Le 2 avril 2026, Google modifie discrètement les conditions d’utilisation de son service reCAPTCHA. À compter de cette date, il ne se considère plus comme responsable du traitement des données collectées via cet outil : il se déclare sous-traitant. Ce repositionnement emporte une conséquence majeure et largement sous-estimée : le pilotage de la conformité repose d’abord sur l’organisme qui intègre reCAPTCHA, sans pour autant effacer les obligations propres de Google. Mais ce revirement soulève une question que tout DPO doit se poser avec rigueur : se déclarer sous-traitant suffit-il à l’être au sens du RGPD ?
Le basculement reCAPTCHA : ce que dit Google
Dans sa documentation officielle mise à jour le 14 mars 2026, Google indique : « À partir du 2 avril 2026, reCAPTCHA passera du statut de responsable du traitement des données à celui de sous-traitant des données. » La société précise que les clients « seront les seuls responsables du traitement des données client » et qu’il leur appartient de supprimer de leurs sites toute référence aux politiques de confidentialité et conditions d’utilisation de Google liées à reCAPTCHA.
Se déclarer sous-traitant suffit-il à l’être ?
La réponse du RGPD et de la CNIL est sans ambiguïté : la qualification de sous-traitant est une notion fonctionnelle, pas contractuelle. La CNIL rappelle que « la qualification ne dépend pas d’un choix contractuel mais des faits : qui décide de quoi ? qui exécute quoi ? » L’EDPB, dans ses Lignes directrices 07/2020, précise que ces qualifications sont « des notions fonctionnelles qui visent à répartir les responsabilités en fonction des rôles réels joués par les parties ».
Si Google continue, après le 2 avril 2026, à utiliser pour ses propres finalités des données collectées via reCAPTCHA, il demeure responsable du traitement pour ces usages, quoi qu’en dise son contrat. La CNIL se réserve explicitement le droit de requalifier les rôles. Or, Google documente certains éléments (existence du cookie _grecaptcha, collecte d’informations matérielles et logicielles pour l’analyse de risque), mais ces informations restent insuffisamment détaillées pour rédiger une mention d’information complète et irréprochable au sens de l’article 13 du RGPD. La documentation est lacunaire, pas totalement absente.
Trois décisions CNIL directement liées à reCAPTCHA
|
Un problème systémique : l’écosystème Google sur le site web
La quasi-totalité des sites web français embarquent une constellation de services Google qui transfèrent des données vers les États-Unis, déposent des traceurs sans consentement ou ne font l’objet d’aucun DPA signé. Le tableau ci-dessous résume, pour chaque outil, si la conformité est atteignable et ce qu’il faut faire.
Synthèse de conformité par outil Google
| Outil | Conformité | Condition principale ou action requise |
| reCAPTCHA | COND | Consentement préalable + CDPA signé + opacité Google non résolue. Remplacement recommandé (EU CAPTCHA, Friendly Captcha). |
| Google Analytics 4 | COND | Consentement + DPA signé. Proxy côté serveur recommandé par la CNIL comme bonne pratique. Le DPF (juillet 2023) encadre les transferts vers Google LLC certifié, mais ne dispense pas des mesures complémentaires. |
| Google Maps | COND | Overlay de consentement + CDPA signé. Sans overlay : dépôt de cookies sans consentement. |
| Google Fonts CDN | NON | Conformité impossible via CDN. Remplacer par auto-hébergement des fichiers .woff2 (30 min, gratuit). |
| YouTube intégré | COND | Overlay de lecture + consentement + DPA. Mode youtube-nocookie.com recommandé mais ne dispense pas du consentement. |
| Google Tag Manager | COND | Configuration consent-aware obligatoire. Sans elle, toutes les violations de consentement sont cumulées. |
| Google Ads | COND | Consentement publicitaire + Consent Mode v2 + DPA signé. |
| Google Workspace | OK | DPA Workspace signé + option résidence UE activée si disponible + information des utilisateurs. |
Test rapide : votre site est-il conforme avec les outils Google ?
Ce test ne nécessite aucun outil spécialisé. Un navigateur et les outils développeur intégrés (touche F12) suffisent pour identifier les non-conformités les plus courantes en moins de cinq minutes.
Test 1 : cookies déposés avant consentement
Ouvrir le site en navigation privée. Sans cliquer sur le bandeau cookies, ouvrir F12, aller dans « Application » puis « Cookies ». Vérifier si l’un des cookies suivants est déjà présent :
| Cookie | Service Google | Violation si présent avant consentement |
| _ga, _gid, _ga_XXXXXX | Google Analytics 4 | Article 82 loi Informatique et Libertés |
| _grecaptcha | Google reCAPTCHA | Article 82 loi Informatique et Libertés |
| IDE | Google Ads / DoubleClick | Article 82 loi Informatique et Libertés |
| NID, 1P_JAR | Google Maps | Article 82 loi Informatique et Libertés |
| VISITOR_INFO1_LIVE, YSC | YouTube | Article 82 loi Informatique et Libertés |
| _gcl_au | Google Ads Conversion | Article 82 loi Informatique et Libertés |
Si un seul de ces cookies apparaît avant tout clic sur le bandeau : violation de l’article 82 de la loi Informatique et Libertés.
Test 2 : appels réseau déclenchés avant consentement
Toujours sans avoir consenti, aller dans l’onglet « Network » des outils développeur. Recharger la page. Rechercher si l’une des adresses suivantes est appelée :
- googletagmanager.com : Google Tag Manager actif avant consentement.
- google-analytics.com ou analytics.google.com : GA4 actif avant consentement.
- recaptcha.net ou www.google.com/recaptcha : reCAPTCHA chargé sans consentement.
- maps.googleapis.com : Google Maps chargé sans consentement.
- fonts.googleapis.com ou fonts.gstatic.com : Google Fonts via CDN (voir test 3).
- doubleclick.net : publicité Google active avant consentement.
Chaque appel identifié correspond à un traitement de données personnelles déclenché sans base légale valable.
Test 3 : Google Fonts via CDN
Dans l’onglet Network, rechercher « fonts.googleapis.com » et « fonts.gstatic.com ». Si ces appels apparaissent au chargement de la page :
- L’adresse IP du visiteur est transmise à Google à chaque chargement, sans consentement possible.
- Aucun DPA n’est disponible pour ce service : non-conformité à l’article 28 du RGPD.
- Action requise : auto-hébergement des fichiers .woff2. Voir fiche de traitement n° 04.
Test 4 : cartes Google Maps et vidéos YouTube visibles sans consentement
Parcourir le site sans avoir consenti. Si une carte interactive Google Maps ou une vidéo YouTube est visible et chargée au simple affichage de la page :
- Des cookies tiers ont été déposés sans consentement préalable.
- La carte ou la vidéo aurait dû être remplacée par un overlay de consentement (image statique avec bouton d’activation).
- Action requise : mise en place d’un overlay avant chargement de l’iframe. Voir fiches de traitement n° 03 et n° 05.
Test 5 : DPA signés
Vérifier dans la documentation interne de l’organisme la présence et la signature effective des contrats de sous-traitance. Un DPA absent constitue une violation de l’article 28 du RGPD, indépendamment de toute question de consentement.
| DPA à vérifier | Où le signer | Signé ? |
| DPA Google Analytics 4 | GA4 : Administration > Paramètres du compte | Oui / Non |
| CDPA Google Cloud (reCAPTCHA / Maps) | console.cloud.google.com | Oui / Non |
| DPA Google Ads | Paramètres du compte Google Ads | Oui / Non |
| DPA Google Workspace | Console Admin > Compte > Paramètres légaux | Oui / Non |
| DPA Google Tag Manager | Paramètres du compte GTM | Oui / Non |
Google Fonts en mode CDN ne dispose d’aucun DPA : la seule solution conforme est l’auto-hébergement.
Comment lire les résultats du test
|
La question des transferts hors UE
L’ensemble des services Google implique un transfert de données vers les États-Unis. Depuis l’arrêt Schrems II (CJUE, 16 juillet 2020), ce transfert exige une justification formelle. Depuis la décision d’adéquation UE-États-Unis du 10 juillet 2023, les transferts vers des organismes américains certifiés au Data Privacy Framework (DPF) disposent d’un fondement valide : Google LLC figure comme participant actif au DPF. Ce mécanisme ne règle pas tout : le DPF fait l’objet d’un recours devant la CJUE porté par l’organisation NOYB, et la CNIL recommande pour GA4 la mise en place d’un proxy côté serveur comme bonne pratique pour limiter les données effectivement transmises. Cette recommandation n’est plus une obligation de conformité stricte depuis juillet 2023, mais reste pertinente pour réduire l’exposition.
Article rédigé par Laurent de CAVEL – DPO. Retrouvez la formation « L’informatique appliquée au RGPD » sur focus-rgpd.fr.
ANNEXES
Fiche sous-traitant Google + 8 fiches de traitement avec guide de conformité
Architecture documentaire
|
Date d’édition : mars 2026. À réexaminer annuellement ou lors de tout changement substantiel.
FICHE SOUS-TRAITANT
A : Identification
| Raison sociale principale | Google LLC |
| Entité européenne | Google Ireland Limited : Gordon House, Barrow Street, Dublin 4, Irlande |
| Groupe | Alphabet Inc. (société mère, cotée NASDAQ) |
| Contact protection des données | policies.google.com/privacy : support.google.com/policies/contact/general_privacy_form |
| Contact DPO Google Cloud / services professionnels | cloud.google.com/privacy |
B : Services utilisés par l’organisme
Services effectivement déployés (à cocher) :
- Google reCAPTCHA
- Google Analytics 4
- Google Maps
- Google Fonts (CDN)
- YouTube (vidéos intégrées)
- Google Tag Manager
- Google Ads
- Google Workspace
- Autre : ___________________________
C : Contrats de sous-traitance (article 28 du RGPD)
| reCAPTCHA (après le 2 avril 2026) | Cloud Data Processing Addendum (CDPA) : console.cloud.google.com |
| Google Analytics 4 | DPA Google Analytics : Administration > Paramètres du compte |
| Google Maps Platform | CDPA Google Cloud : console.cloud.google.com |
| Google Fonts (CDN) | AUCUN DPA disponible : remplacer par auto-hébergement (voir fiche traitement 04) |
| YouTube (intégré) | Google Data Processing Terms : youtube.com/t/terms |
| Google Tag Manager | Data Processing Amendment : paramètres du compte GTM |
| Google Ads | Google Ads Data Processing Terms : paramètres du compte Google Ads |
| Google Workspace | Google Workspace Data Processing Amendment : console Admin |
D : Transferts hors EEE
| Pays de destination | États-Unis principalement |
| Mécanisme de transfert | Clauses contractuelles types (CCT) de la Commission européenne (décision 2021/914) |
| Mécanisme complémentaire | Data Privacy Framework (DPF UE-États-Unis, adopté juillet 2023). Recours NOYB pendant devant la CJUE : à surveiller. |
| Résidence des données en UE | Disponible sur certaines offres Google Workspace for EU et Google Cloud. Vérifier l’activation. |
E : Certifications de sécurité
| Certifications | ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1, SOC 2, SOC 3 |
| Sous-traitants ultérieurs de Google | cloud.google.com/terms/subprocessors |
| Notification de violations | Google s’engage via ses DPA à notifier dans des délais compatibles avec l’article 33 du RGPD (72 heures). |
F : Revue et mise à jour
| Date de première signature des DPA | [À compléter par le responsable de traitement] |
| Dernière vérification | Mars 2026 |
| Fréquence de revue | Annuelle, ou lors de tout changement de service Google |
| Responsable de la revue | [Nom du DPO : à compléter] |
FICHES DE TRAITEMENT
Article 30 du RGPD + Guide de conformité par outil
Chaque fiche comprend : (1) la description du traitement pour le registre, (2) le verdict de conformité, (3) les étapes concrètes de mise en conformité ou de remplacement, (4) les cookies à détecter sur le site.
FICHE DE TRAITEMENT N° 01
Vérification anti-robot via reCAPTCHA
Outil : Google reCAPTCHA (v2 / v3 / Enterprise)
1 : Description du traitement (registre article 30)
| Nom du traitement | Vérification anti-robot via reCAPTCHA |
| Outil / service | Google reCAPTCHA (v2 / v3 / Enterprise) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Vérifier lors de la soumission d’un formulaire ou de l’accès à un service que l’action est réalisée par un être humain, afin de protéger le service contre les abus automatisés. |
| Base légale (art. 6 RGPD) | Consentement (article 6.1.a du RGPD) + article 82 de la loi Informatique et Libertés. La CNIL admet des exemptions pour certains traceurs de sécurité dans des configurations strictes, mais vise reCAPTCHA lorsque le fournisseur réutilise les données pour ses propres finalités ou reste insuffisamment transparent sur celles-ci, ce qui était le cas avant le 2 avril 2026 (décision MED-2020-015 du 15 juillet 2020). |
| Catégories de données | Adresse IP, données sur l’appareil et le navigateur (User-Agent, résolution, plugins), comportement de navigation, cookie _grecaptcha (identifiant persistant), signaux logiciels et matériels. |
| Personnes concernées | Visiteurs du site web ou utilisateurs du service soumis à une vérification reCAPTCHA. |
| Durée de conservation | Non communiquée précisément par Google. Le cookie _grecaptcha est persistant. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Cloud Data Processing Addendum (CDPA) Google Cloud. À signer sur console.cloud.google.com avant le 2 avril 2026. |
| Transfert hors EEE | États-Unis. CCT Commission européenne + DPF (depuis juillet 2023). |
| Niveau de risque | ÉLEVÉ. Trois décisions CNIL directement liées : MED-2020-015 (2020), SAN-2023-003 / CITYSCOOT (125 000 euros), SAN-2023-023 / NS CARDS FRANCE (105 000 euros). |
| Point de vigilance 2026 | À compter du 2 avril 2026, Google se déclare sous-traitant pour les Customer Data reCAPTCHA. Cette évolution ne tranche pas à elle seule la qualification au sens du RGPD, qui reste fonctionnelle. Elle implique de vérifier et, le cas échéant, de conclure l’avenant de traitement applicable au nouveau cadre Google Cloud (CDPA). |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité théoriquement atteignable, mais instable en pratique
|
3 : Guide de mise en conformité
Option A : Maintenir reCAPTCHA (conformité partielle, risque résiduel)
- Signer le CDPA Google Cloud avant le 2 avril 2026 (console.cloud.google.com).
- Intégrer reCAPTCHA dans la CMP (bandeau de consentement) et le bloquer jusqu’à acceptation.
- Mettre à jour la politique de confidentialité : mentionner Google comme sous-traitant, le transfert vers les États-Unis et les CCT/DPF.
- Supprimer toute référence aux CGU et politique de confidentialité Google sur les pages intégrant reCAPTCHA (obligation Google à compter du 2 avril 2026).
- Documenter dans le registre l’impossibilité de renseigner la durée de conservation (opacité Google) et noter ce risque résiduel.
- RISQUE RÉSIDUEL : le paradoxe consentement/sécurité et l’opacité de Google maintiennent un risque de sanction CNIL même après ces étapes.
Option B : Remplacer reCAPTCHA (conformité complète recommandée)
- EU CAPTCHA (Commission européenne) : solution gratuite, hébergée dans l’UE, aucun cookie, aucun DPA requis. Accessible sur captcha-eu.com.
- Friendly Captcha (Allemagne) : aucun cookie persistant, données traitées dans l’UE, RGPD-natif, consentement non requis selon l’éditeur.
- hCaptcha : option « vie privée » disponible, moins opaque que reCAPTCHA.
- Après remplacement : supprimer _grecaptcha du bandeau cookies, mettre à jour la politique de confidentialité, retirer la ligne de registre correspondante ou la mettre à jour.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 02
Mesure d’audience et analyse comportementale
Outil : Google Analytics 4 (GA4)
1 : Description du traitement (registre article 30)
| Nom du traitement | Mesure d’audience et analyse comportementale |
| Outil / service | Google Analytics 4 (GA4) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Analyser le comportement des visiteurs (pages vues, sessions, parcours, taux de rebond), mesurer les performances du contenu et des campagnes, produire des statistiques d’audience. |
| Base légale (art. 6 RGPD) | Consentement (article 6.1.a du RGPD) dans la quasi-totalité des configurations. Intérêt légitime uniquement si : anonymisation stricte + proxy côté serveur configuré + aucun identifiant persistant transmis à Google (configuration exceptionnelle). |
| Catégories de données | Adresse IP (transmise complète avant anonymisation côté Google), identifiant client GA (_ga, _gid), données de session, événements utilisateur, données démographiques déduites, identifiant publicitaire si activé. |
| Personnes concernées | Visiteurs du site web ou de l’application mobile. |
| Durée de conservation | Données utilisateur et événements : 2 à 14 mois (paramétrable). Données agrégées : sans limite définie par Google. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Accord de traitement des données Google Analytics : Administration > Paramètres du compte dans l’interface GA4. |
| Transfert hors EEE | États-Unis. CCT + DPF (décision d’adéquation du 10 juillet 2023). Google LLC est participant actif au DPF. La CNIL recommande le proxy comme bonne pratique pour réduire les données transmises. |
| Niveau de risque | ÉLEVÉ. Décision CNIL de février 2022. Décisions convergentes en Autriche, Italie, Danemark, Finlande, Norvège. Transfert hors UE jugé insuffisant sans mesures supplémentaires. |
| Point de vigilance 2026 | Situation inchangée. Le transfert vers les États-Unis demeure le point de blocage principal pour la CNIL. |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité juridiquement plus défendable depuis le DPF, mais techniquement mieux sécurisée avec proxy côté serveur
|
3 : Guide de mise en conformité
Option A : Maintenir GA4 en conformité (faisable, exigeant)
- Signer le DPA Google Analytics (Administration > Paramètres du compte).
- Activer l’anonymisation IP dans les paramètres GA4.
- Mettre en place un proxy côté serveur (server-side tagging hébergé en UE) qui intercepte et anonymise les données avant envoi à Google. Vérifier la configuration avec un spécialiste.
- Intégrer le cookie _ga dans la CMP et le bloquer jusqu’au consentement.
- Activer le Consent Mode v2 pour gérer le comportement de GA4 selon l’état du consentement.
- Mentionner Google comme sous-traitant, le transfert vers les États-Unis et les CCT/DPF dans la politique de confidentialité.
- Désactiver les fonctions « signaux Google » et le remarketing dans les paramètres GA4 (ces fonctions élargissent le traitement au-delà de la mesure d’audience).
Option B : Remplacer GA4 (conformité complète, recommandée)
- Matomo (auto-hébergé sur serveur UE) : exempté de consentement si correctement paramétré selon les critères CNIL (pas de partage de données avec des tiers, pas de suivi multi-sites, anonymisation IP). Aucun transfert hors UE.
- Piano Analytics : solution française, option d’hébergement en France.
- Piwik PRO : option hébergement UE, conformité RGPD renforcée.
- Plausible, Fathom : solutions légères sans cookie, sans transfert hors UE.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 03
Affichage cartographique et géolocalisation
Outil : Google Maps (embed iframe ou Maps Platform API JavaScript)
1 : Description du traitement (registre article 30)
| Nom du traitement | Affichage cartographique et géolocalisation |
| Outil / service | Google Maps (embed iframe ou Maps Platform API JavaScript) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Afficher une carte interactive sur le site (localisation d’un établissement, calcul d’itinéraire, visualisation de zones géographiques). |
| Base légale (art. 6 RGPD) | Consentement (article 6.1.a du RGPD) avant chargement de la carte. La CNIL exige un consentement préalable pour tout service tiers déposant des traceurs (article 82 de la loi Informatique et Libertés). |
| Catégories de données | Adresse IP, cookies tiers Google (NID, 1P_JAR…), User-Agent, données de navigation, données de localisation si permission accordée. |
| Personnes concernées | Visiteurs du site web interagissant avec la carte intégrée. |
| Durée de conservation | Non communiquée précisément par Google pour les données issues des cartes intégrées. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Google Maps Platform Terms of Service + Google Cloud Data Processing Addendum (console.cloud.google.com). |
| Transfert hors EEE | États-Unis. CCT + DPF. |
| Niveau de risque | MOYEN à ÉLEVÉ. Pas de sanction CNIL spécifique à ce jour, mais même régime que GA4 pour les transferts et les traceurs. |
| Point de vigilance 2026 | Aucun changement annoncé. |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité atteignable : une seule condition technique à mettre en place
|
3 : Guide de mise en conformité
Option A : Maintenir Google Maps avec overlay de consentement
- Signer le CDPA Google Cloud (console.cloud.google.com).
- Remplacer le chargement automatique de la carte par une image statique (capture d’écran OpenStreetMap ou image neutre) affichant un bouton « Afficher la carte (cookies tiers Google Maps) ».
- Le chargement de l’iframe Google Maps ne s’active qu’au clic sur ce bouton, après information de l’utilisateur.
- Intégrer les cookies Google Maps dans la CMP dans la catégorie « cartographie » ou « fonctionnel ».
- Mentionner Google Maps dans la politique de confidentialité avec référence au transfert vers les États-Unis.
Option B : Remplacer par OpenStreetMap (conformité complète, recommandée)
- OpenStreetMap + Leaflet.js : solution open source, aucun cookie, aucun transfert hors UE, aucun DPA requis. Intégration simple en JavaScript.
- Mapbox (option cloud UE disponible) : aucun cookie de tracking par défaut.
- Après remplacement : supprimer les cookies Google Maps du bandeau, mettre à jour la politique de confidentialité et la ligne de registre.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 04
Chargement de polices typographiques
Outil : Google Fonts (via CDN Google)
1 : Description du traitement (registre article 30)
| Nom du traitement | Chargement de polices typographiques |
| Outil / service | Google Fonts (via CDN Google) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Charger des polices typographiques depuis les serveurs CDN de Google pour assurer un rendu visuel uniforme du site. |
| Base légale (art. 6 RGPD) | Aucune base légale valable en l’état. Le chargement CDN transmet l’adresse IP à Google sans information de l’utilisateur, sans DPA signable, sans consentement possible. Le LG München I (20 janvier 2022, 3 O 17493/20) a jugé ce transfert illicite au regard du RGPD. |
| Catégories de données | Adresse IP (transmise à Google à chaque chargement de page), User-Agent, en-têtes HTTP du navigateur. |
| Personnes concernées | Visiteurs du site web dont le navigateur charge les polices depuis le CDN Google. |
| Durée de conservation | Non communiquée par Google. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | AUCUN DPA disponible pour ce service en mode CDN. Impossibilité de satisfaire à l’article 28 du RGPD. |
| Transfert hors EEE | États-Unis. Aucun mécanisme de transfert formalisé : pas de DPA disponible pour Google Fonts en mode CDN. |
| Niveau de risque | MOYEN. Absence de DPA. Jurisprudence allemande défavorable. Transmission systématique d’adresses IP sans base légale et sans possibilité de conformité via DPA. |
| Point de vigilance 2026 | Situation inchangée. L’auto-hébergement est la seule solution conforme. |
2 : Verdict de conformité
[CONFORMITE IMPOSSIBLE EN L’ETAT] Conformité impossible via CDN Google : remplacement obligatoire
|
3 : Guide de mise en conformité
Solution unique : Auto-hébergement des polices (5 étapes, 30 minutes)
- 1. Identifier les polices Google Fonts utilisées sur le site (inspecter le <head> HTML ou la feuille CSS à la recherche des appels fonts.googleapis.com).
- 2. Télécharger les fichiers de polices au format .woff2 sur fonts.google.com ou via l’outil google-webfonts-helper (gwfh.mranftl.com) qui génère directement le CSS et les fichiers.
- 3. Déposer les fichiers .woff2 dans un répertoire du serveur du responsable de traitement (ex. /assets/fonts/).
- 4. Remplacer dans le CSS la règle @import url(« https://fonts.googleapis.com/… ») par une règle @font-face locale pointant vers /assets/fonts/.
- 5. Supprimer le lien <link rel= »preconnect » href= »https://fonts.gstatic.com »> du <head> HTML.
- Résultat : aucun appel aux serveurs Google, aucun cookie, aucun DPA requis, aucune mention dans le bandeau de consentement ni dans la politique de confidentialité.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 05
Lecture de vidéos intégrées
Outil : YouTube (vidéos intégrées via iframe)
1 : Description du traitement (registre article 30)
| Nom du traitement | Lecture de vidéos intégrées |
| Outil / service | YouTube (vidéos intégrées via iframe) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Permettre la lecture de vidéos hébergées sur YouTube directement au sein du site, sans redirection vers youtube.com. |
| Base légale (art. 6 RGPD) | Consentement obligatoire (article 6.1.a du RGPD). La CNIL cite explicitement YouTube comme fonctionnalité tierce nécessitant le consentement préalable. |
| Catégories de données | Adresse IP, cookies publicitaires YouTube (VISITOR_INFO1_LIVE, YSC, PREF, IDE), données de comportement vis-à-vis des vidéos, identifiant Google si l’utilisateur est connecté. |
| Personnes concernées | Visiteurs du site web visionnant ou interagissant avec une vidéo intégrée. |
| Durée de conservation | Cookies YouTube persistants : de quelques mois à plusieurs années selon le cookie. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | YouTube Terms of Service + Google Data Processing Terms. |
| Transfert hors EEE | États-Unis. CCT + DPF. |
| Niveau de risque | ÉLEVÉ si chargement sans consentement. YouTube est nommément visé par la CNIL dans ses communications. |
| Point de vigilance 2026 | Aucun changement annoncé. |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité atteignable : overlay de consentement obligatoire
|
3 : Guide de mise en conformité
Option A : Maintenir YouTube avec overlay de consentement
- Remplacer l’intégration directe de l’iframe YouTube par une image statique (miniature de la vidéo) avec un bouton « Lire la vidéo YouTube (cookies tiers) ».
- Le chargement de l’iframe ne s’active qu’au clic sur ce bouton, après information.
- Utiliser le domaine youtube-nocookie.com dans l’URL d’intégration (réduit les cookies mais ne dispense pas du consentement).
- Intégrer les cookies YouTube (VISITOR_INFO1_LIVE, YSC, PREF) dans la CMP.
- Mentionner YouTube / Google dans la politique de confidentialité.
- Signer les Google Data Processing Terms.
Option B : Hébergement autonome ou alternative (conformité complète)
- Hébergement direct de la vidéo au format mp4 sur le serveur du responsable de traitement : aucun cookie, aucun DPA. Solution adaptée pour les vidéos courtes.
- Peertube (open source, auto-hébergé) : aucun cookie tiers, aucun transfert hors UE.
- Vimeo (avec paramètre dnt=1 activé) : collecte limitée, mais vérifier le DPA Vimeo avant de le considérer comme alternatif définitif.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 06
Gestion et déclenchement de balises tiers
Outil : Google Tag Manager (GTM)
1 : Description du traitement (registre article 30)
| Nom du traitement | Gestion et déclenchement de balises tiers |
| Outil / service | Google Tag Manager (GTM) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Déployer, gérer et déclencher des scripts et balises tiers sur le site web via une interface centralisée, sans modification directe du code source. |
| Base légale (art. 6 RGPD) | GTM seul ne dépose pas de cookies et ne requiert pas de base légale propre. La base légale applicable est celle de chaque traitement déclenché via GTM. GTM est le vecteur de déploiement de tous les autres outils. |
| Catégories de données | GTM charge ses fichiers JavaScript depuis les serveurs Google (transmission de l’adresse IP). Les données collectées dépendent des balises déployées. |
| Personnes concernées | Visiteurs du site web dont le navigateur charge les scripts GTM. |
| Durée de conservation | GTM ne stocke pas de données personnelles. Conservation déterminée par chaque outil déployé. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Data Processing Amendment GTM : accessible depuis les paramètres du compte GTM. |
| Transfert hors EEE | États-Unis (chargement des fichiers JS GTM depuis les serveurs Google). CCT + DPF. |
| Niveau de risque | RISQUE INDIRECT ÉLEVÉ. GTM est le multiplicateur de risque : toute balise déclenchée avant consentement engage la responsabilité du responsable de traitement pour tous les outils sous-jacents. |
| Point de vigilance 2026 | Situation inchangée. GTM est le point de contrôle central de la conformité cookies du site. |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité atteignable : la configuration GTM conditionne la conformité de tout le site
|
3 : Guide de mise en conformité
Option A : Maintenir GTM avec configuration consent-aware obligatoire
- Signer le Data Processing Amendment GTM depuis les paramètres du compte.
- Configurer la CMP (bandeau de consentement) pour envoyer l’état du consentement à GTM via le dataLayer (événement consent_update).
- Dans GTM, paramétrer chaque balise avec un déclencheur conditionnel basé sur le signal de consentement reçu de la CMP :
- – Balises analytics (GA4) : déclenchement uniquement si consentement analytics = true.
- – Balises publicitaires (Google Ads, remarketing) : déclenchement uniquement si consentement ads_storage = true.
- – Balises fonctionnelles sans cookie : peuvent se déclencher sans consentement.
- Activer le Consent Mode v2 de Google pour gérer le comportement des balises Google selon l’état du consentement.
- Auditer régulièrement toutes les balises et déclencheurs GTM pour s’assurer qu’aucune balise ne « contourne » la CMP.
Option B : Server-side GTM hébergé en UE (réduction des transferts)
- La version server-side de GTM hébergée sur un serveur UE déplace le traitement des données côté serveur : les navigateurs des visiteurs n’envoient plus de données directement à Google.
- Réduction significative des transferts hors UE, mais ne dispense pas des obligations de consentement.
- Alternative open source : Matomo Tag Manager (auto-hébergé, zéro transfert hors UE).
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 07
Suivi des conversions publicitaires et remarketing
Outil : Google Ads (Conversion Tracking + Remarketing)
1 : Description du traitement (registre article 30)
| Nom du traitement | Suivi des conversions publicitaires et remarketing |
| Outil / service | Google Ads (Conversion Tracking + Remarketing) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Mesurer l’efficacité des campagnes publicitaires Google (achats, inscriptions, appels générés). Constituer et cibler des audiences de remarketing. |
| Base légale (art. 6 RGPD) | Consentement obligatoire (article 6.1.a du RGPD). Aucune exemption possible pour les cookies publicitaires. Google exige le Consent Mode v2 pour tous les annonceurs actifs dans l’EEE depuis mars 2024. |
| Catégories de données | Identifiant de clic Google (GCLID), cookies publicitaires (_gcl_au, _gads, IDE), adresse IP, données de comportement, listes de remarketing. |
| Personnes concernées | Visiteurs du site web ayant préalablement consenti au dépôt de cookies publicitaires. |
| Durée de conservation | Fenêtre de conversion : 7 à 90 jours (paramétrable). Données de remarketing : jusqu’à 540 jours. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Google Ads Data Processing Terms : paramètres du compte Google Ads. |
| Transfert hors EEE | États-Unis. CCT + DPF. |
| Niveau de risque | ÉLEVÉ. Sanction CNIL de 150 millions d’euros contre Google en 2021 sur les cookies. Obligation Consent Mode v2 depuis mars 2024. |
| Point de vigilance 2026 | Le Consent Mode v2 est en vigueur. Vérifier la conformité du paramétrage CMP. |
2 : Verdict de conformité
[CONFORMITE SOUS CONDITIONS] Conformité atteignable : exige Consent Mode v2 et CMP correctement configurée
|
3 : Guide de mise en conformité
Étapes de mise en conformité
- Signer le DPA Google Ads depuis les paramètres du compte (Outils > Paramètres > Traitement des données).
- Intégrer Google Ads dans la CMP avec une catégorie « publicité » ou « marketing » distincte des cookies analytics.
- Activer le Consent Mode v2 (paramètres « ad_storage » et « analytics_storage ») via la CMP ou GTM.
- Vérifier que les cookies _gcl_au, _gads et IDE ne sont déposés qu’après consentement « publicité ».
- Paramétrer la durée de conservation des données de remarketing au minimum nécessaire (60 jours recommandés plutôt que 540).
- Mentionner Google Ads dans la politique de confidentialité avec la finalité publicitaire et le transfert vers les États-Unis.
- ATTENTION : même avec Consent Mode v2 activé, Google utilise la modélisation de conversion pour les utilisateurs ayant refusé. Ce comportement est déclaré par Google mais doit être mentionné dans la politique de confidentialité.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
FICHE DE TRAITEMENT N° 08
Suite bureautique et messagerie collaborative
Outil : Google Workspace (Gmail, Drive, Meet, Docs, Calendar, Sheets)
1 : Description du traitement (registre article 30)
| Nom du traitement | Suite bureautique et messagerie collaborative |
| Outil / service | Google Workspace (Gmail, Drive, Meet, Docs, Calendar, Sheets) |
| Responsable de traitement | [Nom de l’organisme : à compléter] |
| DPO désigné | [Nom, coordonnées, numéro de désignation CNIL : à compléter] |
| Finalité(s) | Fourniture d’outils de travail collaboratifs aux collaborateurs de l’organisme : messagerie professionnelle, stockage de fichiers, traitement de texte, tableur, visioconférence, agenda partagé. |
| Base légale (art. 6 RGPD) | Exécution du contrat de travail (article 6.1.b du RGPD) pour les données des salariés et agents. Obligation légale (article 6.1.c) selon les cas. Intérêt légitime (article 6.1.f) pour certains usages internes. |
| Catégories de données | Nom, prénom, adresse email professionnelle, contenu des messages et fichiers, données de connexion et d’utilisation, métadonnées, données calendrier. Données sensibles possibles selon l’usage (données RH, médicales si traitement via ces outils). |
| Personnes concernées | Collaborateurs, agents, prestataires. Personnes tierces dont les données sont traitées via les outils (clients, patients, adhérents selon l’usage). |
| Durée de conservation | Paramétrable par l’administrateur. À définir dans la politique de conservation de l’organisme. |
| Sous-traitant | Google LLC / Google Ireland Limited (voir fiche sous-traitant Google) |
| Contrat de sous-traitance | Google Workspace Data Processing Amendment : console Admin Google Workspace > Compte > Paramètres légaux. |
| Transfert hors EEE | États-Unis par défaut. Option de résidence des données en UE disponible sur certaines offres Google Workspace for EU. CCT + DPF. |
| Niveau de risque | MOYEN. Moins ciblé par la CNIL à ce jour que GA4 ou reCAPTCHA. Risque sur non-conclusion du DPA et sur les transferts hors UE si option résidence UE non activée. |
| Point de vigilance 2026 | Option de résidence des données en UE disponible sur Google Workspace for EU. Vérifier son activation et la signature du DPA. |
2 : Verdict de conformité
[CONFORMITE ATTEIGNABLE] Conformité atteignable : conditions moins complexes que les outils de tracking
|
3 : Guide de mise en conformité
Étapes de mise en conformité
- 1. Signer le Google Workspace Data Processing Amendment depuis la console Admin (Compte > Paramètres légaux > Conditions Google Workspace).
- 2. Activer la résidence des données en UE si le plan souscrit le permet (Google Workspace for EU, Business Starter/Standard/Plus ou Enterprise).
- 3. Rédiger ou mettre à jour la charte informatique / note d’information des utilisateurs sur l’utilisation de Google Workspace et le transfert de données vers Google.
- 4. Définir et documenter la politique de conservation des données (durée de rétention des emails, fichiers Drive, enregistrements Meet).
- 5. Si des données de santé, des données RH sensibles ou des données relatives aux personnes mineures transitent via ces outils : réaliser une AIPD (analyse d’impact relative à la protection des données).
- 6. Vérifier la liste des sous-traitants ultérieurs de Google Workspace (cloud.google.com/terms/subprocessors).
- 7. Désactiver les fonctions d’analyse de contenu par Google à des fins d’amélioration des services (paramètres Admin > Données et confidentialité) si elles sont activées.
4 : Cookies et traceurs à détecter sur le site
Cookies à rechercher / vérifier
|
