Le coût caché des bannières de consentement
Les bannières de consentement ne sont pas seulement un problème UX. C'est un problème de données. Sur les marchés européens avec des plateformes de gestion du consentement actives, 30 à 50 % des visiteurs refusent ou ignorent la bannière. Ce trafic disparaît complètement de votre analytics. Les données sur lesquelles vous prenez des décisions ne sont pas un échantillon représentatif de votre audience réelle.
Les pages à forte valeur ont souvent les pires taux de consentement. Les visiteurs sur mobile, les primo-visiteurs et les visiteurs de certaines régions ont tendance à refuser plus fréquemment. Le segment de votre audience que vous comprenez le moins est souvent celui que vous avez le plus besoin d'atteindre.
Certaines équipes acceptent cela comme le prix de la conformité. Ce n'est pas le cas. Savoir si vous avez besoin d'une bannière de consentement dépend entièrement de ce que fait techniquement votre outil d'analytics, pas du fait que vous faites de l'analytics.
Ce qui déclenche réellement l'obligation de consentement
L'obligation légale de bannières de consentement en Europe découle de deux textes distincts souvent confondus :
- La directive ePrivacy (2002/58/CE), article 5(3) : Exige le consentement avant de stocker toute information sur l'équipement terminal d'un utilisateur ou d'y accéder. Cela couvre les cookies, le localStorage et toute forme de persistance côté client.
- Le RGPD : Exige une base légale pour le traitement des données personnelles, dont le consentement est une option mais pas la seule.
La bannière de consentement pour l'analytics est avant tout une obligation ePrivacy, pas une obligation RGPD. Si votre outil d'analytics dépose un cookie dans le navigateur du visiteur, l'article 5(3) s'applique et le consentement est requis avant ce dépôt.
Si votre outil d'analytics ne stocke rien sur l'équipement du visiteur, l'article 5(3) ne s'applique pas. L'obligation de bannière de consentement disparaît à sa racine juridique.
Comment l'analytics sans cookie contourne cette obligation
Les outils d'analytics sans cookie fonctionnent différemment au niveau technique. Au lieu de placer un identifiant sur l'équipement du visiteur et de le lire à chaque visite suivante, ils traitent des signaux disponibles côté serveur : l'adresse IP, la chaîne user-agent, l'en-tête referrer et le chemin de la page.
À partir de ces signaux, l'outil dérive la source de trafic, le type d'appareil, le pays et les données de session sans rien stocker dans le navigateur du visiteur. Aucun cookie n'est déposé. Aucune clé localStorage n'est écrite. L'article 5(3) de la directive ePrivacy ne s'applique tout simplement pas.
Ce n'est pas un vide juridique. C'est la conséquence directe de la façon dont la loi est rédigée. L'obligation de consentement est liée au stockage sur l'équipement terminal, pas à l'analytics en tant que catégorie.
Le RGPD s'applique quand même : voici pourquoi ce n'est pas un problème
Même sans cookies, les adresses IP sont des données personnelles au sens du RGPD. Un outil d'analytics sans cookie traite encore des données personnelles lorsqu'il reçoit une requête d'un navigateur. La question est de savoir quelle base légale s'applique.
Pour les outils d'analytics qui :
- anonymisent ou hachent les adresses IP immédiatement à la réception
- ne créent pas de profils utilisateurs individuels
- ne partagent pas les données avec des tiers
- stockent les données exclusivement dans l'UE
- n'utilisent les données qu'à des fins de mesure d'audience agrégée
L'intérêt légitime (article 6(1)(f) du RGPD) est une base légale valide. Le traitement est proportionné, l'impact sur la personne est minimal et la finalité est légitime. Le consentement n'est pas requis.
C'est la base légale utilisée par Plausible Analytics, Fathom, Simple Analytics et Sublim, entre autres. Chacun a publié une documentation expliquant comment leur traitement se qualifie au titre de l'intérêt légitime.
Les critères de la CNIL : le guide le plus précis disponible en Europe
La CNIL (autorité française de protection des données) a publié des critères spécifiques pour les outils d'analytics pouvant fonctionner sans consentement. Bien qu'il s'agisse d'une recommandation réglementaire française, elle reflète l'approche adoptée par plusieurs autorités de protection des données européennes et constitue le guide le plus précis opérationnellement disponible.
Pour être éligible, un outil d'analytics doit :
Un outil répondant aux cinq critères peut fonctionner au titre de l'intérêt légitime en France sans bannière de consentement. La question clé à poser à tout fournisseur d'analytics est : répondez-vous à ces critères, et pouvez-vous le documenter ?
Pourquoi Google Analytics ne répond pas à ces critères
GA4 ne répond pas à ces critères pour plusieurs raisons :
- Cookies : GA4 dépose des cookies first-party persistant entre les sessions :
_ga(un identifiant de navigateur unique, conservé 2 ans),_gid(un identifiant de session, conservé 24 heures) et une variante d'ID de mesure par propriété GA4 (également 2 ans). Cela déclenche immédiatement l'obligation de consentement de l'article 5(3). - Utilisation des données par Google : Les conditions d'utilisation de Google permettent à Google d'utiliser les données analytics pour l'amélioration de ses propres produits. Les données sont partagées avec un tiers qui a ses propres finalités de traitement, ce qui exclut l'outil des critères d'exemption CNIL quelle que soit son hébergement.
La décision de la CNIL ne dit pas "l'analytics nécessite un consentement". Elle dit "Google Analytics nécessite un consentement en raison du fonctionnement de Google Analytics". L'obligation est spécifique à l'outil, pas à la catégorie.
GA4 introduit également des problèmes séparés de précision des données qui aggravent le problème du consentement : les rapports Exploration sont échantillonnés au-delà de 10 millions d'événements, les petits segments sont silencieusement supprimés par le seuillage, et la modélisation ML comble les lacunes sans indicateur visible.
| Google Analytics 4 Voir la comparaison → |
Sublim Analytics Essayer gratuitement → |
|
|---|---|---|
| Bannière de consentement requise | Oui | Non |
| Complétude des données | ~60 % | 100 % |
| Données hébergées dans l'UE | Non | Oui |
| Partage de données avec des tiers | Aucun |
Conséquences pratiques pour votre configuration analytics
Passer à un outil d'analytics sans cookie hébergé dans l'UE a deux conséquences directes :
Vous voyez 100 % de votre trafic. Il n'y a pas de tunnel de consentement pour perdre des visiteurs. Le visiteur qui arrive, lit une page et repart est comptabilisé. Le visiteur mobile qui abandonne une modale de consentement est comptabilisé. Vos données correspondent à votre audience réelle.
Votre site n'a pas de bannière de consentement pour l'analytics. Vous pourriez encore en avoir besoin pour d'autres finalités (cookies publicitaires, pixels marketing, intégrations tierces). Mais si l'analytics est la principale raison pour laquelle vous affichez une bannière, cette raison disparaît.
Pour les équipes qui font des tests A/B ou de l'optimisation des conversions, c'est significatif. Vous comparez des variantes à partir de données complètes, pas d'un sous-ensemble auto-sélectionné de visiteurs ayant consenti.
Pour une comparaison des outils éligibles, consultez notre comparatif des outils d'analytics web.
Comment vérifier si votre outil actuel est éligible
Posez ces cinq questions sur tout outil d'analytics que vous évaluez :
Si l'une des réponses est oui, vous avez besoin d'une bannière de consentement. Si toutes les réponses sont non, vous n'en avez probablement pas besoin. Vérifiez votre juridiction spécifique et les recommandations de votre autorité nationale de protection des données, car les transpositions nationales de la directive ePrivacy varient.
Des outils comme Sublim, Plausible, Fathom et Simple Analytics sont conçus pour répondre non aux cinq. Leur architecture technique rend les bannières de consentement inutiles par défaut.
Ce qu'il faut soigner dans votre politique de confidentialité
Fonctionner sans bannière de consentement ne signifie pas fonctionner sans transparence. Même au titre de l'intérêt légitime, le RGPD exige d'informer les utilisateurs sur le traitement des données. Votre politique de confidentialité doit décrire :
- Les données collectées (chemin de page, referrer, pays, type d'appareil)
- La base légale (intérêt légitime pour la mesure d'audience)
- La durée de conservation
- Comment les utilisateurs peuvent s'opposer
La plupart des fournisseurs d'analytics sans cookie publient une documentation sur le traitement des données que vous pouvez référencer directement. La surface de conformité est réelle, mais c'est une mise à jour de politique de confidentialité, pas une plateforme de gestion du consentement.
