Tracking GA4 et RGPD en Belgique : configurer un analytics respectueux de la vie privée

Depuis que l'Autorité de Protection des Données belge (APD) a publié ses premières positions sur Google Analytics, des milliers de sites belges se trouvent dans une zone grise juridique dangereuse. En 2022, l'APD s'est alignée sur la décision de la CNIL française et sur les recommandations du Comité européen de la protection des données (CEPD) : le transfert de données vers les serveurs américains de Google constitue, en l'absence de garanties supplémentaires, une violation du Règlement Général sur la Protection des Données. Avec l'avènement de GA4 et les nouvelles exigences du Consent Mode v2 en 2024, le paysage s'est complexifié — mais des solutions conformes existent. Ce guide pratique vous explique comment les mettre en œuvre.

La position de l'APD belge sur Google Analytics 4

L'Autorité de Protection des Données belge s'inscrit dans un mouvement européen coordonné. Dès janvier 2022, la CNIL française a conclu que l'utilisation de Google Analytics constituait un transfert illicite de données personnelles vers les États-Unis, au sens de l'article 46 du RGPD. L'APD belge, tout comme ses homologues autrichien, danois et néerlandais, a adopté une position similaire. Le raisonnement juridique repose sur l'arrêt Schrems II de la Cour de Justice de l'Union Européenne (juillet 2020) : les entreprises américaines soumises au FISA 702 (Foreign Intelligence Surveillance Act) peuvent être contraintes de communiquer des données à la NSA, ce qui rend toute garantie contractuelle insuffisante.

Pourquoi GA4 en configuration standard pose problème

Google Analytics 4 a introduit de nombreuses améliorations par rapport à Universal Analytics : modélisation prédictive, attribution cross-canal, intégration BigQuery native. Mais sa configuration par défaut reste problématique sous plusieurs angles réglementaires.

• Transferts hors UE non couverts : les données sont envoyées vers des serveurs Google aux États-Unis, sans mécanisme de transfert adéquat post-Schrems II.
• Cookie _ga persistant 2 ans : la durée de rétention par défaut du cookie d'identification est excessive au regard du principe de minimisation.
• Rétention des données sur 14 mois par défaut : GA4 conserve les données utilisateurs brutes pendant 14 mois, alors que la durée minimale (2 mois) est rarement activée.
• Signaux Google activés par défaut : la fonctionnalité 'Signaux Google' permet à Google de recouper vos données analytiques avec les profils publicitaires Google — une collecte secondaire non consensuelle.
• User-ID tracking cross-sites : sans configuration spécifique, GA4 peut croiser les données entre différentes propriétés Google appartenant au même compte.
• Absence de consentement granulaire : un simple bandeau de cookies 'Accepter/Refuser' ne suffit plus — le Consent Mode v2 exige une granularité par finalité.

Le Consent Mode v2 de Google : ce que la Belgique exige

Depuis mars 2024, Google a rendu le Consent Mode v2 obligatoire pour les annonceurs utilisant Google Ads et les plateformes DV360 qui souhaitent bénéficier de la modélisation des conversions et du remarketing. En Belgique, la conformité au TCF 2.2 (Transparency and Consent Framework de l'IAB) est désormais le standard de référence recommandé par l'APD pour les sites utilisant de la publicité comportementale.

Les deux modes du Consent Mode v2

1. 1Mode basique (Basic Mode) : aucune balise Google ne se déclenche avant l'obtention du consentement. C'est la configuration la plus respectueuse de la vie privée, mais elle empêche toute modélisation des conversions sans consentement.
2. 2Mode avancé (Advanced Mode) : les balises Google se déclenchent immédiatement, mais en mode 'sans cookie' si le consentement n'a pas été donné. Google peut alors utiliser des signaux de comportement anonymisés pour la modélisation. Ce mode est techniquement plus performant mais soulève des questions sur la légalité du traitement pré-consentement.

Implémentation du Consent Mode v2 avec GTM

Google Tag Manager (GTM) reste l'outil de référence pour déployer le Consent Mode v2. Voici la procédure technique recommandée pour un site belge souhaitant rester conforme.

Étape 1 : choisir une CMP certifiée IAB TCF 2.2

Une Consent Management Platform (CMP) certifiée TCF 2.2 est indispensable. Parmi les solutions compatibles avec le marché belge et maîtrisant le français, le néerlandais et l'anglais : Didomi, Axeptio, Cookiebot (Usercentrics), OneTrust ou Klaro (open source). Vérifiez que votre CMP est enregistrée dans la liste officielle des CMP IAB TCF et qu'elle prend en charge le Consent Mode v2 nativement.

Étape 2 : configurer l'initialisation du Consent Mode dans GTM

Avant tout autre tag, un tag de 'Consent Initialization' doit définir les états par défaut de chaque type de consentement. Les paramètres à configurer sont : analytics_storage, ad_storage, ad_user_data, ad_personalization et functionality_storage. Par défaut, tous doivent être définis sur 'denied' pour respecter le principe d'opt-in actif requis en Europe.

Étape 3 : déclencher la mise à jour du consentement

Lorsque l'utilisateur interagit avec le bandeau de cookies, la CMP envoie un signal au Consent Mode via l'API gtag('consent', 'update', {...}). Ce signal doit être capturé dans GTM via un déclencheur basé sur un événement DataLayer personnalisé, et transmis à toutes les balises Google concernées.

Le server-side tagging GTM : la solution technique la plus robuste

Le server-side tagging (SST) avec GTM Server-Side représente l'évolution la plus significative en matière de conformité RGPD et de performance analytique. Le principe : au lieu d'envoyer les données directement depuis le navigateur de l'utilisateur vers Google, vous passez par un serveur intermédiaire que vous contrôlez — généralement hébergé sur Google Cloud, AWS ou Azure dans une région européenne.

• Contrôle total sur les données transmises : vous choisissez quels champs envoyer à Google, vous pouvez anonymiser ou supprimer les données sensibles avant transmission.
• Première partie pour les cookies : les cookies analytiques sont déposés par votre domaine (sous-domaine analytics.votresite.be) et non par doubleclick.net ou google-analytics.com, ce qui les rend moins vulnérables aux bloqueurs de publicité.
• Serveur en Europe : en hébergeant votre conteneur GTM Server-Side dans une région européenne (ex. europe-west1 sur Google Cloud), vous réduisez les transferts hors UE.
• Durée de vie des cookies étendue : en first-party, les cookies peuvent avoir une durée de vie configurable par vous, non limitée par les restrictions ITP/ETP des navigateurs.
• Filtrage des bots et du trafic interne : le serveur peut filtrer les requêtes indésirables avant qu'elles n'atteignent GA4.

Coût et complexité du SST

Le server-side tagging nécessite le déploiement et la maintenance d'une infrastructure serveur. Sur Google Cloud Run (recommandé par Google), le coût pour un site moyen tourne autour de 30 à 80 € par mois. La mise en place initiale requiert des compétences techniques avancées : configuration du conteneur serveur, paramétrage des clients (GA4 client), des tags de transformation et des règles de routage. C'est un investissement justifié pour les sites avec plus de 50 000 sessions mensuelles ou traitant des données sensibles.

Durcissement de la configuration GA4 : checklist de conformité

Même sans passer au SST immédiatement, une série de paramétrages dans l'interface GA4 permet de réduire significativement les risques de non-conformité.

1. 1Activer l'anonymisation IP : dans Admin > Flux de données > Paramètres avancés, vérifier que l'anonymisation est activée. En GA4, elle l'est normalement par défaut, mais vérifiez.
2. 2Réduire la rétention des données à 2 mois : Admin > Paramètres de la propriété > Collecte et modification des données > Rétention des données. Passez de 14 mois à 2 mois si vous n'avez pas besoin de rapports d'exploration historiques étendus.
3. 3Désactiver les Signaux Google : Admin > Collecte et modification des données > Collecte des données. Désactivez 'Signaux Google' pour éviter le recoupement avec les profils publicitaires.
4. 4Désactiver le partage de données avec Google : Admin > Paramètres de la propriété > Collecte et modification des données > Options de partage des données. Décochez 'Produits et services Google', 'Analyses comparatives' et 'Assistance technique'.
5. 5Désactiver le tracking cross-domaines si non nécessaire : Admin > Configuration > Domaines configurés. Ne renseignez que vos propres domaines.
6. 6Exclure le trafic interne : créez des filtres pour exclure les adresses IP de votre bureau et de vos prestataires.
7. 7Supprimer les données utilisateurs sur demande : familiarisez-vous avec la procédure de suppression utilisateur dans Admin > Collecte et modification des données > Suppression des utilisateurs.

Mesure cookieless : les stratégies complémentaires

Le refus de consentement des utilisateurs, combiné aux bloqueurs de publicité et aux navigateurs anti-tracking, crée un angle mort analytique croissant. En Belgique, les études sectorielles indiquent que 40 à 60 % des utilisateurs refusent les cookies analytiques sur les sites qui présentent une demande de consentement conforme. La mesure cookieless permet de récupérer une partie de cette donnée perdue, sans déposer de cookies ni identifier les individus.

Techniques de mesure cookieless

• Modélisation des conversions (GA4 Consent Mode) : Google utilise des signaux anonymisés et des modèles statistiques pour estimer les conversions manquées. Fiable pour les volumes importants, moins précis pour les petits sites.
• Server-side analytics sans cookies : collecter des métriques d'audience côté serveur (logs Apache/Nginx, données CDN) sans dépendre du JavaScript client.
• Fingerprinting léger (attention) : certaines solutions utilisent des caractéristiques du navigateur pour identifier des sessions sans cookie. L'APD considère cette technique comme relevant du même régime juridique que les cookies — évitez-la sans consentement explicite.
• UTM tracking et attribution par premier clic : une attribution basée sur les paramètres UTM dans les URLs ne requiert pas de cookies persistants et reste valide sous RGPD.
• Enquêtes post-achat (survey analytics) : demander aux utilisateurs comment ils ont découvert votre site fournit une attribution déclarative précieuse et totalement légale.

Alternatives à GA4 : Matomo, Plausible, Fathom

Pour les organisations qui souhaitent se passer de Google Analytics, plusieurs alternatives offrent différents compromis entre fonctionnalités, confidentialité et facilité d'implémentation.

Matomo : la puissance avec contrôle total

Matomo (anciennement Piwik) est la solution open source la plus complète. Hébergée sur vos propres serveurs ou dans un datacenter européen, elle offre un contrôle total sur les données. Matomo propose un mode cookieless natif qui, selon la CNIL française, peut être exempté de consentement (à vérifier avec l'APD pour la Belgique). Elle supporte le tag management, les entonnoirs de conversion, les cartes de chaleur et les enregistrements de sessions — une alternative sérieuse à GA4 pour les équipes techniques.

Plausible : la simplicité radicale

Plausible Analytics est une solution SaaS légère, sans cookies, hébergée en Europe (Allemagne via Hetzner). Son script de tracking pèse moins de 1 Ko (contre 45 Ko pour gtag.js). Elle ne collecte aucune donnée personnelle, ne suit pas les individus entre sessions, et ne nécessite donc aucun bandeau de cookies pour son propre fonctionnement. Idéale pour les sites contenu, les blogs, les cabinets professionnels qui n'ont pas besoin de segmentation avancée. Tarif : à partir de 9 €/mois.

Fathom : la confidentialité comme argument commercial

Fathom Analytics positionne la conformité RGPD au cœur de son offre marketing. Comme Plausible, Fathom est sans cookie et hébergé hors US (Canada, avec garanties contractuelles pour les données européennes). La solution est particulièrement appréciée des agences qui gèrent plusieurs clients, grâce à son interface multi-sites claire et ses rapports partageables.

Conformité du bandeau de cookies : IAB TCF v2.2 et exigences APD

Un bandeau de cookies conforme au droit belge doit respecter plusieurs exigences cumulatives, issues du RGPD, de la directive ePrivacy et des lignes directrices de l'APD.

• Équilibre des options : le bouton 'Accepter tout' et le bouton 'Refuser tout' doivent être présentés avec la même proéminence visuelle. Un bouton 'Tout refuser' caché dans les paramètres n'est pas conforme.
• Consentement granulaire par finalité : l'utilisateur doit pouvoir accepter les cookies analytiques tout en refusant les cookies publicitaires, et inversement.
• Pas de dark patterns : les cases pré-cochées, le langage manipulateur ('Continuer sans accepter' en petit), les délais de fermeture artificiels sont expressément prohibés.
• Retrait du consentement aussi facile que son octroi : un lien 'Modifier mes préférences' accessible depuis chaque page est obligatoire.
• Pas de mur de cookies (cookie wall) : conditionner l'accès au contenu à l'acceptation des cookies est illégal selon l'APD belge.
• IAB TCF v2.2 pour la publicité programmatique : si votre site utilise des partenaires publicitaires, la CMP doit être enregistrée dans le registre IAB et afficher la liste complète des partenaires.
• Journalisation des consentements : votre CMP doit conserver une preuve horodatée du consentement pour chaque utilisateur, pour démontrer la conformité en cas de contrôle APD.

Guide d'implémentation étape par étape pour un site belge

Voici une feuille de route pragmatique pour passer d'une configuration GA4 standard à une setup conforme au RGPD belge, en 6 semaines.

1. 1Semaine 1 — Audit de l'existant : inventariez tous les cookies et traceurs présents sur votre site avec un outil comme Cookiebot Scanner ou le module Cookies de Chrome DevTools. Catégorisez-les par finalité et par éditeur.
2. 2Semaine 2 — Sélection et déploiement de la CMP : choisissez une CMP certifiée TCF 2.2, paramétrez-la en français/néerlandais, configurez le Consent Mode v2 basique dans GTM et vérifiez l'intégration avec vos tags GA4 et Google Ads.
3. 3Semaine 3 — Durcissement GA4 : appliquez toute la checklist de configuration GA4 mentionnée ci-dessus. Désactivez les Signaux Google, réduisez la rétention, désactivez le partage de données.
4. 4Semaine 4 — Mise en place du tracking cookieless complémentaire : installez Plausible ou Matomo en parallèle de GA4 pour couvrir les utilisateurs qui refusent les cookies. Paramétrez la modélisation des conversions dans GA4.
5. 5Semaine 5 — Tests et validation : validez le fonctionnement du bandeau sur tous les navigateurs et appareils. Vérifiez que les tags ne se déclenchent pas avant consentement avec Tag Assistant et le mode debug GTM. Testez le parcours de retrait du consentement.
6. 6Semaine 6 — Documentation et formation : rédigez ou mettez à jour votre Politique de Confidentialité et votre Politique de Cookies. Documentez les flux de données dans votre registre de traitements (obligation RGPD article 30). Formez les équipes marketing aux nouvelles données et à leurs limites.

FAQ : GA4, RGPD et conformité en Belgique

L'APD belge a-t-elle déjà sanctionné des entreprises pour utilisation non conforme de GA4 ?

À ce jour (mai 2026), l'APD belge n'a pas encore prononcé de sanction formelle spécifiquement liée à GA4, contrairement à l'autorité autrichienne (DSB) ou à la CNIL française. Cependant, l'APD a publié des lignes directrices claires et a traité des plaintes similaires. Le risque de sanction existe et augmente à mesure que la réglementation se précise. Les sanctions RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.

Le Data Privacy Framework UE-États-Unis résout-il le problème des transferts vers Google ?

Google LLC est bien certifié sous le Data Privacy Framework (DPF), entré en vigueur en juillet 2023. Ce cadre est censé rétablir un mécanisme de transfert adéquat entre l'UE et les États-Unis. Cependant, plusieurs recours juridiques sont en cours devant la CJUE (notamment portés par Max Schrems et noyb.eu), et la robustesse à long terme du DPF reste incertaine. Nous recommandons de ne pas miser exclusivement sur le DPF comme seule justification juridique, et de compléter avec des mesures techniques complémentaires (SST, anonymisation).

Mon site est un blog personnel avec peu de trafic. Dois-je quand même me conformer ?

Le RGPD s'applique dès lors que vous traitez des données personnelles de résidents de l'UE, sans seuil de trafic minimum. Pour un petit site, la solution la plus simple et la moins coûteuse est d'adopter Plausible ou Fathom : sans cookies, sans consentement requis, conformes par conception. Vous évitez ainsi toute la complexité juridique et technique liée à GA4.

Comment mesurer le ROI de mes campagnes Google Ads si les utilisateurs refusent les cookies ?

C'est le défi central du marketing à l'ère post-cookie. Plusieurs approches complémentaires : (1) activez le Consent Mode v2 Advanced pour bénéficier de la modélisation des conversions de Google, (2) utilisez les conversions améliorées (Enhanced Conversions) qui hashent les données CRM côté serveur, (3) investissez dans le Media Mix Modeling (MMM) pour une attribution statistique globale, (4) utilisez les enquêtes post-achat pour une attribution déclarative. Aucune solution n'est parfaite, mais leur combinaison permet de maintenir des décisions d'investissement éclairées.