part, ces données sont transférées vers les États-Unis, un pays dont le niveau de protection des données a été remis en question à plusieurs reprises par la justice européenne.

Pour les propriétaires de sites, la question n'est pas de savoir si Google Analytics est bon ou mauvais, mais de comprendre ce qu'il faut configurer pour l'utiliser sans risque juridique, et dans quels cas il vaut mieux envisager une alternative.

Qu'est-ce que le RGPD exige pour les outils d'analytics ?

Le RGPD (Règlement général sur la protection des données) est le cadre juridique européen qui encadre la collecte et le traitement des données personnelles depuis mai 2018. Il s'applique à tout site web qui traite des données de résidents de l'UE, quel que soit le lieu d'hébergement du site.

Pour les outils d'analytics comme Google Analytics, le RGPD impose plusieurs obligations concrètes.

Base légale obligatoire. Le traitement des données personnelles nécessite une base légale. Pour les cookies analytics, la base la plus courante est le consentement explicite de l'utilisateur. La CNIL considère que les cookies Google Analytics ne sont pas des cookies strictement nécessaires et requièrent donc un consentement préalable.

Blocage avant consentement. Les scripts analytics ne doivent pas se charger tant que l'utilisateur n'a pas donné son accord. Charger Google Analytics avant le consentement est une infraction courante et souvent détectée par les régulateurs.

Information claire. Votre politique de confidentialité doit expliquer quelles données sont collectées, pourquoi, et comment l'utilisateur peut exercer ses droits (accès, suppression, retrait du consentement).

Transferts de données encadrés. Si les données sont transférées hors de l'UE, des garanties supplémentaires sont nécessaires (clauses contractuelles types, décision d'adéquation, ou mesures techniques complémentaires).

Google Analytics collecte-t-il des données personnelles ?

Oui. Google Analytics collecte plusieurs catégories de données qualifiées de données personnelles par le RGPD. Ces données incluent l'adresse IP du visiteur, les identifiants de cookies attribués à chaque utilisateur, les données de navigation (pages visitées, durée de session, actions réalisées), les informations techniques (type de navigateur, système d'exploitation, résolution d'écran), et les données de localisation approximative.

Google agit comme sous-traitant (data processor) pour le compte du propriétaire du site, qui reste le responsable du traitement (data controller). C'est le propriétaire du site qui décide d'installer Google Analytics et qui est donc juridiquement responsable de la conformité de cette collecte.

La distinction est importante : même si Google met à disposition des outils de configuration pour améliorer la conformité, c'est à vous de les activer et de vous assurer que l'ensemble fonctionne correctement.

Ce que les autorités européennes ont décidé

Plusieurs autorités de protection des données en Europe ont examiné l'utilisation de Google Analytics et rendu des décisions significatives.

Autriche (janvier 2022). L'autorité autrichienne (DSB) a été la première à conclure que l'utilisation de Google Analytics par un site web autrichien violait le chapitre V du RGPD, relatif aux transferts internationaux de données. La décision s'appuyait sur l'arrêt Schrems II de la CJUE.

France (février 2022). La CNIL a conclu que l'utilisation de Google Analytics constituait une violation de l'article 44 du RGPD, en raison du transfert de données personnelles vers les États-Unis sans protection adéquate. La CNIL a mis en demeure plusieurs sites français de se mettre en conformité dans un délai d'un mois.

Italie (juin 2022). Le Garante italiano a rendu une décision similaire, ordonnant à un site italien de cesser d'utiliser Google Analytics dans les conditions existantes.

Danemark et Norvège. Les autorités danoise et norvégienne ont également conclu que Google Analytics n'était pas conforme au RGPD dans les conditions de transfert de données vers les États-Unis.

Ces décisions partagent un fondement commun : l'invalidation du Privacy Shield par l'arrêt Schrems II en juillet 2020 et l'absence de protection suffisante des données européennes face aux programmes de surveillance américains.

Depuis juillet 2023, le Data Privacy Framework (DPF) UE-États-Unis fournit un nouveau cadre pour les transferts transatlantiques. Google est certifié sous ce cadre. Cependant, la solidité juridique du DPF reste incertaine : plusieurs organisations, dont noyb, ont déposé des recours devant la CJUE, et une décision est attendue dans les prochaines années.

Comment utiliser Google Analytics de manière conforme

Il est possible d'utiliser GA4 de manière conforme au RGPD, mais cela nécessite une configuration active. Installer GA4 avec les paramètres par défaut ne suffit pas.

Étape 1 : bloquer GA4 avant le consentement

C'est la règle la plus importante. Le script Google Analytics ne doit pas se charger tant que l'utilisateur n'a pas accepté les cookies analytics via votre bandeau cookies. Un bandeau qui s'affiche mais qui ne bloque pas effectivement les scripts est non conforme.

Pour vérifier, ouvrez votre site dans un navigateur propre (navigation privée) et inspectez les requêtes réseau avant d'interagir avec la bannière. Si vous voyez des requêtes vers google-analytics.com ou googletagmanager.com, vos scripts se chargent avant consentement.

Étape 2 : configurer le Consent Mode v2

Le Consent Mode v2 est le mécanisme de Google qui adapte le comportement des tags Google en fonction du consentement de l'utilisateur. Il est obligatoire depuis mars 2024 pour conserver les fonctionnalités de remarketing et de mesure dans l'EEE.

Les quatre paramètres à configurer sont analytics_storage, ad_storage, ad_user_data et ad_personalization. Tous doivent être à denied par défaut pour les visiteurs européens, puis mis à jour via votre CMP lorsque l'utilisateur donne son consentement.

Le Consent Mode v2 ne remplace pas le blocage des scripts. En mode basic, les tags Google ne se chargent pas avant consentement. En mode advanced, des pings sans cookies sont envoyés même sans consentement, ce qui soulève des questions juridiques.

Étape 3 : configurer GA4 pour minimiser les données

Activez l'anonymisation des adresses IP (activée par défaut dans GA4). Réduisez la durée de conservation des données au minimum nécessaire (2 mois ou 14 mois selon vos besoins). Désactivez les signaux Google (Google Signals) si vous n'en avez pas besoin, car ils activent le suivi cross-device. Désactivez la collecte de données granulaires de localisation et d'appareil si elles ne sont pas nécessaires à votre analyse.

Étape 4 : mettre à jour votre politique de confidentialité

Votre politique doit mentionner explicitement l'utilisation de Google Analytics, les données collectées, la base légale (consentement), la durée de conservation, les transferts vers les États-Unis et le cadre juridique applicable (DPF), et les droits de l'utilisateur (accès, suppression, retrait du consentement).

Étape 5 : utiliser une CMP conforme

Votre plateforme de gestion du consentement doit bloquer effectivement les scripts avant consentement, transmettre les signaux du Consent Mode v2, enregistrer et stocker la preuve de consentement, et permettre le retrait du consentement à tout moment. Pour choisir une CMP adaptée, vérifiez qu'elle gère le blocage technique des scripts et pas uniquement l'affichage d'une bannière.

Erreurs fréquentes (et comment les éviter)

Charger GA4 avant le consentement. C'est l'erreur la plus répandue. Le script se charge au chargement de la page, avant toute interaction avec la bannière. Correction : configurer votre CMP pour bloquer le tag GA4 tant que le consentement n'est pas accordé.

Se fier uniquement au Consent Mode. Le Consent Mode adapte le comportement des tags Google, mais il ne bloque pas les scripts tiers. Si vous utilisez d'autres traceurs (Facebook Pixel, TikTok, etc.), ils doivent être bloqués séparément par votre CMP. Pour comprendre le fonctionnement des différents types de cookies, consultez notre guide dédié.

Ne pas tester après configuration. Beaucoup de sites affichent une bannière conforme mais ne vérifient pas que les scripts sont réellement bloqués. Utilisez un scanner de cookies pour vérifier le comportement réel de votre site.

Ignorer les transferts de données. Le DPF UE-États-Unis couvre les transferts vers Google aux États-Unis, mais sa pérennité n'est pas garantie. Documentez votre évaluation des risques.

Utiliser une bannière sans option de refus équivalente. La CNIL exige que le bouton Refuser soit aussi visible et accessible que le bouton Accepter. Une bannière avec un bouton Accepter bien visible et un lien Paramétrer en petits caractères n'est pas conforme.

Confondre conformité technique et conformité juridique. Configurer GA4 correctement est nécessaire mais pas suffisant. Il faut aussi documenter votre base légale, votre politique de conservation et vos procédures de réponse aux demandes d'exercice de droits.

Les alternatives conformes à Google Analytics

Si les contraintes de configuration de GA4 sont trop lourdes pour votre organisation, ou si vous préférez éviter les risques liés aux transferts transatlantiques, plusieurs alternatives existent.

La CNIL a publié une liste d'outils de mesure d'audience pouvant être exemptés de consentement sous certaines conditions. Matomo (en configuration conforme) figure parmi les outils reconnus par la CNIL. L'exemption de consentement ne s'applique que si l'outil est configuré pour produire des statistiques anonymes et agrégées, sans transfert de données hors UE.

Checklist conformité Google Analytics et RGPD

1. Vérifier que le script GA4 est bloqué avant le consentement de l'utilisateur.
2. Configurer le Consent Mode v2 avec les quatre paramètres à denied par défaut pour l'EEE.
3. Utiliser une CMP qui bloque effectivement les scripts (pas uniquement un affichage de bannière).
4. Activer l'anonymisation IP dans GA4.
5. Réduire la durée de conservation des données au strict nécessaire.
6. Désactiver Google Signals si le suivi cross-device n'est pas indispensable.
7. Mettre à jour la politique de confidentialité avec les mentions obligatoires.
8. Tester le comportement réel du site avec un scanner de cookies.
9. Documenter votre évaluation des risques liés aux transferts vers les États-Unis.
10. Prévoir une procédure de réponse aux demandes d'exercice de droits (accès, suppression).

FAQ

Google Analytics est-il illégal en Europe ? Google Analytics n'est pas interdit en tant que tel. Plusieurs autorités européennes ont jugé que son utilisation, dans les conditions de transfert de données vers les États-Unis observées à l'époque, violait le RGPD. Depuis l'adoption du Data Privacy Framework en juillet 2023, le cadre juridique des transferts a évolué, mais des recours sont en cours devant la CJUE.

Ai-je besoin d'un bandeau cookies si j'utilise Google Analytics ? Oui. Google Analytics dépose des cookies et collecte des données personnelles. Le RGPD et la directive ePrivacy exigent un consentement explicite avant le dépôt de cookies non essentiels.

Le Consent Mode v2 rend-il Google Analytics conforme au RGPD ? Non, pas à lui seul. Le Consent Mode v2 adapte le comportement des tags Google en fonction du consentement, mais il ne constitue pas une solution de conformité complète.

Est-ce que GA4 anonymise automatiquement les adresses IP ? GA4 tronque les adresses IP par défaut, mais cette troncature ne constitue pas une anonymisation complète au sens du RGPD.

Puis-je utiliser Google Analytics sans cookies ? GA4 utilise des cookies first-party par défaut. Il est possible de configurer GA4 en mode cookieless via le Consent Mode, mais les données collectées sont très limitées.

Quelles sont les sanctions en cas de non-conformité ? Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La CNIL a mis en demeure plusieurs sites français suite aux plaintes déposées par l'association noyb.

Conclusion et prochaine étape

Google Analytics 4 peut être utilisé de manière conforme au RGPD, mais cela demande une configuration rigoureuse : blocage des scripts avant consentement, Consent Mode v2 correctement paramétré, politique de confidentialité à jour, et CMP fonctionnelle. Si vous n'êtes pas certain que votre site respecte ces exigences, commencez par un audit de vos cookies pour identifier les scripts qui se chargent avant consentement et les cookies non déclarés.