RGPD et Google Analytics (GA4)

Comment utiliser Google Analytics en conformité avec le RGPD ?

Pour utiliser Google Analytics en conformité avec le RGPD en 2026, il faut recueillir un consentement préalable explicite via une CMP qui bloque le chargement des scripts GA tant que l'utilisateur n'a pas accepté, déclarer Google comme sous-traitant dans la politique de confidentialité, mentionner le transfert vers les États-Unis sous Data Privacy Framework, et configurer la rétention des données sur la durée minimum nécessaire.

Les 5 étapes pour utiliser Google Analytics en conformité RGPD :

  1. Installer une CMP (Tarteaucitron, Axeptio, Didomi…) qui bloque GA tant que le consentement n'est pas donné
  2. Activer l'anonymisation IP et désactiver les fonctionnalités publicitaires non nécessaires dans GA4
  3. Déclarer Google Analytics comme sous-traitant dans la politique de confidentialité (finalité, base légale, durée)
  4. Mentionner explicitement le transfert vers les États-Unis et le cadre Data Privacy Framework (juillet 2023)
  5. Configurer la durée de rétention des données utilisateurs sur 2 à 14 mois maximum dans les paramètres GA4

Google Analytics est l'outil d'analyse web le plus utilisé au monde, mais aussi l'un des plus scrutés par les autorités de protection des données européennes. En 2022, la CNIL a mis en demeure plusieurs sites français utilisant Google Analytics, estimant que le transfert des données de navigation vers les serveurs de Google aux États-Unis ne disposait pas de garanties suffisantes au regard du RGPD.

Depuis le déploiement du Data Privacy Framework (DPF) en juillet 2023, les transferts USA sont à nouveau encadrés — mais le consentement préalable reste obligatoire pour poser les cookies GA4, qui ne sont pas exemptes de consentement au sens de la CNIL. Notre générateur vous aide à déclarer Google Analytics correctement dans votre politique de confidentialité.

Générer ma politique RGPD Google AnalyticsVoir tous les modèles RGPD

Pourquoi Google Analytics nécessite un consentement préalable

Les cookies déposés par Google Analytics (_ga, _gid, _ga_XXXXXXXX) n'ont pas pour finalité exclusive la mesure d'audience strictement nécessaire au service demandé par l'utilisateur. Ils servent également à des finalités publicitaires croisées au bénéfice de Google. La CNIL a confirmé, notamment dans ses délibérations de 2021 sur les cookies, que ces traceurs relèvent de l'article 82 de la loi Informatique et Libertés et nécessitent un consentement libre, éclairé, spécifique et univoque avant dépôt.

La configuration de GA4 avec l'anonymisation des IP (paramètre anonymize_ip ou configuration native GA4) réduit le risque mais ne supprime pas l'obligation de consentement. Seuls les outils de mesure d'audience exemptés par la CNIL — répondant à des critères stricts de finalité unique, absence de croisement de données, durée limitée, sous-traitant sans usage propre — sont dispensés de consentement. GA4 ne répond pas à ces critères.

En pratique, votre CMP (Consent Management Platform) doit bloquer le chargement des scripts Google Analytics tant que l'utilisateur n'a pas explicitement accepté. La simple présence d'un bandeau informatif sans possibilité de refus équivalente est insuffisante.

Déclarer Google Analytics dans la politique de confidentialité

Votre politique de confidentialité doit mentionner Google Analytics en tant que sous-traitant, préciser la finalité du traitement (mesure d'audience, analyse du comportement de navigation), la base légale (consentement, article 6.1.a du RGPD), la durée de conservation des cookies (jusqu'à 13 mois côté GA4 par défaut, configurable) et l'identité du responsable de traitement côté Google.

Le transfert de données vers les États-Unis doit être explicitement signalé, avec le mécanisme de garantie invoqué : le Data Privacy Framework (DPF), qui repose sur la décision d'adéquation de la Commission européenne du 10 juillet 2023. En cas d'invalidation future du DPF, vous devrez mettre à jour votre politique et possiblement recourir aux Clauses Contractuelles Types (CCT).

Indiquez également les droits des utilisateurs : accès, rectification, suppression des données collectées, retrait du consentement à tout moment. En pratique, le retrait du consentement doit être aussi simple que l'acceptation — bouton disponible à tout moment, idéalement depuis le pied de page.

Alternatives à Google Analytics et bonnes pratiques

La CNIL recommande d'évaluer les alternatives respectueuses de la vie privée. Matomo (ex-Piwik), hébergé sur vos propres serveurs et correctement configuré, peut bénéficier de l'exemption de consentement sous conditions : finalité limitée à la mesure d'audience, absence de croisement avec d'autres traitements, suppression ou anonymisation sous 13 mois, opt-out disponible. Cette exemption n'est pas automatique — elle doit être documentée.

Si vous conservez Google Analytics, configurez le mode de consentement GA4 (Consent Mode v2) pour distinguer les utilisateurs ayant consenti de ceux qui ont refusé. Ce mode permet une modélisation statistique pour les visiteurs sans consentement, sans déposer de cookies sur leur terminal. La durée de rétention des données doit être paramétrée dans l'interface GA4 (maximum 14 mois recommandé).

Générez votre document en 5 minutes

Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.

Générer ma politique RGPD Google Analytics

Questions fréquentes

Google Analytics 4 est-il conforme au RGPD sans CMP ?

Non. Sans outil de gestion du consentement (CMP) bloquant GA4 avant accord de l'utilisateur, vous êtes en infraction avec l'article 82 de la loi Informatique et Libertés. La CNIL a mis en demeure des sites en 2022 précisément pour cet usage de Google Analytics sans consentement préalable.

L'anonymisation des IP dans GA4 suffit-elle pour éviter le consentement ?

Non. L'anonymisation de l'adresse IP réduit le risque d'identification directe mais ne change pas la qualification juridique des cookies GA4 comme traceurs non exemptés. Le consentement reste obligatoire car les finalités de Google dépassent la simple mesure d'audience de votre site.

Depuis le Data Privacy Framework (DPF) de 2023, les transferts USA sont-ils validés ?

Le DPF offre un cadre légal pour les transferts vers des entreprises américaines certifiées, dont Google LLC. Cela sécurise la base légale du transfert (RGPD art. 45). Toutefois, le DPF peut être contesté — le Privacy Shield l'a été en 2020. Mentionnez le DPF dans votre politique et restez vigilant aux évolutions réglementaires.

Quelle est la durée maximale des cookies Google Analytics à configurer ?

Dans GA4, la durée de conservation des données est configurable entre 2 et 14 mois (administration > paramètres de données). La CNIL recommande de ne pas dépasser 13 mois pour les cookies de mesure. Le cookie _ga expire par défaut à 2 ans côté navigateur — configurez-le à 13 mois maximum dans votre implémentation GA4.

Voir aussi

RGPD
RGPD et Meta Pixel (Facebook Pixel)
RGPD
RGPD et Hotjar (heatmaps & enregistrements)
RGPD
RGPD pour site WordPress

Guides pour aller plus loin

Guide
Google Analytics est-il toujours autorisé en France en 2026 ?

État du droit en 2026 : Google Analytics, GA4, transferts hors UE, position CNIL, configuration moins risquée et alternatives conformes au RGPD.

Guide
Transferts de données hors UE en 2026 : où en est le Data Privacy Framework ?

État du droit en 2026 sur les transferts de données personnelles hors UE : DPF maintenu par le Tribunal de l'UE, recours pendant devant la CJUE, clauses contractuelles types, TIA et mesures supplémentaires.