Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentGoogle Analytics est la plateforme d'analytique web gratuite de Google, utilisée sur plus de 50 % des sites web dans le monde. Elle mesure le comportement des visiteurs, les sources de trafic, les conversions et les caractéristiques des audiences via une balise JavaScript. Les données sont traitées sur les serveurs de Google aux États-Unis et nécessitent le consentement préalable des utilisateurs au titre du RGPD et de la directive ePrivacy.
Google Analytics est un service d'analytique web gratuit développé par Google. Il permet aux propriétaires de sites, aux marketeurs et aux développeurs de suivre le comportement des visiteurs, de mesurer les sources de trafic, d'analyser les entonnoirs de conversion et de générer des rapports d'audience détaillés. Lancé en 2005, c'est aujourd'hui l'outil d'analytics le plus déployé au monde, présent sur plus de 50 % des sites web.
Google Analytics collecte les données via un snippet JavaScript (gtag.js) intégré dans le HTML du site. Lorsqu'un visiteur charge une page, le snippet se déclenche et envoie des données d'événement, URL de la page, référent, navigateur, type d'appareil, langue et géolocalisation approximative, vers les serveurs de Google. Il dépose également des cookies dans le navigateur du visiteur pour lui attribuer un Client ID unique, distinguer les utilisateurs et conserver l'état de session sur plusieurs pages et visites.
Google Analytics traite des données personnelles (adresses IP, identifiants d'appareils uniques, données comportementales) et les transfère vers des serveurs Google LLC aux États-Unis. Au titre du RGPD et de la directive ePrivacy, cela exige un consentement libre, spécifique, éclairé et univoque de l'utilisateur avant que la balise de suivi ne se déclenche. Le transfert vers les États-Unis est encadré par des Clauses Contractuelles Types (CCT) au titre de l'article 46(2)(c) du RGPD.
Google Analytics 4 (GA4) est la version actuelle de la plateforme. Elle utilise un modèle de données basé sur les événements et s'intègre avec Google Consent Mode v2. Lorsque le consentement est refusé, GA4 peut fonctionner en mode sans cookies, envoyant des pings anonymisés sans déposer de cookies persistants ni collecter d'identifiants personnels. Google utilise ensuite la modélisation statistique pour combler les lacunes de données. Même en mode sans cookies, des requêtes réseau sont toujours envoyées vers l'infrastructure Google, ce qui impose aux organisations d'évaluer si cette transmission résiduelle nécessite sa propre base légale.
Les sites web utilisant Google Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Google Analytics collecte des adresses IP (même tronquées), attribue des identifiants Client persistants via le cookie _ga (durée 2 ans) et suit les comportements inter-sessions. Toutes les données sont transférées vers Google LLC aux États-Unis. Points clés pour l'AIPD : (1) risque de transfert hors UE, les CCT et l'adéquation américaine doivent être évaluées via une analyse d'impact des transferts ; (2) Google agit comme sous-traitant au titre du DPA mais peut également traiter des données en tant que responsable indépendant pour ses propres finalités ; (3) fingerprinting potentiel via User-Agent, résolution d'écran et en-têtes de langue ; (4) identifiants persistants permettant un profilage à long terme sur plusieurs visites ; (5) traitement de l'adresse IP même avec l'anonymisation IP activée. Une AIPD est recommandée pour tout déploiement à grande échelle ou dans un contexte sensible, et peut être obligatoire au titre de l'art. 35 RGPD.
Exemple de texte de consentement
Nous utilisons Google Analytics pour mesurer le trafic de notre site et comprendre comment les visiteurs interagissent avec nos contenus. Google Analytics dépose des cookies sur votre appareil pour collecter des données d'utilisation anonymisées (pages visitées, durée de session, type d'appareil, source de trafic). Ces données sont transférées vers et traitées par Google LLC aux États-Unis. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
google-analytics.comanalytics.google.comstats.g.doubleclick.netwww.google.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _ga | Analytics | 2 years | Assigns a unique Client ID to distinguish individual users. Used to calculate sessions and user counts in reports. |
| _gid | Analytics | 24 hours | Stores and updates a unique value for each page visited. Used to distinguish users within a single day. |
| _ga_<MEASUREMENT_ID> | Analytics | 2 years | Persists GA4 session state, including session count and campaign source data, across page views. |
| _gac_<ID> | Analytics / Advertising | 90 days | Stores campaign-related information (Google Ads click IDs). Used to attribute conversions to ad campaigns. |
Google Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Commencer gratuitementGoogle Analytics peut être utilisé de manière conforme au RGPD, mais il ne l'est pas par défaut. Vous devez obtenir le consentement préalable et valide des visiteurs avant de charger la balise analytics, signer un Accord de traitement des données (DPA) avec Google, et vous assurer que les transferts vers les États-Unis sont encadrés par des garanties appropriées telles que des Clauses Contractuelles Types (CCT). La simple activation de l'anonymisation IP ne suffit pas.
Oui. Google Analytics dépose des cookies persistants (_ga, _gid, _ga_<ID>) qui constituent des données personnelles au sens du RGPD et de la directive ePrivacy. En vertu du droit européen, vous devez obtenir le consentement libre, spécifique, éclairé et univoque du visiteur avant de déposer ces cookies. Cela doit être mis en oeuvre via une Plateforme de gestion du consentement (CMP) conforme.
Google Analytics dépose quatre cookies principaux : _ga (durée 2 ans) pour distinguer les utilisateurs uniques via un Client ID ; _gid (durée 24 heures) pour distinguer les utilisateurs au sein d'une session ; _ga_<MEASUREMENT_ID> (durée 2 ans) pour conserver l'état de session GA4 ; et _gac_<ID> (durée 90 jours) pour stocker les données liées aux campagnes. Ces cookies sont classés comme cookies Analytics / Performance et nécessitent un consentement préalable.
Oui. Toutes les données collectées par Google Analytics sont traitées sur des serveurs de Google LLC situés aux États-Unis, ce qui constitue un transfert restreint au sens du Chapitre V du RGPD. Google encadre ce transfert via des Clauses Contractuelles Types (CCT). Les organisations sont toutefois invitées à réaliser une Analyse d'impact des transferts (TIA) pour évaluer l'adéquation de ces garanties au regard du droit de surveillance américain (FISA 702, Executive Order 12333).
Partiellement. Google Analytics 4 (GA4) avec le Consent Mode v2 activé peut fonctionner en mode sans cookies lorsque le consentement n'a pas été accordé. Dans ce mode, aucun cookie persistant n'est déposé et seuls des pings anonymisés et agrégés sont envoyés à Google. Des requêtes réseau sont toutefois toujours effectuées vers les serveurs de Google, qui utilise la modélisation statistique pour estimer le trafic. Ce mode n'élimine donc pas totalement le transfert de données.
Universal Analytics (UA) était la version précédente de Google Analytics, basée sur un modèle de données par session. Elle a été définitivement arrêtée le 1er juillet 2023. Google Analytics 4 (GA4) est la version actuelle. Elle utilise un modèle basé sur les événements, offre un suivi cross-plateforme (web et app), s'intègre nativement avec Google Ads et BigQuery, et prend en charge le Consent Mode v2 pour une mesure respectueuse de la vie privée.
Par défaut, Google Analytics 4 conserve les données au niveau des événements pendant 2 mois, ce qui peut être étendu à 14 mois dans les paramètres de la propriété. Le cookie _ga lui-même a une durée de vie de 2 ans dans le navigateur du visiteur. Toutes les données sont stockées sur les serveurs de Google aux États-Unis et soumises aux politiques de conservation de Google. Des demandes de suppression de données peuvent également être configurées depuis le panneau d'administration GA4.
Une Analyse d'Impact relative à la Protection des Données (AIPD) est requise par l'article 35 du RGPD lorsque le traitement est susceptible d'engendrer un risque élevé. Compte tenu que Google Analytics implique des transferts transfrontaliers, un profilage persistant des utilisateurs et un traitement à grande échelle, une AIPD est fortement recommandée et peut être obligatoire. Plusieurs autorités européennes de protection des données, dont la CNIL française et l'autorité autrichienne DSB, ont jugé que le déploiement standard de Google Analytics est non conforme sans mesures techniques et organisationnelles supplémentaires.