Retour à la vue d'ensemble
Google AnalyticsLPDTracking

Configurer Google Analytics 4 conformément à la LPD : étape par étape

Google Analytics 4 est l'outil d'analyse le plus utilisé sur les sites suisses — et il peut être exploité en conformité avec la loi, à condition que la configuration soit correcte. Six étapes, du consentement au Consent Mode V2 jusqu'à la déclaration de protection des données.

Aiara Team··9 min de lecture
Configurer Google Analytics 4 conformément à la LPD : étape par étape

«Avons-nous encore le droit d'utiliser Google Analytics ?» J'entends cette question presque chaque semaine de la part de PME et d'agences suisses — généralement accompagnée de souvenirs vagues de titres sur des interdictions en Autriche et en France. La réponse courte : oui, Google Analytics 4 (GA4) peut être exploité en Suisse en conformité avec le droit. La réponse longue : seulement si vous faites six choses correctement. C'est exactement ce que nous passons en revue ici.

Pourquoi Google Analytics 4 est délicat en matière de protection des données

GA4 transmet des données personnelles à Google LLC aux États-Unis — c'est là le cœur du problème, pas la mesure d'audience en soi. Les identifiants de cookies, les informations sur l'appareil et les données comportementales sont des données personnelles au sens de la loi fédérale sur la protection des données (LPD) comme du règlement général sur la protection des données (RGPD) européen, dès qu'elles peuvent être rattachées à une personne. Deux questions se posent donc : le tracking lui-même est-il licite — et peut-on envoyer les données aux États-Unis ?

Sur la première question, la LPD et le RGPD s'accordent sur le principe : la mesure d'audience est autorisée, mais pas sans conditions. Il faut de la transparence, un consentement valable et un contrat avec le prestataire — nous y revenons en détail dans les six étapes.

Sur la deuxième question, la situation s'est nettement détendue, et cela passe souvent inaperçu. Depuis le 15 septembre 2024, le Conseil fédéral reconnaît les États-Unis comme pays offrant un niveau de protection des données adéquat — mais uniquement pour les entreprises certifiées sous le Swiss–U.S. Data Privacy Framework. Google LLC est certifiée. Le transfert vers Google est donc licite sans que vous deviez mettre en place des garanties supplémentaires comme les clauses contractuelles types. Les fameuses décisions «Google Analytics est illégal» d'Autriche et de France datent de 2022 — de l'époque antérieure au framework, et elles concernaient l'ancienne version Universal Analytics. Qui les cite aujourd'hui contre GA4 argumente sur la base d'une situation juridique dépassée.

Ce n'est toutefois qu'une demi-levée d'alerte. Le framework ne règle que la question du transfert, rien d'autre. Le consentement, le contrat de sous-traitance, la minimisation des données et la transparence restent de votre responsabilité — et c'est précisément là que la plupart des installations échouent. Les six étapes suivantes couvrent tout. Pour approfondir les deux lois, consultez nos guides sur la LPD et le RGPD.

Étape 1 : obtenir le consentement avant le chargement de GA4

Le script GA4 ne doit se charger qu'après que la visiteuse a activement donné son accord dans la bannière de cookies — c'est la règle la plus importante de toutes. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) précise dans son guide sur les cookies que le tracking à des fins d'analyse qui établit des profils d'utilisation nécessite un consentement. Sous le RGPD, c'est encore plus net : pas de consentement, pas de cookie d'analyse.

En pratique, cela signifie que la bannière doit bloquer techniquement la balise GA4 jusqu'à ce que la catégorie «Statistiques» ait été acceptée. Une bannière qui se contente d'informer pendant que GA4 s'est déclenché depuis longtemps en arrière-plan ne vaut rien — et c'est exactement le schéma que je constate le plus souvent lors des audits. Vous pouvez le vérifier vous-même : ouvrez les outils de développement du navigateur, observez l'onglet réseau, rechargez la page. Si des requêtes vers des domaines Google Analytics apparaissent avant que vous ayez cliqué quoi que ce soit dans la bannière, le script se charge trop tôt.

La conception de la bannière elle-même compte aussi : «Refuser» doit être aussi simple que «Accepter», et les cases précochées invalident le consentement. Documentez en outre chaque décision — qui a consenti à quelle catégorie, et quand ? Sans ce journal, vous ne pourrez pas prouver un consentement valable en cas de litige. Un consentement propre est le fondement — toutes les étapes suivantes s'appuient dessus.

Étape 2 : câbler le Google Consent Mode V2

Le Consent Mode V2 traduit la décision de la bannière en quatre signaux que les services Google comprennent — et il est obligatoire dès que vous utilisez Google Ads en plus de GA4 avec des utilisateurs de l'Espace économique européen (EEE). Les signaux analytics_storage, ad_storage, ad_user_data et ad_personalization doivent être par défaut sur «denied» et ne passer sur «granted» qu'après le consentement.

Le fonctionnement détaillé de l'implémentation — mode Basic vs Advanced, configuration par défaut, erreurs typiques — est décrit dans notre guide dédié au Google Consent Mode V2. Pour la configuration de GA4, retenez ceci : votre bannière de cookies doit définir correctement les quatre signaux, sinon GA4 ne mesure rien du tout ou — pire — mesure sans consentement valable.

Étape 3 : limiter la conservation des données à 2 ou 14 mois

GA4 conserve les données d'événements au niveau utilisateur pour une durée limitée par défaut — dans les paramètres de la propriété, sous la conservation des données, vous choisissez entre 2 et 14 mois. C'est l'un des rares endroits où GA4 va d'emblée dans le sens du principe de minimisation des données : plus de 14 mois n'est tout simplement pas possible dans la version standard.

Quelle option choisir ? Du strict point de vue de la protection des données : 2 mois. Qui veut des comparaisons annuelles dans les analyses exploratoires a besoin de 14 mois — c'est également défendable, tant que la déclaration de protection des données mentionne la durée de manière transparente. À savoir : ce réglage ne concerne que les données détaillées d'événements et d'utilisateurs destinées à vos propres analyses. Les rapports standard agrégés — pages vues par mois, sources de trafic — sont conservés indépendamment, car ils ne contiennent plus de profils individuels.

Profitez-en pour contrôler le réglage qui réinitialise la durée de conservation à chaque nouvelle activité : s'il est actif, le délai repart à zéro à chaque visite. Pour une minimisation des données cohérente, il doit être désactivé.

Étape 4 : décider consciemment des signaux Google et des fonctionnalités publicitaires

Les signaux Google relèvent d'une décision active, pas d'un réglage par défaut — et pour la plupart des sites suisses, la bonne réponse est : les laisser désactivés. Si vous activez les signaux, Google relie les visites de votre site aux comptes Google des utilisateurs connectés. Cela permet des analyses multi-appareils, des rapports démographiques et des audiences de remarketing — mais cela signifie aussi que nettement plus de données partent chez Google à des fins publicitaires.

Qui active les signaux a besoin de trois choses : le consentement des utilisateurs à la publicité personnalisée (le signal ad_personalization dans le Consent Mode), une mention correspondante dans la déclaration de protection des données et un cas d'usage réel. C'est souvent là que le bât blesse — de nombreuses installations ont les fonctionnalités publicitaires activées sans avoir jamais lancé de campagne de remarketing. Vous collectez alors des données sans finalité, ce qui contredit le principe de proportionnalité de la LPD. La règle empirique : n'activez que ce que vous utilisez de manière démontrable.

Étape 5 : accepter les Data Processing Terms

Google traite les données Analytics pour votre compte — la loi exige un contrat pour cela, et vous le concluez directement dans les paramètres du compte. Google met à disposition les Data Processing Terms : le contrat de sous-traitance pour les produits publicitaires et d'analyse de Google. Vous trouverez l'acceptation dans les paramètres du compte de votre propriété GA4 ; c'est là aussi que vous saisissez les coordonnées de votre organisation.

Cela ressemble à une formalité, mais c'est une obligation : l'art. 9 LPD et l'art. 28 RGPD exigent une base contractuelle pour toute sous-traitance. Sans conditions acceptées, Google traite les données de vos visiteurs sans contrat — un défaut qui saute immédiatement aux yeux lors de tout contrôle de protection des données. Quand un contrat de sous-traitance est nécessaire en général et à quoi veiller lors de sa conclusion, c'est ce qu'explique notre article sur le contrat de sous-traitance.

Étape 6 : compléter la déclaration de protection des données

Votre déclaration de protection des données doit présenter intégralement l'utilisation de GA4 — qui mesure doit le dire. Concrètement, le paragraphe Analytics doit couvrir : la finalité (mesure d'audience et amélioration de l'offre), le fournisseur (Google LLC, respectivement Google Ireland Limited comme partenaire contractuel européen), le consentement comme base juridique, les cookies déposés avec leur durée de vie, la durée de conservation choisie, le transfert vers les États-Unis avec référence à la certification sous le Data Privacy Framework — et l'indication que le consentement peut être révoqué à tout moment via les paramètres des cookies.

Si vous avez activé les signaux Google, ajoutez le paragraphe sur la publicité personnalisée. Comment structurer une déclaration de protection des données complète et ce que la LPD exige par ailleurs, c'est ce que montre notre guide de la déclaration de protection des données.

Anonymisation des IP : déjà le standard dans GA4

Vous n'avez pas à configurer l'anonymisation des adresses IP dans GA4 — il n'existe tout simplement plus d'interrupteur pour cela. Qui a connu Universal Analytics se souvient de l'indicateur anonymizeIp, qu'il fallait définir à la main et qu'on oubliait volontiers. GA4 n'enregistre pas du tout les adresses IP : Google les utilise brièvement à la réception pour la géolocalisation au niveau de la ville ou de la région, puis les supprime. Un point de contrôle apprécié des anciennes checklists de protection des données — «anonymisation IP activée ?» — est ainsi devenu sans objet. Si un consultant vous reproche ce point comme un défaut de votre GA4, il travaille avec une checklist obsolète.

Cela suffit-il pour le RGPD ?

Dans une large mesure, oui — les six étapes couvrent aussi les exigences du RGPD, car les règles européennes sont plus strictes en matière d'analyse d'audience et ont servi de référence tout au long de ce guide. Consentement avant le chargement, possibilité de révocation, contrat de sous-traitance, transparence dans la déclaration de protection des données : ce sont exactement les points que les autorités de contrôle européennes examinent pour les outils d'analyse.

Deux particularités subsistent pour les entreprises suisses avec une clientèle européenne. Premièrement, le RGPD exige le consentement sans exception — la possibilité, discutée sous la LPD, de fonder certaines mesures sur un intérêt prépondérant ne tient pas face aux visiteurs de l'UE. Deuxièmement, les entreprises sans établissement dans l'UE qui suivent régulièrement des personnes dans l'UE peuvent avoir besoin d'un représentant dans l'UE selon l'art. 27 RGPD. Ce qui s'applique par ailleurs lorsque votre site vise le marché européen est résumé dans notre guide RGPD.

Intégrer GA4 en conformité avec Aiara

Avec Aiara, les étapes techniques de ce guide se règlent d'elles-mêmes. La bannière de cookies bloque automatiquement GA4 jusqu'à ce que le consentement soit donné, définit correctement les quatre signaux du Consent Mode V2 et journalise chaque décision de manière probante. Le générateur de textes juridiques crée le paragraphe Analytics adapté pour la déclaration de protection des données en quatre langues — y compris la référence au Data Privacy Framework. Il ne reste que les réglages de compte que Google ne délègue à personne : choisir la durée de conservation, accepter les Data Processing Terms, décider consciemment des signaux Google. Trois clics, une seule fois — et votre GA4 est configuré proprement.

Questions fréquentes

Google Analytics 4 est-il autorisé en Suisse ?

Oui — à condition que la configuration soit correcte. Il faut un consentement via la bannière de cookies avant le chargement du script, des signaux Consent Mode correctement configurés, l'acceptation des Data Processing Terms comme contrat de sous-traitance et un paragraphe dans la déclaration de protection des données. Le transfert vers les États-Unis est couvert depuis le 15 septembre 2024 par le Swiss–U.S. Data Privacy Framework, car Google LLC y est certifiée.

Ai-je besoin d'un consentement pour Google Analytics ?

Oui. GA4 dépose des cookies et établit des profils d'utilisation — selon le guide sur les cookies du PFPDT, et plus clairement encore selon le RGPD, cela exige un consentement actif. Le script ne doit se charger qu'après que la visiteuse a donné son accord dans la bannière. Une bannière qui déclenche GA4 dès l'ouverture de la page est l'erreur la plus fréquente en pratique.

Que signifie le Data Privacy Framework pour Google Analytics ?

Depuis le 15 septembre 2024, le Conseil fédéral reconnaît les États-Unis comme pays offrant un niveau de protection des données adéquat — mais uniquement pour les entreprises certifiées sous le Swiss–U.S. Data Privacy Framework. Google LLC est certifiée. Le transfert de données vers Google est donc licite sans garanties supplémentaires telles que les clauses contractuelles types. Le framework ne règle toutefois que la question du transfert — le consentement, le contrat et la transparence restent de votre responsabilité.

Dois-je activer l'anonymisation des adresses IP dans GA4 ?

Non — elle ne peut même pas être activée, car elle est le standard. Contrairement à Universal Analytics avec son indicateur anonymizeIp, GA4 n'enregistre pas les adresses IP. Google utilise l'adresse IP brièvement pour la géolocalisation au niveau de la ville ou de la région, puis la supprime. Cette étape de configuration n'existe donc plus.

Quelle durée de conservation des données choisir dans GA4 ?

Pour les données d'événements au niveau utilisateur, GA4 ne propose que deux options : 2 ou 14 mois. Du point de vue de la minimisation des données, 2 mois est le choix le plus propre. Qui a besoin de comparaisons annuelles dans les analyses exploratoires choisit 14 mois — c'est également défendable, à condition de l'indiquer de manière transparente dans la déclaration de protection des données. Les rapports standard agrégés ne sont pas concernés par ce réglage.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara