Google Analytics et RGPD : est-ce encore légal en 2026 ?

C'est l'une des questions les plus posées par les propriétaires de sites français : « Ai-je encore le droit d'utiliser Google Analytics ? » La réponse courte : oui, mais à des conditions strictes, et la plupart des sites ne les respectent pas. Voici l'état du droit en 2026 et la marche à suivre concrète.

À retenir en 2026. La mesure d'audience reste une cible prioritaire des contrôles de la CNIL, et le cadre des transferts UE–États-Unis (Data Privacy Framework) demeure juridiquement contesté. Le risque principal pour un site n'est pas d'utiliser GA4, mais de le laisser se déclencher avant le consentement — la configuration par défaut de la quasi-totalité des sites. Vérifiez votre site en 30 secondes pour savoir si vous êtes exposé.

Le rappel : pourquoi Google Analytics a posé problème

En 2022, la CNIL a mis en demeure plusieurs sites utilisant Google Analytics. Le motif : les données des visiteurs européens (dont l'adresse IP) étaient transférées vers les États-Unis, sans garantie suffisante contre l'accès des autorités américaines. Le transfert de données hors UE était jugé illicite.

Depuis, le cadre a évolué avec l'adoption du Data Privacy Framework (DPF) entre l'UE et les États-Unis, qui encadre à nouveau ces transferts pour les entreprises certifiées — Google en fait partie. Mais ce cadre reste contesté et peut être remis en cause. S'appuyer uniquement dessus est un pari.

Ce qui rend Google Analytics conforme (ou non) en 2026

Utiliser GA4 n'est pas illégal en soi. Ce qui fait la différence, c'est comment vous le configurez. Trois conditions cumulatives :

1. Le consentement préalable est obligatoire

Google Analytics dépose des identifiants et traite des données à des fins de mesure d'audience non strictement nécessaire. Donc : aucun envoi de données à Google avant le clic « Accepter » de l'utilisateur. C'est le point le plus violé en pratique. Si votre balise GA se charge dès l'arrivée sur la page, vous êtes en infraction, peu importe le reste.

Exception : la CNIL admet une mesure d'audience sans consentement uniquement si elle est strictement anonyme, limitée à la statistique, sans recoupement et sans transfert à un tiers. GA4 standard ne remplit pas ces conditions ; des solutions comme Matomo en mode exempté, oui.

2. La configuration doit limiter la collecte

Même après consentement :

• activez l'anonymisation et désactivez les signaux Google (Google Signals) si vous n'en avez pas un besoin justifié ;
• réduisez la durée de conservation des données utilisateur ;
• désactivez le partage de données avec les autres produits Google si non nécessaire.

3. La transparence doit être totale

Votre politique de confidentialité doit nommer Google Analytics, expliquer la finalité (mesure d'audience), la durée de conservation et le transfert hors UE. L'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné.

Le piège du « Consent Mode »

Google propose le Consent Mode v2 : quand l'utilisateur refuse, GA n'utilise pas de cookies mais envoie quand même des « pings » sans identifiant pour faire de la modélisation statistique. Beaucoup pensent que cela les rend conformes par défaut. Attention :

• Le Consent Mode ne dispense pas de recueillir le consentement avant toute collecte non essentielle.
• Mal configuré (mode « avancé » qui envoie des données même sans consentement), il peut au contraire aggraver votre situation.
• Il doit être branché sur une vraie bannière de consentement qui bloque les scripts, pas sur un simple bandeau cosmétique.

Autrement dit : le Consent Mode est un complément technique, pas une solution de conformité à lui seul.

La méthode concrète pour être conforme

1. Faites l'inventaire. Passez votre site dans un scanner RGPD gratuit pour voir si GA se déclenche avant consentement et quels autres trackers tournent en parallèle.
2. Bloquez GA par défaut. Aucune balise ne se charge tant que l'utilisateur n'a pas accepté la catégorie « mesure d'audience ».
3. Affichez une bannière conforme : Accepter / Refuser / Personnaliser, avec le même poids visuel. Voir ce que doit contenir une bannière cookie conforme.
4. Configurez GA4 sobrement : anonymisation, conservation courte, signaux désactivés.
5. Documentez : mentionnez GA dans votre politique de confidentialité et conservez la preuve des consentements.
6. Rescannez régulièrement : une mise à jour de balise ou de plugin peut réactiver GA en amont sans que vous le voyiez.

Faut-il quitter Google Analytics ?

Pas nécessairement. Mais si la conformité vous semble fragile, des alternatives européennes sans cookie comme Matomo ou Plausible existent ; certaines peuvent même fonctionner sans bannière si elles sont configurées en mode strictement anonyme reconnu par la CNIL. Le bon réflexe : choisir l'outil après avoir clarifié votre besoin réel de mesure, pas l'inverse.

En résumé

Google Analytics reste utilisable en 2026, à condition de : ne rien charger avant consentement, configurer sobrement, être transparent, et vérifier dans le temps. Le risque n'est pas l'outil — c'est la configuration par défaut que 90 % des sites laissent en place.

Le plus simple pour savoir où vous en êtes : scannez votre site. En quelques secondes vous saurez si Google Analytics se déclenche trop tôt — et donc si vous êtes exposé.

Pour aller plus loin

• Guide RGPD complet pour les sites web
• RGPD et WordPress : rendre votre site conforme en 2026
• Cookies tiers : ce qui change et comment s'y conformer
• Sanctions CNIL : les amendes qui doivent vous alerter
• Contrôle CNIL : comment réagir étape par étape
• Analytics sans cookie : Matomo et Plausible face au RGPD