Google Analytics est-il conforme au RGPD en France en 2026 ?
Google Analytics n'est pas conforme au RGPD par défaut en France en 2026 : son utilisation suppose un consentement explicite préalable via un bandeau cookies, ainsi qu'une mention des transferts de données vers les États-Unis dans la politique de confidentialité. GA4 reste fragile juridiquement (identifiants persistants, transferts hors UE). Des alternatives comme Matomo, Plausible ou Piwik PRO sont exemptées de consentement si bien configurées.
La question revient sans cesse depuis la première mise en demeure de la CNIL en février 2022 : peut-on encore utiliser Google Analytics en France ? En 2026, la réponse reste « cela dépend », mais le cadre s'est durci. Entre l'invalidation du Privacy Shield (CJUE, 2020), l'adoption du Data Privacy Framework (juillet 2023), son maintien par le Tribunal de l'UE en 2025 et l'annonce d'un renforcement des contrôles CNIL au premier semestre 2026, le sujet mérite un point complet.
Cet article fait l'état du droit, explique pourquoi GA4 reste juridiquement fragile et présente les alternatives compatibles avec l'exemption de consentement « mesure d'audience » de la CNIL.
Petit rappel : pourquoi Google Analytics a posé problème
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) rend l'arrêt « Schrems II » : elle invalide le Privacy Shield, qui encadrait les transferts de données entre l'UE et les États-Unis. Motif : les lois américaines de surveillance (FISA 702, Executive Order 12333) ne garantissent pas un niveau de protection équivalent au RGPD.
Conséquence directe : tout transfert de données personnelles vers les États-Unis devient juridiquement risqué, sauf garanties supplémentaires. Or, lorsqu'un internaute charge la balise Google Analytics, son adresse IP et un identifiant unique sont transmis aux serveurs de Google, en grande partie aux États-Unis.
En février 2022, la CNIL met en demeure un premier gestionnaire de site français, suivi par d'autres. Elle conclut que l'usage de Google Analytics dans sa configuration standard est contraire au RGPD. Les autorités autrichienne, italienne, danoise, norvégienne, finlandaise puis néerlandaise rendent des décisions similaires entre 2022 et 2024, selon les positions publiques connues.
L'arrivée du Data Privacy Framework (juillet 2023)
Le 10 juillet 2023, la Commission européenne adopte une nouvelle décision d'adéquation : l'EU-US Data Privacy Framework (DPF). Les entreprises américaines peuvent s'auto-certifier auprès du Department of Commerce et bénéficier d'un cadre juridique de transfert. Google y a adhéré dès l'entrée en vigueur.
En théorie, depuis cette date, un transfert vers une entreprise américaine certifiée DPF n'a plus besoin de garanties supplémentaires, à condition que l'ensemble du traitement respecte par ailleurs le RGPD (information, base légale, consentement pour les cookies, etc.).
Le DPF n'efface pas l'obligation de consentement
Le DPF règle la question du transfert international, pas celle du dépôt de cookies. Un cookie Google Analytics reste un traceur soumis à l'article 82 de la loi Informatique et Libertés, donc à consentement préalable, sauf à entrer dans le cadre étroit de la « mesure d'audience exemptée ».
Où en est-on en 2026 ?
Le 3 septembre 2025, le Tribunal de l'Union européenne a rejeté le recours « Latombe » qui contestait la validité du DPF, maintenant ainsi le cadre en vigueur. Selon les déclarations publiques de Max Schrems et de l'association NOYB, un nouveau recours plus large (« Schrems III ») est envisagé, notamment au regard des évolutions récentes du Privacy and Civil Liberties Oversight Board (PCLOB) et de la Federal Trade Commission aux États-Unis. À ce stade, le DPF reste juridiquement valide en mai 2026, mais l'arrière-plan demeure instable.
En parallèle, la CNIL a annoncé fin 2025 un renforcement des contrôles sur la mesure d'audience web au premier semestre 2026, avec des sanctions financières documentées en 2025 selon plusieurs cabinets spécialisés.
Pourquoi GA4 pose toujours problème
Google a remplacé Universal Analytics par GA4 en juillet 2023. La migration a été présentée comme une évolution « privacy-friendly ». En pratique, les difficultés persistent :
- Transferts vers les États-Unis : par défaut, GA4 traite et stocke des données sur des serveurs Google répartis dans le monde, y compris aux États-Unis.
- Anonymisation IP partielle : GA4 affirme ne plus stocker les adresses IP, mais l'IP transite et est utilisée pour la géolocalisation côté serveur — la CNIL a déjà jugé que cette étape constitue un traitement.
- Identifiants utilisateurs : le « client_id » et, le cas échéant, le « user_id » ou les signaux Google permettent de réidentifier un visiteur sur plusieurs sites.
- Mode Consentement v2 : obligatoire depuis mars 2024 pour les annonceurs européens, il transmet des signaux à Google même en l'absence de consentement, ce qui pose question.
Autrement dit, GA4 hors configuration ne respecte ni l'exemption de consentement, ni les exigences de minimisation, ni — pour les puristes — les conditions de transfert.
La configuration « moins risquée » de GA4
Si vous ne pouvez pas renoncer à Google Analytics du jour au lendemain, voici les bonnes pratiques minimales à appliquer. Elles ne rendent pas GA4 conforme à l'exemption CNIL, mais réduisent l'exposition juridique.
- Recueillir un consentement préalable explicite via un bandeau cookies conforme (case décochée par défaut, refus aussi simple que l'acceptation, granularité par finalité).
- Activer le Consent Mode v2 en mode « advanced », mais sans déclencher la collecte tant que l'utilisateur n'a pas accepté.
- Désactiver Google Signals (Administration → Collecte et modification des données → Collecte de données).
- Désactiver la collecte de données granulaires de localisation et de type d'appareil.
- Désactiver toutes les fonctionnalités publicitaires (remarketing, personnalisation des publicités).
- Réduire la durée de conservation des données utilisateur au minimum (2 mois ou 14 mois, selon ce que vous gérez).
- Vérifier l'auto-certification DPF de Google sur le registre du Department of Commerce.
- Documenter ces choix dans votre politique de confidentialité et votre registre des traitements (article 30 du RGPD).
Le consentement reste obligatoire
Même configuré aux petits oignons, GA4 dépose des cookies à des fins de mesure d'audience publicitaire. Il sort donc du périmètre de l'exemption CNIL : sans consentement explicite, vous restez en infraction, indépendamment de la question des transferts.
Générer une politique de confidentialité incluant vos outils analytics
Vérifier ma conformité cookiesL'exemption « mesure d'audience » de la CNIL
La délibération CNIL n° 2020-091 prévoit un cas particulier : un outil de mesure d'audience peut être déployé sans consentement préalable s'il respecte plusieurs conditions cumulatives :
- Finalité strictement limitée à la mesure d'audience pour le seul éditeur du site.
- Pas de croisement avec d'autres traitements, pas de transmission à des tiers.
- Pas de suivi inter-sites par identifiant partagé.
- Anonymisation de l'adresse IP avant stockage (au moins les deux derniers octets masqués).
- Durée de vie du cookie limitée à 13 mois maximum, sans reconduction automatique.
- Durée de conservation des données brutes limitée à 25 mois maximum.
Google Analytics ne remplit aucun de ces critères dans sa configuration standard. En revanche, plusieurs outils européens ou auto-hébergés peuvent y répondre.
Les alternatives sérieuses
Voici les solutions les plus utilisées en France en 2026, avec leur positionnement.
Matomo (auto-hébergé)
L'outil open source par excellence. Matomo auto-hébergé est explicitement cité par la CNIL dans son guide de configuration en exemption de consentement. Les données restent sur vos serveurs (en UE), aucune adresse IP brute n'est exposée à un tiers. C'est, à ce jour, la référence pour qui veut un GA-like sans bandeau cookies.
Matomo Cloud
Hébergé par InnoCraft en Europe (UE). Compatible RGPD et éligible à l'exemption sous réserve de la configuration. Plus facile à déployer que la version auto-hébergée, mais payant.
Plausible Analytics
Solution open source, hébergée en Allemagne (Hetzner). Plausible n'utilise pas de cookies et ne collecte aucune donnée personnelle au sens du RGPD (selon le positionnement public de l'éditeur). Très léger, interface minimaliste.
Piwik PRO
Suite analytique professionnelle, hébergement européen disponible. Cible plutôt les grandes structures avec des besoins équivalents à GA4, mais avec un cadre RGPD solide.
Fathom Analytics
Société canadienne, serveurs en UE pour les visiteurs européens. Pas de cookies, pas de données personnelles selon le positionnement public de l'éditeur. Payant, très simple.
Umami
Solution open source auto-hébergeable, sans cookies. Plus minimaliste que Matomo, idéale pour un site vitrine ou un blog.
Vercel Web Analytics
Utilisé par ConformDocs. Vercel Web Analytics ne dépose aucun cookie tiers et identifie les visiteurs via un hash temporaire calculé côté serveur, sans donnée personnelle persistante. Cela permet d'éviter le bandeau cookies, à condition que la configuration respecte les critères de l'exemption CNIL — point à valider au cas par cas. Mentionnez tout de même cet outil dans votre politique de confidentialité.
Tableau comparatif
| Outil | Hébergement | Cookies | Exemption CNIL possible | Modèle |
|---|---|---|---|---|
| Google Analytics 4 | États-Unis (DPF) | Oui | Non | Gratuit |
| Matomo auto-hébergé | Vos serveurs (UE) | Optionnel | Oui, si configuré | Open source |
| Matomo Cloud | UE | Optionnel | Oui, si configuré | Payant |
| Plausible | Allemagne | Non | Oui | Payant / open source |
| Piwik PRO | UE | Oui | Possible, selon config | Freemium |
| Fathom | UE (visiteurs UE) | Non | Oui | Payant |
| Umami | Auto-hébergé | Non | Oui | Open source |
| Vercel Web Analytics | UE | Non | Possible, selon config | Payant |
Et si je garde Google Analytics ?
Vous le pouvez, mais en assumant trois conséquences pratiques.
- Vous devez recueillir un consentement explicite préalable. Cela suppose un bandeau cookies conforme aux lignes directrices CNIL 2020 (refus aussi visible que l'acceptation, granularité par finalité). Notre article sur le bandeau cookies CNIL en 2026 détaille les exigences en vigueur.
- Vous devez mentionner explicitement le transfert vers les États-Unis dans votre politique de confidentialité, en précisant le cadre légal (DPF) et les risques résiduels. Voir notre article dédié aux transferts de données hors UE et au DPF en 2026.
- Vous acceptez le risque résiduel lié à une éventuelle invalidation future du DPF. Si « Schrems III » aboutissait à une nouvelle invalidation, votre dispositif basculerait d'un jour à l'autre dans la zone d'illégalité.
Le coût de la non-conformité augmente
Plusieurs cabinets spécialisés rapportent des sanctions documentées en 2025 contre des éditeurs ayant ignoré une mise en demeure CNIL sur l'usage de Google Analytics, et la CNIL a annoncé un renforcement de ses contrôles au premier semestre 2026. Pour rappel, l'article 83 du RGPD autorise des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Voir notre tour d'horizon des sanctions CNIL en 2026.
Comment décider pour votre site
Trois cas typiques.
Vous êtes un site vitrine, un blog ou un SaaS B2B. Le plus simple : passez à Plausible, Umami, Fathom ou Matomo auto-hébergé. Vous supprimez le bandeau cookies pour la mesure d'audience, vous simplifiez votre politique de confidentialité et vous éliminez le risque de transfert hors UE.
Vous êtes un e-commerçant ou un média avec une équipe marketing. Vous avez probablement besoin d'événements de conversion, d'attribution multicanal, d'A/B testing. Matomo Cloud, Piwik PRO, ou GA4 en configuration « moins risquée » avec consentement explicite sont les options crédibles. Documentez tout dans votre registre RGPD.
Vous êtes une grande structure ou un éditeur sous contrainte forte (santé, éducation, secteur public). Privilégiez Matomo auto-hébergé ou Piwik PRO. Évitez tout outil dont le siège ou les serveurs principaux sont aux États-Unis, indépendamment du DPF.
Quelle que soit l'option retenue, votre politique de confidentialité doit refléter précisément les outils utilisés, leurs finalités et les éventuels transferts. C'est ce que produit notre générateur, au-delà du seul document : il vous aide à formaliser ces choix. Pour un cadrage plus général, voir notre guide RGPD complet pour un site web français.
Pour aller plus loin
- CNIL — Cookies et autres traceurs : les règles
- CNIL — Solutions pour les outils de mesure d'audience
- Légifrance — Loi Informatique et Libertés, article 82
En résumé : Google Analytics n'est pas formellement interdit en France en 2026, mais son usage par défaut reste non conforme. Le DPF a stabilisé la question des transferts, sans la fermer définitivement ; la question du consentement reste entière. Pour un site standard, les alternatives européennes ou sans cookies sont aujourd'hui matures, faciles à déployer et juridiquement plus sûres.