Privacy Statnive Live · Parhum Khoshbakht

Web analytics conforme au RGPD en 2026 : guide pratique pour les éditeurs européens

Ce que le RGPD, la DSGVO et Schrems II exigent de votre stack analytique en 2026, et comment l'architecture hébergée en UE de Statnive Live répond à chaque exigence.

Le web analytics conforme au RGPD est un problème de 2026, pas de 2018

Le RGPD vient de fêter ses huit ans ce mois-ci. Le texte des articles 5, 6 et 7 n’a pas changé — mais la jurisprudence, les priorités d’application et le seuil pratique du « conforme » en matière de web analytics se sont déplacés de manière spectaculaire au cours des 18 derniers mois. Si vous avez mis en place votre stack analytique entre 2018 et 2024 sans la réexaminer depuis, ce guide récapitule ce que les régulateurs attendent réellement aujourd’hui, et comment concevoir votre architecture pour éviter les schémas les plus risqués au lieu de les masquer.

C’est le deuxième volet d’une courte série de présentation de Statnive Live, la plateforme d’analytique autonome que nous lançons aux côtés de notre plugin WordPress. Le premier volet parcourait l’arbre de décision « plugin WP vs Live ». Statnive Live traite les données à Nuremberg, en Allemagne ; livre un DPA conforme à l’art. 28(3) sur chaque plan ; et a été conçu en réponse à la jurisprudence ci-dessous. Lorsque nous formulons une affirmation réglementaire, vous trouverez en note un numéro de décision, une date et l’autorité — vérifiez ce qui vous semble douteux.

Le paysage réglementaire européen en 2026

Cinq choses sont vraies en avril 2026 qui ne l’étaient pas il y a deux ans.

1. GA4 est le traceur le plus signalé dans l’application active du droit allemand

Dans son rapport d’activité publié en 2025 (Tätigkeitsbericht Datenschutz 2025), l’autorité de protection des données de Hambourg (HmbBfDI) a audité 1 000 sites web basés à Hambourg. 185 d’entre eux déclenchaient un traceur tiers au chargement initial de la page, avant tout consentement. Sur ces 185 sites, 110 — environ 60 % — utilisaient Google Analytics, suivi de Google Maps (51), Google Ads (42), YouTube (20) et Facebook (15). Les opérateurs ont reçu six mois pour se mettre en conformité.

Les décisions GA de la DSB autrichienne de décembre 2021 / mai 2022 (D155.027 / 2021-0.586.257) et la décision Caffeina Media de juin 2022 du Garante italien (mesure 9782890) — toutes deux jugeant illégaux les transferts UE→US de GA sur le fondement de Schrems II — n’ont été infirmées par aucune décision rendue entre 2024 et 2026. Les précédents GA de 2022 constituent la jurisprudence opérante en 2026.

2. Le cadre UE-US de protection des données (DPF) est contesté, pas réglé

Le DPF a survécu à son premier contentieux — Latombe c. Commission, T-553/23, tranché par le Tribunal de l’Union européenne le 3 septembre 2025 (analyse IAPP). La décision d’adéquation de la Commission du 10 juillet 2023 reste en vigueur. Mais Latombe a interjeté appel devant la CJUE le 31 octobre 2025, et noyb a annoncé un recours parallèle (analyse WilmerHale). À l’heure où nous écrivons, le statut procédural devant la CJUE est en attente.

La réponse architecturalement robuste pour tout nouveau lancement européen en 2026 est donc la même que celle suggérée par Schrems II en 2020 : ne transférez pas, dès le départ, les données personnelles européennes vers un pays tiers. Une résidence des données strictement européenne fait sortir les articles 44 à 49 du périmètre.

3. La CNIL a confirmé que « nous utilisons un bandeau » n’est plus une défense

Le 1er septembre 2025, la CNIL a prononcé deux sanctions records simultanées sur l’UX du consentement aux cookies — non pas en aval, sur l’ad-tech, mais sur le bandeau lui-même :

  • Google : 325 M€, délibération SAN-2025-006 — 200 M€ contre Google LLC plus 125 M€ contre Google Ireland — pour l’affichage de publicités dans Gmail « entre les emails » sans consentement et pour une présentation défectueuse du bandeau de consentement.
  • Shein : 150 M€, délibération SAN-2025-005 — pour le dépôt de cookies publicitaires et de mesure d’audience dès le premier chargement de page, l’absence d’explications sur les finalités publicitaires, le déclenchement de 10 cookies supplémentaires lors du retrait du consentement, et un cookie de mesure d’audience de 10 ans déposé sans consentement.

Ce sont les plus grosses amendes pour consentement aux cookies jamais prononcées dans l’UE. Conjuguées à la campagne de plaintes 226+500 de noyb — où 81 % des pages auditées ne proposaient pas de bouton « Refuser » dès la première page et 73 % utilisaient des contrastes de couleurs relevant du dark pattern — elles font du bandeau lui-même le risque réglementaire, pas seulement des cookies qu’il dissimule.

4. La loi cookies allemande a été renommée (mais pas modifiée)

Le § 25 TTDSG est devenu le § 25 TDDDG le 14 mai 2024, lorsque l’article 4 de la législation allemande de transposition du Digital Services Act est entré en vigueur (synthèse Robin Data). Le fond reste inchangé — un consentement préalable demeure exigé pour tout stockage ou accès non strictement nécessaire sur l’équipement terminal. Si votre politique de confidentialité cite encore « TTDSG », mettez-la à jour. L’ordonnance volontaire sur la gestion du consentement (EinwV) est entrée en vigueur le 1er avril 2025 mais n’abroge pas le § 25 TDDDG ; les sites qui n’y participent pas restent tenus au consentement par bandeau.

5. Les IP hachées restent des données personnelles

Le CEPD a adopté les lignes directrices 01/2025 sur la pseudonymisation lors de sa 101e session plénière, le 16 janvier 2025. Ces lignes directrices réaffirment que les données pseudonymisées — y compris les IP hachées, les identifiants de cookie, les hachages visiteur BLAKE3/HMAC et les TC strings — restent des données personnelles dès lors qu’une réidentification est « raisonnablement vraisemblable » via des moyens disponibles pour le responsable du traitement ou pour tout tiers. L’arrêt IAB Europe de la CJUE (C-604/22, 7 mars 2024) et l’arrêt de suivi du 14 mai 2025 de la cour d’appel de Bruxelles étendent cette qualification au-delà des TC strings, à tout identifiant associé à une adresse IP.

La pseudonymisation est un facteur de réduction du risque, pas une exemption au RGPD. Nous y reviendrons en décrivant plus bas la construction du sel quotidien de Statnive Live — nous préférons traiter nos hachages comme des données personnelles à faible risque plutôt que de surclasser à tort en « tracking anonyme ».

Les quatre points chauds juridiques pour l’analytics

Toute stack analytique en 2026 doit répondre à quatre questions. Les articles sont courts — les analyses ci-dessous en sont la version pratique.

Point chaud 1 — Transferts hors UE (RGPD art. 44 à 49)

Le chapitre V du RGPD régit les transferts de données personnelles vers des pays tiers. Le DPF est la décision d’adéquation actuelle pour les États-Unis ; il est en vigueur mais contesté (voir plus haut). La réponse architecturale la plus propre, et celle que livre Statnive Live, consiste à conserver l’intégralité du traitement dans l’EEE — ce qui fait sortir le chapitre V du périmètre. Voir gdpr-info.eu/chapter-5/ pour le texte des articles.

Point chaud 2 — Base légale (RGPD art. 6)

Six bases existent ; pour l’analytics, seuls le consentement (a), le contrat (b) et l’intérêt légitime (f) sont réalistes. (f) suppose une analyse documentée d’intérêt légitime — la recommandation DSK de novembre 2024 v1.2 reconnaît un dérogatoire étroit d’intérêt légitime pour l’analytique d’usage en première partie sur le fondement de l’art. 6(1)(f), mais uniquement si l’exigence d’accès à l’équipement terminal du § 25 TDDDG est satisfaite indépendamment (autrement dit, l’exception « strictement nécessaire » s’applique, ou vous disposez d’un consentement distinct pour le stockage/l’accès).

Point chaud 3 — Consentement (RGPD art. 7 + ePrivacy art. 5(3) + § 25 TDDDG)

Trois couches s’empilent ici. L’article 5(3) de la directive ePrivacy régit tout ce qui lit ou écrit sur l’équipement terminal du visiteur — et les lignes directrices 2/2023 v2.0 du CEPD (adoptées le 7 octobre 2024) ont étendu ce périmètre, explicitement, au-delà des cookies : tracking par URL/pixel, tracking sur la seule IP, lectures d’identifiants uniques. L’Allemagne le transpose par le § 25 TDDDG. L’art. 7 du RGPD régit ensuite le consentement lui-même — il doit être libre, spécifique, éclairé, univoque, démontrable et révocable.

La voie de sortie propre consiste à concevoir le déclencheur de stockage/accès hors du système. Pas de cookies, pas de localStorage, pas de probes de fingerprinting — et l’article 5(3) ne se déclenche pas.

Point chaud 4 — Conservation (RGPD art. 5(1)(e))

"Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire." L’arrêt Schrems c. Meta de la CJUE (C-446/21, 4 octobre 2024) l’a renforcé — la conservation ouverte de profils comportementaux « sans limitation dans le temps et sans distinction de type de données » constitue une violation disproportionnée de l’art. 5(1)(c).

Pour l’analytics, cela veut dire : nommer une durée de conservation, documenter en quoi elle est nécessaire, et supprimer effectivement à l’échéance.

Ce que les bandeaux coûtent en perte de mesure

L’étude sur les bandeaux de cookies de Plausible — qui mesure l’écart entre le trafic avant et après l’ajout d’un bandeau — a constaté que les bandeaux de consentement coûtent environ 55,6 % des visiteurs dans la mesure analytique. Pour être précis : les visiteurs arrivent toujours sur le site, mais ils refusent ou ferment le bandeau et cessent d’être comptés dans l’outil d’analytique. Vous ne perdez pas 55,6 % de vos revenus ; vous perdez 55,6 % de la visibilité sur votre propre trafic.

C’est l’argument pratique pour concevoir le bandeau en dehors de la stack analytique — non pas comme un contournement de la conformité, mais parce qu’une stack analytique conditionnée par un bandeau vous dit, chaque année, de moins en moins de choses sur votre site, à mesure que la lassitude des bandeaux progresse.

À quoi ressemble vraiment « conforme par construction »

Statnive Live a été conçu en réponse à la jurisprudence ci-dessus. Concrètement, voici ce que cela signifie.

Sans cookies par construction. Pas de cookies, pas de localStorage, pas de sessionStorage — vérifiez dans DevTools → Application ; les quotas de stockage restent à zéro. L’article 5(3) de la directive ePrivacy ne se déclenche pas, car aucun stockage ni accès à l’équipement terminal n’a lieu. Pas non plus de probes canvas, WebGL, énumération des polices ou navigator.plugins ; la règle gdpr-code-review en CI les interdit dans le tracker.

Sels BLAKE3-HMAC à rotation quotidienne. Les hachages visiteur sont dérivés ainsi : HMAC(master_secret, site_id || YYYY-MM-DD). Le sel est calculé en mémoire, jamais stocké. Le même visiteur le lundi et le mardi → deux hachages différents ; la réidentification cross-jour est impossible par construction. Conformément aux lignes directrices 01/2025 du CEPD, ces hachages restent des données personnelles (nous les traitons comme telles), mais la rotation quotidienne les place à l’extrémité « faible risque » du spectre.

IP brute supprimée avant stockage. L’IP n’entre dans le pipeline que pour la résolution GeoIP, puis est supprimée avant que l’écrivain par lots ne voie la ligne. Garanti par un test d’intégration dans internal/enrich/geoip.go ; le DPA client le documente verbatim.

DNT et Sec-GPC court-circuitent avant le hachage. Lorsque Sec-GPC: 1 ou DNT: 1 est positionné, la requête est rejetée avant le calcul de l’identifiant visiteur. Aucun identifiant pseudonyme n’est généré pour un visiteur qui se manifeste contre — il n’y a rien à supprimer parce que rien n’a été créé.

Chemin de données strictement européen, tracker en première partie. Statnive Live SaaS traite les données à Nuremberg, Allemagne, sur un VPS Netcup 2000 G12 NUE — pas de transfert au sens du chapitre V, pas de question d’adéquation pays tiers. Le JS du tracker est servi depuis la même origine de Nuremberg via go:embed de Go : pas de CDN tiers, pas de tag manager tiers, et pas de TC string, ce qui défait par construction le schéma IAB Europe « TC string + IP = données personnelles ».

Rien de tout cela ne rend Statnive Live « exempt du RGPD ». Cela en fait une stack conçue pour que le travail de conformité soit en grande partie déjà fait — votre politique de confidentialité est plus courte, votre AIPD est plus simple, et les éléments ci-dessus écartent la plupart des déclencheurs d’application les plus risqués.

Auto-hébergé vs SaaS européen privé — l’angle contractuel

Le même binaire Statnive Live s’exécute sous deux formes, avec des postures responsable du traitement / sous-traitant très différentes.

Statnive Live auto-hébergé : vous exécutez le binaire sur votre propre serveur. Nous ne voyons, ne stockons ni ne transmettons les données de vos visiteurs. Vous êtes le responsable du traitement et il n’y a pas de DPA Statnive ↔ vous à signer — il n’y a rien dont nous puissions être sous-traitants. Le binaire est vérifié pour s’exécuter sous iptables -P OUTPUT DROP (zéro sortie requise) par un test d’intégration, ce qui rend reproductible la promesse « pas de trafic sortant ».

Statnive Live SaaS : vous pointez votre tracker vers notre endpoint managé de Nuremberg. Vous êtes le responsable du traitement ; nous sommes le sous-traitant. Un DPA conforme à l’art. 28(3) RGPD est signé à l’inscription, sur tous les plans, y compris Free. La version actuelle du DPA couvre l’ensemble des huit alinéas de l’art. 28(3) — instructions uniquement (a), confidentialité (b), sécurité au sens de l’art. 32 (c), autorisation des sous-traitants ultérieurs (d), assistance aux droits des personnes concernées (e), assistance au responsable du traitement pour ses obligations au titre des art. 32 à 36 (f), suppression ou retour à la fin de la prestation (g), et droits d’audit (h).

C’est l’arbitrage clé que la comparaison plugin WP vs Statnive Live détaille. Si votre posture de conformité exige un contrat de sous-traitance signé — secteur réglementé, questionnaires clients ISO 27001, gros achats publics —, la voie SaaS vous l’apporte. Si votre posture exige « aucun tiers ne touche aux données, point final », la voie auto-hébergée vous l’apporte.

À venir avec statnive.live

Lorsque le SaaS Statnive Live ouvrira en 2026, le socle contractuel arrivera dans la boîte :

  • DPA art. 28(3) sur tous les plans, y compris Free, signé daté du 2026-04-24.
  • Liste des sous-traitants ultérieurs mise à jour sous 7 jours après tout changement amont, avec un préavis de 14 jours avant qu’un nouveau sous-traitant n’entre en activité — ce qui vous permet de vous y opposer avant le changement (selon le § 5.4 du DPA).
  • SLA de notification de violation : 48 heures à compter de la prise de connaissance, calqué sur l’art. 33 du RGPD.
  • Fenêtre d’export client de 30 jours à la résiliation, suivie d’une suppression complète : tables brutes, tables de rollup, sauvegardes (cycle de sauvegarde suivant ≤ 24 h) et journaux d’audit — sauf lorsque le droit de l’Union ou d’un État membre impose la conservation.
  • Pas de transfert au sens du chapitre V. Tout traitement de données personnelles européennes à Nuremberg, Allemagne.

Le DPA, le registre des sous-traitants et la politique de confidentialité seront publiés à https://statnive.live/dpa (et équivalents) lors de l’ouverture publique du SaaS. D’ici là, le brouillon vit dans le dépôt statnive-live sous docs/dpa-draft.md, versionné et relisible.

Questions fréquentes

Ai-je encore besoin d’un bandeau cookies ?

Cela dépend de la réponse à deux questions : (a) votre stack lit-elle ou écrit-elle sur l’équipement terminal du visiteur (ePrivacy art. 5(3) / § 25 TDDDG) ? et (b) quelle est votre base légale au titre de l’art. 6 du RGPD ?

Une stack d’analytique d’usage en première partie, sans cookies, qui n’effectue ni stockage ni accès sur l’appareil du visiteur — comme Statnive Live — peut, sous la dérogation DSK Nov-2024 v1.2, souvent fonctionner sur le fondement de l’intérêt légitime (art. 6(1)(f)) sans bandeau. Mais l’analyse dépend de la juridiction, et un opérateur prudent en matière de confidentialité peut malgré tout afficher une notice d’information — sans portail de consentement. Nous ne sommes pas votre DPO ; consultez-en un avant de modifier votre bandeau.

L’« intérêt légitime » de l’art. 6(1)(f) du RGPD suffit-il ?

Au cas par cas. Vous devez réaliser une analyse d’intérêt légitime — finalité, nécessité, mise en balance avec les droits et les attentes raisonnables de la personne concernée — et la documenter. La recommandation DSK de novembre 2024 v1.2 reconnaît cette voie pour l’analytique d’usage en première partie, non partagée. Une analytique tierce qui partage les données avec Google ou Meta pour les finalités propres du tiers ne relève pas du même chemin.

Et les données britanniques et suisses ?

Le Royaume-Uni applique le UK GDPR, le DPA 2018 et le PECR. La décision d’adéquation de la Commission européenne pour le Royaume-Uni a été renouvelée mi-2025, si bien que les transferts UE→UK n’ont pas besoin de CCT à ce jour — vérifiez la date d’expiration exacte avec votre DPO. La Suisse applique la nLPD (en vigueur depuis le 1er septembre 2023) et bénéficie d’une décision d’adéquation de la Commission de longue date ; le Swiss-US DPF a été confirmé effectif le 15 septembre 2024. En pratique, le cadrage strictement européen sur Nuremberg adopté ici constitue la même réponse défensive pour les deux — pas de transfert, pas de question.

GA4 est-il sûr à utiliser dans l’UE aujourd’hui ?

Non. Les décisions de 2022 de la DSB autrichienne, de la CNIL française, du Garante italien et de l’autorité danoise interdisant Google Analytics sur le fondement de Schrems II n’ont été infirmées par aucune décision rendue entre 2024 et 2026. La campagne d’audit de Hambourg (60 % des violations de tracking pré-consentement) est le signal le plus fort de 2025. Quoi que fasse à terme l’appel CJUE sur le DPF dans le tableau juridique, le tableau de l’application en 2026 traite encore GA4 comme un défaut à haut risque.

Une IP hachée n’est-elle pas anonyme ?

Non, et le CEPD l’a dit explicitement dans les lignes directrices 01/2025 (16 janvier 2025). Les données pseudonymisées sont des données personnelles dès lors que la réidentification est raisonnablement vraisemblable. La rotation quotidienne du sel réduit la réidentification entre les jours, c’est pourquoi nous la pratiquons — mais les hachages obtenus restent des données personnelles à l’intérieur d’une journée, et nous les traitons comme tels.

Le mot de la fin

En 2026, le web analytics conforme au RGPD est un problème de conception, pas un problème de copy. Les quatre points chauds — transferts, base légale, consentement, conservation — appellent chacun une réponse architecturale strictement plus facile à défendre que la réponse contractuelle. Les deux sanctions jumelles de la CNIL en septembre 2025 ont fermé la défense « nous utilisons un bandeau » ; les lignes directrices du CEPD sur la pseudonymisation ont fermé la défense « nous hachons l’IP » ; la campagne d’audit de Hambourg a érigé le tag GA pré-consentement en violation canonique. La stack 2026 la plus propre est celle dans laquelle les déclencheurs les plus risqués ne se déclenchent pas, parce qu’ils ne figurent pas dans le code.

C’est la raison d’être de Statnive Live. Sans cookies. Strictement européen. DPA art. 28(3) sur tous les plans. Pas de fingerprinting, pas de CDN tiers, pas de bandeau requis par construction. Bientôt disponible sur fr.statnive.com/live. D’ici là, le plugin WordPress est sur WordPress.org gratuitement, le comparatif explique quel produit convient à quel site, et la présentation initiale orientée confidentialité en est la version one-pager.

Si quelque chose ici se révèle erroné, écrivez-moi — chaque citation réglementaire renvoie à une URL, et nous préférons corriger une note plutôt que livrer une demi-vérité bien polie.

Installer Statnive gratuitement