Retour aux articles
Analytics
Analytics RGPD CNIL Google Analytics

Google Analytics et RGPD : légal en France en 2026 ?

5 novembre 2025 10 min de lecture DPLIANCE

La question de la légalité de Google Analytics au regard du RGPD est un feuilleton juridique qui dure depuis 2020. Six ans plus tard, la réponse n’est toujours pas simple. Et c’est précisément ce qui devrait vous inquiéter.

Google Analytics équipe encore plus de 330 000 sites en France et environ 55 % des sites web dans le monde. C’est l’outil d’analytics le plus utilisé de la planète. Mais être populaire n’a jamais signifié être conforme.

Chez DPLIANCE, nous pensons qu’une entreprise ne devrait pas avoir à jongler avec des incertitudes juridiques pour comprendre son audience. La vie privée des utilisateurs n’est pas une variable d’ajustement.

Voici l’état des lieux complet, factuel et sans langue de bois.

Chronologie : de Schrems II aux décisions de 2025

Juillet 2020 : l’arrêt Schrems II dynamite les transferts EU-US

Le 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) rend l’arrêt “Schrems II” (affaire C-311/18). Elle invalide le Privacy Shield, l’accord qui encadrait les transferts de données personnelles entre l’UE et les États-Unis. Motif : les lois américaines de surveillance (FISA Section 702, Executive Order 12333) ne garantissent pas un niveau de protection équivalent au RGPD.

Conséquence immédiate : tout transfert de données personnelles vers les États-Unis sans garanties supplémentaires devient illégal. Or, Google Analytics transfère systématiquement des données vers les serveurs de Google aux États-Unis.

Août 2020 : NOYB dépose 101 plaintes

Dans la foulée de Schrems II, l’association NOYB (None Of Your Business), fondée par Max Schrems, dépose 101 plaintes auprès des autorités de protection des données de toute l’Europe. Les plaintes visent des sites utilisant Google Analytics et Facebook Connect, qui transfèrent des données vers les États-Unis.

Le European Data Protection Board (EDPB) crée en septembre 2020 une task force pour coordonner les réponses des différentes autorités nationales.

Janvier 2022 : l’Autriche ouvre le bal

Le 13 janvier 2022, l’autorité autrichienne de protection des données (DSB) est la première à statuer : l’utilisation de Google Analytics viole le RGPD en raison des transferts de données vers les États-Unis. Les mesures supplémentaires mises en place par Google (chiffrement, clauses contractuelles) sont jugées insuffisantes.

Février-mars 2022 : la CNIL suit

Le 10 février 2022, la CNIL publie sa décision : l’utilisation de Google Analytics, dans les conditions de l’époque, n’est pas conforme au RGPD. La CNIL met en demeure un gestionnaire de site web marchand français de cesser d’utiliser Google Analytics dans un délai d’un mois. Le 2 mars 2022, deux autres mises en demeure suivent.

La CNIL est explicite : les transferts de données personnelles vers les États-Unis via Google Analytics sont illégaux. Les mesures de protection mises en place par Google ne suffisent pas à empêcher l’accès des services de renseignement américains aux données des citoyens européens, via le Cloud Act et le Foreign Intelligence Surveillance Act (FISA).

La CNIL propose une solution opérationnelle : l’utilisation d’un serveur proxy correctement configuré pour anonymiser les données avant tout transfert. Mais elle reconnaît que cette mise en oeuvre “peut se révéler coûteuse et complexe” et “ne permet pas toujours de répondre aux besoins opérationnels”.

2022 : l’Italie confirme

Le Garante italiano (autorité italienne) rend une décision similaire dans le courant de l’année 2022, confirmant l’illégalité de Google Analytics pour les mêmes raisons.

Trois des plus grandes autorités de protection des données en Europe (Autriche, France, Italie) sont désormais alignées.

Juillet 2023 : le Data Privacy Framework change la donne

Le 10 juillet 2023, la Commission européenne adopte une décision d’adéquation pour le EU-US Data Privacy Framework (DPF). Ce nouveau cadre, négocié entre l’UE et les États-Unis, autorise à nouveau les transferts de données personnelles vers les entreprises américaines certifiées.

Google est certifié sous le DPF. Les transferts de données via Google Analytics redeviennent donc légalement possibles.

Suite à cette décision, la CNIL met à jour sa position : les transferts vers les États-Unis sont désormais autorisés dans le cadre du DPF.

Septembre 2025 : le DPF résiste, mais pour combien de temps ?

Le 3 septembre 2025, le Tribunal général de l’Union européenne rejette le recours en annulation du DPF introduit par le député français Philippe Latombe, qui siège par ailleurs au collège de la CNIL. Le DPF est donc toujours valide.

Mais cette victoire juridique est fragile. Le Tribunal général souligne que sa décision “ne préclut pas de futurs recours basés sur des arguments différents, des circonstances ou des faits nouveaux”. Philippe Latombe avait jusqu’au 3 novembre 2025 pour faire appel devant la CJUE.

En parallèle, NOYB surveille de près les évolutions américaines : les executive orders de l’administration Trump et le remplacement de responsables d’agences indépendantes pourraient fragiliser les garanties sur lesquelles repose le DPF. Un “Schrems III” n’est pas à exclure.

État des lieux en mars 2026

Ce qui est autorisé

  • Utiliser Google Analytics 4 (GA4) avec le Consent Mode si les utilisateurs donnent leur consentement explicite
  • Transférer des données vers Google aux États-Unis dans le cadre du Data Privacy Framework (tant qu’il est valide)

Ce qui est obligatoire

  • Obtenir le consentement explicite des utilisateurs avant de déposer les cookies de GA4 (la CNIL n’a jamais accordé d’exemption de consentement à Google Analytics)
  • Informer les utilisateurs du transfert de données vers les États-Unis
  • Documenter la base légale du traitement dans votre registre des traitements
  • Respecter les lignes directrices de la CNIL sur les cookies et traceurs (consentement positif, possibilité de refus aussi simple que l’acceptation)

Ce qui reste risqué

  • La pérennité du DPF : ses deux prédécesseurs (Safe Harbor et Privacy Shield) ont été invalidés par la CJUE. Le DPF repose sur des executive orders américains qui peuvent être modifiés unilatéralement.
  • Le consentement réel : en France, selon les secteurs, 30 à 70 % des visiteurs refusent les cookies. Utiliser GA4 avec consentement, c’est accepter de ne voir qu’une fraction de votre audience.
  • L’amende en cas de non-conformité : la CNIL n’hésite pas à sanctionner. En 2025, le total des amendes prononcées par la CNIL s’élève à 487 millions d’euros, dont 475 millions pour Google et Shein.

GA4 et Consent Mode : la fausse solution miracle

Google a lancé le Consent Mode pour permettre aux sites d’utiliser GA4 même quand les utilisateurs refusent les cookies. Le principe : quand le consentement est refusé, GA4 envoie des “pings” sans cookie, et Google utilise la modélisation statistique pour combler les trous.

Le problème ? Plusieurs :

  1. Des données sont toujours envoyées à Google, même sans consentement. La nature exacte de ces données et ce que Google en fait restent opaques.
  2. La modélisation statistique n’est pas de la mesure. Les chiffres affichés sont des estimations, pas des faits.
  3. La conformité du Consent Mode n’a pas été validée par la CNIL ni par aucune autre autorité de protection des données en Europe.
  4. Les données transitent toujours par les serveurs de Google aux États-Unis, ce qui implique une dépendance au DPF.

Le coût caché de Google Analytics

Google Analytics est “gratuit”, mais ce qui est gratuit a toujours un coût.

Coût en conformité

  • Mise en place et maintenance d’un bandeau de cookies conforme (CMP)
  • Documentation juridique (registre des traitements, analyse d’impact)
  • Veille juridique permanente sur le statut du DPF
  • Risque d’amende en cas de non-conformité

Coût en données perdues

  • 30 à 70 % de votre audience refuse les cookies
  • Les bloqueurs de publicités bloquent le script GA4
  • Vous ne voyez qu’une fraction de votre trafic réel

Coût en dépendance

  • Vos données sont chez Google. Vous n’en avez pas le contrôle total.
  • Google peut modifier GA4, changer ses conditions d’utilisation ou déprécier des fonctionnalités à tout moment (comme il l’a fait avec Universal Analytics en juillet 2023).
  • Vos données alimentent l’écosystème publicitaire de Google, que vous le vouliez ou non.

Les alternatives conformes

Face à ces risques, de nombreuses entreprises françaises ont déjà migré vers des alternatives conformes au RGPD.

Mirage Analytics

Mirage Analytics est l’outil d’analytics web édité par DPLIANCE. Sans cookie tiers, sans traceur persistant, hébergé en France sur Scaleway. Il intègre analytics, session replay, heatmaps et error monitoring dans une seule solution. Aucun transfert de données hors de l’Union européenne. À partir de 19 EUR HT/mois.

Autres alternatives

  • Matomo : open source, auto-hébergeable, éligible à l’exemption CNIL. Gratuit en auto-hébergé, à partir de 22 EUR/mois en Cloud.
  • Plausible : open source, minimaliste, sans cookie. À partir de 9 EUR/mois.
  • Fathom : simple, sans cookie. À partir de 15 $/mois.

Pour un comparatif complet, consultez notre guide des alternatives à Google Analytics.

Ce que nous recommandons

Nous ne sommes pas juristes, et cet article ne constitue pas un avis juridique. Mais voici notre lecture de la situation :

  1. Si vous lancez un nouveau site en 2026, ne choisissez pas Google Analytics par défaut. Évaluez les alternatives conformes dès le départ.
  2. Si vous utilisez déjà GA4, assurez-vous que votre bandeau de cookies est conforme (consentement explicite, refus aussi simple que l’acceptation), documentez votre base légale et surveillez l’évolution du DPF.
  3. Si vous voulez de la certitude juridique, privilégiez un outil hébergé en Europe, sans transfert de données hors UE, compatible avec l’exemption CNIL.
  4. Si vous voulez des données complètes, un outil sans cookie qui mesure 100 % de votre audience sera plus fiable qu’un GA4 qui ne voit que les 30 à 70 % ayant accepté les cookies.

FAQ

Google Analytics 4 est-il différent de Universal Analytics pour le RGPD ?

GA4 collecte moins de données par défaut (pas d’adresse IP stockée, par exemple) et propose le Consent Mode. Mais le problème fondamental reste le même : les données transitent par les serveurs de Google aux États-Unis, et l’outil nécessite le consentement de l’utilisateur pour déposer des cookies. GA4 n’a jamais bénéficié d’une exemption CNIL.

Le Data Privacy Framework peut-il être invalidé ?

Oui. Ses deux prédécesseurs l’ont été (Safe Harbor en 2015 par l’arrêt Schrems I, Privacy Shield en 2020 par Schrems II). Le DPF a survécu à un premier recours en septembre 2025, mais d’autres contestations sont possibles, notamment si les garanties américaines sont affaiblies par des changements législatifs ou exécutifs.

Puis-je utiliser Google Analytics avec un proxy pour être conforme ?

La CNIL a mentionné cette possibilité en 2022, mais avec des réserves importantes. Le proxy doit anonymiser complètement les données avant tout transfert, ce qui est techniquement complexe et peut rendre les données inutilisables pour l’analyse. En pratique, peu d’entreprises ont mis en oeuvre cette solution avec succès.

Quelle est l’amende maximale pour non-conformité RGPD ?

Le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. En France, la CNIL a démontré sa capacité à sanctionner lourdement : 325 millions d’euros pour Google en septembre 2025.

Comment migrer de Google Analytics vers une alternative ?

La migration technique est généralement simple : vous ajoutez le script du nouvel outil sur votre site et retirez celui de GA4. L’import des données historiques n’est pas possible (les formats sont incompatibles), mais vous pouvez faire tourner les deux outils en parallèle pendant 1 à 3 mois pour comparer les données.

Sources : CJUE, arrêt Schrems II, 16 juillet 2020, affaire C-311/18 ; CNIL, mise en demeure Google Analytics, 10 février 2022 (cnil.fr) ; CNIL, mise en demeure du 2 mars 2022 ; Commission européenne, décision d’adéquation DPF, 10 juillet 2023 ; Tribunal général de l’UE, arrêt du 3 septembre 2025 (affaire Latombe) ; CNIL, sanction Google 325 M EUR, 1er septembre 2025 ; NOYB, suivi des 101 plaintes (noyb.eu) ; Le Monde Informatique, “La Cnil met en demeure plusieurs sites sur l’usage de Google Analytics” (2022).

Vous voulez des analytics fiables sans incertitude juridique ? Découvrez Mirage Analytics : analytics web sans cookie, hébergé en France, session replay et heatmaps intégrés. À partir de 19 EUR HT/mois.

Écrivez-nous

contact@dpliance.com
Nous contacter