GA4 et nLPD : ce que vous devez vraiment savoir

Ce que GA4 collecte et où ça va

Google Analytics enregistre l'adresse IP de vos visiteurs, leur navigateur, les pages consultées, le temps passé, les actions (clics, formulaires). Il note leur source (moteur de recherche, réseaux sociaux, lien direct) et géolocalisation. Il utilise des identifiants uniques pour suivre chaque visiteur sur plusieurs sessions.

Tous ces flux quittent votre serveur et vont vers les États-Unis. Google l'indique dans ses conditions d'utilisation. C'est transparent.

Le problème : cet envoi de données vers les USA crée une obligation légale en Suisse.

Pourquoi ça pose question juridiquement

Le Cloud Act américain (2018)

Le gouvernement américain peut forcer Google à livrer toutes les données qu'elle détient, peu importe où les serveurs sont hébergés. Cette loi s'applique à toute entreprise américaine, partout dans le monde.

L'arrêt Schrems II (2020)

La Cour de justice de l'Union européenne a jugé que les garanties de protection entre l'UE et les USA n'étaient pas suffisantes. Elle a cassé le « Privacy Shield », le mécanisme qui permettait auparavant ces transferts de données.

La nLPD suisse

La Nouvelle Loi Fédérale sur la Protection des Données, en vigueur depuis septembre 2023, exige que les transferts de données vers des pays sans protection adéquate soient encadrés : contrats de flux, clauses contractuelles types, ou certification.

La position suisse

Les USA ne figurent pas sur la liste officielle des pays offrant un niveau de protection adéquat selon la Suisse. Transférer des données personnelles vers les USA crée une obligation de mettre en place des protections supplémentaires.

Google propose des clauses contractuelles types (Standard Contractual Clauses, SCC) dans ses contrats. C'est un élément de réponse juridique, pas une garantie absolue.

Le PFPDT a publié des recommandations : il accepte les SCC de Google, mais recommande parallèlement d'être prudent et de limiter les transferts de données inutiles.

GA4 vs ses prédécesseurs : mieux ou pire ?

Google a fermé Universal Analytics en juillet 2023 et impose GA4. D'un point de vue juridique ? Non, ça n'a pas changé. GA4 envoie les mêmes types de données vers les serveurs de Google. GA4 améliore la collecte (plus d'insights), pas la protection des données.

GA4 offre une option utile : anonymiser les IP des visiteurs dans les réglages. C'est une bonne pratique, mais ça ne résout pas le problème de fond du transfert vers les USA.

Les alternatives conformes à la nLPD

Si vous cherchez à vous rapprocher de la conformité complète, plusieurs outils mesurent votre audience sans les mêmes tensions juridiques.

Matomo

Matomo est l'alternative la plus proche de Google Analytics. Vous l'installez sur votre serveur en Suisse (auto-hébergé) ou utilisez la version cloud en EU. Logiciel libre, transparent, vous gardez les données. Coût : environ 200 à 500 CHF/an en auto-hébergé, ou 20 CHF/mois en version cloud.

Umami

Umami est plus léger. Logiciel open-source que vous auto-hébergez gratuitement ou utilisez en cloud à partir de 9 USD/mois. Pas de cookies, pas de bannière. Vous mesurez : pages vues, sessions, sources, géolocalisation, appareils. Idéal pour les PME qui veulent l'essentiel.

Plausible Analytics

Plausible est basé en Allemagne (serveurs EU). Pas de cookies, pas de bannière de consentement. À partir de 10 CHF/mois. Conforme nLPD sans ambiguïté.

Simple Analytics

Même concept. Serveurs aux Pays-Bas (EU). À partir de 10 CHF/mois.

Faut-il une bannière de cookies ?

Avec GA4 ou Matomo : Oui, une bannière est nécessaire. Elle doit demander le consentement explicite avant de collecter. Refuser ne doit pas bloquer l'accès.

Avec les outils sans cookies (Umami, Plausible, Simple Analytics) : Non, pas de bannière requise. Ce sont des solutions « privacy-by-default ». Si l'absence de bannière est un gain majeur en expérience utilisateur, les outils sans cookies ont un vrai avantage.

Que faire maintenant ? Trois scénarios

Scénario 1 : rester sur GA4

C'est légitime. GA4 avec SCC et IP anonymisée n'est pas interdit.

• Vérifiez que votre contrat Google inclut les SCC (c'est automatique)

• Activez l'anonymisation des IP

• Installez une bannière de consentement conforme

• Documentez votre justification (SCC + bannière)

Scénario 2 : vouloir une solution sans doute juridique

• Choisissez Umami (gratuit auto-hébergé), Plausible ou Simple Analytics

• Pas de bannière nécessaire

• Migration : créer un nouveau compte, installer le script

• Comparer les données durant 2-3 mois

Scénario 3 : besoin de fonctionnalités avancées

Vous mesurez des conversions complexes, des audiences, des rapports poussés.

• Déployez Matomo auto-hébergé en Suisse ou Matomo Cloud (EU)

• Configuration plus dense que GA4, très complète

• Coût : 20 CHF/mois en cloud pour une PME

• Former l'équipe aux différences avec GA4

Peu importe votre choix

1. Auditez qui utilise les données (agence, direction, légal)

2. Documentez ce que vous mesurez et pourquoi

3. Installez une bannière conforme si vous gardez GA4 ou Matomo

4. Vérifiez votre politique de confidentialité

5. Pensez à vos clients : si vous traitez des données clients, l'hébergement suisse/EU est plus justifié

Questions fréquentes

GA4 est-il illégal en Suisse ?

Non. GA4 est dans une zone grise légale. Les SCC proposées par Google offrent un encadrement. Le PFPDT tolère GA4 avec les bonnes mesures. Pas d'interdiction explicite, mais une obligation d'être prudent.

Umami nécessite-t-il une bannière ?

Non. Umami ne stocke pas de cookies de suivi. Vous mesurez sans bannière, c'est un vrai gain en UX.

Dois-je migrer tous mes sites vers une alternative ?

Pas obligatoire. Si vous avez beaucoup de visiteurs ou des données sensibles, passer à une solution sans cookies réduit les risques.

Combien coûte une migration depuis GA4 ?

En interne : 2-5 jours. Avec agence : 1'500 à 5'000 CHF selon complexité. Umami auto-hébergé : quasi gratuit.

En 30 secondes

• Google Analytics envoie les données aux USA, créant une tension juridique (Cloud Act, Schrems II, nLPD)

• GA4 n'est pas interdit, mais encadré (SCC, bannière, anonymisation IP)

• Alternatives sans cookies : Umami (gratuit auto-hébergé), Plausible et Simple Analytics (10 CHF/mois)

• Sans cookies = pas de bannière = mieux pour l'UX

• Matomo reste l'option pour qui veut GA4-like avec données en Suisse

• Votre choix dépend de : complexité, budget, risque toléré, UX

Cet article a une visée informative et ne constitue pas un conseil juridique. Les situations varient selon votre activité, vos données et votre juridiction. Consultez un conseiller en protection des données si vous avez un doute.