GA4 et RGPD : configuration respectueuse

GA4 et RGPD : configuration respectueuse

Google Analytics 4 (GA4) a remplacé Universal Analytics depuis juillet 2023. Cette nouvelle version s’accompagné de changements architecturaux significatifs – modèle évènementiel, suppression de l’anonymisation IP explicité, modélisation des données, intégration renforcée avec Google Ads – qui modifient l’analyse de conformité au RGPD. L’utilisation de GA4 en Europe reste un sujet de tension réglementaire, plusieurs autorités ayant sanctionné ou mis en garde contre l’utilisation de Google Analytics. Cet article détaillé les configurations nécessaires pour utiliser GA4 de manière respectueuse du cadre juridique.

Le contexte réglementaire : les décisions post-Schrems II

Les décisions des autorités européennes

À la suite de l’arrêt Schrems II de la CJUE (juillet 2020) invalidant le Privacy Shield, plusieurs autorités européennes de protection des données ont pris position contre l’utilisation de Google Analytics. L’autorité autrichienne (DSB) a rendu une première décision en janvier 2022 constatant que l’utilisation de Google Analytics violait le RGPD en raison des transferts de données vers les États-Unis. La CNIL a emboite le pas en février 2022 avec une mise en demeure, considérant que les clauses contractuelles types seules n’offraient pas de garanties suffisantes.

L’impact du EU-US Data Privacy Framework

L’adoption du EU-US Data Privacy Framework (DPF) par la Commission européenne en juillet 2023 a modifié l’équation. Google LLC est certifié sous le DPF, ce qui fournit une base légale pour les transferts de données vers les serveurs de Google aux États-Unis. Les décisions antérieures des autorités européennes reposaient sur l’absence de mécanisme de transfert adéquat, problème désormais résolu par le DPF.

Toutefois, le DPF fait l’objet de recours devant la CJUE (recours NOYB). Son invalidation éventuelle replongerait les utilisateurs de GA4 dans la même insécurité juridique qu’après Schrems II. La prudence commande de ne pas considérer le DPF comme acquis de manière définitive et de préparer des mesures supplémentaires.

Position actuelle de la CNIL

La CNIL n’a pas formellement validé l’utilisation de GA4 après l’adoption du DPF, mais elle n’a pas non plus maintenu ses mises en demeure. Sa position implicite est que les transferts vers les entreprises certifiées DPF sont licites tant que la décision d’adéquation est en vigueur, mais que les autres obligations du RGPD (consentement pour les cookies, minimisation, transparence) demeurent intégralement applicables.

GA4 ne bénéficie pas de l’exemption de consentement

Les conditions de l’exemption CNIL

La CNIL définit des conditions strictes pour qu’un outil de mesure d’audience soit exempt de consentement : finalité limitée à la mesure d’audience pour le compte exclusif de l’éditeur, absence de recoupement avec d’autres traitements, absence de transmission à des tiers, durée de vie des traçeurs inférieure à 13 mois, conservation des données inférieure à 25 mois, et informations collectées ne pouvant pas être recoupees entré différents sites ou applications.

Pourquoi GA4 ne remplit pas ces conditions

GA4 ne remplit pas ces conditions pour plusieurs raisons. Les données collectées par GA4 sont transmises a Google, qui les utilise pour ses propres finalités (amélioration des services, benchmarking). L’intégration native entré GA4 et Google Ads permet le recoupement des données d’audience avec les données publicitaires. Les signaux Google (Google Signals) permettent de recouper les données entré différents sites et appareils lorsqu’ils sont actives. Même desactives, l’architecture cloud de Google ne garantit pas l’absence totale de recoupement.

Par conséquent, GA4 reste soumis au recueil du consentement préalable au titre de l’article 82 de la loi Informatique et Libertés. Le cookie _ga ne peut être déposé qu’après consentement explicité de l’utilisateur. Pour une analyse complète des enjeux historiques, consultez notre guide sur Google Analytics et le RGPD.

Configuration conforme de GA4

Paramètres de confidentialité dans l’interface d’administration

Plusieurs paramètres doivent être configures dans l’interface d’administration de GA4 pour améliorer la conformité.

Desactivation de Google Signals : les signaux Google permettent le suivi cross-device en recoupant les données GA4 avec les comptes Google des utilisateurs. Cette fonctionnalité est incompatible avec le principe de limitation des finalités et doit être désactivée sauf si un consentement spécifique a été recueilli pour cette finalité.

Réduction de la durée de conservation : GA4 permet de configurer la durée de conservation des données au niveau utilisateur (2 mois ou 14 mois). Choisir 2 mois est l’option la plus conforme au principe de minimisation. La durée de 14 mois ne devrait être retenue que si une justification documentée l’exigé.

Desactivation de la collecte de données granulaires : GA4 collecté par défaut des informations détaillées sur l’appareil, le navigateur, la résolution d’écran et la localisation. Ces données contribuent au fingerprinting. Desactiver la collecte des données de localisation granulaire et limiter les dimensions personnalisées au strict nécessaire.

Desactivation du partagé de données : dans les paramètres du compte Google Analytics, vérifier que le partagé de données avec Google (assistance technique, benchmarking, publicité) est désactivé ou limite au strict nécessaire.

Anonymisation de l’adressé IP

Contrairement a Universal Analytics, GA4 ne propose plus d’option d’anonymisation de l’adressé IP car Google affirme que les adressés IP ne sont “ni journalisees ni stockées” par GA4. En réalité, l’adressé IP est transmise aux serveurs de Google lors de la collecte et utilisée pour la géolocalisation avant d’être supprimée. Cette suppression cote serveur signifie que l’adressé IP est bien collectée et traitée, même brievement. Ce traitement ephemere constitue un traitement de données personnelles au sens du RGPD.

Pour les utilisateurs souhaitant un contrôle accru, le server-side tracking permet de supprimer l’adressé IP avant la transmission a Google, en la remplacant par une IP générique sur le serveur intermédiaire.

Intégration avec le Consent Mode v2

GA4 s’intègre avec le Google Consent Mode v2. La configuration recommandée est de définir les états par défaut sur “denied” pour analytics_storage, ad_storage, ad_user_data et ad_personalization. Les états ne sont mis à jour sur “granted” qu’après consentement explicité de l’utilisateur via la CMP.

Lorsque analytics_storage est sur “denied”, GA4 transmet des pings sans cookie contenant des informations limitées (horodatage, référent, URL de la page, user-agent). Google utilise ces pings pour modéliser les données de conversion manquantes. La conformité de ces pings avec l’article 82 de la loi Informatique et Libertés est discutable, comme détaillé dans notre analyse de Google Tag Manager. L’approche la plus sécurisante reste de ne charger GA4 qu’après consentement.

Mesures supplémentaires de conformité

La pseudonymisation des identifiants

Par défaut, GA4 genere un identifiant client (client_id) stocke dans le cookie _ga. Cet identifiant est pseudonyme mais permet de suivre un même utilisateur sur plusieurs sessions. Si l’utilisateur authentifié est identifié via un user_id, la possibilité de réidentification est accrue. L’envoi de user_id ne doit être realise qu’avec une base légale validé et une information préalable de l’utilisateur.

Il est recommandé de ne pas envoyer de données directement identifiantes (adressé email, nom, numéro de téléphone) dans les dimensions ou paramètres personnalisés de GA4. Google interdit d’ailleurs cette pratique dans ses conditions d’utilisation, mais le responsable du traitement doit s’assurer techniquement que ces données ne sont pas transmises involontairement (par exemple dans les URL trackees).

La limitation des évènements collectés

Le modèle évènementiel de GA4 permet de collecter un nombre illimité d’évènements personnalisés (clics, soumissions de formulaires, scrolls, téléchargés). Chaque évènement constitue une donnée potentiellement personnelle lorsqu’il est associé à un identifiant utilisateur. Le principe de minimisation impose de ne collecter que les évènements réellement nécessaires à la finalité de mesure d’audience, et de documenter la justification de chaque évènement personnalisé.

Documentation et registre des traitements

L’utilisation de GA4 doit être documentée dans le registre des traitements (article 30 du RGPD). La fiche de traitement doit mentionner les finalités (mesure d’audience, optimisation du site), les catégories de données collectées (identifiant client, données de navigation, informations techniques), les destinataires (Google Ireland Limited, Google LLC), les transferts vers les États-Unis (base : décision d’adéquation DPF), la durée de conservation configurée, et les mesures de sécurité.

La politique de confidentialité du site doit informer les utilisateurs de l’utilisation de GA4, des données collectées, des finalités, des transferts et de leurs droits, conformément à l’article 13 du RGPD.

Les alternatives conformes à GA4

Matomo

Matomo (anciennement Piwik) est la principale alternative open source a Google Analytics. En version auto-hébergée, Matomo peut bénéficier de l’exemption de consentement CNIL si il est configure conformément aux recommandations : anonymisation de l’IP sur deux octets, durée de vie du cookie de 13 mois maximum, absence de recoupement avec d’autres traitements, désactivation des fonctionnalités de suivi cross-site. La version cloud de Matomo est hébergée en Europe.

AT Internet (Piano Analytics)

AT Internet, éditeur français, propose une solution de mesure d’audience éligible à l’exemption de consentement CNIL dans sa configuration conforme. Les données sont hébergées en France.

Plausible et Fathom

Plausible et Fathom sont des outils de mesure d’audience minimalistes, sans cookies, qui ne collectent pas de données personnelles identifiantes. Ils offrent des fonctionnalités plus limitées que GA4 mais sont conformes par conception.

L’approche hybride

Certaines entreprises adoptent une approche hybride : un outil exempt de consentement (Matomo, AT Internet) pour la mesure d’audience de base, et GA4 uniquement pour les utilisateurs ayant consenti, bénéficiant ainsi de l’intégration avec Google Ads. Cette approche permet de conserver des données d’audience pour 100 % des visiteurs tout en utilisant GA4 pour les fonctionnalités avancées. Elle nécessité toutefois la gestion de deux outils.

FAQ

GA4 est-il légal en France en 2026 ?

L’utilisation de GA4 en France est légale sous certaines conditions. Le transfert de données vers Google aux États-Unis est couvert par le EU-US Data Privacy Framework tant que cette décision d’adéquation est en vigueur. Toutefois, GA4 reste soumis au recueil du consentement préalable pour le dépôt du cookie _ga, et l’ensemble des obligations du RGPD s’appliquent (information, minimisation, durée de conservation). L’utilisation de GA4 sans consentement préalable est illicite. La situation pourrait évoluer en cas d’invalidation du DPF par la CJUE.

Peut-on utiliser GA4 sans cookies ?

GA4 propose un mode de fonctionnement sans cookies via le Consent Mode en mode “denied”, mais ce mode transmet toujours des données (pings) aux serveurs de Google. Ces pings ne deposent pas de cookies mais collectent des informations techniques sur le terminal de l’utilisateur, ce qui peut constituer un accès au terminal au sens de l’article 82 de la loi Informatique et Libertés. L’approche la plus sécurisante est de ne charger GA4 qu’après consentement et d’utiliser un outil exempt de consentement pour la mesure d’audience de base des visiteurs n’ayant pas consenti.

Quelle durée de conservation configurer dans GA4 ?

La durée de conservation des données au niveau utilisateur doit être configurée sur 2 mois pour respecter le principe de minimisation, sauf si une durée plus longue est justifiée par une finalité spécifique documentée. Les rapports agrégés (sans données au niveau utilisateur) ne sont pas soumis à cette contrainte car ils ne contiennent plus de données personnelles. La CNIL recommandé une conservation maximale de 25 mois pour les données de mesure d’audience. Pour les enjeux de conservation dans d’autres contextes, consultez notre article sur la conservation des facturés électroniques.