GA4 et RGPD est devenu LA question critique pour tout freelance ou agence qui installe Google Analytics sur des sites européens. Entre les sanctions CNIL de 2022-2024 contre des sites non-conformes, Consent Mode v2 imposé par Google depuis mars 2024, et l'évolution constante de la jurisprudence, beaucoup de freelances avancent à l'aveugle. Ce guide te donne le cadre complet à jour pour 2026.
Pourquoi GA4 pose un problème RGPD
Google Analytics 4 collecte par défaut :
- Des cookies persistants (
_ga,_ga_*) pour distinguer les utilisateurs entre sessions - Des identifiants client (Client ID, parfois User ID)
- Des données comportementales (pages vues, événements, source de trafic, appareil)
- L'adresse IP (utilisée pour la géolocalisation, puis non stockée depuis 2023)
Tous ces éléments sont des données personnelles au sens du RGPD : ils permettent d'identifier indirectement une personne physique (même sans nom, l'agrégat d'IP + device + comportement peut suffire à ré-identifier).
Donc dépôt de cookies + collecte de données personnelles = consentement préalable obligatoire avant tout chargement de GA4.
Les 3 piliers de la conformité GA4 en 2026
Pilier 1 : Consent Mode v2 (obligatoire depuis mars 2024)
Google a imposé Consent Mode v2 à tous les sites qui veulent continuer à utiliser GA4 + Google Ads pour les audiences européennes. Sans Consent Mode v2, tu perds l'accès à certaines fonctionnalités publicitaires.
Le principe : GA4 reçoit en permanence des signaux de consentement (ad_storage, analytics_storage, ad_user_data, ad_personalization). Selon ces signaux, GA4 adapte ce qu'il collecte :
- Consentement complet : GA4 fonctionne normalement avec cookies + identifiants
- Consentement refusé : GA4 envoie des "pings cookieless", Google modélise statistiquement les données manquantes
C'est ce qu'on appelle le consent mode modeling : tu gardes 60-70 % des données utiles sans cookies.
Pilier 2 : CMP (Consent Management Platform)
Une CMP est l'outil qui affiche la bannière de consentement et qui transmet les signaux à Consent Mode v2. Les 3 principales en 2026 :
| CMP | Prix | Marché | Avantage clé |
|---|---|---|---|
| Tarteaucitron | Gratuit (open source) | < 100 visites/jour | Hébergé chez toi, zéro coût récurrent |
| Axeptio | ~25€/mois | 100 à 10 000 visites/jour | Made in France, UX premium |
| Cookiebot | ~30€/mois | Multi-sites, international | IAB TCF v2.2, conformité maximale |
Pilier 3 : Politique de confidentialité conforme
C'est le pilier qu'on oublie. Le site client doit avoir une politique de confidentialité qui mentionne explicitement :
- Utilisation de Google Analytics 4
- Finalité (mesure d'audience, statistiques)
- Liste des cookies déposés (
_ga,_ga_*avec durée 13 mois) - Identification du responsable de traitement
- Droits de l'utilisateur (accès, rectification, opposition, effacement)
- Transfert vers les USA avec mention du DPF (Data Privacy Framework)
Voir le modèle CNIL de mention pour les outils de mesure d'audience.
Configuration pas à pas : GA4 + Consent Mode v2 + CMP
Étape 1 : Choisir et installer la CMP
Exemple avec Axeptio (la plus simple) :
- Créer un compte sur axeptio.eu
- Configurer le projet (nom du site, langues, services à gérer)
- Activer le module "Google Consent Mode v2"
- Récupérer le snippet JavaScript
Étape 2 : Installer la CMP avant GA4
L'ordre des balises dans le <head> est critique. Toujours :
- Le snippet de la CMP (qui définit les signaux par défaut "denied")
- Puis GA4 ou Google Tag Manager
Si l'ordre est inversé, GA4 démarre avant que la CMP ait pu bloquer ses cookies = non-conforme.
Étape 3 : Configurer Consent Mode v2 dans GA4 ou GTM
Si tu utilises Google Tag Manager (recommandé) :
- Dans GTM → Templates → Galerie → installer "Consent Mode (Google tags)"
- Créer une balise "Consent Default" → tous les signaux à
deniedpar défaut - Configurer la CMP pour envoyer des
gtag('consent', 'update', {...})au choix utilisateur - Vérifier dans GA4 Realtime que les sessions remontent uniquement après consentement
Étape 4 : Vérifier la conformité
Outils gratuits pour auditer ton implémentation :
- Google Tag Assistant (extension Chrome) : vérifie que Consent Mode est actif
- Cookiebot Compliance Test : scan gratuit du site avec rapport conformité
- 2GDPR.com : scanner indépendant qui détecte les cookies non conformes
Les questions concrètes que te posent tes clients
"Est-ce que je peux désactiver complètement la bannière ?"
Non, pas si ton site cible l'UE. Mais tu peux la rendre moins intrusive : design discret, choix "Tout refuser" aussi visible que "Tout accepter" (obligation CNIL), pas de pré-cochage des cases.
"Combien je perds en data avec le consentement ?"
Empiriquement : 20-40 % d'utilisateurs refusent. Avec Consent Mode v2 + modeling, tu récupères 60-80 % des conversions modélisées. Donc tu perds en pratique 10-20 % de précision sur les KPIs business. Largement acceptable face au risque légal.
"Et si je passe en server-side tagging ?"
Le server-side tagging (GTM Server) cache les cookies Google derrière ton domaine : meilleure persistance ITP/Safari, mais ne dispense pas du consentement RGPD. La donnée reste personnelle, le cadre légal reste le même.
"On peut transférer les données hors UE ?"
GA4 transfère vers les serveurs Google US. Depuis juillet 2023, le EU-US Data Privacy Framework légalise ce transfert tant que Google reste certifié au DPF (ce qui est le cas). À mentionner dans la politique de confidentialité.
Le cas particulier : audit conformité d'un site client existant
Si tu reprends un client qui avait déjà GA4 sans CMP correcte :
- Audit rapide (15 min) : scan avec Cookiebot Compliance Test, identifier les cookies non conformes
- Plan de mise en conformité : choix de la CMP, refonte de l'ordre des balises, mise à jour politique confidentialité
- Mise en œuvre (1-2h) : installation CMP, configuration Consent Mode v2, tests
- Communication client : expliquer que les données vont chuter de 20-40 % pendant 1-2 mois, c'est normal
Tu peux facturer cette prestation 300-800€ selon la complexité : c'est une vraie valeur ajoutée qui justifie ton expertise.
L'avenir : GA4 va-t-il rester conforme ?
Deux scénarios à surveiller :
- Le DPF (transfert UE-US) peut être invalidé : comme l'a été Privacy Shield en 2020. Dans ce cas, GA4 deviendrait techniquement non transférable hors UE. Solutions de repli : Matomo (auto-hébergé), Plausible (servers EU), Piwik PRO.
- La CNIL durcit sa position : elle pourrait imposer le server-side tagging ou interdire le consent mode modeling. Peu probable à court terme, mais à surveiller.
Pour la majorité des freelances et agences, GA4 reste l'outil le plus robuste pour 2026-2027. Le surcoût de conformité (CMP + 30 min de setup) est dérisoire face à l'écosystème GA4 (Looker Studio, Google Ads, BigQuery export).
Pour aller plus loin
- Installer Google Analytics 4 : guide complet : la base technique, à compléter avec ce guide RGPD.
- Configurer les conversions GA4 : les événements de conversion doivent aussi respecter Consent Mode v2.
- Google Tag Manager + GA4 : GTM rend l'implémentation Consent Mode v2 beaucoup plus simple.
- Partager Google Analytics à un client sans accès : moins de personnes avec accès = moins de risque RGPD.
Côté reporting : NarratIQ est hébergé en Europe (Vercel Frankfurt + Upstash Irlande), zéro raw data GA4/Meta stockée en base, tokens chiffrés AES-256. Notre politique de confidentialité détaille chaque traitement. Essai gratuit 14 jours, 100 % conforme RGPD.