Google Analytics + RGPD

Google Analytics est-il en conformité avec le RGPD ?

Réponse sincère :ça peut l'être, en ce moment, avec un peu de boulot — et c'est fragile. Voici ce que les régulateurs de l'UE ont vraiment tranché, ce qui a évolué en 2023, et à quoi ressemblent tes options aujourd'hui. (C'est un résumé pour les opérateurs, pas un avis juridique — consulte un avocat pour ta situation particulière.)

La version rapide

GA4 n'est pas conforme au RGPD par défaut, mais ce n'est pas illégal non plus. Depuis juillet 2023, le Cadre de Protection des Données UE-États-Unis permet à Google de transférer les données de l'UE vers les États-Unis, ce qui a réglé le souci qui avait rendu Google Analytics illégal en Europe en 2022. Ce qu'il faut retenir : tu as toujours besoin d'une bannière de cookies opt-in (une loi distincte — la Directive ePrivacy — s'occupe des cookies), tu dois aussi ajuster toi-même les paramètres de partage et de conservation des données de GA4, et tout ça repose sur une décision d'adéquation qui est déjà contestée en justice.

Alors la vraie question n'est pas "est-ce légal ?" — c'est "est-ce que le travail de conformité constant et la perte de données de consentement de 30 à 60 % en valent vraiment la peine, quand l'analytics sans cookies évite complètement tous ces problèmes ?"

Comment Google Analytics s'est retrouvé dans le pétrin avec le RGPD

L'histoire concerne vraiment les transferts de données, pas les analytics à proprement parler :

  • Juillet 2020 — Schrems II.La cour suprême de l'UE a annulé le Privacy Shield, l'accord qui rendait les transferts de données EU→US super simples. Du jour au lendemain, chaque outil hébergé aux États-Unis et traitant des données personnelles de l'UE se retrouvait sur un terrain juridique fragile selon l'article 44 du RGPD.
  • Janvier 2022 — Autriche.Le DSB autrichien a décidé que Google Analytics, tel qu'il est utilisé sur un site en Autriche, a transféré illégalement des données personnelles vers les États-Unis. Premier domino.
  • Février 2022 — France.La CNIL a tiré la même conclusion et a demandé aux sites concernés de ne plus l'utiliser ou de trouver des alternatives conformes.
  • Juin 2022 — Italie.Le Garante a rendu une décision similaire ; le Datatilsynet du Danemark a aussi déclaré Google Analytics illégal sans mesures complémentaires.
  • Juillet 2023 — la pause.La Commission européenne a adopté le Cadre de Protection des Données UE-États-Unis, une nouvelle décision d'adéquation. Google LLC en est certifié, ce qui a rétabli une base de transfert légale et a largement apaisé les décisions de 2022.

Deux choses à garder à l'esprit : les décisions de 2022 concernaientAnalytics Universels, le produit que Google a retiré depuis — pas GA4 en soi. Et le DPF est letroisièmeAccord de transfert EU-US ; les deux précédents (Safe Harbor, Privacy Shield) ont été annulés par le même tribunal, et un nouveau défi — un probable "Schrems III" — est largement anticipé. L'adéquation peut aussi être révoquée à tout moment. Le statut légal de GA4 est bien réel, mais il est temporaire.

La partie que le Data Privacy Framework n'a pas réglée : cookies

Même avec les transferts réglés, GA4 place des cookies (_gaet amis) — et la Directive ePrivacy exige un consentement éclairé opt-in avant de placer tout cookie non essentiel. C'est une loi à part du RGPD et le DPF ne s'en occupe pas. Donc, tu as toujours besoin d'une bannière de consentement avec un bouton de rejet fonctionnel, GA4 bloqué tant que le visiteur n'a pas accepté, et une plateforme de gestion du consentement intégrée à ton stack. On aborde toute cette question en profondeur dans Tu as besoin du consentement des cookies pour Google Analytics ?

Le coût pratique : les taux de refus de consentement dans l'UE oscillent entre 30 et 60 % selon le secteur, donc une grosse part de ton trafic disparaît de tes rapports. Le mode de consentement v2 de Google comble le vide avecmodèledonnées — estimations statistiques de ce que les visiteurs partis ont probablement fait — c'est mieux que rien, mais ce n'est pas une vraie mesure.

Tes options, comparées en toute transparence

Option 1 : Restez avec GA4 et faites le nécessaire pour la conformité.Déploie un CMP et bloque GA4 jusqu'à l'opt-in, active le Mode de Consentement v2, désactive Google Signals et le partage de données publicitaires, réduis la durée de conservation des données, signe les Conditions de Traitement des Données de Google, et documente tout dans ta politique de confidentialité. C'est un chemin légitime — les régulateurs l'acceptent en ce moment — et c'est la bonne décision si tes revenus dépendent de l'attribution Google Ads ou du recoupement des utilisateurs sur plusieurs appareils. Le compromis : coûts continus du CMP, le trou de données en cas de refus de consentement, et exposition si le DPF tombe.

Option 2 : Optez pour l'analyse sans cookies.Des outils comme Gizmo, Plausible et Fathom ne déposent pas de cookies et ne stockent pas de données personnelles, donc l'exigence de consentement ePrivacy ne se déclenche jamais et la surface GDPR se réduit à presque rien. Pas de bannière, pas de CMP, pas de données modélisées — tu vois 100 % de ton trafic, y compris les 30 à 60 % qui auraient refusé. Et comme aucune donnée personnelle ne traverse l'Atlantique sous une forme identifiable, le prochain jugement Schrems n'est pas ton problème. Le compromis : tu perds l'identité cross-device, l'attribution publicitaire à long terme et les audiences de remarketing.

Beaucoup d'équipes font les deux : une analyse de site sans cookies, toujours active et sans bannières, et GA4 réservé uniquement à l'attribution des acquisitions payantes derrière le portail de consentement.

Analytique RGPD-friendly sans la bannière

Gizmo est sans cookies par nature : un script d'une ligne de ~1 Ko, des ID visiteurs générés à partir d'un hachage salé qui tourne chaque jour d'IP + User-Agent, IP brute jamais stockée, pas de fingerprinting. Pas besoin de bannière de consentement. Tu as toujours accès aux sources (y compris les assistants AI), aux événements, aux tunnels et au temps réel — et ton agent de codage AI peut l'installer en un seul prompt via notre serveur MCP. Gratuit à vie pour 10k événements / mois, sites illimités.

FAQ

Google Analytics 4 sera-t-il conforme au RGPD en 2026 ?
Il peut être utilisé d'une manière que la plupart des régulateurs acceptent actuellement, mais il n'est pas conforme dès le départ. Tu as besoin : d'une bannière de cookies opt-in (l'ePrivacy exige le consentement avant que les cookies _ga ne soient activés), de désactiver les paramètres de partage de données de Google, de renforcer le traitement et la conservation des IP, d'un accord de traitement des données signé, et que le cadre de protection des données UE-États-Unis soit valide devant les tribunaux. Chacun de ces éléments est une pièce mobile. Les outils d'analyse sans cookies évitent la plupart de cette complexité car ils ne mettent aucun cookie et ne stockent aucune donnée personnelle.
Google Analytics a-t-il été banni en Europe ?
Pas vraiment 'interdit', mais en 2022, plusieurs autorités de protection des données de l'UE ont décidé que Universal Analytics, tel qu'il est généralement utilisé, violait le RGPD : le DSB d'Autriche (janvier 2022), la CNIL de France (février 2022) et le Garante d'Italie (juin 2022) ont tous conclu que les transferts de données vers les États-Unis étaient illégaux selon l'article 44 ; le Datatilsynet du Danemark a jugé cela illégal sans mesures supplémentaires. Ces décisions concernaient Universal Analytics, pas GA4 spécifiquement, et le cadre légal a encore évolué en juillet 2023 avec le rétablissement d'une base de transfert légale grâce au cadre de protection des données UE-États-Unis. Donc : des décisions contre l'ancien produit, une trêve fragile sur le nouveau.
Est-ce que j'ai toujours besoin d'une bannière de cookies avec GA4 ?
Oui. C'est différent de la question des transferts de données. GA4 utilise des cookies (_ga et compagnie), et la Directive ePrivacy de l'UE exige un consentement explicite avant de poser tout cookie non essentiel — peu importe où vont les données. Le Cadre de Protection des Données a réglé les transferts, pas les cookies. En pratique, 30 à 60 % des visiteurs de l'UE déclinent, et le Mode de Consentement v2 remplit le vide avec des données modélisées (estimées statistiquement) plutôt qu'avec des mesures réelles.
C'est quoi le cadre de protection des données EU-US et est-ce qu'on peut le révoquer ?
Le DPF est la décision d'adéquation de juillet 2023 qui permet aux entreprises américaines certifiées (Google LLC est certifié) de recevoir légalement des données personnelles de l'UE — c'est le successeur du Privacy Shield, qui a été annulé par la CJUE dans l'arrêt Schrems II de 2020. Il fait déjà face à des défis juridiques, et les défenseurs de la vie privée s'attendent à un cas 'Schrems III' ; la Commission européenne peut aussi suspendre ou révoquer l'adéquation. Si le DPF tombe comme ses deux prédécesseurs, la base de transfert de GA4 disparaît avec, et les propriétaires de sites se retrouvent du jour au lendemain dans la situation de 2022.
Qu'est-ce que je dois configurer pour utiliser GA4 en respectant le RGPD ?
Au minimum : mets en place une plateforme de gestion du consentement et bloque GA4 jusqu'à l'opt-in ; active le mode de consentement v2 ; désactive Google Signals et le partage de données publicitaires ; coupe la collecte de données de localisation et de dispositif granulaire là où ce n'est pas nécessaire ; fixe la conservation des données à la période utile la plus courte (2 ou 14 mois) ; accepte les conditions de traitement des données de Google ; et documente tout ça dans ta politique de confidentialité et tes dossiers de traitement. C'est un vrai boulot continu — et ça dépend toujours de la validité du DPF.
Quelles analyses n'ont pas besoin de consentement GDPR ?
Des analyses qui ne stockent rien sur l'appareil du visiteur et ne conservent aucune donnée personnelle. Des outils sans cookies comme Gizmo, Plausible et Fathom ne mettent pas de cookies (pas de déclencheur de consentement ePrivacy) et dérivent les ID des visiteurs d'un hachage salé qui tourne quotidiennement à partir de l'IP + User-Agent, en écartant l'IP brute — donc il n'y a pas d'identifiant persistant et une surface GDPR minimale. La CNIL en France a publié des recommandations sur les analyses exemptées de consentement qui suivent exactement ce modèle. Pas de bannière, pas de perte de données de refus de consentement, pas de dépendance à la politique d'adéquation des États-Unis.
Qu'est-ce que Gizmo Analytics a de différent ?
Gizmo est une solution d'analyse web sans cookies, conçue en priorité pour MCP. Un script d'environ 1 Ko, sans cookies ni fingerprinting ; les ID visiteurs proviennent d'un hash salé tournant quotidiennement d'IP + User-Agent et l'IP brute n'est jamais stockée — donc pas besoin de bannière de consentement et la surface GDPR est minimale par conception. Tu as toujours accès aux sources (y compris des assistants IA comme ChatGPT et Claude), aux événements, aux entonnoirs et aux visiteurs en temps réel. Le serveur MCP permet aux agents de codage IA (Cursor, Claude, Codex) de l'installer et de l'interroger en une seule invite. Gratuit à vie pour 10k événements / mois, sites illimités.

Continue à lire