Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
GoatCounter est un outil d'analytics web open source orienté privacy, créé par Martin Tournoij. La version hébergée est gratuite pour les usages non commerciaux ; la version EUPL auto hébergée offre le contrôle total. GoatCounter est volontairement minimaliste : pas de cookies, pas d'identifiants persistants, pas de tracking IP et pas de fingerprinting. Le service hébergé tourne sur infrastructure UE. Il bénéficie en règle générale de l'exemption analytics de la CNIL en configuration par défaut.
GoatCounter est un outil d''analytics web open source orienté privacy, créé par le développeur néerlandais Martin Tournoij, basé en Irlande. Il est distribué sous licence EUPL 1.2 et est disponible soit en SaaS hébergé (gratuit pour usage non commercial sous 100k pages vues par mois, payant au delà ou pour usage commercial), soit en version auto hébergée sous forme d''un binaire unique écrit en Go. GoatCounter est volontairement minimaliste : il compte des pages vues et produit des statistiques agrégées, sans chercher à concurrencer Google Analytics sur la richesse fonctionnelle. Cette frugalité est délibérée et constitue la base de son architecture privacy friendly.
Pour chaque page vue, GoatCounter reçoit l''URL de la page, le referrer du document, le user agent (parsé en navigateur et OS), la taille d''écran et l''IP du visiteur. L''IP est immédiatement hachée server side avec un sel rotatif toutes les 8 heures ; le hash est utilisé pour compter les visiteurs uniques sur cette fenêtre puis devient non réversible. Aucun cookie n''est déposé. Aucun identifiant persistant n''est stocké côté terminal ou serveur. Pas de fingerprinting. La sortie est un dashboard agrégé : pages vues, referrers, navigateurs, pays (par géolocalisation IP avant hachage) et appareils.
Parce qu''aucun cookie n''est déposé et qu''aucune information n''est stockée sur ou lue depuis le terminal du visiteur, l''art. 5(3) de la directive ePrivacy ne s''applique pas à GoatCounter. Sous RGPD, la base légale est l''intérêt légitime de l''art. 6(1)(f) : exploiter un site et en comprendre le trafic agrégé. La délibération CNIL 2020-091 liste les outils analytics répondant à certains critères (pas de cookies, pas d''identifiant cross site, sortie agrégée, résidence UE) comme exemptés de consentement préalable ; GoatCounter satisfait ces critères en configuration par défaut.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le service hébergé tourne sur infrastructure UE (Allemagne) sous contrôle de l''auteur. L''auto hébergé est un binaire unique que l''opérateur exécute sur son propre serveur (Linux, conteneur, VPS). L''auto hébergement donne le contrôle total sur résidence, rétention et réponse aux incidents. Pour les opérateurs soumis à des exigences strictes de résidence ou de souveraineté, l''auto hébergement sur infrastructure UE est une option solide. Les installations auto hébergées doivent être sauvegardées régulièrement et mises à jour pour recevoir les correctifs de sécurité.
GoatCounter n''a pas besoin de figurer sur la bannière cookies puisqu''il ne dépose pas de cookies. Certains opérateurs choisissent de le mentionner dans la politique de confidentialité pour la transparence, sans que cela soit techniquement requis. Les opérateurs utilisant GoatCounter seul (sans Google Analytics, Meta Pixel ou autres trackers à consentement) peuvent dans de nombreux cas se passer entièrement de bannière cookies, ce qui améliore l''expérience utilisateur et la conversion.
Utiliser GoatCounter en configuration par défaut (pas de collecte IP, pas de cookies) pour rester dans l''exemption CNIL. L''inscrire au registre des traitements sous intérêt légitime pour sécurité et statistiques. Mentionner GoatCounter dans la politique de confidentialité avec les catégories de données (URL, referrer, user agent, pays, taille d''écran) et la base légale. Respecter le signal Do Not Track comme GoatCounter le fait par défaut. Configurer le filtre de pages vues pour exclure les URL d''admin si besoin. Ne pas combiner GoatCounter avec des identifiants cross site ou d''autres outils de tracking sans accepter les obligations de consentement qui en découlent.
Les sites web utilisant GoatCounter doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
GoatCounter présente par construction très peu d'enjeux AIPD : (1) aucun cookie déposé ; (2) aucun identifiant visiteur persistant ; (3) les IP sont hachées server side avec un sel rotatif de 8 heures pour le comptage de visiteurs uniques quotidiens, ensuite irréversibles ; (4) données hébergées en Union européenne ; (5) seules des statistiques agrégées sont produites (vues, referrers, pays, navigateur, taille d'écran). La CNIL accepte cette conception comme relevant de l'exemption de l'analytics dans sa délibération 2020-091, à condition que l'opérateur ne combine pas GoatCounter avec d'autres outils de tracking. Une AIPD n'est en général pas requise.
Exemple de texte de consentement
Nous utilisons GoatCounter (exploité depuis l'Union européenne) pour compter les visites et comprendre quelles pages sont populaires. GoatCounter ne dépose aucun cookie sur votre appareil, ne stocke pas votre adresse IP (brièvement hachée pour le comptage quotidien d'uniques puis supprimée) et ne vous suit ni entre sessions ni entre sites. Nous collectons uniquement des statistiques agrégées au titre de notre intérêt légitime. Aucun consentement n'est requis ; vous pouvez signaler votre opt out via le signal Do Not Track du navigateur, que nous respectons.
GoatCounter collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Non. GoatCounter ne dépose aucun cookie sur l'appareil du visiteur. C'est un choix de design délibéré et la raison principale pour laquelle il bénéficie de l'exemption analytics de la CNIL.
Non. Comme GoatCounter ne stocke ni ne lit d'informations sur le terminal du visiteur, l'art. 5(3) ePrivacy ne s'applique pas. La délibération CNIL 2020-091 accepte les outils analytics qui satisfont certains critères (pas de cookies, pas d'identifiant cross site, sortie agrégée, résidence UE) comme exemptés de consentement, et GoatCounter satisfait ces critères en configuration par défaut.
Intérêt légitime de l'art. 6(1)(f) RGPD : exploiter le site et comprendre le trafic agrégé. L'adresse IP est traitée brièvement sous cette base pour calculer le hash quotidien de comptage d'uniques.
Non. Le service hébergé tourne sur infrastructure UE (Allemagne). Les installations auto hébergées sont sous contrôle de l'opérateur. L'auteur s'est publiquement engagé à conserver toutes les données hébergées dans l'UE.
Non, une AIPD n'est en général pas requise. L'architecture privacy by design (pas de cookies, pas d'identifiant persistant, résidence UE, sortie agrégée) le maintient bien en dessous du seuil de risque élevé de l'art. 35 RGPD.
Utiliser la configuration par défaut avec collecte IP désactivée et le snippet count.js standard. L'inscrire au registre des traitements sous intérêt légitime. Mentionner GoatCounter dans la politique de confidentialité avec catégories de données et base légale. Respecter Do Not Track. Configurer les filtres de pages vues pour les URL d'admin si besoin. Ne pas combiner GoatCounter avec des identifiants cross site ou un autre tracking qui annulerait les garanties privacy.
Autres outils analytics privacy friendly : Plausible (Estonie), Simple Analytics (Pays-Bas), Fathom (Canada), Pirsch (Allemagne), Umami (open source, US), Open Web Analytics (open source, auto hébergé), Matomo (France, auto hébergé ou cloud UE) et Cabin (Canada). Les options UE comme Plausible, Simple Analytics et Pirsch partagent la posture privacy de GoatCounter.
GoatCounter n'a pas à figurer sur la bannière cookies puisqu'il ne dépose pas de cookies. Dans la politique de confidentialité, le mentionner comme sous traitant (ou comme infrastructure auto hébergée) avec catégories de données collectées (URL, referrer, user agent, pays, taille d'écran), base légale (intérêt légitime), durée de conservation et localisation UE. Aucun mécanisme de retrait n'est requis, mais Do Not Track est honoré automatiquement.