RGPD et analyse : ce dont vous avez réellement besoin (et ce dont vous n'avez pas besoin)
La plupart des sites se sur-conforment. Le RGPD n'interdit pas l'analyse — il encadre les données personnelles. Voici ce que la loi exige réellement, expliqué sans jargon juridique.
Le malentendu courant
Quand le RGPD est entré en vigueur en 2018, une vague de bandeaux cookies a déferlé sur le web. La plupart des propriétaires de sites ont interprété le règlement comme : analyse = cookies = bandeau de consentement. C'est faux, mais l'erreur est compréhensible — la plupart des outils d'analyse de l'époque installaient des cookies persistants, et beaucoup le font encore.
Le RGPD n'interdit pas l'analyse. Il n'exige pas de consentement pour tout. Il encadre le traitement des données personnelles, et il prévoit plusieurs bases légales pour ce faire — le consentement n'en est qu'une, et souvent pas la bonne pour l'analyse.
Ce que le RGPD encadre réellement
La règle centrale du RGPD est que les données personnelles doivent être traitées sur la base d'une base légale valide. Les six bases légales sont : le consentement, le contrat, l'obligation légale, les intérêts vitaux, la mission d'intérêt public, et les intérêts légitimes.
Pour l'analyse, la question est de savoir si ce que vous collectez constitue des données personnelles — et si c'est le cas, quelle base légale s'applique.
Ce qui constitue des données personnelles en analyse
Au titre du RGPD, les données personnelles sont toute information relative à une personne physique identifiée ou identifiable. Cela inclut :
- Les adresses IP — considérées comme des données personnelles par la CJUE et la plupart des autorités de protection des données de l'UE
- Les cookies persistants — un cookie qui suit le même navigateur d'une session à l'autre relie des données à un appareil identifiable
- Les identifiants utilisateur — tout identifiant pouvant être lié à une personne réelle
- Les empreintes d'appareils — une combinaison de caractéristiques du navigateur qui identifie probabilistiquement un appareil
Ce qui ne constitue pas des données personnelles :
- Les comptages agrégés (« 347 personnes ont visité cette page aujourd'hui »)
- Les données entièrement anonymisées où la ré-identification est impossible
- Les données qui ne peuvent être liées à aucun individu spécifique, même indirectement
La base des intérêts légitimes
Les intérêts légitimes (article 6(1)(f)) vous permettent de traiter des données personnelles sans consentement si vous avez une raison légitime de le faire, si le traitement est nécessaire à cette fin, et si les intérêts de la personne ne prévalent pas sur les vôtres.
Exploiter un site web et comprendre ses performances est un intérêt légitime. Le traitement de données analytiques agrégées — pages vues, référents, schémas de trafic généraux — pour exploiter votre site relève clairement de ce cadre. Le Comité européen de la protection des données et plusieurs APD nationales l'ont confirmé.
La nuance : si vous stockez des IP, utilisez des identifiants persistants ou construisez des profils utilisateurs, vous ne pouvez pas vous appuyer sur les intérêts légitimes — vous avez besoin du consentement, car le traitement va au-delà de ce qui est nécessaire pour l'exploitation basique du site.
Le test : pourriez-vous répondre à vos questions d'analyse sans stocker quoi que ce soit qui identifie une personne spécifique ? Si oui, vous n'avez probablement pas besoin de consentement — vous devez concevoir votre analyse pour ne pas collecter de données personnelles en premier lieu.
Ce qu'ajoute la directive ePrivacy (la loi sur les cookies)
La directive ePrivacy (mise en œuvre comme PECR au Royaume-Uni) est distincte du RGPD et couvre spécifiquement les cookies et technologies similaires. Sa règle : vous avez besoin du consentement avant d'installer des cookies qui ne sont pas strictement nécessaires au service demandé par l'utilisateur.
C'est pourquoi les cookies d'analyse nécessitent spécifiquement le consentement au titre de l'ePrivacy — même si la base des intérêts légitimes du RGPD pourrait couvrir le traitement des données sous-jacent. Les deux règlements interagissent : l'ePrivacy couvre l'acte d'installer le cookie ; le RGPD couvre ce que vous faites avec les données.
Si vous n'installez pas de cookies, l'ePrivacy ne s'applique pas à votre analyse. Pas de cookie, pas d'obligation ePrivacy, pas de bandeau requis à cette fin.
L'approche pratique : ne collectez pas ce dont vous n'avez pas besoin
La façon la plus propre de faire de l'analyse sans exigence de consentement est de ne pas collecter de données personnelles du tout. Cela signifie :
- Pas de cookies — pas d'obligation ePrivacy
- Pas de stockage IP — dérivez le pays de l'IP, puis supprimez-la immédiatement
- Pas d'identifiants inter-sessions — chaque session est indépendante
- Pas d'empreinte digitale — ne générez ni ne stockez d'empreintes d'appareils
Ce qui reste — les URLs de pages, les référents, le type de navigateur, le pays, le temps passé sur la page — est une donnée agrégée. Elle peut vous dire tout ce qui est utile sur les performances de votre site sans impliquer aucun individu.
Selon ce modèle, vous ne traitez pas de données personnelles. L'exigence de base légale du RGPD ne s'applique pas (il n'y a rien de personnel à traiter). L'ePrivacy ne s'applique pas (il n'y a pas de cookie). Votre politique de confidentialité doit quand même mentionner l'analyse, mais c'est une divulgation, pas un formulaire de consentement.
Ai-je encore besoin d'une politique de confidentialité ?
Oui. Le principe de transparence du RGPD (article 5(1)(a)) vous oblige à informer les utilisateurs sur les données que vous traitez, même si le consentement n'est pas requis. Votre politique de confidentialité doit mentionner :
- Que vous utilisez une analyse et quel outil
- Quelles données sont collectées (pages vues, référents, pays, type d'appareil)
- Qu'aucune donnée personnelle ni cookie n'est utilisé pour l'analyse
- La base légale si vous traitez des données personnelles ailleurs sur le site
Il s'agit d'une divulgation, pas d'une collecte de consentement. Un court paragraphe dans votre politique de confidentialité est suffisant.
Qu'en est-il des outils existants avec anonymisation IP ?
GA4 propose l'anonymisation IP, mais elle anonymise après la collecte — l'IP est temporairement traitée avant d'être tronquée. La plupart des APD considèrent cela insuffisant pour supprimer la qualification de données personnelles au titre du RGPD, car l'IP existe en mémoire et dans les journaux avant que l'anonymisation n'ait lieu.
Les vrais outils d'analyse orientés vie privée ne reçoivent pas l'IP d'une manière qui soit stockée : le pays est dérivé à la périphérie et l'IP ne touche jamais la base de données.
En résumé
Vous n'avez pas besoin d'un bandeau de consentement pour l'analyse si votre outil d'analyse ne collecte pas de données personnelles. Le bandeau est une conséquence de l'outil, pas une exigence de la loi. Choisissez un outil qui n'installe pas de cookies et ne stocke pas les IP, et l'exigence de consentement disparaît.
Ce n'est pas une faille — c'est la conformité par conception. Vous n'évitez pas le RGPD ; vous construisez un système auquel les exigences du RGPD ne s'appliquent tout simplement pas.
Une analyse sans surcharge de conformité
Pas de cookies, pas de stockage IP, pas de bandeau de consentement requis. Gratuit jusqu'à 10 000 pages vues/mois.
Commencer gratuitement →