RGPD Transferts Google-analytics Google-fonts Cnil

Google Analytics, Google Fonts, Meta Pixel : les transferts hors-UE qui exposent votre site

Charger Google Analytics, des Google Fonts distantes ou le pixel Meta envoie des données vers les États-Unis. Pourquoi c'est un risque RGPD, et comment le corriger.

Y
Yoann ABDEL AAL
· · 8 min de lecture
Schéma des transferts de données hors UE déclenchés par les services tiers d'un site web
Table des matières

TL;DR — Points clés

À retenir de cet article

  1. Un transfert, c'est le moment où la donnée quitte l'UE

    Même un simple chargement de police hébergée aux États-Unis envoie l'adresse IP du visiteur vers un serveur non-UE — c'est un transfert.

  2. L'éditeur du site reste responsable

    Vous êtes responsable du transfert même quand c'est le service tiers (Google, Meta) qui initie la connexion depuis le navigateur du visiteur.

  3. Google Fonts doivent être auto-hébergées

    Charger les polices depuis fonts.googleapis.com/gstatic transmet l'IP à Google US ; la solution est de les héberger sur votre propre domaine.

  4. Google Analytics par défaut pose un double problème

    Consentement requis ET transfert hors-UE : à proxifier (IP/identifiants anonymisés) ou à remplacer par une mesure d'audience UE exemptée.

  5. Le cadre EU-US Data Privacy Framework est valable mais contesté

    Une décision d'adéquation existe depuis 2023, mais elle fait l'objet de recours ; mieux vaut documenter ses bases de transfert.

C’est la dimension du RGPD la plus mal connue des éditeurs de sites — et paradoxalement la plus visible pour un auditeur. Chaque ressource que votre page charge depuis un serveur hors Union européenne (une police, un script, un pixel, une vidéo embarquée) transmet l’adresse IP — et souvent davantage — du visiteur vers ce serveur. Au sens du RGPD, c’est un transfert de données personnelles.

Un transfert, c’est quoi exactement ?

Un transfert de données hors-UE, c’est le moment où une donnée personnelle devient accessible à une entité située hors de l’Espace économique européen. Cela inclut le cas — fréquent et souvent involontaire — où le navigateur du visiteur va lui-même chercher une ressource sur un serveur américain. L’adresse IP est une donnée personnelle ; dès qu’elle part vers les États-Unis, le RGPD (articles 44 à 49) s’applique.

Point crucial : l’éditeur du site reste responsable, même quand c’est le tiers (Google, Meta) qui établit la connexion. Vous avez choisi d’intégrer le service ; vous répondez du transfert.

L’héritage de Schrems II

Le 16 juillet 2020, la Cour de justice de l’Union européenne a, par l’arrêt dit « Schrems II », invalidé le « Privacy Shield » qui encadrait les transferts vers les États-Unis. Depuis, tout transfert vers un pays tiers doit reposer sur une base solide : décision d’adéquation, clauses contractuelles types (CCT) assorties de mesures supplémentaires, ou règles d’entreprise contraignantes (BCR). Le nouveau cadre EU-US Data Privacy Framework (décision d’adéquation de 2023) existe, mais il est contesté devant les juridictions européennes : prudence, et documentation des bases de transfert.

Les trois fuites les plus courantes

1. Google Fonts chargées à distance

Charger une police depuis fonts.googleapis.com ou fonts.gstatic.com transmet l’IP du visiteur à Google US. Une juridiction allemande a d’ailleurs condamné un éditeur pour ce motif. La correction est simple et gratuite : télécharger les polices et les servir depuis votre propre domaine (@font-face auto-hébergé).

2. Google Analytics côté client

Double problème : consentement (traceur non exempté) et transfert vers les États-Unis. La CNIL a mis en demeure des éditeurs sur ce motif. Options conformes : proxifier la collecte (anonymisation IP/identifiants), ou basculer vers une mesure d’audience européenne exemptée.

3. Pixels marketing et widgets US

Meta/Facebook Pixel, mais aussi reCAPTCHA, Google Maps, YouTube embarqué ou un chat US : autant de connexions hors-UE. La règle : ne les charger qu’après consentement explicite (click-to-load pour les widgets), avec une base de transfert documentée — ou choisir une alternative européenne.

Les bibliothèques chargées depuis des CDN américains (cdnjs.cloudflare.com, cdn.jsdelivr.net, unpkg.com, *.cloudfront.net) posent le même type de question : privilégier l’auto-hébergement ou un CDN européen.

Ce qui est observable… et ce qui ne l’est pas

Un scan détecte facilement les hôtes tiers appelés par votre page et signale ceux qui sont connus hors-UE. En revanche, l’existence de clauses contractuelles types signées, l’analyse d’impact des transferts (TIA) ou la certification DPF d’un prestataire relèvent du back-office : un scan ne peut pas les voir et les signale « à auditer manuellement ».

C’est exactement la logique de notre Audit RGPD : il inventorie les ressources tierces de votre site, isole les transferts hors-UE probables, et source chaque constat sur l’article 44 du RGPD ou une position de la CNIL — tout en distinguant clairement l’observable du back-office.

⚠️ Article informatif — ni avis juridique, ni certification. Un scan évalue la surface observable ; pour vos bases de transfert, consultez un DPO ou un avocat.

À lire aussi : Bandeau cookies conforme à la CNIL et la page Audit RGPD.

Chiffres-clés

Données sourcées

16 juillet 2020

arrêt « Schrems II » de la CJUE invalidant le Privacy Shield et renforçant les exigences sur les transferts de données vers les États-Unis.

Selon CNIL — Transférer des données hors de l'UE

20 M€ ou 4 %

du chiffre d'affaires annuel mondial : plafond des amendes prévu par l'article 83 du RGPD, le montant le plus élevé étant retenu.

Selon Article 83 du RGPD — Amendes administratives

Questions fréquentes

Vos questions sur ce sujet

Charger des Google Fonts à distance est-il un transfert de données hors-UE ?

Oui. Quand le navigateur du visiteur récupère une police depuis fonts.googleapis.com ou fonts.gstatic.com, il transmet son adresse IP à un serveur de Google aux États-Unis. C'est un transfert de données personnelles. La solution conforme consiste à auto-héberger les polices sur votre propre domaine via @font-face.

Peut-on encore utiliser Google Analytics en France ?

Sous conditions. Google Analytics côté client pose deux problèmes : il nécessite le consentement (traceur non exempté) et il implique un transfert vers les États-Unis. Les options conformes sont de le proxifier en anonymisant IP et identifiants, ou de le remplacer par une solution de mesure d'audience européenne exemptée par la CNIL.

Qui est responsable du transfert : Google ou l'éditeur du site ?

L'éditeur du site. Même si c'est le service tiers qui initie techniquement la connexion depuis le navigateur du visiteur, c'est l'éditeur qui a choisi d'intégrer ce service et qui reste responsable du traitement et du transfert au sens du RGPD (articles 44 à 49).

Le pixel Meta est-il interdit ?

Il n'est pas interdit, mais il ne doit se déclencher qu'après un consentement explicite, et le transfert vers les États-Unis doit reposer sur une base valable (clauses contractuelles types, décision d'adéquation, ou cadre EU-US Data Privacy Framework documenté). Sans consentement préalable, sa présence au chargement est un manquement.

Sources et références

Les données et affirmations de cet article sont sourcées auprès d'autorités publiques et d'études peer-reviewed.

Prêt à initier vos équipes à l'IA ?

Le Passeport IA est un workshop de 7 heures qui rend vos collaborateurs autonomes avec les outils d'IA.

Demander un devis ← Tous les articles

Articles similaires

RGPD Cookies

Bandeau cookies conforme à la CNIL : le guide 2026

Bouton « Tout refuser », dépôt avant consentement, durée de vie : ce qu'un bandeau cookies doit respecter en 2026 pour être conforme à la CNIL — et comment le vérifier.

RGPD Mentions-legales

Politique de confidentialité et mentions légales : ce que la loi exige vraiment

Mentions légales, politique de confidentialité, droits des personnes : la liste des obligations réellement opposables en 2026, sourcée RGPD, LCEN et CNIL.

RGPD IA

RGPD et intelligence artificielle en entreprise : guide de conformité 2026

Utiliser l'IA en entreprise en conformité RGPD est possible. Guide pratique 2026 : quels outils sont conformes, quelles données protéger, et comment former vos équipes.