Google Analytics RGPD Belgique : GA4 est-il légal ?
Steven | TrustYourWebsite · 12 juin 2026 · Dernière mise à jour : juin 2026
Google Analytics 4 est l'outil de mesure d'audience le plus déployé sur les sites web belges. C'est aussi l'une des sources de violations du RGPD et de la directive ePrivacy les plus souvent citées dans les actions de contrôle des cookies à travers l'UE. Pour un entrepreneur belge, la question en 2026 n'est pas de savoir si GA4 est théoriquement utilisable, mais si votre configuration concrète respecte les règles appliquées par l'Autorité de protection des données (APD), appelée Gegevensbeschermingsautoriteit (GBA) en néerlandais.
Ce guide couvre la situation juridique actuelle en Belgique : l'exigence de consentement issue du droit belge ePrivacy, la pratique de contrôle de l'APD, le mécanisme de transfert EU-US Data Privacy Framework qui a résolu la controverse des transferts de 2021-2022 et les réglages que votre compte GA4 doit respecter.
Vous voulez savoir si votre site charge GA4 avant le consentement ? Lancez un scan TrustYourWebsite gratuit.
Le cadre légal belge pour les cookies analytics
Deux couches de droit encadrent GA4 en Belgique.
La première est l'article 10/2 de la loi du 30 juillet 2018 (la « loi-cadre »), la transposition belge de l'article 5(3) de la directive ePrivacy, inséré par la loi du 21 décembre 2021 et en vigueur depuis le 10 janvier 2022 (anciennement l'article 129 de la loi du 13 juin 2005, depuis abrogé). Il exige un consentement préalable et éclairé avant qu'un cookie ou une technologie similaire soit stocké sur un appareil terminal ou lu depuis celui-ci, sauf si le cookie est strictement nécessaire au service que le visiteur a explicitement demandé. L'APD interprète cette exigence en cohérence avec les lignes directrices 05/2020 du CEPD : le consentement doit être libre, spécifique, éclairé et univoque, avec une option de refus aussi visible que l'acceptation.
La seconde est le RGPD (mis en œuvre en Belgique par la loi du 30 juillet 2018), qui exige une base légale pour le traitement de données à caractère personnel. Pour GA4, la base légale sur la plupart des sites belges est le consentement au titre de l'article 6(1)(a) du RGPD, parce que l'analytics ne remplit pas une fonction strictement nécessaire et ne peut pas être justifié par l'intérêt légitime lorsque les données sont transmises à un tiers qui peut potentiellement les utiliser pour son propre compte.
La combinaison signifie : bannière de consentement aux cookies obligatoire, avec blocage de GA4 jusqu'à ce que l'utilisateur accepte activement.
L'APD a détaillé ses exigences de consentement aux cookies dans sa checklist cookies. Ce document et son application dans les décisions constituent la norme opérationnelle. Pour une analyse complète de ce que votre bannière doit afficher et faire, consultez les exigences pour une bannière cookies en Belgique.
Pourquoi GA4 ne bénéficie pas de l'exemption analytics
Le droit belge prévoit une exemption limitée de l'exigence de consentement pour les cookies analytics qui remplissent des critères stricts : pas de suivi des visiteurs individuels d'une session à l'autre, pas de partage de données avec des tiers et collecte de statistiques agrégées uniquement.
GA4 échoue sur les trois critères :
| Exigence | Réalité de GA4 | Conforme ? |
|---|---|---|
| Pas de suivi inter-sessions des visiteurs individuels | GA4 attribue un Client ID persistant stocké dans le cookie _ga | Non |
| Pas de partage de données avec des tiers | Les données sont envoyées vers les serveurs de Google LLC | Non |
| Collecte de données agrégées uniquement | GA4 collecte des événements au niveau individuel, des propriétés utilisateur et des identifiants d'appareil | Non |
Le Client ID est la question centrale. Il persiste entre les sessions, relie plusieurs visites depuis le même navigateur et crée un historique comportemental longitudinal. Selon le considérant 26 du RGPD, un identifiant pseudonyme qui peut raisonnablement être relié à une personne constitue une donnée à caractère personnel. Les scripts analytics qui placent un identifiant persistant par appareil ne peuvent pas bénéficier du traitement « strictement nécessaire » ni de l'exception analytics.
La pratique de contrôle de l'APD
L'Autorité de protection des données (APD) est l'autorité de contrôle belge. Elle applique activement les règles cookies depuis 2020 et a publié une checklist cookies décrivant ses exigences pour les bannières.
Dans la décision 85/2022 du 25 mai 2022, la Chambre Contentieuse de l'APD a infligé à Roularta Media Group une amende de 50 000 € pour des cookies déposés avant consentement et pour des cases de consentement aux cookies tiers pré-cochées. Cette décision a établi l'attente de l'APD : aucun cookie ne peut être chargé avant l'acceptation active et éclairée du visiteur.
L'APD n'a pas rendu de décision visant GA4 en tant que tel, comme l'ont fait la DSB autrichienne (décembre 2021) ou la CNIL française (février 2022). Ces décisions visaient le transfert de données à caractère personnel vers des serveurs américains sous le cadre antérieur au DPF. La question des transferts a été résolue lorsque la Commission a adopté le EU-US Data Privacy Framework en juillet 2023 (voir ci-dessous). Le contrôle des cookies par l'APD reste centré sur la question du consentement, qui s'applique indépendamment du mécanisme de transfert.
Les PME belges ne sont pas hors du champ de ce contrôle. L'APD reçoit des plaintes et y donne suite. Une plainte d'un visiteur, d'un concurrent ou d'une ONG de protection de la vie privée peut déclencher une enquête formelle. Le Service d'Inspection de l'APD mène aussi des audits proactifs de conformité cookies des sites web. Pour le détail des critères que l'APD applique aux bannières et de ses sanctions récentes, voir les règles et amendes de l'APD pour les bannières cookies.
La question des transferts de données : ce qui a changé en 2023
Avant le 10 juillet 2023, les transferts de données à caractère personnel depuis des sites web européens vers les serveurs américains de Google LLC constituaient le principal obstacle juridique. À la suite de l'arrêt Schrems II (CJUE C-311/18, juillet 2020), la décision d'adéquation Privacy Shield a été invalidée. Les clauses contractuelles types seules étaient insuffisantes pour les transferts vers des entités américaines soumises au droit de la surveillance, en l'absence de mesures techniques supplémentaires que GA4 ne fournissait pas dans sa configuration standard.
Trois autorités nationales se sont prononcées contre Google Analytics sur ces fondements :
- La Datenschutzbehörde autrichienne (décembre 2021)
- La CNIL française (février 2022)
- Le Garante italien (juin 2022, délibération 9782890)
Le 10 juillet 2023, la Commission a adopté la décision d'exécution (UE) 2023/1795, une décision d'adéquation au titre de l'article 45 du RGPD établissant le EU-US Data Privacy Framework. Les importateurs américains certifiés peuvent recevoir des données à caractère personnel sans garanties supplémentaires. Google LLC s'est certifié le 10 juillet 2023. L'objection relative aux transferts qui fondait les décisions de 2021-2022 a donc été levée.
En 2026, le DPF reste en vigueur. Le CEPD a indiqué dans son avis 5/2023 sur la décision d'adéquation DPF qu'il accueille favorablement la décision d'adéquation tout en identifiant certains points à surveiller. Schrems II reste le contexte historique, pas un obstacle actif pour les transferts certifiés DPF.
Ce que cela signifie pour un site web belge en 2026 : le transfert vers les serveurs américains de Google est couvert par le DPF. L'exigence de consentement pour les cookies analytics reste pleinement en vigueur et constitue le point central de conformité.
La bannière : ce qu'elle doit faire
Trois exigences structurelles découlent de la checklist cookies de l'APD et de sa pratique décisionnelle constante.
Bloquer GA4 jusqu'à ce que l'utilisateur accepte
Le mode de défaillance le plus courant est GA4 qui s'initialise dans l'en-tête de la page avant que la bannière ne s'affiche. Le snippet gtag.js ou Google Tag Manager se déclenche au chargement de la page et envoie le premier hit à Google avant que le visiteur ait vu la notice cookies. Cette première requête constitue déjà une violation de l'article 10/2 de la loi-cadre.
Le correctif est une couche de gestion du consentement qui retient le tag GA4 jusqu'au clic affirmatif du visiteur. Google Tag Manager le permet via le déclencheur Consent Initialization. Cookiebot, Complianz, OneTrust et des outils similaires bloquent le script au niveau du HTML.
Refuser au même niveau qu'Accepter
L'APD attend un clic pour refuser et un clic pour accepter. Un gros bouton vert « Tout accepter » à côté d'un lien texte gris « Gérer les préférences » ne respecte pas ce standard. La décision 85/2022 de l'APD et la pratique décisionnelle plus large des autorités européennes rendent cette exigence claire.
Consentement granulaire pour l'analytics et le marketing séparément
Un visiteur doit pouvoir accepter l'analytics sans accepter les cookies publicitaires et inversement. Un unique « Tout accepter » qui regroupe toutes les catégories n'est pas un consentement spécifique au sens de l'article 4(11) du RGPD, comme le confirment les lignes directrices du CEPD sur le consentement.
Les réglages GA4 qu'un déploiement belge conforme exige
En supposant que la bannière est correcte, le compte GA4 lui-même doit être configuré. Référence rapide :
| Réglage | Chemin dans GA4 | Par défaut | Recommandé | Pourquoi c'est important en Belgique |
|---|---|---|---|---|
| Data Processing Amendment accepté | Administration > Détails du compte > Paramètres du compte | Non accepté | Accepté, date consignée | L'article 28 du RGPD exige un contrat écrit avec le sous-traitant. Sans cela, l'APD considère que le traitement manque de base légale quels que soient les autres correctifs |
| Conservation des données | Administration > Paramètres des données > Conservation des données | 14 mois | 2 mois (ou le minimum justifié sur le plan opérationnel) | Minimisation des données selon l'article 5(1)(e) du RGPD. 14 mois sans justification documentée constitue un constat dans les audits de l'APD |
| Mécanisme de transfert | Administration > Paramètres des données > Collecte des données | EU-US DPF | EU-US DPF confirmé et documenté dans votre registre des traitements | La certification DPF est l'obligation de Google. Votre obligation est de documenter cette base dans votre registre des traitements |
| Google Signals | Administration > Paramètres des données > Google Signals | Désactivé (comptes récents) | Désactivé sauf si la bannière recueille un consentement publicitaire explicite | Le suivi multi-appareils sans consentement publicitaire granulaire est un écart de périmètre que l'APD traiterait comme une violation |
| Fonctionnalités publicitaires | Administration > Paramètres de la propriété | Activé (anciens comptes) | Désactivé sauf consentement publicitaire explicite obtenu | Même problème que Google Signals |
Note sur la conservation des données : le réglage de conservation de GA4 ne contrôle que les données analytics. Il est sans rapport avec les obligations belges de conservation des documents fiscaux du Code des impôts sur les revenus / Wetboek van de inkomstenbelastingen, qui imposent la conservation des documents comptables. Les données analytics ne sont pas des documents fiscaux. Les deux obligations de conservation fonctionnent indépendamment.
La mention dans la politique de confidentialité
Votre politique de confidentialité doit mentionner le traitement GA4. Une clause conforme pour un site web belge :
Nous utilisons Google Analytics 4, un service d'analyse fourni par Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis. Google LLC est certifié dans le cadre du EU-US Data Privacy Framework établi par la décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023. La base légale du traitement est votre consentement au titre de l'article 6(1)(a) du RGPD, donné via la bannière cookies. Les données analytics liées au Client ID sont conservées pendant [2/14] mois. Vous pouvez retirer votre consentement à tout moment via le lien de préférences cookies en bas de chaque page.
Les décisions cookies de l'APD reprochent systématiquement aux politiques de confidentialité de nommer des sous-traitants tiers sans identifier le mécanisme de transfert ni la durée de conservation.
Consent Mode v2 : ce qu'il corrige et ce qu'il ne corrige pas
Le Consent Mode v2 de Google (lancé en 2024) ajuste le comportement de GA4 selon l'état de consentement que votre bannière lui rapporte.
Quand le consentement est accordé : suivi complet, Client ID placé, événements comportementaux transmis.
Quand le consentement est refusé : GA4 envoie des pings minimaux sans cookies, pas de Client ID et l'adresse IP n'est pas rattachée à un identifiant persistant. La modélisation des conversions comble les lacunes dans les rapports Google Ads.
Le Consent Mode v2 réduit la perte de données quand les visiteurs refusent les cookies. Il ne supprime pas l'obligation légale d'obtenir ce consentement. Les pings minimaux envoyés en mode refusé atteignent toujours les serveurs de Google et sont considérés par l'APD et les autorités alignées sur le CEPD comme nécessitant une base légale. Le Consent Mode ne fournit pas cette base à lui seul.
L'implication pratique : le Consent Mode est un outil de qualité de données pour l'après-décision de consentement. La bannière, et son fonctionnement correct, restent obligatoires.
Les alternatives sans cookies qui fonctionnent sans bannière
Plusieurs outils d'analytics ne placent pas d'identifiants persistants et ne collectent pas de données à caractère personnel au sens du RGPD. Ils remplissent généralement les conditions de l'exemption analytics belge, ce qui supprime entièrement l'exigence de consentement.
| Outil | Tarif | Hébergement | Cookies | Bannière requise |
|---|---|---|---|---|
| Plausible Analytics | à partir de 9 €/mois | Allemagne (UE) | Aucun | Non |
| Fathom Analytics | à partir de 14 USD/mois | UE + options US | Aucun | Non |
| Simple Analytics | à partir de 9 €/mois | Pays-Bas (UE) | Aucun | Non |
| Matomo Cloud | à partir de 19 €/mois | Allemagne (UE) | Configurable | Configurable |
| Matomo auto-hébergé | Coût serveur | Vos serveurs | Configurable | Configurable |
Vérifiez la configuration au regard des orientations de l'APD avant de retirer votre bannière. Les réglages par défaut de ces outils sont généralement sûrs. Activer des fonctions optionnelles comme le suivi inter-sites ou le fingerprinting dans Matomo peut changer l'analyse.
Le compromis est réel. Les outils sans cookies donnent des données complètes sans pertes liées au consentement, mais vous perdez les parcours utilisateur individuels entre sessions, les segments démographiques et l'intégration approfondie avec Google Ads. Pour la plupart des PME belges sans gros budget publicitaire, ce n'est pas une perte significative.
Les défaillances fréquentes dans les scans de sites belges
Ces schémas apparaissent dans les décisions de l'APD et dans les scans automatisés de sites web d'entreprises belges.
GA4 dans l'en-tête de la page, bannière dans le footer. Le script s'initialise avant que la bannière ne s'affiche. La violation la plus fréquente.
Le Consent Mode traité comme une solution de conformité. Certaines implémentations configurent le Consent Mode et retirent la bannière, en supposant que le Consent Mode résout la question du consentement. Ce n'est pas le cas.
Le Data Processing Amendment jamais accepté. Le compte GA4 a été créé il y a des années. Personne n'a accepté la clause DPA. L'article 28 du RGPD est violé.
La conservation par défaut de 14 mois jamais modifiée. La valeur par défaut du compte n'a jamais été revue. L'APD attend d'un responsable du traitement qu'il ait activement réfléchi à la durée de conservation.
Google Signals resté activé sur un ancien compte. Fonctionnalités publicitaires et suivi multi-appareils actifs sans consentement publicitaire correspondant dans la bannière.
La politique de confidentialité nomme Google mais pas le DPF. Le mécanisme de transfert est soit absent, soit fait référence au Privacy Shield désormais invalide.
Checklist pour les propriétaires de sites belges
- La bannière cookies bloque GA4 avant que le visiteur clique sur Accepter
- Refuser se fait en un clic, au même niveau visuel qu'Accepter
- Le consentement analytics est distinct du consentement publicitaire dans la bannière
- Le stockage du consentement est documenté avec une expiration (typiquement 6 à 12 mois)
- Un lien de retrait figure dans le footer permanent des pages
- Le Data Processing Amendment de GA4 est accepté, date consignée
- La conservation des données est réglée au minimum justifié sur le plan opérationnel (2 mois par défaut)
- Le EU-US DPF est déclaré dans la politique de confidentialité comme mécanisme de transfert
- Google Signals est désactivé sauf consentement publicitaire explicite
- Les fonctionnalités publicitaires et de personnalisation sont désactivées sauf consentement
- La politique de confidentialité nomme Google LLC, le DPF, la base de l'article 6(1)(a) et la durée de conservation
- Vérification trimestrielle que les scripts chargés après consentement correspondent à la politique cookies
Lancez un scan TrustYourWebsite gratuit pour vérifier si GA4 se charge actuellement sur votre site avant que le visiteur ait donné son consentement.
Sources
- Règlement (UE) 2016/679 (RGPD) (eur-lex.europa.eu)
- Directive 2002/58/CE (directive ePrivacy), version consolidée (eur-lex.europa.eu)
- Loi du 30 juillet 2018 (loi-cadre), art. 10/2 (ejustice.just.fgov.be)
- Décision d'exécution (UE) 2023/1795 de la Commission (EU-US DPF) (eur-lex.europa.eu)
- CJUE, arrêt Schrems II (C-311/18), 16 juillet 2020 (curia.europa.eu)
- Le CEPD salue les améliorations apportées par le EU-US DPF (edpb.europa.eu)
- Lignes directrices 05/2020 du CEPD sur le consentement (edpb.europa.eu)
- APD, checklist cookies (autoriteprotectiondonnees.be)
- APD, décision 85/2022 du 25 mai 2022 (autoriteprotectiondonnees.be)
Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Bannière cookies Belgique : règles et amendes APD
Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.
Exigences bannière cookies Belgique : règles APD 2026
Ce que votre bannière cookies doit contenir selon l'APD et l'art. 10/2 de la loi-cadre du 30 juillet 2018. Boutons égaux, texte trilingue, sans dark patterns.
Google Fonts RGPD : stopper la fuite d'adresses IP
Google Fonts chargé depuis les serveurs de Google envoie l'IP de vos visiteurs aux États-Unis. Un tribunal allemand a jugé cela contraire au RGPD. La solution.
Liste de contrôle RGPD PME belges 2026 : 35 points
35 points de contrôle RGPD pour PME belges. APD, loi 30 juillet 2018, numéro BCE, cookies, sous-traitants. Ce que l'APD vérifie vraiment lors d'un contrôle.
Politique de confidentialité Belgique : modèle gratuit
Politique de confidentialité Belgique : générateur gratuit et modèle. APD comme autorité, Loi du 30 juillet 2018, numéro d'entreprise BCE.