EN FR

Checklist RGPD analytics : 10 points à vérifier avant d'installer un outil de mesure d'audience

Checklist RGPD analytics : 10 points à vérifier avant d'installer un outil de mesure d'audience

Vous venez d’installer un outil de mesure d’audience sur votre site. Le script est en place, les premières données remontent, le tableau de bord s’anime. Tout semble en ordre.

Sauf que personne dans l’équipe n’a vérifié si cette installation respecte le cadre légal européen. Et ce n’est pas un détail : en 2025, la CNIL a prononcé 487 millions d’euros d’amendes, dont 21 sanctions portant spécifiquement sur les cookies et traceurs. C’est le premier poste de sanction, devant la sécurité des données et la vidéosurveillance.

Le problème n’est pas l’outil en lui-même. C’est la manière dont il est configuré, documenté et exploité. Un outil conforme “sur le papier” peut devenir non conforme en trois clics si les réglages par défaut ne sont pas revus.

Cette checklist propose dix points concrets pour vérifier la conformité RGPD de votre analytics, que vous utilisiez Google Analytics 4, Matomo, Plausible, ou tout autre outil. Elle s’adresse aux propriétaires de sites, aux responsables marketing et aux DPO qui veulent s’assurer que leur mesure d’audience ne les expose pas à un risque juridique évitable.

1. La finalité est-elle strictement limitée à la mesure d’audience ?

C’est le fondement de toute conformité analytics. L’article 5.1(b) du RGPD impose que les données personnelles soient collectées pour des finalités déterminées, explicites et légitimes.

Pour un outil de mesure d’audience, cela signifie que les données doivent servir exclusivement à comprendre comment les visiteurs utilisent le site : pages consultées, sources de trafic, temps de chargement, détection de problèmes de navigation. Rien d’autre.

En pratique, la dérive est courante. Beaucoup d’outils analytics permettent d’activer des fonctionnalités de remarketing, de ciblage publicitaire ou de croisement avec des bases CRM. Or, dès qu’une seule de ces fonctions est activée, vous sortez du périmètre de la mesure d’audience stricte. Vous perdez l’éligibilité à l’exemption de consentement et vous devez afficher un bandeau cookies complet.

Ce qu’il faut vérifier :

Documentez la finalité exacte dans votre registre de traitement (article 30 du RGPD). Si la finalité indique “mesure d’audience et optimisation marketing”, c’est trop large. La formulation doit se limiter à la production de statistiques anonymes pour le compte exclusif de l’éditeur.

Si vous utilisez votre outil analytics en complément d’un outil publicitaire (Meta Pixel, Google Ads), les deux traitements doivent être séparés dans votre registre, avec des bases légales distinctes.

2. La base légale est-elle correctement identifiée ?

Le RGPD prévoit six bases légales possibles pour traiter des données personnelles (article 6). Pour l’analytics, deux scénarios dominent.

Scénario A : exemption de consentement. Si votre outil est configuré pour respecter les critères de la CNIL (finalité stricte, pas de recoupement, données anonymisées), vous pouvez invoquer l’intérêt légitime (article 6.1.f) combiné à l’exemption prévue par l’article 82 de la loi Informatique et Libertés. Dans ce cas, pas de bandeau cookies pour l’analytics. C’est le scénario le plus favorable, détaillé dans notre guide sur l’exemption CNIL.

Scénario B : consentement. Si votre outil collecte des données à des fins plus larges que la mesure stricte (profilage, publicité, partage avec des tiers), le consentement de l’utilisateur est obligatoire avant tout dépôt de cookie. Ce consentement doit être libre, éclairé, spécifique et univoque, conformément à l’article 7 du RGPD. En pratique, cela impose un bandeau cookies conforme avec un bouton “Refuser” aussi visible que le bouton “Accepter”. La CNIL sanctionne régulièrement les mécanismes de consentement non conformes : en 2025, des amendes de 325 et 150 millions d’euros ont été prononcées pour des manquements liés aux cookies.

Ce qu’il faut vérifier :

Identifiez clairement dans quel scénario vous vous situez. Si vous hésitez, c’est probablement le scénario B. Et si vous revendiquez l’exemption, assurez-vous de pouvoir le démontrer par écrit : depuis janvier 2026, la CNIL ne publie plus de liste officielle d’outils “validés”. C’est désormais à chaque éditeur de prouver sa conformité, notamment via l’outil d’auto-évaluation mis à disposition par la CNIL.

3. Quels cookies et traceurs sont réellement déposés ?

Beaucoup de sites déclarent utiliser un analytics “sans cookies” alors que leur configuration dépose en réalité des traceurs côté navigateur. L’inverse existe aussi : un outil configuré correctement mais dont la CMP (Consent Management Platform) déclenche elle-même des scripts tiers non déclarés.

La seule manière de savoir ce qui se passe réellement est de vérifier par vous-même, dans le navigateur, quels cookies sont déposés lors de la visite.

Ce qu’il faut vérifier :

Ouvrez votre site en navigation privée. Accédez aux outils de développement (F12 dans Chrome ou Firefox), onglet “Application” puis “Cookies”. Notez chaque cookie déposé avant toute interaction avec un éventuel bandeau. Vérifiez aussi l’onglet “Réseau” pour identifier les requêtes envoyées vers des domaines tiers.

Si des cookies sont déposés avant consentement et qu’ils ne correspondent pas à un traceur strictement nécessaire au fonctionnement du site, c’est un manquement. Si votre outil analytics est censé fonctionner sans cookies mais que vous voyez un identifiant persistant dans le stockage local (localStorage, sessionStorage), cela peut constituer un traceur au sens de l’article 82 de la loi Informatique et Libertés.

Pour un audit plus complet, des outils comme Cookiebot Scanner ou le rapport de transparence de la CNIL permettent de scanner automatiquement les traceurs déposés par votre site.

4. La durée de vie des traceurs respecte-t-elle les limites CNIL ?

La CNIL est explicite : la durée de vie d’un traceur de mesure d’audience ne doit pas excéder 13 mois. Et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites.

Cette règle est l’une des plus fréquemment ignorées. Google Analytics 4, par exemple, renouvelle par défaut la durée de ses cookies à chaque visite. Ce comportement est incompatible avec l’exemption de consentement. Matomo propose une option similaire qu’il faut désactiver manuellement.

Ce qu’il faut vérifier :

Consultez la documentation de votre outil pour connaître la durée par défaut de ses cookies. Vérifiez que la configuration active ne prolonge pas les traceurs au-delà de 13 mois. Si votre outil le permet, configurez une durée inférieure (certains outils privacy-first utilisent des fenêtres de 24 heures ou de 30 jours, ce qui est conforme par nature).

Les outils qui fonctionnent sans cookies persistants, comme les solutions cookieless décrites dans notre comparatif, contournent cette contrainte puisqu’il n’y a pas de traceur à expirer.

5. Les données collectées sont-elles conservées dans les limites autorisées ?

La durée de vie du traceur (point 4) et la durée de conservation des données collectées sont deux sujets distincts. La CNIL recommande que les informations recueillies via les traceurs analytics soient conservées pour une durée maximale de 25 mois.

Au-delà, les données brutes (événements individuels, identifiants de session) doivent être supprimées ou irréversiblement agrégées. Les tendances et statistiques agrégées (nombre total de visites par mois, top pages) peuvent être conservées plus longtemps, car elles ne contiennent plus de données personnelles.

Ce qu’il faut vérifier :

Identifiez dans la configuration de votre outil la politique de rétention des données. Google Analytics 4 propose des durées configurables (2 mois ou 14 mois pour les données utilisateur). Matomo permet de configurer une suppression automatique des logs bruts. Si votre outil ne propose pas de purge automatique, mettez en place une procédure manuelle documentée.

La recommandation de la CNIL d’un réexamen périodique de ces durées signifie aussi que vous devez pouvoir justifier pourquoi vous conservez les données aussi longtemps. Si 6 mois suffisent pour vos besoins, ne configurez pas 25 mois “au cas où”. Le principe de minimisation s’applique aussi à la durée, pas seulement au volume.

6. Les données sont-elles hébergées dans l’Espace économique européen ?

C’est la question qui a provoqué un séisme en 2022, lorsque plusieurs autorités européennes (dont la CNIL) ont jugé que l’utilisation de Google Analytics entraînait des transferts de données vers les États-Unis incompatibles avec le RGPD, faute de garanties suffisantes après l’invalidation du Privacy Shield.

Depuis juillet 2023, le Data Privacy Framework (DPF) a rétabli un cadre de transfert entre l’UE et les États-Unis. Mais ce cadre fait l’objet de contestations (un recours devant la CJUE a été annoncé par NOYB dès son adoption), et rien ne garantit qu’il résistera dans la durée, comme ses deux prédécesseurs (Safe Harbor, Privacy Shield) ont été invalidés avant lui.

Ce qu’il faut vérifier :

Identifiez où sont physiquement hébergées les données collectées par votre outil analytics. Si le fournisseur est américain, vérifiez s’il est certifié sous le DPF et documentez cette vérification. Si vous souhaitez une sécurité maximale, privilégiez un hébergement exclusivement européen, ce qui rend la question des transferts sans objet.

La CNIL rappelle qu’en cas d’utilisation d’un outil impliquant des transferts, un serveur mandataire (proxy) peut constituer une mesure supplémentaire, à condition qu’il soit correctement configuré pour empêcher toute transmission de données identifiantes vers les serveurs du fournisseur.

Comme l’explique notre article sur les 5 KPIs essentiels, la question n’est pas seulement juridique : un hébergement européen réduit aussi la latence et améliore la performance de votre dashboard.

7. Le sous-traitant est-il encadré par un contrat conforme ?

L’article 28 du RGPD impose que tout traitement effectué par un sous-traitant pour le compte d’un responsable de traitement soit encadré par un contrat ou un acte juridique spécifique. C’est ce qu’on appelle couramment le DPA (Data Processing Agreement).

Pour l’analytics, le sous-traitant est votre fournisseur d’outil (Google, Matomo Cloud, Plausible, Fathom, etc.). Le DPA doit préciser les finalités du traitement, la nature des données traitées, les mesures de sécurité, les sous-traitants ultérieurs, et les obligations en cas de violation.

Ce qu’il faut vérifier :

Avez-vous signé (ou accepté en ligne) un DPA avec votre fournisseur analytics ? Si oui, lisez-le. Vérifiez en particulier trois points sensibles.

Le premier : le fournisseur s’engage-t-il à ne pas réutiliser les données pour son propre compte ? C’est un critère d’exclusion pour l’exemption de consentement. La CNIL cite explicitement les politiques de confidentialité de certaines grandes offres de mesure d’audience qui indiquent réutiliser les données pour leur propre compte.

Le deuxième : la liste des sous-traitants ultérieurs est-elle accessible et à jour ? Vous devez pouvoir savoir qui traite vos données en cascade.

Le troisième : les clauses de notification en cas de violation de données sont-elles conformes à l’article 33 du RGPD (notification sous 72 heures) ?

8. L’information aux utilisateurs est-elle complète et accessible ?

Même si vous bénéficiez de l’exemption de consentement, vous n’êtes pas dispensé d’informer vos visiteurs. La CNIL recommande que les utilisateurs soient informés de la mise en place de ces traceurs, par exemple via la politique de confidentialité du site.

L’article 13 du RGPD liste les informations obligatoires : identité du responsable de traitement, finalités, base légale, destinataires, durées de conservation, droits des personnes (accès, rectification, effacement, opposition). Pour l’analytics, il faut ajouter le nom de l’outil utilisé, la nature des données collectées (pages vues, durée de visite, type d’appareil, géolocalisation approximative, etc.) et les coordonnées du DPO si vous en avez un.

Ce qu’il faut vérifier :

Relisez votre page “Politique de confidentialité” ou “Mentions légales”. L’analytics y est-elle mentionnée ? Les informations sont-elles à jour (bon outil, bonnes finalités, bonnes durées) ? Si votre politique de confidentialité est un copier-coller générique qui mentionne Google Analytics alors que vous utilisez Matomo depuis deux ans, c’est un manquement à l’obligation d’information.

Un conseil pratique : ajoutez une section dédiée “Mesure d’audience” dans votre politique de confidentialité, avec le nom de l’outil, la base légale retenue, la durée des traceurs et la durée de conservation des données. C’est cette clarté qui distingue un site conforme d’un site qui se contente d’afficher un bandeau.

9. Le recoupement de données est-il exclu ?

C’est l’un des critères les plus stricts de la CNIL pour l’exemption de consentement : les données collectées par l’outil analytics ne doivent pas être recoupées avec d’autres traitements, ni transmises à des tiers.

Cela interdit concrètement plusieurs pratiques courantes : croiser les données analytics avec un CRM pour identifier des utilisateurs, partager des identifiants avec une plateforme publicitaire, utiliser un même cookie pour l’analytics et le retargeting, ou envoyer des données à un réseau social pour créer des audiences similaires (lookalike).

Cela interdit aussi le suivi inter-sites : un même identifiant ne peut pas être utilisé pour mesurer la navigation sur plusieurs domaines différents. Si vous gérez plusieurs sites, chaque propriété doit être isolée avec des traceurs indépendants.

Ce qu’il faut vérifier :

Passez en revue les intégrations actives dans votre outil analytics. Avez-vous activé le lien entre GA4 et Google Ads ? Entre GA4 et BigQuery avec des données CRM ? Ces connexions, même si elles ne sont pas activement exploitées, suffisent à disqualifier l’exemption.

Si vous utilisez des UTM ou des paramètres de campagne dans vos URL, vérifiez que ces informations restent dans le périmètre de l’analytics et ne sont pas partagées avec des outils tiers. Le principe est simple : ce qui entre dans l’analytics doit y rester.

Pour comprendre comment mesurer efficacement l’impact de vos campagnes sans recouper les données, consultez notre article sur le suivi SEO sans Google Analytics.

10. La configuration est-elle documentée et révisable ?

C’est le point que tout le monde oublie. La conformité RGPD n’est pas un état figé. C’est un processus continu qui doit être documenté, auditable et régulièrement réexaminé.

Depuis janvier 2026, le changement de posture de la CNIL est clair : elle ne valide plus d’outils. C’est à chaque éditeur, avec l’aide de son fournisseur si nécessaire, de démontrer que la configuration déployée est conforme. L’outil d’auto-évaluation publié par la CNIL en juillet 2025 est désormais le mécanisme central pour vérifier l’éligibilité à l’exemption.

Ce qu’il faut vérifier :

Tenez un document interne (même simple) qui décrit votre configuration analytics : outil utilisé, version, paramètres activés, finalités, base légale, durées, hébergement, sous-traitants. Datez-le. Mettez-le à jour à chaque modification. Si un jour la CNIL vous pose la question, ou si un utilisateur exerce son droit d’accès, vous devez pouvoir répondre en quelques minutes.

Planifiez un audit annuel de votre configuration analytics. Vérifiez que les réglages n’ont pas changé après une mise à jour de l’outil, que les intégrations tierces n’ont pas été activées par un collaborateur, et que vos durées de conservation sont toujours respectées.

Enfin, si vous faites appel à un prestataire pour gérer votre analytics, assurez-vous que la responsabilité de la conformité est clairement attribuée dans votre contrat. Le responsable de traitement, c’est vous, pas votre agence.

En résumé : la grille de vérification rapide

Voici les 10 points condensés. Si vous pouvez répondre “oui” à chaque question, votre configuration analytics est solide. Chaque “non” ou “je ne sais pas” identifie un risque à traiter.

  1. La finalité est-elle strictement limitée à la mesure d’audience ?
  2. La base légale est-elle identifiée et documentée ?
  3. Savez-vous exactement quels cookies et traceurs sont déposés ?
  4. La durée de vie des traceurs respecte-t-elle la limite de 13 mois ?
  5. Les données sont-elles conservées 25 mois maximum (brutes) ?
  6. Les données sont-elles hébergées dans l’EEE ou le transfert est-il encadré ?
  7. Un DPA est-il signé avec votre fournisseur, sans réutilisation des données ?
  8. Votre politique de confidentialité mentionne-t-elle l’analytics ?
  9. Aucun recoupement n’est effectué avec d’autres traitements ?
  10. La configuration est-elle documentée et auditée régulièrement ?

Deux erreurs fréquentes à éviter

“Mon outil est conforme, donc mon site est conforme.” Non. Un outil peut être conforme dans une certaine configuration, et non conforme dans une autre. La conformité dépend de vos réglages, pas du logo sur la boîte. Matomo peut être conforme ou non selon sa configuration. Google Analytics peut être utilisé avec des mesures supplémentaires (proxy, paramétrage restrictif) ou déclenché uniquement après consentement. C’est la configuration qui compte. Comme le rappelle notre analyse de la data obésité, le réflexe de “tout collecter par défaut” est précisément ce que le RGPD combat.

“Je suis trop petit pour être contrôlé.” La procédure simplifiée de la CNIL, opérationnelle depuis 2022, permet de traiter rapidement les dossiers de faible complexité, y compris contre de très petites structures. Les amendes sont plafonnées à 20 000 euros dans ce cadre, mais elles existent : en 2025, la CNIL a prononcé 67 décisions via cette procédure. Le risque n’est pas proportionnel à votre taille. Il est proportionnel à votre visibilité et au nombre de plaintes reçues.

Conclusion : la conformité comme avantage, pas comme corvée

Vérifier ces dix points prend quelques heures, pas quelques semaines. Et le bénéfice dépasse la simple conformité juridique.

Un site dont l’analytics est proprement configurée inspire davantage confiance. Les données collectées sont plus fiables, car elles ne sont pas polluées par des scripts inutiles ou des traceurs fantômes. La charge technique est allégée. Et si vous parvenez à remplir les conditions de l’exemption, vous supprimez le bandeau cookies pour l’analytics, ce qui améliore directement l’expérience utilisateur et la complétude de vos données, comme l’explique notre guide sur l’exemption de consentement.

La conformité n’est pas un frein à la mesure. C’est le socle sur lequel s’appuie une mesure d’audience digne de confiance.

FAQ

Mon site personnel ou mon blog a-t-il besoin de cette checklist ?

Oui, dès lors que vous collectez des données de navigation via un outil analytics, même gratuit, même auto-hébergé. Le RGPD s’applique à toute personne qui traite des données personnelles de résidents européens, quelle que soit la taille de la structure. Cela dit, si votre outil ne dépose aucun cookie, ne collecte aucune adresse IP et ne permet aucune identification (même indirecte), le risque est mécaniquement très faible.

Google Analytics 4 peut-il être conforme au RGPD ?

Techniquement, il est possible de configurer GA4 de manière à réduire significativement les risques : anonymisation IP, désactivation des signaux Google, pas de lien avec Google Ads, consentement recueilli avant activation du script. En revanche, GA4 n’est pas éligible à l’exemption de consentement dans sa configuration standard, car Google indique réutiliser les données pour ses propres services. Vous devrez donc afficher un bandeau et n’obtiendrez des données que pour les visiteurs qui acceptent.

Quelle est la différence entre anonymisation et pseudonymisation ?

La pseudonymisation remplace un identifiant direct (nom, email) par un identifiant indirect (hash, token). Les données restent des données personnelles car la réidentification est théoriquement possible. L’anonymisation, elle, rend la réidentification impossible de manière irréversible, y compris par recoupement. Seules les données véritablement anonymisées sortent du champ du RGPD. La distinction est cruciale pour l’analytics : des données pseudonymisées restent soumises au RGPD et doivent respecter les durées de conservation.

Comment savoir si mon outil est éligible à l’exemption de consentement CNIL ?

Depuis janvier 2026, la CNIL ne publie plus de liste d’outils validés. Le fournisseur de votre solution peut réaliser une auto-évaluation à l’aide du cadre publié par la CNIL en juillet 2025, et vous remettre un document attestant du respect des conditions. C’est ensuite à vous, en tant qu’éditeur, de vérifier que votre configuration réelle correspond bien à cette évaluation. En cas de doute, la prudence recommande de recueillir le consentement.

À quelle fréquence dois-je réauditer ma configuration analytics ?

Au minimum une fois par an, ou à chaque changement significatif : mise à jour de l’outil, ajout d’une intégration tierce, changement de prestataire, modification de la finalité. La CNIL recommande un réexamen périodique des durées de conservation, ce qui implique au minimum une revue annuelle documentée.

Sources

Articles similaires

487 M€ d'amendes CNIL en 2025 : que risquez-vous vraiment avec votre analytics ?

487 M€ d'amendes CNIL en 2025 : que risquez-vous vraiment avec votre analytics ?

Session Replay (Hotjar, Clarity) : la CNIL ouvre la boîte de Pandore

Session Replay (Hotjar, Clarity) : la CNIL ouvre la boîte de Pandore