GA4 et RGPD : configuration respectueuse

Google Analytics 4 (GA4) a remplace Universal Analytics depuis juillet 2023. Cette nouvelle version s’accompagne de changements architecturaux significatifs – modele evenementiel, suppression de l’anonymisation IP explicite, modelisation des donnees, integration renforcee avec Google Ads – qui modifient l’analyse de conformite au RGPD. L’utilisation de GA4 en Europe reste un sujet de tension reglementaire, plusieurs autorites ayant sanctionne ou mis en garde contre l’utilisation de Google Analytics. Cet article detaille les configurations necessaires pour utiliser GA4 de maniere respectueuse du cadre juridique.

Le contexte reglementaire : les decisions post-Schrems II

Les decisions des autorites europeennes

A la suite de l’arret Schrems II de la CJUE (juillet 2020) invalidant le Privacy Shield, plusieurs autorites europeennes de protection des donnees ont pris position contre l’utilisation de Google Analytics. L’autorite autrichienne (DSB) a rendu une premiere decision en janvier 2022 constatant que l’utilisation de Google Analytics violait le RGPD en raison des transferts de donnees vers les Etats-Unis. La CNIL a emboite le pas en fevrier 2022 avec une mise en demeure, considerant que les clauses contractuelles types seules n’offraient pas de garanties suffisantes.

L’impact du EU-US Data Privacy Framework

L’adoption du EU-US Data Privacy Framework (DPF) par la Commission europeenne en juillet 2023 a modifie l’equation. Google LLC est certifie sous le DPF, ce qui fournit une base legale pour les transferts de donnees vers les serveurs de Google aux Etats-Unis. Les decisions anterieures des autorites europeennes reposaient sur l’absence de mecanisme de transfert adequat, probleme desormais resolu par le DPF.

Toutefois, le DPF fait l’objet de recours devant la CJUE (recours NOYB). Son invalidation eventuelle replongerait les utilisateurs de GA4 dans la meme insecurite juridique qu’apres Schrems II. La prudence commande de ne pas considerer le DPF comme acquis de maniere definitive et de preparer des mesures supplementaires.

Position actuelle de la CNIL

La CNIL n’a pas formellement valide l’utilisation de GA4 apres l’adoption du DPF, mais elle n’a pas non plus maintenu ses mises en demeure. Sa position implicite est que les transferts vers les entreprises certifiees DPF sont licites tant que la decision d’adequation est en vigueur, mais que les autres obligations du RGPD (consentement pour les cookies, minimisation, transparence) demeurent integralement applicables.

GA4 ne beneficie pas de l’exemption de consentement

Les conditions de l’exemption CNIL

La CNIL definit des conditions strictes pour qu’un outil de mesure d’audience soit exempt de consentement : finalite limitee a la mesure d’audience pour le compte exclusif de l’editeur, absence de recoupement avec d’autres traitements, absence de transmission a des tiers, duree de vie des traceurs inferieure a 13 mois, conservation des donnees inferieure a 25 mois, et informations collectees ne pouvant pas etre recoupees entre differents sites ou applications.

Pourquoi GA4 ne remplit pas ces conditions

GA4 ne remplit pas ces conditions pour plusieurs raisons. Les donnees collectees par GA4 sont transmises a Google, qui les utilise pour ses propres finalites (amelioration des services, benchmarking). L’integration native entre GA4 et Google Ads permet le recoupement des donnees d’audience avec les donnees publicitaires. Les signaux Google (Google Signals) permettent de recouper les donnees entre differents sites et appareils lorsqu’ils sont actives. Meme desactives, l’architecture cloud de Google ne garantit pas l’absence totale de recoupement.

Par consequent, GA4 reste soumis au recueil du consentement prealable au titre de l’article 82 de la loi Informatique et Libertes. Le cookie _ga ne peut etre depose qu’apres consentement explicite de l’utilisateur. Pour une analyse complete des enjeux historiques, consultez notre guide sur Google Analytics et le RGPD.

Configuration conforme de GA4

Parametres de confidentialite dans l’interface d’administration

Plusieurs parametres doivent etre configures dans l’interface d’administration de GA4 pour ameliorer la conformite.

Desactivation de Google Signals : les signaux Google permettent le suivi cross-device en recoupant les donnees GA4 avec les comptes Google des utilisateurs. Cette fonctionnalite est incompatible avec le principe de limitation des finalites et doit etre desactivee sauf si un consentement specifique a ete recueilli pour cette finalite.

Reduction de la duree de conservation : GA4 permet de configurer la duree de conservation des donnees au niveau utilisateur (2 mois ou 14 mois). Choisir 2 mois est l’option la plus conforme au principe de minimisation. La duree de 14 mois ne devrait etre retenue que si une justification documentee l’exige.

Desactivation de la collecte de donnees granulaires : GA4 collecte par defaut des informations detaillees sur l’appareil, le navigateur, la resolution d’ecran et la localisation. Ces donnees contribuent au fingerprinting. Desactiver la collecte des donnees de localisation granulaire et limiter les dimensions personnalisees au strict necessaire.

Desactivation du partage de donnees : dans les parametres du compte Google Analytics, verifier que le partage de donnees avec Google (assistance technique, benchmarking, publicite) est desactive ou limite au strict necessaire.

Anonymisation de l’adresse IP

Contrairement a Universal Analytics, GA4 ne propose plus d’option d’anonymisation de l’adresse IP car Google affirme que les adresses IP ne sont “ni journalisees ni stockees” par GA4. En realite, l’adresse IP est transmise aux serveurs de Google lors de la collecte et utilisee pour la geolocalisation avant d’etre supprimee. Cette suppression cote serveur signifie que l’adresse IP est bien collectee et traitee, meme brievement. Ce traitement ephemere constitue un traitement de donnees personnelles au sens du RGPD.

Pour les utilisateurs souhaitant un controle accru, le server-side tracking permet de supprimer l’adresse IP avant la transmission a Google, en la remplacant par une IP generique sur le serveur intermediaire.

Integration avec le Consent Mode v2

GA4 s’integre avec le Google Consent Mode v2. La configuration recommandee est de definir les etats par defaut sur “denied” pour analytics_storage, ad_storage, ad_user_data et ad_personalization. Les etats ne sont mis a jour sur “granted” qu’apres consentement explicite de l’utilisateur via la CMP.

Lorsque analytics_storage est sur “denied”, GA4 transmet des pings sans cookie contenant des informations limitees (horodatage, referent, URL de la page, user-agent). Google utilise ces pings pour modeliser les donnees de conversion manquantes. La conformite de ces pings avec l’article 82 de la loi Informatique et Libertes est discutable, comme detaille dans notre analyse de Google Tag Manager. L’approche la plus securisante reste de ne charger GA4 qu’apres consentement.

Mesures supplementaires de conformite

La pseudonymisation des identifiants

Par defaut, GA4 genere un identifiant client (client_id) stocke dans le cookie _ga. Cet identifiant est pseudonyme mais permet de suivre un meme utilisateur sur plusieurs sessions. Si l’utilisateur authentifie est identifie via un user_id, la possibilite de reidentification est accrue. L’envoi de user_id ne doit etre realise qu’avec une base legale valide et une information prealable de l’utilisateur.

Il est recommande de ne pas envoyer de donnees directement identifiantes (adresse email, nom, numero de telephone) dans les dimensions ou parametres personnalises de GA4. Google interdit d’ailleurs cette pratique dans ses conditions d’utilisation, mais le responsable du traitement doit s’assurer techniquement que ces donnees ne sont pas transmises involontairement (par exemple dans les URL trackees).

La limitation des evenements collectes

Le modele evenementiel de GA4 permet de collecter un nombre illimite d’evenements personnalises (clics, soumissions de formulaires, scrolls, telecharges). Chaque evenement constitue une donnee potentiellement personnelle lorsqu’il est associe a un identifiant utilisateur. Le principe de minimisation impose de ne collecter que les evenements reellement necessaires a la finalite de mesure d’audience, et de documenter la justification de chaque evenement personnalise.

Documentation et registre des traitements

L’utilisation de GA4 doit etre documentee dans le registre des traitements (article 30 du RGPD). La fiche de traitement doit mentionner les finalites (mesure d’audience, optimisation du site), les categories de donnees collectees (identifiant client, donnees de navigation, informations techniques), les destinataires (Google Ireland Limited, Google LLC), les transferts vers les Etats-Unis (base : decision d’adequation DPF), la duree de conservation configuree, et les mesures de securite.

La politique de confidentialite du site doit informer les utilisateurs de l’utilisation de GA4, des donnees collectees, des finalites, des transferts et de leurs droits, conformement a l’article 13 du RGPD.

Les alternatives conformes a GA4

Matomo

Matomo (anciennement Piwik) est la principale alternative open source a Google Analytics. En version auto-hebergee, Matomo peut beneficier de l’exemption de consentement CNIL si il est configure conformement aux recommandations : anonymisation de l’IP sur deux octets, duree de vie du cookie de 13 mois maximum, absence de recoupement avec d’autres traitements, desactivation des fonctionnalites de suivi cross-site. La version cloud de Matomo est hebergee en Europe.

AT Internet (Piano Analytics)

AT Internet, editeur francais, propose une solution de mesure d’audience eligiblea l’exemption de consentement CNIL dans sa configuration conforme. Les donnees sont hebergees en France.

Plausible et Fathom

Plausible et Fathom sont des outils de mesure d’audience minimalistes, sans cookies, qui ne collectent pas de donnees personnelles identifiantes. Ils offrent des fonctionnalites plus limitees que GA4 mais sont conformes par conception.

L’approche hybride

Certaines entreprises adoptent une approche hybride : un outil exempt de consentement (Matomo, AT Internet) pour la mesure d’audience de base, et GA4 uniquement pour les utilisateurs ayant consenti, beneficiant ainsi de l’integration avec Google Ads. Cette approche permet de conserver des donnees d’audience pour 100 % des visiteurs tout en utilisant GA4 pour les fonctionnalites avancees. Elle necessite toutefois la gestion de deux outils.

FAQ

GA4 est-il legal en France en 2026 ?

L’utilisation de GA4 en France est legale sous certaines conditions. Le transfert de donnees vers Google aux Etats-Unis est couvert par le EU-US Data Privacy Framework tant que cette decision d’adequation est en vigueur. Toutefois, GA4 reste soumis au recueil du consentement prealable pour le depot du cookie _ga, et l’ensemble des obligations du RGPD s’appliquent (information, minimisation, duree de conservation). L’utilisation de GA4 sans consentement prealable est illicite. La situation pourrait evoluer en cas d’invalidation du DPF par la CJUE.

Peut-on utiliser GA4 sans cookies ?

GA4 propose un mode de fonctionnement sans cookies via le Consent Mode en mode “denied”, mais ce mode transmet toujours des donnees (pings) aux serveurs de Google. Ces pings ne deposent pas de cookies mais collectent des informations techniques sur le terminal de l’utilisateur, ce qui peut constituer un acces au terminal au sens de l’article 82 de la loi Informatique et Libertes. L’approche la plus securisante est de ne charger GA4 qu’apres consentement et d’utiliser un outil exempt de consentement pour la mesure d’audience de base des visiteurs n’ayant pas consenti.

Quelle duree de conservation configurer dans GA4 ?

La duree de conservation des donnees au niveau utilisateur doit etre configuree sur 2 mois pour respecter le principe de minimisation, sauf si une duree plus longue est justifiee par une finalite specifique documentee. Les rapports agreges (sans donnees au niveau utilisateur) ne sont pas soumis a cette contrainte car ils ne contiennent plus de donnees personnelles. La CNIL recommande une conservation maximale de 25 mois pour les donnees de mesure d’audience. Pour les enjeux de conservation dans d’autres contextes, consultez notre article sur la conservation des factures electroniques.