Matomo et les cookies : faut-il quand meme un bandeau ?

TL;DR

Matomo peut etre utilise sans bandeau cookies et sans consentement prealable, mais uniquement si l'outil est configure en mode "exempte" selon les criteres de la CNIL. Cette exemption impose des conditions strictes : finalite limitee a la mesure d'audience pour le compte exclusif de l'editeur, pas de croisement de donnees, pas de partage avec des tiers, anonymisation de l'IP, duree de vie des cookies de 13 mois maximum et conservation des donnees de 25 mois maximum. Si une seule condition n'est pas respectee, le consentement redevient obligatoire.

Matomo est-il exempte de consentement selon la CNIL ?

La CNIL a confirme que Matomo peut etre utilise pour collecter des donnees de mesure d'audience sans consentement prealable de l'utilisateur. Matomo est le seul outil d'analytics explicitement cite par la CNIL dans sa documentation sur l'exemption.

Cette exemption n'est pas automatique. Elle ne s'applique que si Matomo est configure d'une maniere tres specifique. Par defaut, Matomo utilise des cookies first-party et ne partage pas de donnees avec des tiers, ce qui est un bon point de depart. Mais plusieurs fonctionnalites doivent etre desactivees pour rester dans le perimetre de l'exemption.

L'exemption de consentement pour la mesure d'audience est prevue par l'article 82 de la loi Informatique et Libertes. Elle couvre les traceurs dont la finalite se limite strictement a la mesure d'audience, pour le compte exclusif de l'editeur du site, sans recoupement de donnees et sans transmission a des tiers.

Quelles sont les conditions de l'exemption CNIL ?

La CNIL definit des criteres precis pour qu'un outil de mesure d'audience soit exempte de consentement. Voici les conditions a respecter pour Matomo.

Finalite strictement limitee a la mesure d'audience

L'outil doit servir uniquement a produire des statistiques anonymes et agregees : pages vues, temps passe, sources de trafic, taux de rebond. Aucune utilisation a des fins de ciblage publicitaire, de profilage ou de personnalisation de contenu n'est autorisee.

Pas de croisement de donnees avec d'autres traitements

Les donnees collectees par Matomo ne doivent pas etre recoupees avec d'autres bases de donnees (CRM, emailing, publicite). Chaque site doit avoir ses propres donnees, independantes.

Pas de partage avec des tiers

Les donnees ne doivent pas etre transmises a des tiers, y compris a d'autres filiales du meme groupe. C'est l'une des raisons pour lesquelles Google Analytics ne beneficie pas de cette exemption : les donnees sont transmises a Google, qui les utilise pour ses propres finalites.

Anonymisation de l'adresse IP

L'adresse IP de l'utilisateur doit etre anonymisee. Dans Matomo, il faut activer l'anonymisation d'au moins les deux derniers octets de l'adresse IPv4 (par exemple, 192.168.xxx.xxx).

Duree de vie des cookies limitee a 13 mois

Les cookies de mesure d'audience ne doivent pas avoir une duree de vie superieure a 13 mois. Cette duree ne doit pas etre prolongee automatiquement lors des nouvelles visites.

Conservation des donnees limitee a 25 mois

Les donnees collectees par l'intermediaire des traceurs doivent etre conservees pour une duree maximale de 25 mois.

Information de l'utilisateur

Meme en mode exempte, l'utilisateur doit etre informe de l'existence des traceurs et de leur finalite, par exemple dans la politique de cookies du site. L'exemption porte sur le consentement, pas sur l'information.

Comment configurer Matomo en mode exempte ?

La CNIL a publie un guide de configuration detaille pour Matomo. Voici les etapes principales.

Desactivez les rapports "Journal des visites" et "Profil du visiteur" (dans Administration, Systeme, Parametres generaux, section Live). Ces fonctionnalites permettent d'identifier individuellement les visiteurs, ce qui sort du perimetre de l'exemption.

Activez l'anonymisation de l'IP (dans Administration, Vie privee, Anonymiser les donnees). Anonymisez au minimum les deux derniers octets de l'adresse IPv4.

Verifiez que le cross-domain tracking n'est pas active. En mode exempte, chaque site doit etre mesure independamment, sans suivi inter-sites.

Verifiez que les cookies tiers ne sont pas actives. Par defaut, Matomo utilise des cookies first-party, ce qui est correct.

Verifiez que le User ID n'est pas utilise. En mode exempte, aucun identifiant personnel (login, email, etc.) ne doit etre associe aux visites.

Verifiez que les fonctionnalites e-commerce ne sont pas activees. Le suivi des commandes et des paniers d'achat necessite un consentement.

Configurez la duree de vie du cookie de visite a 13 mois maximum et la retention des donnees a 25 mois maximum.

Faut-il quand meme un bandeau cookies avec Matomo ?

Si Matomo est votre seul outil de tracking et qu'il est configure en mode exempte CNIL, vous n'avez pas besoin de recueillir le consentement pour Matomo specifiquement. Cela ne signifie pas que vous n'avez besoin d'aucun bandeau.

Si votre site utilise d'autres traceurs qui necessitent un consentement (Google Ads, Facebook Pixel, YouTube embeds, boutons de partage social, etc.), vous avez toujours besoin d'un bandeau cookies conforme pour ces traceurs. Matomo sera simplement exclu de la demande de consentement.

Si votre site n'utilise que Matomo en mode exempte et aucun autre traceur, un bandeau cookies n'est pas requis. Cependant, vous devez toujours informer l'utilisateur de l'existence du traceur dans votre politique de confidentialite ou de cookies. Vous devez aussi proposer un mecanisme d'opposition (opt-out), par exemple via le widget Matomo d'opt-out ou en respectant le signal Do Not Track du navigateur.

Un scan de votre site permet de verifier que Matomo est le seul traceur present et qu'aucun cookie non exempte n'est depose.

Matomo vs Google Analytics : pourquoi la CNIL les traite differemment

Google Analytics ne beneficie pas de l'exemption CNIL pour la mesure d'audience. La raison principale est que les donnees collectees par Google Analytics sont transmises a Google, qui les utilise potentiellement pour ses propres finalites (publicite, amelioration de ses services). Ce partage avec un tiers disqualifie Google Analytics de l'exemption.

Matomo, en version auto-hebergee (on-premise) ou en version cloud (hebergee en Europe par InnoCraft), conserve les donnees exclusivement pour le compte de l'editeur du site. InnoCraft s'engage contractuellement a ne pas utiliser les donnees pour son propre compte et a ne pas les partager avec des tiers.

Cette difference fondamentale explique pourquoi Matomo peut fonctionner sans consentement en France (sous conditions), alors que Google Analytics necessite toujours un consentement prealable.

Erreurs frequentes (et comment les eviter)

Croire que Matomo est automatiquement exempte. L'exemption ne s'applique que si Matomo est configure selon les criteres de la CNIL. Une installation par defaut n'est pas forcement conforme. Correction : suivez le guide de configuration CNIL point par point et documentez votre configuration dans votre registre des traitements.

Activer des fonctionnalites qui sortent du perimetre. Le User ID, le e-commerce tracking, les heatmaps, les session recordings et le cross-domain tracking necessitent un consentement. Si vous activez l'une de ces fonctionnalites, l'exemption ne s'applique plus a l'ensemble de votre installation Matomo. Correction : desactivez toutes les fonctionnalites non compatibles avec l'exemption.

Oublier d'informer les utilisateurs. L'exemption porte sur le consentement, pas sur l'information. Vous devez informer vos visiteurs de l'utilisation de Matomo dans votre politique de confidentialite. Correction : ajoutez une mention claire dans votre politique de cookies.

Ne pas proposer de mecanisme d'opposition. Meme en mode exempte, la CNIL recommande de permettre aux utilisateurs de s'opposer au suivi. Correction : integrez le widget d'opt-out Matomo ou respectez le signal Do Not Track.

Utiliser Matomo et Google Analytics en parallele. Si vous utilisez GA en plus de Matomo, le bandeau cookies est obligatoire pour GA. Et si les donnees de Matomo sont recoupees avec celles de GA ou d'un autre outil, l'exemption Matomo ne s'applique plus. Correction : si vous passez a Matomo en mode exempte, supprimez GA ou soumettez-le au consentement de maniere independante.

Checklist : Matomo en mode exempte CNIL

1. Matomo est heberge en auto-heberge (on-premise) en UE ou sur Matomo Cloud (serveurs en UE).
2. L'anonymisation de l'IP est activee (au moins les deux derniers octets).
3. Le Journal des visites et le Profil du visiteur sont desactives.
4. Le User ID n'est pas utilise.
5. Le cross-domain tracking n'est pas active.
6. Les cookies tiers ne sont pas actives.
7. Le e-commerce tracking n'est pas active.
8. La duree de vie du cookie de visite est de 13 mois maximum.
9. La conservation des donnees est de 25 mois maximum.
10. L'utilisateur est informe de l'utilisation de Matomo (politique de confidentialite).
11. Un mecanisme d'opposition (opt-out ou Do Not Track) est disponible.
12. Un audit de cookies confirme qu'aucun autre traceur non exempte n'est present.

Conclusion

Matomo est le seul outil d'analytics cite par la CNIL comme eligible a l'exemption de consentement pour la mesure d'audience. Mais cette exemption n'est pas un passe-droit : elle impose une configuration stricte, une finalite limitee et une transparence envers les utilisateurs.

Si votre site utilise d'autres traceurs (publicite, reseaux sociaux, videos integrees), vous aurez quand meme besoin d'un bandeau cookies pour ces traceurs. Matomo ne dispense du consentement que pour la partie mesure d'audience, et uniquement si les conditions CNIL sont toutes remplies.

Pour verifier les traceurs presents sur votre site et identifier ceux qui necessitent un consentement, lancez un scan gratuit avec FlowConsent.