Mis à jour en mai 2026 – article initialement publié en février 2024
J’ai récemment donné une formation à Google Analytics 4, et les participants ont commencé à me poser des questions sur les données personnelles, plus précisément sur le RGPD (Règlement sur la Protection des Données Personnelles). Ce n’est pas nouveau. Ces dernières années, la question m’est souvent posée, et la réponse n’est pas si évidente. Spoiler : elle l’est encore moins aujourd’hui qu’en 2022.
Google Analytics : mais quel est le problème avec les données personnelles ?
Google Analytics est la solution d’analyse web appartenant à Google, géant américain. Cette solution récolte des données liées au comportement des visiteurs d’un site web. Les données sont par la suite stockées pour une certaine durée, sur les serveurs de Google, qui se trouvent… dans le monde entier.
Le problème ? Le RGPD, règlementation européenne, encadre strictement le transfert des données hors Union Européenne. La CNIL l’a clairement dit en 2022 : Google Analytics n’est pas conforme au RGPD dans sa configuration par défaut. Et cette position a été réaffirmée en 2024.
Google a eu beau développer une nouvelle version de sa solution, Analytics 4, et mettre en avant des améliorations (anonymisation automatique des adresses IP, durée de conservation réduite à 2 mois minimum), le problème de fond reste le même : les données transitent vers des serveurs américains, soumis aux lois de surveillance américaines (FISA, Executive Order 12333). C’est ce point précis que la CNIL ne valide pas.
Vous trouverez sur Internet des articles proclamant que GA4 est conforme depuis juillet 2023, suite à l’adoption du nouveau Privacy Shield (Data Privacy Framework) entre l’UE et les États-Unis. La réalité est plus nuancée : ce cadre facilite les transferts, mais la CNIL n’a pas pour autant déclaré GA4 conforme, et plusieurs autorités européennes (Autriche, Italie, Danemark, Norvège, Pays-Bas) ont maintenu leur position défavorable.
Qu’est-ce qui a changé depuis 2022 ?
Plusieurs choses, et elles méritent d’être connues.
Universal Analytics, c’est fini. L’ancienne version de Google Analytics a cessé de collecter des données en juillet 2023, et l’accès aux données historiques a été définitivement coupé en juillet 2024.
Le Consent Mode v2 est devenu obligatoire pour les utilisateurs européens de GA4 depuis mars 2024. Concrètement, cela signifie qu’il faut mettre en place une bannière de consentement compatible (via une CMP comme CookieYes, Cookiebot, Didomi, OneTrust…) qui communique les choix de l’utilisateur directement à GA4. Quand un visiteur refuse les cookies, GA4 ne dépose pas de traceur mais envoie des « pings » anonymisés à des fins de modélisation statistique.
Les contrôles se renforcent. La CNIL a annoncé une intensification des contrôles sur Google Analytics au premier semestre 2026. Trois entreprises françaises ont déjà été sanctionnées en 2025 (entre 45 000 € et 120 000 €). Ce n’est plus théorique.
Mais il y a des alternatives, non ?
Oui ! Si vous souhaitez être en conformité totale avec le RGPD, des solutions existent. Matomo (anciennement Piwik) est l’une des plus connues sur le marché français. D’autres outils méritent aussi d’être cités : Plausible (simple et léger, hébergé en Europe) ou encore Piwik Pro pour les usages plus avancés.
Mais alors, pourquoi tout le monde ne bascule pas, me direz-vous ? Principalement pour deux raisons : leur coût, car ce sont des solutions payantes (même si des versions open-source existent), et parce qu’elles ne sont pas compatibles nativement avec d’autres produits Google (Google Ads, entre autres). Cela limite les données accessibles et complique l’analyse des résultats d’une campagne publicitaire.
Alors qu’est-ce qu’on fait ?
Voici comment je vois les choses en 2026.
Si vous souhaitez continuer avec GA4, vous avez des obligations claires :
- Mettre en place une bannière de consentement conforme avec le Consent Mode v2
- Vérifier que votre bandeau cookies propose un refus aussi simple que l’acceptation (la CNIL y est très attentive)
- Limiter la conservation des données à 2 mois dans les paramètres de GA4
- Désactiver le partage de données avec Google (Admin > Détail du compte)
- Mentionner l’utilisation de GA4 et les transferts vers les États-Unis dans votre Politique de Confidentialité
Si vous souhaitez vous libérer de la question une bonne fois pour toutes, la migration vers Matomo, Plausible ou un autre outil est la voie la plus sereine. L’investissement en temps est souvent faible, et vous dormez tranquille.
Chez Range ton Web, on pense que le RGPD, ce n’est pas qu’une question de choix d’outil. C’est aussi du bon sens dans la manière de gérer les données de vos visiteurs. Si vous choisissez Matomo mais que vous conservez les données de vos formulaires de contact pendant trois ans sans base légale, vous n’êtes pas plus en conformité pour autant !
Pour en savoir plus, le site de la CNIL reste la référence.
Vous avez besoin d’une formation Google Analytics, ou d’en savoir plus sur les solutions de mesure existantes et sur le RGPD ? Nous pouvons vous conseiller et répondre à vos questions, consultez nos tarifs !
