Google Analytics est-il légal en Europe ? Ce que dit la CNIL
Mises en demeure de la CNIL, arrêt Schrems II, Data Privacy Framework : l'état réel de la légalité de Google Analytics en Europe, expliqué simplement.
Sommaire
C’est une question que se posent de plus en plus d’équipes, et à laquelle on répond souvent trop vite, dans un sens comme dans l’autre. « Google Analytics est-il interdit en Europe ? » Non, pas frontalement. « Est-il conforme au RGPD ? » Pas non plus, en tout cas pas sans précautions lourdes et un contexte juridique qui n’a rien de stable. La vérité tient dans cet entre-deux inconfortable, et c’est précisément ce flou qui pousse tant de responsables de sites à chercher une alternative. Voici l’état réel de la situation, sans dramatisation ni minimisation.
Le point de départ : l’arrêt Schrems II
Tout remonte à juillet 2020. La Cour de justice de l’Union européenne rend l’arrêt dit Schrems II, qui invalide le Privacy Shield — l’accord qui encadrait jusque-là les transferts de données personnelles entre l’Union européenne et les États-Unis. La Cour estime que les programmes de surveillance américains ne garantissent pas aux Européens un niveau de protection équivalent à celui du RGPD. Du jour au lendemain, une grande partie des outils qui envoient des données vers des serveurs soumis au droit américain se retrouve sur un terrain juridique fragile.
Google Analytics est directement concerné, car dans son fonctionnement, une partie des données collectées sur les visiteurs européens est susceptible d’être transférée et traitée aux États-Unis. Le problème n’est pas la qualité de l’outil, mais la trajectoire des données.
Les mises en demeure de la CNIL en 2022
En France, la question cesse d’être théorique en février 2022. Saisie de plaintes, la CNIL met en demeure plusieurs gestionnaires de sites web français. Son analyse est nette : dans les conditions de l’époque, l’usage de Google Analytics n’était pas conforme au RGPD, précisément à cause de ces transferts vers les États-Unis. La CNIL considère alors que les mesures contractuelles et techniques mises en avant par Google ne suffisaient pas à écarter tout risque d’accès aux données par les autorités américaines.
La France n’est pas isolée. Les autorités autrichienne et italienne rendent des décisions convergentes sur la même période. Le message porté par ces autorités est cohérent : ce n’est pas un défaut de paramétrage marginal que l’on corrige en cochant une case, mais un problème lié à l’architecture même de la collecte et à la destination des données.
Le Data Privacy Framework : une accalmie, pas une garantie
En juillet 2023, la Commission européenne adopte une nouvelle décision d’adéquation, le Data Privacy Framework (DPF), qui remplace le Privacy Shield invalidé. Pour les entreprises américaines qui s’y certifient, les transferts redeviennent en principe possibles sur une base juridique reconnue. C’est une réelle accalmie, et il serait malhonnête de la passer sous silence : la situation de 2024-2025 n’est pas celle de 2022.
Mais deux réserves majeures demeurent. D’une part, le DPF repose sur les mêmes fondations que le Privacy Shield — l’appréciation de la surveillance américaine — et fait déjà l’objet de contestations devant les juridictions européennes ; un « Schrems III » qui l’invaliderait n’aurait rien d’improbable, et personne ne peut le garantir stable à long terme. D’autre part, le DPF ne dispense pas des autres obligations du RGPD : information des personnes, base légale, et surtout consentement pour les traceurs qui ne sont pas strictement nécessaires. Autrement dit, même sous DPF, Google Analytics reste un traceur soumis à consentement en France.
Ce que cela implique concrètement pour votre site
Si vous utilisez Google Analytics aujourd’hui en Europe, vous n’êtes pas hors la loi par principe, mais vous portez une charge de conformité réelle et une incertitude durable. Concrètement, cela signifie une bannière de consentement obligatoire pour déposer les cookies de mesure, une information claire des visiteurs sur les transferts, une documentation à tenir, et une dépendance à un cadre juridique — le DPF — dont la pérennité échappe à votre contrôle. Vous héritez du risque sans en maîtriser la source.
Ce n’est pas rien, et c’est ce calcul qui pousse beaucoup d’équipes à changer d’approche : plutôt que de chercher indéfiniment à rendre acceptable un outil de profilage, elles adoptent une mesure qui ne pose pas le problème.
La sortie par le haut : ne pas collecter le problème
Il existe une manière radicale de clore le débat juridique : ne pas collecter les données qui le déclenchent. Un outil de mesure d’audience conçu sans cookie de pistage, sans profil publicitaire et hébergé en Union européenne ne transfère pas de données personnelles vers les États-Unis — la question Schrems II ne se pose tout simplement pas. Et en ne déposant aucun traceur soumis à consentement, il sort du champ qui impose une bannière.
C’est le parti pris de Takt : mesurer l’audience d’un site sans jamais pister la personne qui le visite, avec des données hébergées en Europe. La conformité n’est plus une couche que l’on ajoute après coup pour rattraper un outil problématique — elle découle de la conception. Vous mesurez vos visites, vos pages, vos sources de trafic, sans bannière, sans transfert transatlantique, et sans dépendre de la solidité juridique du prochain accord d’adéquation.
En résumé
Google Analytics n’est pas « interdit » en Europe, mais son usage repose sur un équilibre fragile : une conformité invalidée en 2022 par la CNIL, restaurée en partie par le Data Privacy Framework de 2023, et suspendue à la résistance de ce cadre devant les tribunaux. Même dans le meilleur des cas, il reste un traceur soumis à consentement, avec la bannière et la charge documentaire qui l’accompagnent. Pour beaucoup de sites, la réponse la plus sereine n’est pas de sécuriser Google Analytics, mais de choisir une mesure qui ne collecte jamais les données à l’origine du problème.
À lire ensuite
Où vivent vos données d'audience
Souveraineté des données, transferts internationaux, hébergement européen : ce que le RGPD attend vraiment, et pourquoi ne pas collecter de données personnelles reste la meilleure protection.
15 juin 2026· 6 min de lecture
ConformitéAnalytics conforme RGPD sans bannière de consentement
Pourquoi un outil d'analyse se passe de bannière cookies : l'exemption des cookies strictement nécessaires et les lignes directrices de la CNIL, simplement.
10 juin 2026· 5 min de lecture
ConformitéPlausible vs Fathom vs Simple Analytics vs Takt : quel analytics privacy choisir ?
Comparatif honnête des quatre alternatives privacy-friendly à Google Analytics : hébergement UE, bannière cookie, conformité RGPD, GPC, prix et écosystème d'intégration.
11 juillet 2026· 9 min de lecture
Restez au rythme
Un e-mail occasionnel sur la confidentialité, la conformité et les nouveautés Takt. Pas de pistage, pas de spam.
Votre e-mail sert uniquement à l'envoi de la newsletter, jamais revendu.