Google Analytics et RGPD : comment utiliser GA4 légalement en France

Google Analytics est présent sur plus de 80 % des sites web. Et pourtant, en France, son utilisation reste un terrain juridiquement instable. La CNIL a mis en demeure des éditeurs de sites en février 2022. Le Data Privacy Framework (DPF) adopté en juillet 2023 a rouvert la voie aux transferts de données vers les États-Unis. Mais ce cadre est déjà contesté devant la CJUE — et sa pérennité n'est pas garantie.

GA4 n'est pas illégal en soi. Mais il n'est pas non plus conforme « par défaut ». Sa conformité dépend de trois exigences cumulatives : consentement préalable, configuration restrictive, et déclaration complète dans votre politique de cookies. C'est un usage conditionnel, pas un feu vert inconditionnel.

Cet article détaille l'historique CNIL, les conditions de conformité, le rôle de Google Consent Mode v2, les alternatives exemptées, et la mise en œuvre avec Cookiebot.

En bref

• La CNIL a déclaré Google Analytics (Universal Analytics) non conforme au RGPD en février 2022, pour transfert illégal de données personnelles vers les États-Unis (arrêt Schrems II).
• Le Data Privacy Framework (DPF, juillet 2023) a rétabli un cadre juridique pour les transferts vers les entreprises US certifiées, dont Google. Mais il est contesté devant la CJUE.
• GA4 est utilisable en France sous 3 conditions cumulatives : consentement préalable, configuration restrictive (Google Signals désactivé, rétention à 2 mois, fonctionnalités publicitaires désactivées), et déclaration complète dans la politique de cookies.
• Google Consent Mode v2 est obligatoire depuis mars 2024 pour maintenir les fonctionnalités de mesure.
• Cookiebot bloque le script GA4 avant consentement, transmet les signaux à Consent Mode v2, et déclare automatiquement les cookies GA4 dans votre déclaration de cookies.

Votre configuration Google Analytics est-elle conforme ?

Lancez un scan gratuit pour vérifier si Google Analytics dépose des cookies avant que vos visiteurs n'aient donné leur accord.

Scanner mon site gratuitement

La CNIL vs Google Analytics : ce qui s'est passé

L'histoire commence le 16 juillet 2020 avec l'arrêt Schrems II de la CJUE, qui invalide le Privacy Shield — le cadre juridique qui encadrait les transferts de données entre l'UE et les États-Unis. Sans ce cadre, tout transfert de données personnelles vers les États-Unis devient potentiellement illégal au regard du RGPD.

En août 2020, l'association NOYB dépose 101 plaintes auprès des autorités de protection des données européennes contre des sites utilisant Google Analytics. L'argument : les données collectées par Google Analytics (adresses IP, identifiants de cookies, données de navigation) sont des données personnelles transférées vers les serveurs de Google aux États-Unis, sans cadre juridique adéquat.

En février 2022, la CNIL met en demeure un gestionnaire de site français, considérant que l'utilisation de Google Analytics entraîne des transferts de données insuffisamment encadrés vers les États-Unis. Les autorités autrichienne, italienne, danoise et finlandaise prennent des positions similaires.

En juillet 2023, la Commission européenne adopte le Data Privacy Framework (DPF), nouvelle décision d'adéquation fondée sur un décret du président Biden renforçant les garanties sur la surveillance américaine. Google LLC figure parmi les entreprises certifiées DPF. Ce cadre rétablit la possibilité de transférer des données vers les entreprises certifiées — mais il est déjà contesté devant la CJUE par Max Schrems. La décision est attendue courant 2026.

GA4 est-il conforme au RGPD en France aujourd'hui ?

La réponse est nuancée : oui, sous conditions strictes. Non, dans sa configuration par défaut.

GA4 bénéficie du DPF pour le transfert de données vers les États-Unis. Mais le DPF pourrait être invalidé, comme l'a été le Privacy Shield avant lui. En parallèle, la CNIL n'a jamais déclaré GA4 « conforme » ni ne l'a inscrit sur la liste des solutions exemptées de consentement. GA4 reste soumis au consentement.

La configuration par défaut de GA4 ne protège pas suffisamment les données personnelles au sens de la CNIL. Google Signals (suivi cross-device), la rétention de données étendue et les fonctionnalités publicitaires doivent être explicitement désactivés.

En résumé : GA4 est utilisable en France, mais uniquement si vous remplissez trois conditions cumulatives.

Les 3 exigences cumulatives pour utiliser GA4 légalement en France

Exigence 1 : obtenir le consentement avant que le script GA4 ne se charge.

Aucun cookie GA4 ne peut être déposé avant que l'utilisateur ait donné son accord via le bandeau de consentement. La poursuite de la navigation ne vaut pas consentement. Le script GA4 doit être bloqué tant que le consentement n'a pas été recueilli — c'est le principe du blocage préalable (prior blocking), imposé par l'article 82 de la loi Informatique et Libertés et les lignes directrices CNIL.

Exigence 2 : configurer GA4 de manière restrictive.

La configuration par défaut de GA4 n'est pas conforme. Voici les réglages à appliquer : désactiver Google Signals (Admin > Data Settings > Data Collection), réduire la durée de rétention des données à 2 mois (Admin > Data Settings > Data Retention), désactiver les fonctionnalités publicitaires et le reporting démographique, activer l'anonymisation des adresses IP (activée par défaut sur GA4, mais à vérifier), ne pas activer le User-ID si les données sont transférées hors UE sans base légale complémentaire.

Exigence 3 : déclarer GA4 dans votre politique de cookies avec le détail complet.

Votre politique de cookies doit mentionner les cookies GA4 par nom, leur finalité (mesure d'audience), leur durée de vie (2 ans pour GA), le tiers déposant (Google LLC), le fait que les données sont transférées vers les États-Unis dans le cadre du DPF, et un lien vers la politique de confidentialité de Google.

Ces trois exigences sont cumulatives. Manquer l'une d'entre elles suffit à rendre votre usage de GA4 non conforme.

Google Consent Mode v2 : pourquoi il est requis et ce qu'il fait

Google Consent Mode v2 est obligatoire depuis mars 2024 pour tout site utilisant GA4 ou Google Ads avec des visiteurs dans l'UE/EEE. Il fait le lien entre les choix de consentement recueillis par votre bandeau cookies et le comportement des tags Google.

En mode Advanced, lorsqu'un utilisateur refuse les cookies, les tags GA4 n'écrivent aucun cookie mais envoient des pings anonymisés à Google, permettant la modélisation des conversions manquantes. En mode Basic, les tags sont entièrement bloqués jusqu'au consentement.

Consent Mode v2 ne remplace pas le consentement CNIL. Il le complète en transmettant les signaux aux tags Google. Pour le détail du fonctionnement, consultez notre guide Consent Mode v2.

Les alternatives analytics exemptées de consentement CNIL

La CNIL a publié une liste de solutions de mesure d'audience pouvant bénéficier d'une exemption de consentement, à condition d'être configurées de manière strictement conforme. GA4 n'en fait pas partie.

Matomo. Solution open source, auto-hébergeable. Exemptée de consentement si auto-hébergée, avec anonymisation IP activée (suppression des 2 derniers octets), finalité strictement limitée à la mesure d'audience, et pas de croisement de données. Matomo Cloud n'est pas automatiquement exempté.

Piano Analytics (ex-AT Internet). Solution française hébergée en Europe. Exemptée de consentement dans sa configuration conforme CNIL. Utilisée par de nombreux sites publics et médias français.

Autres solutions évaluées. La CNIL a publié un programme d'évaluation permettant aux éditeurs de solutions de vérifier leur conformité. Consultez la page dédiée CNIL pour la liste à jour.

L'exemption de consentement ne dispense pas d'informer les utilisateurs. Même avec une solution exemptée, la politique de cookies doit mentionner l'outil, sa finalité et les données collectées.

Bloquer GA4 avant consentement avec Cookiebot : guide pas à pas

Cookiebot bloque automatiquement le script GA4 tant que l'utilisateur n'a pas donné son consentement. Voici comment l'implémenter selon votre plateforme.

WordPress + plugin Cookiebot. Installez le plugin Cookiebot. Le blocage automatique (auto-blocking) détecte les scripts GA4 et les empêche de se charger avant consentement. Aucune modification du code n'est requise. Le plugin transmet les signaux de consentement à Google Consent Mode v2.

Google Tag Manager. Ajoutez le tag Cookiebot CMP dans votre conteneur GTM. En mode Advanced de Consent Mode v2, les tags GA4 se chargent avec un état par défaut « refusé » : ils n'écrivent aucun cookie mais envoient des pings anonymisés. En mode Basic, les tags sont bloqués entièrement. Les tags GA4 disposent de vérifications de consentement intégrées (built-in consent checks) et adaptent leur comportement automatiquement.

Vérification. Utilisez l'extension Tag Assistant de Google pour vérifier que les cookies GA4 (_ga, _ga_*) ne sont pas déposés avant que l'utilisateur ait interagi avec le bandeau. Vérifiez dans la console du navigateur (onglet Application > Cookies) qu'aucun cookie GA4 n'est présent avant consentement.

Comment Cookiebot détecte et déclare automatiquement Google Analytics

Le scanner Cookiebot analyse votre site chaque mois. Si Google Analytics est présent, il détecte automatiquement les cookies GA4 (_ga, _ga_*, _gid le cas échéant), les classe dans la catégorie « Statistiques », documente leur finalité, leur durée de vie et le tiers (Google LLC).

Ces informations sont intégrées dans la déclaration de cookies Cookiebot — le document dynamique que vous pouvez intégrer dans votre politique de cookies. Si un nouveau cookie Google apparaît (par exemple suite à l'activation d'une fonctionnalité GA4), il est détecté au scan suivant et ajouté automatiquement à la déclaration.

Le résultat : votre politique de cookies reflète toujours la réalité, sans maintenance manuelle. Et votre bandeau de consentement bloque les cookies GA4 tant que l'utilisateur n'a pas consenti — conforme aux exigences CNIL.

Ce que cela signifie pour votre site

GA4 est utilisable en France, mais uniquement sous conditions strictes : consentement préalable, configuration restrictive, déclaration complète. Cookiebot automatise les deux volets les plus critiques — le blocage du script avant consentement et la déclaration des cookies GA4 dans votre politique — tout en s'intégrant nativement avec Google Consent Mode v2.

Vérifiez si GA4 se charge avant le consentement sur votre site

Lancez un scan gratuit pour détecter si Google Analytics dépose des cookies avant que vos visiteurs aient donné leur accord et corrigez le problème en quelques minutes avec Cookiebot.

Scanner mon site gratuitement