Google Analytics est l’outil de mesure d’audience le plus utilisé au monde : plus de 28 millions de sites l’intègrent en 2026. Pourtant, depuis la décision retentissante de la CNIL en février 2022 déclarant Google Analytics non conforme au RGPD, la question de la légalité de cet outil reste centrale pour tout éditeur de site web européen. L’arrivée de Google Analytics 4 et l’adoption du cadre EU-US Data Privacy Framework en juillet 2023 ont fait évoluer la situation, mais les risques n’ont pas disparu. Si vous exploitez un site web, comprendre ces enjeux est indispensable pour éviter des sanctions pouvant atteindre 20 millions d’euros.
Pourquoi Google Analytics pose problème avec le RGPD
Le conflit entre Google Analytics et le RGPD repose sur un point fondamental : le transfert de données personnelles vers les États-Unis. Lorsqu’un internaute visite un site utilisant Google Analytics, des données comme son adresse IP, son identifiant de cookie, sa résolution d’écran et son parcours de navigation sont collectées et envoyées vers les serveurs de Google situés aux États-Unis.
L’arrêt Schrems II et ses conséquences
En juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, le mécanisme qui autorisait les transferts de données entre l’UE et les États-Unis. Cet arrêt, dit Schrems II, a créé un vide juridique pour tous les services américains traitant des données de résidents européens. Google Analytics, qui transfère systématiquement des données vers les serveurs américains de Google, s’est retrouvé directement concerné.
La décision de la CNIL de février 2022
En février 2022, la CNIL a mis en demeure un gestionnaire de site web français d’arrêter d’utiliser Google Analytics dans sa configuration standard. L’autorité a estimé que les clauses contractuelles types de Google ne fournissaient pas de garanties suffisantes contre l’accès aux données par les services de renseignement américains. Cette décision faisait suite à une plainte coordonnée déposée par l’association noyb dans 101 pays européens. D’autres autorités de protection des données (Autriche, Italie, Danemark) ont pris des décisions similaires.
Le double problème des cookies
Au-delà du transfert de données, Google Analytics dépose des cookies de suivi sur le terminal de l’utilisateur. En vertu de l’article 82 de la loi Informatique et Libertés, tout dépôt de cookie non essentiel nécessite le consentement préalable de l’internaute. Un site qui charge Google Analytics sans attendre le consentement commet donc une double infraction : violation des règles sur les cookies et transfert non autorisé de données vers les États-Unis.
Le Data Privacy Framework : une amélioration incertaine
En juillet 2023, la Commission européenne a adopté le EU-US Data Privacy Framework (DPF), un nouveau cadre juridique censé résoudre le problème des transferts transatlantiques de données. Google a été certifié dans le cadre du DPF, ce qui, en théorie, légalise à nouveau les transferts vers ses serveurs américains. Toutefois, ce cadre repose sur des engagements des autorités américaines, et des recours juridiques sont déjà en cours. L’association noyb a annoncé vouloir contester le DPF devant la Cour de justice de l’UE, comme elle l’a fait pour le Privacy Shield. Un éventuel arrêt « Schrems III » pourrait invalider ce cadre à son tour. En 2026, l’incertitude juridique persiste.
Google Analytics 4 : est-ce suffisant ?
Depuis juillet 2023, Google a arrêté Universal Analytics et l’a remplacé par Google Analytics 4 (GA4). Cette nouvelle version apporte des améliorations significatives en matière de protection des données.
Les progrès de GA4
GA4 anonymise les adresses IP par défaut, sans configuration supplémentaire. La durée de rétention des données est réduite (2 ou 14 mois au lieu de 26 mois par défaut avec Universal Analytics). Le modèle de données est basé sur les événements plutôt que sur les sessions, et GA4 offre davantage de contrôles sur les données collectées.
Les limites persistantes
Malgré ces améliorations, GA4 continue de déposer des cookies sur le terminal de l’utilisateur, ce qui nécessite toujours un consentement préalable conforme. Les données restent traitées par Google, un acteur soumis au droit américain (Cloud Act, FISA 702). Le DPF pourrait être invalidé, ce qui replacerait GA4 dans la même situation que son prédécesseur. Enfin, même avec le consentement, les données transmises à Google alimentent un écosystème publicitaire que l’utilisateur ne contrôle pas.
Position actuelle des autorités
En 2026, GA4 est considéré comme utilisable à condition de respecter trois exigences cumulatives : obtenir le consentement préalable de l’utilisateur avant tout dépôt de cookie, configurer GA4 de manière stricte (désactiver les signaux Google, réduire la rétention, limiter le partage de données), et mentionner GA4 dans votre politique de cookies. Mais cette tolérance repose sur la validité du DPF, qui reste fragile juridiquement.
Les alternatives conformes au RGPD
Face aux risques liés à Google Analytics, plusieurs alternatives permettent de mesurer l’audience de votre site en conformité avec le RGPD.
Matomo (ex-Piwik)
Matomo est la principale alternative open source à Google Analytics. Il offre un éventail de fonctionnalités comparable (rapports de trafic, conversions, cartes de chaleur) tout en garantissant la maîtrise totale des données. Hébergé en Europe (en auto-hébergement ou via Matomo Cloud en Allemagne), il élimine le problème du transfert transatlantique. Sous certaines conditions de configuration (pas de recoupement de données, durée de vie des cookies limitée, collecte minimale), Matomo bénéficie de l’exemption CNIL : il peut être utilisé sans recueillir le consentement préalable. La version auto-hébergée est gratuite ; Matomo Cloud démarre à 19 euros par mois.
Plausible Analytics
Plausible est un outil léger et centré sur la vie privée. Il ne dépose aucun cookie, ne collecte aucune donnée personnelle et pèse moins de 1 Ko (contre environ 45 Ko pour GA4). Comme il ne recourt pas aux cookies, aucun bandeau de consentement n’est nécessaire pour la mesure d’audience. Les données sont hébergées dans l’Union européenne. Le tarif commence à environ 9 euros par mois. L’interface est volontairement minimaliste, ce qui convient parfaitement aux TPE et PME cherchant des métriques essentielles sans complexité.
Fathom Analytics
Fathom partage la philosophie de Plausible : pas de cookies, pas de données personnelles, conformité RGPD par défaut. L’outil offre une interface épurée, un script ultra-léger et un hébergement conforme. Il se distingue par son système de filtrage intelligent du trafic bot et ses rapports par e-mail. Le tarif démarre à environ 14 dollars par mois.
AT Internet (Piano Analytics)
AT Internet, désormais Piano Analytics, est une solution française de mesure d’audience utilisée par de nombreuses administrations publiques et grandes entreprises françaises. La CNIL l’a exempté de consentement dans sa configuration de mesure d’audience (sous réserve de paramétrage conforme). C’est l’outil de référence pour les organisations ayant des exigences de conformité strictes. Les tarifs sont sur devis, généralement adaptés aux sites à fort trafic.
Solution hybride : le meilleur des deux mondes
De nombreux sites adoptent en 2026 une approche hybride : un outil sans cookies (Plausible ou Matomo exempté) pour capturer les statistiques de base de tous les visiteurs, complété par GA4 activé uniquement après consentement pour les utilisateurs qui l’acceptent. Cette stratégie permet d’obtenir des données de base sur 100 % du trafic tout en conservant les fonctionnalités avancées de GA4 pour les visiteurs consentants.
Comment configurer GA4 de manière conforme
Si vous choisissez de conserver Google Analytics 4, une configuration stricte est indispensable pour limiter les risques juridiques.
Obtenir le consentement avant tout dépôt de cookie. Le script GA4 ne doit se charger qu’après acceptation explicite via un bandeau de consentement conforme. Des outils comme Tarteaucitron, Axeptio ou Cookiebot permettent de conditionner le chargement des scripts au consentement.
Configurer GA4 de manière restrictive. Dans l’interface d’administration de GA4 : désactivez les signaux Google (Google Signals), réduisez la durée de rétention des données à 2 mois, désactivez la collecte de données publicitaires granulaires, et activez le mode de consentement avancé (Consent Mode v2) pour respecter le choix de l’utilisateur.
Documenter votre conformité. Mentionnez Google Analytics dans votre politique de cookies en précisant la finalité (mesure d’audience), le type de cookies déposés, leur durée de vie et les transferts de données vers les États-Unis dans le cadre du DPF.
L’impact sur votre politique de cookies
L’utilisation de Google Analytics ou de toute alternative a un impact direct sur votre politique de cookies. Ce document doit lister précisément chaque outil de mesure d’audience utilisé, les cookies qu’il dépose (ou l’absence de cookies dans le cas de Plausible ou Fathom), les données collectées et leur finalité, les transferts éventuels hors Union européenne, et la base juridique du traitement (consentement ou exemption CNIL).
Si vous utilisez une approche hybride, les deux outils doivent être documentés séparément. Pour rédiger une politique de cookies complète et conforme, consultez notre guide sur les règles CNIL et sanctions. Et n’oubliez pas : une politique de cookies fait partie des 4 documents légaux obligatoires pour tout site e-commerce. Le non-respect de ces obligations peut exposer votre site à des amendes pouvant atteindre 300 000 euros, comme le détaille notre analyse des plus grosses amendes CNIL.
Conclusion : quelle solution choisir en 2026 ?
Le choix de votre outil de mesure d’audience dépend de votre profil et de vos besoins.
TPE ou startup avec un budget limité : Plausible Analytics (à partir de 9 euros/mois) ou Matomo auto-hébergé (gratuit) offrent une conformité RGPD native sans souci de consentement pour la mesure d’audience. Ces outils couvrent les besoins essentiels de suivi de trafic.
PME avec des besoins marketing : Matomo Cloud (à partir de 19 euros/mois) ou Plausible, complété par GA4 avec consentement préalable. L’approche hybride permet de conserver les fonctionnalités avancées de Google tout en garantissant des données de base sur l’ensemble du trafic.
Grande entreprise ou administration : Piano Analytics (AT Internet) offre une solution française exemptée par la CNIL, avec un niveau de détail et de personnalisation adapté aux sites à fort trafic et aux exigences de conformité strictes.
Quel que soit votre choix, un point reste incontournable : votre politique de cookies doit être à jour et refléter fidèlement les outils utilisés. La conformité analytique est indissociable de la conformité documentaire. Ne laissez pas un outil de mesure d’audience mettre en péril la conformité globale de votre site.