Un guide pratique de Google Analytics et consentement aux cookies

Ce guide explique Google Analytics et consentement aux cookies de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Google Analytics et le consentement aux cookies sont étroitement liés car GA4 utilise des cookies pour distinguer les utilisateurs et les sessions. La documentation sur les cookies GA4 de Google répertorie les cookies _ga et _ga_<container-id>, avec des périodes d'expiration par défaut utilisées pour la mesure des utilisateurs et des sessions.

Dans EU et au Royaume-Uni, cela signifie généralement que Google Analytics ne doit pas se charger tant que le visiteur n'a pas donné son consentement valide pour le stockage des analyses, à moins qu'une exemption nationale étroite ne s'applique et que la mise en œuvre soit admissible. La plupart des implémentations standard de GA4 ne le font pas.

Le consentement doit être obtenu avant le suivi

Une erreur courante consiste à afficher une bannière alors que Google Analytics a déjà été déclenché. Ce n’est pas un consentement. La page a déjà stocké ou accédé à des identifiants et envoyé des données.

La séquence correcte est :

1. La page se charge avec les analyses non essentielles désactivées.
2. Une bannière ou une interface utilisateur de préférence apparaît.
3. Le visiteur accepte les analyses.
4. GA4 charge ou reçoit des signaux de consentement mis à jour.
5. Les cookies et événements analytiques ne commencent qu'après consentement.

Si le visiteur refuse l'analyse, GA4 ne doit pas définir de cookies d'analyse. Si vous utilisez Google Consent Mode, configurez les valeurs par défaut comme refusées avant l'exécution de toute balise Google.

Comprendre Consent Mode

Google documente les types de consentement tels que analytics_storage, qui contrôle le stockage lié aux analyses, et les signaux liés à la publicité tels que ad_storage, ad_user_data et ad_personalization.

Consent Mode peut aider les balises à s'adapter aux choix de consentement, mais il ne remplace pas une interface de consentement légal. Cela ne rend pas non plus chaque flux de données anonyme ou sans consentement. Votre CMP, la configuration des balises, les paramètres régionaux et les informations fournies par le fournisseur sont toujours importants.

Erreurs de mise en œuvre à éviter

Chargement de GTM avant le consentement sans contrôles. Google Tag Manager peut être configuré avec soin, mais il peut également charger de nombreuses balises tierces avant le consentement si les déclencheurs sont erronés.

Traiter « poursuivre la navigation » comme un consentement. Les directives de consentement EDPB nécessitent un acte affirmatif clair. La navigation passive ne suffit pas.

Rendre le rejet plus difficile que l'acceptation. Les modèles sombres peuvent invalider le consentement et créer un risque d'application.

Oublier les produits liés. GA4 lié à Google Ads, aux signaux Google ou aux fonctionnalités de remarketing crée un profil de vie privée différent de celui des mesures de base.

Envoi de données personnelles lors d'événements. N'envoyez jamais d'e-mails, de noms, de numéros de téléphone, de IDs de compte ou de texte de formulaire à GA4.

Ignorer le retrait. Les utilisateurs doivent pouvoir modifier leurs choix et le suivi doit s'arrêter après le retrait.

Pourquoi le consentement crée des lacunes dans les données

Si le consentement est requis et que certains utilisateurs refusent, vos analyses seront incomplètes. Ce n'est pas un bug. C’est la conséquence juridique et éthique de demander.

Attendez-vous à des écarts en :

• région
• navigateur
• type d'appareil
• source de trafic
• préférence de vie privée du public
• utilisation du bloqueur de publicité

Ne « réparez » pas l'écart en déclenchant des balises avant le consentement. Au lieu de cela, interprétez les rapports comme des analyses d'utilisateurs consentants et utilisez des outils agrégés axés sur la vie privée lorsque vous avez besoin d'une vue plus complète du trafic de base.

Une configuration GA4 plus sûre

Si vous conservez GA4, configurez-le de manière conservatrice :

• consentement par défaut au refus dans les régions applicables
• désactiver les signaux Google là où ils ne sont pas nécessaires
• désactiver l'emplacement granulaire et la collecte d'appareils, le cas échéant
• éviter de remarketer les audiences à moins que le consentement ne les couvre explicitement
• nettoyer URLs et les paramètres d'événement
• définir délibérément la rétention
• documenter les conditions du fournisseur et le mécanisme de transfert
• tester les cookies avant et après consentement

Google indique que GA4 n'enregistre ni ne stocke les adresses IP et propose des contrôles de données axés sur EU, y compris le routage de la collection EU et les paramètres régionaux. Ces contrôles sont utiles, mais ils ne suppriment pas les obligations de consentement aux cookies lorsque les règles ePrivacy s'appliquent.

Quand utiliser plutôt l’analyse sans cookies

Pour de nombreuses équipes, GA4 est plus complexe que la question à laquelle elles doivent répondre. Si vous avez principalement besoin de pages vues, de référents, de campagnes, de pages principales et de conversions, un outil d'analyse sans cookies et axé sur la vie privée est plus simple.

Rechercher:

• pas de cookies par défaut
• pas de suivi inter-sites
• pas de partage de données sur le réseau publicitaire
• rapports agrégés
• nettoyage des chaînes de requête
• contrôles de rétention courts
• traitement transparent des données

Cela peut réduire le besoin de bannières de consentement analytique dans certaines juridictions et réduire la dépendance à l'égard des données d'adhésion, tout en respectant les visiteurs. La clé est la configuration réelle, pas l'étiquette sans cookie.

L'essentiel

Google Analytics peut être configuré avec plus de soin que de nombreuses installations par défaut, mais il reste un outil exigeant beaucoup de consentement dans une grande partie de l'Europe. Si vous l'utilisez, chargez-le uniquement après un consentement valide et gardez les charges utiles minimales.

Si vous n'avez pas besoin d'un suivi au niveau de l'utilisateur ou d'une intégration publicitaire, choisissez des analyses conçues pour ne pas en avoir besoin.

Liste de contrôle de l'assurance qualité du consentement

Enregistrez si la mesure améliorée, les signaux Google, la personnalisation des annonces, l'exportation User-ID, BigQuery, Consent Mode, la mesure inter-domaines et les paramètres spécifiques à la région sont activés. Testez ensuite le consentement comme une fonctionnalité, et non comme une conception de bannière. Dans un navigateur propre, chargez le site et rejetez les analyses. Confirmez qu'il n'y a pas de GA4, de balise Google, de balise d'analyse GTM, de pixel publicitaire ou de déclenchements de stockage associés avant ou après le rejet. Acceptez les analyses et confirmez uniquement le chargement des balises attendues. Modifiez le choix et confirmez l'état des mises à jour du site sans demander aux utilisateurs d'effacer les cookies. Le rapport du groupe de travail sur la bannière de cookies de EDPB est utile car de nombreux échecs sont des échecs d'interface et de mise en œuvre, et pas seulement des échecs de formulation juridique.

Testez ensuite les cas extrêmes : atterrir sur un lien profond, naviguer entre les pages, utiliser des formulaires intégrés, soumettre une conversion, changer de langue et revenir après l'expiration du consentement. Conservez les captures d'écran, les journaux réseau, les paramètres CMP et les configurations de balises comme preuve. Si GA4 est configuré via GTM, testez à la fois la plateforme de consentement et le conteneur. Si votre site n'a besoin que d'une mesure d'audience globale, comparez le coût opérationnel de ce processus d'assurance qualité avec une configuration d'analyse sans cookies qui évite en premier lieu les identifiants nécessitant beaucoup de consentement.