BlueOcean Privacy AI

Guides Analyse d'outil

Google Analytics 4 et RGPD : ce que les agences doivent savoir en 2026

Google Analytics 4 peut être utilisé dans l'UE, mais uniquement avec le consentement de l'internaute. Si vous chargez GA4 dès l'ouverture de la page, vous vous exposez à des mises en demeure de la CNIL. Voici ce qui compte vraiment.

BlueOcean Privacy AI 3 min de lecture

Google Analytics 4 est-il seulement autorisé ?

Oui — GA4 n'est pas interdit, mais soumis au consentement. Il ne peut traiter des données qu'après que l'internaute y a activement consenti.

GA4 dépose des traceurs et transfère des données vers Google, y compris vers les États-Unis. Les deux ne sont licites qu'avec un consentement valable. En droit français, le dépôt et la lecture de traceurs sont encadrés par l'article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy), complété par les lignes directrices et la recommandation « cookies et autres traceurs » de la CNIL. Le traitement des données qui en découle relève du RGPD (notamment son article 6 sur la base légale). Sans consentement, GA4 ne doit pas se charger.

Les 4 conditions pour utiliser GA4

Pour que GA4 fonctionne dans le respect de la protection des données, quatre éléments doivent être réunis — s'il en manque un seul, votre site devient attaquable.

  • Consentement avant le chargement : GA4 ne démarre qu'après « Accepter », jamais avant. La CNIL exige que le refus soit aussi simple que l'acceptation.
  • Google Consentement Mode v2 : transmet correctement l'état du consentement à Google.
  • Contrat de sous-traitance avec Google : les conditions de traitement des données (article 28 du RGPD) sont acceptées lors de la création du compte et doivent être documentées.
  • Transparence : GA4 et le transfert vers les États-Unis sont mentionnés dans votre politique de confidentialité.
Vérifiez votre site en 5 minutes — gratuit. Lancer un scan gratuit du site →

L'erreur la plus fréquente (et la plus coûteuse)

Sur la plupart des sites, GA4 se déclenche dès l'ouverture de la page — avant même que l'internaute n'ait cliqué. La bannière n'est alors qu'une simple décoration.

De nombreux modules de gestion des cookies affichent une bannière mais ne bloquent pas techniquement le traceur. Résultat : GA4 envoie déjà des données pendant que la bannière pose encore la question. C'est précisément ce que sanctionne la CNIL — indépendamment de ce qui est écrit dans la bannière. Le consentement doit être recueilli avant tout dépôt ou lecture de traceur non strictement nécessaire.

Comment rendre GA4 conforme

Mettez en place une bannière qui bloque réellement GA4 jusqu'au consentement — et vérifiez-le.

BlueOcean Privacy AI bloque techniquement les traceurs comme GA4 jusqu'au consentement, transmet le Consentement Mode v2 et maintient automatiquement votre politique de confidentialité à jour. Un scan gratuit vous montre en 5 minutes si GA4 se charge sur votre site avant le consentement.

Jetons un œil à vos sites

En 15 minutes, voyez où en sont les sites de vos clients — et comment les sécuriser sans effort.

Lancer un scan gratuit du site Réserver un rendez-vous gratuit

Questions fréquentes

Google Analytics 4 est-il autorisé dans l'UE ?

Oui, avec un consentement valable de l'internaute, le Consentement Mode v2 et un contrat de sous-traitance avec Google. Sans consentement, GA4 ne doit pas se charger.

Ai-je besoin d'un contrat de sous-traitance pour GA4 ?

Oui. Google met à disposition les conditions de traitement des données au sens de l'article 28 du RGPD ; elles doivent être acceptées et documentées.

Que se passe-t-il si GA4 se charge sans consentement ?

C'est une violation manifeste de l'article 82 de la loi Informatique et Libertés et du RGPD, susceptible d'entraîner une mise en demeure ou une sanction de la CNIL, même si une bannière cookies est présente.

Voir tous les guides →