Aller au contenu
Référencement Internet Web
analytics

RGPD et analytics : mesurer son audience en conformité

Par Baptiste P.

11 min de lecture
Lien copié dans le presse-papiers
Baptiste P.

2026 marque un tournant. La CNIL annonce une vague de contrôles sur l'analytics au premier semestre. Les amendes européennes explosent. Mesurer son audience est devenu un champ de mines légal pour les sites français. Et pourtant, des solutions conformes existent. Ce guide donne les outils pour auditer votre setup, choisir une vraie alternative, et construire un consentement qui tient face aux contrôleurs CNIL.

La loi sur l'analytics en 2026#

Trois textes se superposent :

Le RGPD (2018) conditionne tout traitement de données personnelles à une base légale valide. Pour les analytics, la base légale quasi-universelle est le consentement de l'article 6(1)(a) : libre, spécifique, éclairé et univoque. Le droit à l'effacement, à la portabilité et l'obligation de minimisation des données s'appliquent pleinement à vos outils de mesure.

La Directive ePrivacy (2002, transposée en droit français via la loi Informatique et Libertés) régit spécifiquement les cookies et traceurs. Elle exige un consentement préalable avant tout dépôt de cookie non strictement nécessaire, catégorie dans laquelle tombent tous les outils analytics tiers.

L'ePrivacy Regulation était le successeur attendu. Formellement abandonnée en février 2025 après dix ans de blocages. Conséquence : la directive de 2002 reste, avec ses lacunes et ses interprétations différentes selon les pays.

Le DMA (Digital Markets Act), entré en application en 2024, impose aux gatekeepers, Apple, Google, Meta, Microsoft, Amazon, ByteDance, un consentement séparé par finalité. Concrètement, Google ne peut plus lier consentement analytics et consentement publicitaire : deux bandeaux distincts, deux choix distincts. Cette règle affecte directement les intégrations GA4 + Google Ads.

Sanctions CNIL 2025 : les chiffres qui font mal#

La période "pédagogique" est terminée. Les chiffres 2025 le prouvent :

  • Google : 325 millions d'euros, pratiques analytics et consentement jugés non conformes, transferts de données vers les États-Unis insuffisamment encadrés
  • Shein : 150 millions d'euros, défaillances massives sur le consentement cookies et la transparence des traitements
  • Meta : 91 millions d'euros, en septembre 2024, pour stockage de mots de passe non chiffrés (volet connexion), mais les enquêtes analytics sont ouvertes
  • Des dizaines de PME françaises ont reçu des mises en demeure formelles, sans publicité, pour des bandeaux cookie non conformes

La CNIL dispose depuis 2023 d'outils de scan automatisé qui crawlent les sites web pour détecter les dépôts de cookies avant consentement. Ces scans sont automatiques, massifs, et n'annoncent pas leur passage.

Non. La position est claire depuis les décisions successives de la CNIL (janvier 2022), du DSB autrichien, de l'APD belge et du Garante italien. Le raisonnement juridique n'a pas bougé :

  1. Google Analytics transfère des données personnelles (adresses IP, identifiants navigateur) vers des serveurs américains
  2. Ces transferts sont soumis au FISA 702 et aux ordres de surveillance de la NSA
  3. Les États-Unis ne disposent pas d'une protection "essentiellement équivalente" à celle du RGPD au sens de l'arrêt Schrems II

Le Data Privacy Framework (DPF) adopté en 2023 a légitimé les transferts pour les entreprises certifiées, Google y compris. Problème : le DPF est contesté devant la CJUE par Max Schrems et la décision est attendue courant 2026. Utiliser Google Analytics en vous appuyant sur le DPF, c'est jouer à la roulette juridique.

La fonctionnalité d'anonymisation IP de GA4 (anonymize_ip) n'est pas une solution : la CNIL a explicitement indiqué que l'anonymisation côté client ne suffit pas, car la donnée non anonymisée transite quand même vers les serveurs Google avant traitement.

Cela ne signifie pas que vous ne pouvez pas utiliser GA4. Mais si vous l'utilisez, vous devez :

  • Avoir un bandeau consentement conforme (opt-in explicite, refus aussi simple qu'acceptation)
  • Ne déposer aucun cookie analytics avant ce consentement
  • Accepter une perte de données de 40 à 60% selon les secteurs (taux de refus moyen)

Alternatives conformes : le comparatif 2026#

La liste des solutions exemptées de consentement publiée par la CNIL a été supprimée au 1er janvier 2026. Fini le tampon "exempté CNIL" sur Matomo : toute solution doit désormais faire l'objet d'une auto-évaluation rigoureuse selon les critères publiés par la CNIL. Les critères n'ont pas changé, seul le label officiel disparaît.

Matomo auto-hébergé#

Position : solution de référence pour la conformité européenne.

Configuration minimale pour l'exemption de consentement :

  • Auto-hébergé sur vos propres serveurs (Matomo Cloud ne permet pas l'exemption)
  • Anonymisation IP activée (supprimer les deux derniers octets, pas juste le dernier)
  • Pas de partage de données avec des tiers
  • Désactivation du fingerprinting et du suivi inter-sites
  • Durée de conservation des données limitée à 13 mois
  • Information utilisateur via mentions légales (bandeau optionnel si exemption)

Coût : gratuit en auto-hébergé. Nécessite un serveur PHP + MySQL.

Qualité des données : proche de 100% sans cookie (JavaScript first-party, pas bloqué par les ad-blockers agressifs).

Limite : la maintenance technique est à votre charge. Une mauvaise configuration peut invalider l'exemption.

Plausible Analytics#

Position : solution SaaS sans cookie, privacy-first par design.

Principe : pas de cookies, pas de fingerprinting, pas de données personnelles collectées. Mesure uniquement des métriques agrégées.

Coût : 9 euros/mois pour un site (trafic illimité jusqu'à 10 000 pages vues/mois, puis paliers progressifs).

Hébergement : serveurs UE (Allemagne, Hetzner). Plausible Cloud est RGPD-compliant sans configuration additionnelle.

Limites : moins de granularité qu'un GA4 (pas de segmentation comportementale avancée, pas d'entonnoirs de conversion complexes). Adapté aux sites qui veulent des métriques propres sans overhead juridique.

Piwik PRO#

Position : alternative enterprise à GA4, siège social Pologne (UE).

Atouts : suite complète (analytics + tag manager + consent management + customer data platform), hébergement UE, SOC 2 Type II, DPA disponible.

Plan gratuit : jusqu'à 500 000 sessions/mois, fonctionnalités core complètes.

Idéal pour : organisations avec des exigences de conformité élevées (santé, finances, secteur public).

Piano Analytics (ex-AT Internet)#

Position : solution française, leader historique des médias et grands comptes.

Atouts : siège à Paris, données hébergées en France, expertise RGPD intégrée depuis le début, support francophone.

Tarif : sur devis, orienté grands comptes. Coûteux pour les PME.

Idéal pour : médias, éditeurs, grandes marques avec des équipes analytics dédiées.

Tableau comparatif#

SolutionConsentement requisHébergementTarifGranularité
Matomo auto-hébergéNon (si bien configuré)Vos serveursGratuitTrès élevée
PlausibleNonUE (Allemagne)9€/moisBasique
Piwik PROPartielUEGratuit (500K sessions)Élevée
Piano AnalyticsPartielFranceSur devisTrès élevée
GA4Oui (obligatoire)USA (DPF)GratuitTrès élevée

Server-side tracking : avantages et limites#

Le server-side tracking consiste à déplacer l'envoi des données analytics de votre navigateur vers votre serveur, qui les retransmet ensuite à l'outil de mesure. Google Tag Manager Server-Side, Stape.io ou des solutions custom permettent cette architecture.

Avantages mesurés :

  • Réduction de 26% du CPA en moyenne (source : études Google/Stape, 2024) grâce à une meilleure qualité de signal
  • Résistance aux ad-blockers et aux ITP/ETP (Intelligent Tracking Prevention d'Apple)
  • Latence réduite côté client (moins de JavaScript à charger)
  • Meilleure durée de vie des cookies (first-party, non soumis aux restrictions ITP)

Ce que le server-side tracking ne fait PAS :

  • Il ne vous exempte pas du consentement. Le RGPD s'applique au traitement des données, pas à la méthode de collecte. Si vous collectez des données personnelles sans consentement, peu importe que ce soit client-side ou server-side.
  • Il ne résout pas le problème du transfert vers les États-Unis pour GA4.

Usage correct : combiner server-side tracking avec un CMP (Consent Management Platform) conforme pour maximiser la qualité des données consenties, pas pour contourner le consentement.

Le Consent Mode v2, obligatoire pour les annonceurs Google depuis mars 2024, est devenu le standard de facto pour tous les sites utilisant l'écosystème Google. Il envoie des signaux de consentement granulaires (analytics_storage, ad_storage, ad_user_data, ad_personalization) qui permettent à Google de modéliser les conversions manquantes via machine learning.

Implémentation correcte :

// Initialisation avec état de refus par défaut
gtag('consent', 'default', {
	analytics_storage: 'denied',
	ad_storage: 'denied',
	ad_user_data: 'denied',
	ad_personalization: 'denied',
	wait_for_update: 500,
})

// Mise à jour après consentement utilisateur
gtag('consent', 'update', {
	analytics_storage: 'granted',
	ad_storage: 'granted',
})

Les 5 erreurs de consentement les plus sanctionnées par la CNIL :

  1. Pré-coché : les cases "J'accepte" ne peuvent pas être cochées par défaut
  2. Refus difficile : le bouton "Refuser" doit être aussi visible et accessible que "Accepter"
  3. Cookie avant consentement : tout dépôt avant interaction est une violation
  4. Consentement global : impossible de grouper analytics, pub et réseaux sociaux dans un seul "J'accepte"
  5. Absence de retrait : l'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné

CMPs recommandés : Axeptio (FR), Didomi (FR), Cookiebot (DK), OneTrust (US, SOC2). Un CMP ne garantit pas la conformité, c'est votre configuration qui le fait.

La mesure de performance technique est possible sans consentement via les Core Web Vitals (LCP, CLS, INP). Google Search Console les collecte sans cookies.

Checklist conformité analytics 2026#

Utilisez cette checklist pour auditer votre setup. Chaque point non coché est un risque réel.

Audit technique (avant consentement)

  • Aucun cookie analytics déposé avant interaction utilisateur (vérifier avec DevTools > Application > Cookies, rechargement page en navigation privée)
  • Aucun script analytics chargé avant consentement (Network tab, filtrer "analytics")
  • Consent Mode v2 initialisé avec tous les signaux à denied par défaut

Bandeau de consentement

  • Bouton "Refuser" aussi visible que "Accepter" (même taille, même couleur, même position)
  • Consentement granulaire par finalité (analytics ≠ publicité ≠ réseaux sociaux)
  • Lien de retrait du consentement accessible depuis toutes les pages (footer)
  • Information claire sur les tiers et les transferts hors UE

Outil analytics

  • Si GA4 : hébergement via DPF, consentement explicite obligatoire, DPA signé avec Google
  • Si Matomo auto-hébergé : anonymisation IP (2 octets), pas de partage tiers, conservation 13 mois
  • Si Plausible/Piwik PRO : vérifier la politique de sous-traitance (DPA disponible)
  • DPA (Data Processing Agreement) signé avec chaque fournisseur

Documentation

  • Registre des traitements mis à jour avec la finalité analytics
  • Mentions légales et politique cookies à jour (liste des cookies, durées, finalités)
  • Délégué à la Protection des Données (DPO) désigné si obligation (secteur public, traitement à grande échelle)

La qualité du signal de mesure est déterminante. Un analytics mal configuré fausse vos décisions éditoriales. J'hésite d'ailleurs : est-ce qu'il vaut mieux avoir une mesure partielle et conforme, ou une mesure complète mais risquée ? Sur papier, la réponse est évidente. En réalité, les clients résistent. Un client m'a dit : "Je préfère le risque à l'incertitude." C'est humain mais dangereux.

Construire une architecture analytics durable#

La vraie question n'est pas "comment contourner le RGPD" mais "comment construire un système de mesure fiable à long terme". Les entreprises qui ont migré vers des solutions conformes en 2022-2023 ont aujourd'hui deux ans de données propres, sans risque légal, avec des taux de collecte stables.

La fragmentation des données est inévitable dans un monde multi-terminaux. La CNIL a introduit en janvier 2026 une règle sur le consentement multi-terminaux : si un utilisateur refuse sur mobile, ce refus doit être respecté sur desktop si les deux sessions sont liées à un compte utilisateur identifié. Cela impacte directement les sites avec espace membre.

Pour naviguer dans les tendances SEO de 2026, la mesure d'audience est un prérequis, mais une mesure fausse est pire qu'une mesure incomplète. 40% de vos sessions avec un consentement propre valent mieux que 100% de sessions avec un risque de sanction à 325 millions d'euros.

Google Search Console reste votre source de données la plus fiable et RGPD-compatible : zéro cookie, données agrégées, directement fournies par Google.

Conclusion#

La conformité analytics n'est plus optionnelle en 2026. Avec une vague de contrôles CNIL annoncée, des sanctions record et la suppression de la liste d'exemption officielle, chaque site web doit faire ses propres arbitrages en toute connaissance de cause.

Le chemin le plus court vers la conformité : Matomo auto-hébergé pour les équipes techniques, Plausible pour les sites qui veulent zéro overhead, Piwik PRO pour les organisations avec des exigences entreprise. Si vous maintenez GA4, un CMP conforme avec Consent Mode v2 est non-négociable.

Ce n'est pas la fin de l'analytics, c'est le début d'une mesure plus honnête, plus durable, et paradoxalement plus utile parce que fondée sur des données réellement représentatives de votre audience consentante.

Lien copié dans le presse-papiers

À lire aussi

Ads dans les AI Overviews : comment Google monétise l'IA et l'impact SEO
seo

Ads dans les AI Overviews : comment Google monétise l'IA et l'impact SEO

Google Ads intégré dans AI Overviews : impact CTR organique, stratégie SEM, analyse factuelle 2026. Quand Google monétise, le SEO organique souffre.

Aujourd'hui·8 min
GSC branded vs non-branded : pilotage SEO
seo

GSC branded vs non-branded : pilotage SEO

Le filtre branded queries de Google Search Console est accessible à tous. Exploitez la segmentation branded vs non-branded pour piloter votre SEO.

Aujourd'hui·7 min
Volatilité ranking mars 2026 : 9.4/10, trafic en chute libre
seo

Volatilité ranking mars 2026 : 9.4/10, trafic en chute libre

Semrush mesure 9.4/10 de volatilité en mars 2026. Des PME perdent 40% de trafic en une semaine. Analyse des patterns et règle des 14 jours.

8 mars 2026·7 min