Google Analytics 4 est-il conforme au RGPD ?

Google Analytics 4 peut être rendu conforme au RGPD sous certaines conditions strictes : utilisation d'un proxy serveur pour anonymiser les données avant envoi à Google, recueil du consentement explicite, désactivation de la collecte des signaux Google et du partage de données publicitaires. La CNIL a publié en 2023 des recommandations détaillées à ce sujet. Sans ces mesures, GA4 transfère des données personnelles vers les États-Unis, ce qui pose problème depuis l'invalidation du Privacy Shield.

Peut-on utiliser un outil analytics sans bandeau de consentement cookies ?

Oui, c'est possible avec certains outils configurés en mode exempté CNIL. Matomo, par exemple, bénéficie d'une exemption de consentement accordée par la CNIL lorsqu'il est correctement configuré : hébergement en Europe, anonymisation des IP sur les 2 derniers octets, durée de conservation limitée à 13 mois, pas de croisement de données avec d'autres traitements. Plausible Analytics et d'autres solutions cookieless peuvent aussi fonctionner sans bandeau. Cela permet de mesurer 100 % du trafic au lieu des 30 à 60 % habituels avec consentement.

Analytics et RGPD : collecter des données dans le respect de la vie privée

Pourquoi analytics et RGPD sont devenus indissociables

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données en mai 2018, le paysage de la mesure d’audience web a radicalement changé. Ce qui relevait auparavant d’un simple copier-coller de code de suivi est devenu un sujet juridique, technique et stratégique majeur.

Les chiffres parlent d’eux-mêmes :

4,2 milliards d’euros d’amendes RGPD cumulées en Europe entre 2018 et 2024
150 millions d’euros d’amende infligée à Google par la CNIL en janvier 2022 pour non-conformité des cookies
60 millions d’euros pour Facebook à la même période
En moyenne, seulement 35 à 55 % des visiteurs acceptent les cookies analytics

Pour les entreprises, l’enjeu est double : continuer à comprendre le comportement de leurs visiteurs tout en respectant scrupuleusement la réglementation. Car perdre la moitié de ses données analytics à cause des refus de consentement, c’est comme piloter un avion avec la moitié du tableau de bord éteint.

Ce que le RGPD impose réellement aux outils analytics

Les 6 principes fondamentaux appliqués à la mesure d’audience

Le RGPD repose sur six principes qui s’appliquent directement à votre configuration analytics :

Licéité, loyauté et transparence : l’utilisateur doit savoir quelles données sont collectées et pourquoi
Limitation des finalités : les données collectées ne doivent servir qu’à la mesure d’audience, pas au retargeting ou au profilage
Minimisation des données : ne collecter que ce qui est strictement nécessaire
Exactitude : les données doivent être à jour et corrigibles
Limitation de conservation : durée maximale définie (la CNIL recommande 25 mois pour les cookies, 13 mois pour les données)
Intégrité et confidentialité : les données doivent être sécurisées

Le consentement : la pierre angulaire

La CNIL est catégorique depuis ses lignes directrices de 2020, mises à jour en 2022 : tout dépôt de cookie ou traceur à finalité analytics nécessite le consentement préalable de l’utilisateur, sauf exception d’exemption.

Concrètement, cela signifie que :

Les cases pré-cochées sont interdites
Le “scroll” ou la poursuite de navigation ne vaut pas consentement
Refuser doit être aussi simple qu’accepter
Le mur de cookies (“cookie wall”) est strictement encadré
Le consentement doit être renouvelé tous les 6 mois maximum

L’état des lieux : Google Analytics face au RGPD

La saga Google Analytics et les transferts transatlantiques

L’histoire récente est mouvementée. En 2022, plusieurs autorités européennes (Autriche, France, Italie, Danemark) ont déclaré Google Analytics non conforme au RGPD, principalement en raison du transfert de données personnelles vers les États-Unis suite à l’invalidation du Privacy Shield par l’arrêt “Schrems II”.

Google a réagi en lançant Google Analytics 4 (GA4) avec des promesses d’amélioration : anonymisation des IP par défaut, absence de stockage des adresses IP sur les serveurs américains, et option de traitement des données dans l’UE.

GA4 est-il conforme aujourd’hui ?

La réponse est nuancée. L’adoption du nouveau Data Privacy Framework (DPF) UE-USA en juillet 2023 a provisoirement résolu la question des transferts transatlantiques. Mais cette décision d’adéquation pourrait être invalidée à son tour (un “Schrems III” est déjà anticipé par les juristes).

Par ailleurs, même avec le DPF, GA4 pose encore plusieurs problèmes :

Google reste sous-traitant des données, avec des clauses d’utilisation opaques
Les “signaux Google” permettent un croisement de données entre services
L’identifiant client (_ga) constitue une donnée personnelle au sens du RGPD
Le consentement reste obligatoire, ce qui entraîne une perte massive de données

Les alternatives conformes RGPD : comparatif détaillé

Plusieurs solutions analytics permettent de travailler en conformité avec le RGPD, voire de s’affranchir du bandeau de consentement. Voici un comparatif des principales options :

Critère	Google Analytics 4	Matomo (auto-hébergé)	Plausible	Pirsch	Fathom
Hébergement	USA/UE (Google Cloud)	Votre serveur (UE)	UE (Allemagne)	UE (Allemagne)	Canada
Exemption CNIL	Non	Oui (si configuré)	Oui	Non vérifié	Non
Cookies	Oui	Optionnel	Non (cookieless)	Non (cookieless)	Non (cookieless)
Consentement requis	Oui	Non (mode exempté)	Non	Non	Oui
% trafic mesuré	35-55 %	Jusqu’à 100 %	100 %	100 %	35-55 %
Coût	Gratuit	Gratuit (self-hosted)	À partir de 9 €/mois	À partir de 5 €/mois	À partir de 14 $/mois
Richesse fonctionnelle	Très élevée	Élevée	Basique	Basique	Basique
Courbe d’apprentissage	Haute	Moyenne	Très faible	Très faible	Très faible

Chez Lueur Externe, nous accompagnons depuis plus de 20 ans les entreprises dans le choix et la configuration de leurs outils analytics. Notre recommandation dépend toujours du contexte : volume de trafic, besoins en reporting, stack technique existante et niveau de maturité data de l’entreprise.

Matomo : la solution privilégiée par la CNIL

Pourquoi Matomo bénéficie d’une exemption de consentement

Matomo est le seul outil analytics explicitement mentionné par la CNIL comme éligible à l’exemption de consentement. Cela signifie que vous pouvez mesurer 100 % de votre trafic sans bandeau cookies pour la partie analytics.

Mais attention, l’exemption n’est pas automatique. Elle nécessite une configuration précise :

Hébergement sur un serveur européen que vous contrôlez
Anonymisation de l’adresse IP (au minimum les 2 derniers octets)
Durée de vie du cookie limitée à 13 mois
Données conservées 25 mois maximum
Pas de croisement avec d’autres traitements
Pas de transfert de données hors UE
Informer l’utilisateur et offrir un mécanisme d’opt-out

Configuration technique de Matomo en mode exempté CNIL

Voici un exemple de configuration pour intégrer Matomo sans consentement préalable, en respectant les exigences de la CNIL :

// Configuration Matomo - Mode exempté CNIL
var _paq = window._paq = window._paq || [];

// Anonymisation IP : masque les 2 derniers octets
_paq.push(['setIPAnonymization', true]);

// Désactiver le suivi cross-domain
_paq.push(['disableCrossDomainTracking']);

// Durée du cookie visiteur : 13 mois (en secondes)
_paq.push(['setVisitorCookieTimeout', 33955200]);

// Durée du cookie de session : 30 minutes
_paq.push(['setSessionCookieTimeout', 1800]);

// Durée du cookie de référence : 6 mois
_paq.push(['setReferralCookieTimeout', 15778800]);

// Respecter le Do Not Track du navigateur
_paq.push(['setDoNotTrack', true]);

// Désactiver les fingerprints
_paq.push(['disableBrowserDetection']);

// Tracking de la page vue
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);

(function() {
  var u = 'https://votre-instance-matomo.exemple.com/';
  _paq.push(['setTrackerUrl', u + 'matomo.php']);
  _paq.push(['setSiteId', '1']);
  var d = document,
      g = d.createElement('script'),
      s = d.getElementsByTagName('script')[0];
  g.async = true;
  g.src = u + 'matomo.js';
  s.parentNode.insertBefore(g, s);
})();

Cette configuration garantit que Matomo fonctionne dans le périmètre de l’exemption CNIL. L’utilisateur doit néanmoins être informé via la politique de confidentialité, et un lien d’opt-out doit être accessible.

L’approche hybride : combiner plusieurs outils

De plus en plus d’entreprises adoptent une stratégie hybride qui combine :

Un outil exempté de consentement (Matomo ou Plausible) pour la mesure d’audience de base sur 100 % du trafic
Google Analytics 4 chargé uniquement après consentement explicite, pour les analyses avancées et l’intégration avec Google Ads

Cette approche offre le meilleur des deux mondes :

Données quantitatives fiables grâce à l’outil exempté (pages vues, sources de trafic, taux de rebond réel)
Données comportementales avancées via GA4 pour les utilisateurs consentants (entonnoirs de conversion, explorations, audiences)
Conformité RGPD totale sans compromis

Implémentation technique avec un CMP

L’implémentation passe généralement par une plateforme de gestion du consentement (CMP) comme Tarteaucitron, Axeptio ou Didomi. Voici le principe avec Google Tag Manager :

// Matomo : chargé directement, sans attendre le consentement
// (inséré en dur dans le code HTML ou via GTM sans condition de déclenchement)

// GA4 : chargé uniquement après consentement via GTM
// Déclencheur GTM : événement personnalisé "consent_analytics_granted"

// Exemple avec l'API Consent Mode v2 de Google
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});

// Lorsque l'utilisateur accepte :
gtag('consent', 'update', {
  'analytics_storage': 'granted'
});

Le Consent Mode v2 de Google, obligatoire depuis mars 2024 pour les annonceurs utilisant Google Ads dans l’EEE, permet à GA4 de fonctionner en mode dégradé sans cookies, puis de restaurer la collecte complète après consentement.

Les erreurs les plus fréquentes à éviter

Après avoir audité des centaines de sites web, l’équipe Lueur Externe constate régulièrement les mêmes erreurs en matière de conformité analytics :

Erreur n°1 : Le faux consentement

Beaucoup de sites affichent un bandeau cookies qui charge en réalité les traceurs avant que l’utilisateur n’ait fait son choix. La CNIL vérifie cela lors de ses contrôles en analysant les requêtes réseau. En 2023, 40 % des sites contrôlés présentaient cette non-conformité.

Erreur n°2 : Confondre anonymisation IP et conformité totale

Anonymiser les adresses IP dans GA4 ne suffit pas à rendre l’outil conforme. L’identifiant client (_ga), les données de géolocalisation approximative et les paramètres techniques du navigateur constituent ensemble une empreinte permettant l’identification indirecte de l’utilisateur.

Erreur n°3 : Ignorer les sous-traitants

Votre outil analytics n’est qu’un maillon de la chaîne. Si vous utilisez des plugins WordPress, des outils de chat en direct, des pixels de réseaux sociaux ou des CDN qui collectent aussi des données, chacun de ces éléments doit être documenté dans votre registre des traitements et couvert par le consentement.

Erreur n°4 : Ne pas mesurer l’impact du consentement sur les données

Sans suivi du taux de consentement, vous ne savez pas quel pourcentage de votre trafic réel vos rapports analytics reflètent. Un site avec un taux d’acceptation de 40 % sous-estime massivement son trafic, ses conversions et le ROI de ses campagnes.

Checklist de conformité analytics RGPD

Voici une liste de vérification pratique pour vous assurer que votre configuration analytics est conforme :

L’impact business : pourquoi la conformité est aussi une opportunité

La conformité RGPD n’est pas uniquement une contrainte juridique. Elle représente un véritable avantage concurrentiel :

Confiance accrue : 87 % des consommateurs européens déclarent que le respect de la vie privée influence leurs décisions d’achat (étude Cisco 2023)
Données de meilleure qualité : moins de données, mais des données consenties, fiables et exploitables
Réduction du risque : les amendes RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial
Performance technique : supprimer les traceurs inutiles améliore les Core Web Vitals et donc le référencement
Préparation à l’avenir : le règlement ePrivacy, attendu pour remplacer la directive actuelle, renforcera encore les exigences

Une étude menée par Deloitte en 2023 montre que les entreprises investissant dans la conformité data génèrent en moyenne 1,6 fois plus de revenus que celles qui la négligent, principalement grâce à une meilleure exploitation de données first-party de qualité.

Le paysage analytics évolue rapidement. Voici les tendances majeures à surveiller :

Server-side tracking : le suivi côté serveur permet de mieux contrôler les données envoyées aux tiers et d’améliorer la précision de la mesure
Modélisation statistique : GA4 utilise déjà le machine learning pour combler les lacunes liées au consentement refusé
Données first-party : les stratégies centrées sur les données collectées directement (CRM, email, comptes utilisateurs) prennent le relais des cookies tiers
Analytics cookieless : Plausible, Fathom, Pirsch et d’autres proposent une mesure d’audience sans aucun cookie, basée sur des hachages éphémères
Edge computing : le traitement des données au plus près de l’utilisateur, sur des serveurs européens, renforce la conformité et réduit la latence

Chez Lueur Externe, notre expertise en tant que certifiés AWS Solutions Architect nous permet de déployer des architectures server-side robustes qui concilient performance, précision analytique et conformité RGPD, notamment sur les infrastructures cloud européennes.

Conclusion : agir maintenant pour une analytics responsable et performante

La conformité analytics RGPD n’est plus optionnelle. Avec le renforcement des contrôles de la CNIL, la fin progressive des cookies tiers et les attentes croissantes des consommateurs en matière de vie privée, chaque entreprise doit repenser sa stratégie de mesure d’audience.

La bonne nouvelle, c’est que conformité et performance ne sont pas contradictoires. En choisissant les bons outils, en les configurant correctement et en adoptant une approche hybride intelligente, il est tout à fait possible de disposer de données analytics fiables, exploitables et respectueuses de la vie privée.

Les étapes essentielles sont claires :

Auditer votre configuration analytics actuelle
Choisir les outils adaptés à vos besoins et à la réglementation
Configurer techniquement chaque outil dans le respect des recommandations CNIL
Documenter vos traitements et informer vos utilisateurs
Monitorer en continu les taux de consentement et la qualité des données

Vous souhaitez mettre votre analytics en conformité RGPD sans sacrifier la qualité de vos données ? Lueur Externe accompagne les entreprises depuis 2003 dans leur transformation digitale, de l’audit technique à la mise en production. Nos experts SEO, analytics et infrastructure cloud vous proposent une solution sur mesure, adaptée à votre secteur et à votre stack technique.

Contactez-nous pour un audit analytics RGPD personnalisé →