Analytics sans cookies : guide complet pour mesurer sans consentement

TL;DR — L'analytics sans cookies désigne les méthodes de mesure d'audience qui ne déposent pas de cookies analytiques soumis à consentement. Deux approches principales existent : l'exemption CNIL (outils configurés strictement selon la délibération de 2020) et les solutions cookieless qui utilisent des techniques de mesure alternatives. Ces méthodes permettent de mesurer le trafic sans bannière de consentement, sous des conditions précises.

Mesurer l'audience d'un site sans cookies analytiques est devenu un enjeu central depuis 2022. La CNIL a durci l'application de la directive ePrivacy, Google Analytics a fait l'objet de décisions défavorables dans plusieurs pays européens, et les taux de refus des bannières ont grimpé. Beaucoup de sites se retrouvent avec moins de 60 % de couverture analytics. Ce guide présente les solutions disponibles, leurs conditions d'usage et leurs limites réelles.

Qu'est-ce que l'analytics sans cookies ?

L'analytics sans cookies désigne l'ensemble des techniques de mesure de trafic web qui ne reposent pas sur le dépôt de cookies persistants soumis à consentement. Cela couvre deux grandes familles : les outils bénéficiant d'une exemption réglementaire et les alternatives qui contournent les cookies par d'autres mécanismes techniques.

Ce que « sans cookies » signifie vraiment

Attention : « sans cookies » ne signifie pas « sans aucune donnée ». Certains outils utilisent des session tokens côté serveur, d'autres agrègent les données sans identifier les individus. L'absence de cookie n'implique pas l'absence de traitement de données personnelles au sens du RGPD. La question est de savoir si le traitement permet ou non d'identifier un individu.

Exemption CNIL vs alternatives cookieless

La première catégorie : les outils d'audience bénéficiant d'une exemption réglementaire (Matomo en mode strict, certaines solutions analytics européennes reconnues). La seconde : les solutions cookieless alternatives qui utilisent d'autres techniques non soumises à consentement (logs serveur, données agrégées, modélisation). Ces deux approches ont des conditions d'usage et des niveaux de précision très différents.

L'exemption CNIL pour les outils de mesure d'audience

La CNIL accorde une exemption de consentement aux outils de mesure d'audience qui respectent un ensemble de conditions strictes, définies dans la délibération du 28 septembre 2020 et précisées en 2023. Un outil bénéficiant de cette exemption peut être déployé sans bannière de cookies pour la partie analytics.

Les cinq conditions de l'exemption

1. Finalité strictement limitée : mesure d'audience uniquement, sans profilage ni croisement avec d'autres données.
2. Portée restreinte au site : les données ne peuvent pas être partagées avec des tiers ni utilisées pour d'autres domaines.
3. Durée limitée : conservation maximale de 13 mois pour les données et 6 mois pour la validité du consentement associé.
4. Information des utilisateurs : les visiteurs doivent être informés de l'existence de la mesure et disposer d'un opt-out.
5. Pas de suivi cross-sites : aucune mise en relation du même utilisateur entre plusieurs domaines différents.

Quels outils sont compatibles ?

Matomo (anciennement Piwik) est l'outil de référence pour l'exemption CNIL, à condition d'être configuré en mode « exempt » : désactivation des cookies, anonymisation de l'IP, stockage local minimal, pas de partage de données. En configuration standard, Matomo dépose des cookies et n'est pas exempt. D'autres solutions analytics hébergées en Europe visent également cette exemption. Google Analytics 4, dans sa configuration standard, ne satisfait pas aux conditions : les données transitent par des serveurs américains et sont potentiellement croisées avec d'autres services Google.

Les alternatives cookieless disponibles

Au-delà de l'exemption CNIL, plusieurs approches permettent de mesurer l'audience sans cookie de tracking soumis à consentement.

Analyse des logs serveur

Les logs d'accès du serveur (Apache, Nginx) enregistrent chaque requête sans cookie. Cette technique est légale sans consentement (données de fonctionnement du service) et fournit des données de trafic globales. Limites : elle ne distingue pas les bots des humains, ne capture pas le comportement dans la page (scroll, clics) et reste moins précise qu'un outil analytics moderne. Utile pour les sites simples ou en complément d'une autre solution.

Données agrégées et modélisation

Certains outils proposent des données agrégées et anonymisées, sans chercher à identifier les individus. Ils estiment des tendances (pages populaires, sources de trafic, taux de rebond approximatif) sur la base de données de session non persistantes. Ces approches sont moins précises mais n'exigent pas de consentement si aucune donnée personnelle n'est traitée au sens du RGPD.

Google Consent Mode v2 et modélisation des conversions

Google Consent Mode v2 permet d'activer une modélisation statistique des conversions même sans consentement explicite. En mode de base (basic), GA4 envoie des signaux agrégés sans identifier les utilisateurs refusants, puis Google modélise les conversions manquantes. Cette approche ne remplace pas un analytics complet, mais récupère une partie des données perdues. Elle reste soumise au droit européen et nécessite une CMP valide. Pour la configuration, voir le guide /fr/blog/google-consent-mode-v2-guide-implementation sur FlowConsent.

Erreurs fréquentes

Confondre « cookieless » et « sans consentement ». Un outil peut être cookieless mais traiter des données personnelles (empreinte numérique, adresse IP) qui nécessitent une base légale.

Croire que Matomo est exempt par défaut. Matomo en configuration standard dépose des cookies et n'est pas exempt. L'exemption requiert une configuration spécifique et documentée.

Oublier l'information des utilisateurs. L'exemption CNIL ne dispense pas d'informer les visiteurs dans la politique de confidentialité et de leur offrir un opt-out.

Penser que GA4 est exempt. GA4 n'est pas exempt de consentement selon la CNIL. Il nécessite une CMP valide et le Consent Mode v2 pour être utilisé légalement en France.

Combiner plusieurs outils sans audit préalable. Installer un outil cookieless en parallèle de GA4 peut créer des doublons et des questions de base légale. Documenter chaque traitement dans le registre RGPD.

Checklist analytics sans cookies

1. Identifier le besoin : mesure d'audience uniquement ou suivi des conversions et publicité.
2. Si mesure d'audience : évaluer Matomo en mode exempt ou une solution analytics européenne reconnue.
3. Vérifier les cinq conditions CNIL : finalité, portée, durée, information, pas de cross-sites.
4. Si suivi des conversions nécessaire : activer Google Consent Mode v2 avec une CMP conforme.
5. Documenter tous les traitements analytics dans le registre des activités de traitement.
6. Informer les visiteurs dans la politique de confidentialité, avec lien d'opt-out.
7. Tester en navigation privée qu'aucun script analytics soumis à consentement ne se charge sans accord.
8. Auditer le site sur /fr/scan pour identifier tous les cookies analytiques actifs.
9. Planifier un re-scan après chaque mise à jour de l'outil analytics.
10. Consulter un DPO si plusieurs outils sont combinés ou si le site traite des données sensibles.

L'analytics sans cookies est un arbitrage entre précision des données, conformité réglementaire et ressources techniques. L'exemption CNIL est la voie la plus directe pour les sites cherchant à se libérer de la bannière analytics, sous conditions strictes. Pour les sites avec des enjeux de conversion et de publicité, le Consent Mode v2 reste indispensable en complément. Scannez votre site sur /fr/scan pour voir exactement quels cookies analytiques sont actifs.