Ce que GA4 collecte et où ça va
Google Analytics enregistre l'adresse IP de vos visiteurs, leur navigateur, les pages consultées, le temps passé, les actions (clics, formulaires). Il note leur source (moteur de recherche, réseaux sociaux, lien direct) et leur géolocalisation. Il utilise des identifiants uniques pour suivre chaque visiteur sur plusieurs sessions.
Tous ces flux quittent votre serveur et partent vers les États-Unis. Google l'indique dans ses conditions d'utilisation, c'est transparent.
Le problème : cet envoi de données vers les USA crée une obligation légale en Suisse.
Pourquoi ça pose question juridiquement
Le Cloud Act américain (2018)
Le gouvernement américain peut forcer Google à livrer toutes les données qu'elle détient, peu importe où les serveurs sont hébergés. Cette loi s'applique à toute entreprise américaine, partout dans le monde.
L'arrêt Schrems II (2020)
La Cour de justice de l'Union européenne a jugé insuffisantes les garanties de protection entre l'UE et les USA. Elle a cassé le « Privacy Shield », le mécanisme qui permettait auparavant ces transferts de données.
La nLPD suisse
La nouvelle loi fédérale sur la protection des données, en vigueur depuis septembre 2023, exige que les transferts vers des pays sans protection adéquate soient encadrés : contrats de flux, clauses contractuelles types, ou certification.
La position suisse
Les USA ne figurent pas sur la liste officielle des pays offrant un niveau de protection adéquat selon la Suisse. Transférer des données personnelles vers les USA crée une obligation de mettre en place des protections supplémentaires.
Google propose des clauses contractuelles types (Standard Contractual Clauses, SCC) dans ses contrats. C'est un élément de réponse juridique, pas une garantie absolue.
Le PFPDT a publié des recommandations : il accepte les SCC de Google, mais recommande d'être prudent et de limiter les transferts de données inutiles.
GA4 vs ses prédécesseurs : mieux ou pire ?
Google a fermé Universal Analytics en juillet 2023 et impose GA4. D'un point de vue juridique, rien n'a changé : GA4 envoie les mêmes types de données vers les serveurs de Google. GA4 améliore la collecte (plus d'insights), pas la protection des données.
GA4 permet d'anonymiser les IP des visiteurs dans les réglages. Bonne pratique, mais ça ne résout pas le problème de fond du transfert vers les USA.
Les alternatives conformes à la nLPD
Si vous cherchez à vous rapprocher de la conformité complète, plusieurs outils mesurent votre audience sans les mêmes tensions juridiques.
Matomo
Matomo est l'alternative la plus proche de Google Analytics. Vous l'installez sur votre serveur en Suisse (auto-hébergé) ou utilisez la version cloud en EU. Logiciel libre, transparent, vous gardez les données. Coût : environ 200 à 500 CHF par an en auto-hébergé, ou 20 CHF par mois en version cloud.
Umami
Umami est plus léger. Logiciel open source que vous auto-hébergez gratuitement ou utilisez en cloud à partir de 9 USD par mois. Pas de cookies, pas de bannière. Vous mesurez les pages vues, les sessions, les sources, la géolocalisation, les appareils. Idéal pour les PME qui veulent l'essentiel.
Plausible Analytics
Plausible est basé en Allemagne (serveurs EU). Pas de cookies, pas de bannière de consentement. À partir de 10 CHF par mois. Conforme nLPD sans ambiguïté.
Simple Analytics
Même principe. Serveurs aux Pays-Bas (EU). À partir de 10 CHF par mois.
Faut-il une bannière de cookies ?
Avec GA4 ou Matomo : oui, une bannière est nécessaire. Elle doit demander le consentement explicite avant de collecter. Refuser ne doit pas bloquer l'accès.
Avec les outils sans cookies (Umami, Plausible, Simple Analytics) : non, pas de bannière requise. Ce sont des outils « privacy by default ». L'absence de bannière est un vrai gain en expérience utilisateur.
Que faire maintenant ? Trois scénarios
Scénario 1 : rester sur GA4
C'est légitime. GA4 avec SCC et IP anonymisée n'est pas interdit.
Vérifiez que votre contrat Google inclut les SCC (c'est automatique)
Activez l'anonymisation des IP
Installez une bannière de consentement conforme
Documentez votre justification (SCC + bannière)
Scénario 2 : vouloir une solution sans doute juridique
Choisissez Umami (gratuit auto-hébergé), Plausible ou Simple Analytics
Pas de bannière nécessaire
Migration : créer un nouveau compte, installer le script
Comparez les données durant deux à trois mois
Scénario 3 : besoin de fonctionnalités avancées
Vous mesurez des conversions complexes, des audiences, des rapports poussés.
Déployez Matomo auto-hébergé en Suisse ou Matomo Cloud (EU)
Configuration plus dense que GA4, très complète
Coût : 20 CHF par mois en cloud pour une PME
Formez l'équipe aux différences avec GA4
Peu importe votre choix
Auditez qui utilise les données (agence, direction, légal)
Documentez ce que vous mesurez et pourquoi
Installez une bannière conforme si vous gardez GA4 ou Matomo
Vérifiez votre politique de confidentialité
Pensez à vos clients : si vous traitez des données clients, l'hébergement suisse ou européen se justifie encore plus
À lire aussi : Analytics sans cookies, La nouvelle loi nLPD, Consentement : Cookiebot, OneTrust ou solution maison, Cloud souverain suisse pour votre PME
Questions fréquentes
GA4 est-il illégal en Suisse ?
Non. GA4 est dans une zone grise légale. Les SCC proposées par Google offrent un encadrement. Le PFPDT tolère GA4 avec les bonnes mesures : pas d'interdiction explicite, mais une obligation d'être prudent.
Umami nécessite-t-il une bannière ?
Non. Umami ne stocke pas de cookies de suivi. Vous mesurez sans bannière, c'est un vrai gain en expérience utilisateur.
Dois-je migrer tous mes sites vers une alternative ?
Pas obligatoire. Si vous avez beaucoup de visiteurs ou des données sensibles, passer à une solution sans cookies réduit les risques.
Combien coûte une migration depuis GA4 ?
En interne : deux à cinq jours. Avec une agence : 1'500 à 5'000 CHF selon la complexité. Umami auto-hébergé : quasi gratuit.
En 30 secondes
Google Analytics envoie les données aux USA, créant une tension juridique (Cloud Act, Schrems II, nLPD)
GA4 n'est pas interdit, mais encadré (SCC, bannière, anonymisation IP)
Alternatives sans cookies : Umami (gratuit auto-hébergé), Plausible et Simple Analytics (10 CHF par mois)
Sans cookies : pas de bannière, mieux pour l'expérience utilisateur
Matomo reste l'option pour qui veut du GA4-like avec des données en Suisse
Votre choix dépend de la complexité, du budget, du risque toléré, de l'expérience utilisateur
Ce choix d'outil analytics s'inscrit dans une démarche plus large de souveraineté numérique. Notre équipe l'intègre lors de la conception de sites web conformes. Contactez-nous pour en discuter.
Cet article a une visée informative et ne constitue pas un conseil juridique. Les situations varient selon votre activité, vos données et votre juridiction. Consultez un conseiller en protection des données si vous avez un doute.



