Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Matomo (anciennement Piwik) est une plateforme d'analyse web open-source qui est la principale alternative conforme au RGPD à Google Analytics. Il peut être auto-hébergé sur votre propre infrastructure ou utilisé via Matomo Cloud (hébergé en Allemagne). Matomo auto-hébergé en mode sans cookies et avec anonymisation des IP est la seule grande plateforme analytique pouvant être déployée sans bannière de consentement selon les critères d'exemption CNIL. Vous possédez 100% de vos données sans transfert vers des pays tiers.
Matomo (anciennement Piwik) est la principale plateforme d''analyse d''audience open source, utilisée par plus d''un million de sites dans le monde. Le logiciel est édité par InnoCraft Ltd sous licence GPLv3 et peut être déployé de deux manières: en auto hébergement sur l''infrastructure du site (PHP et MySQL), ou via Matomo Cloud, l''édition SaaS hébergée en France chez OVHcloud. Matomo mesure les pages vues, sessions, conversions, événements e commerce et comportements sur la page via un tag JavaScript (matomo.js) et une requête image (matomo.php).
Comparé à Google Analytics, Matomo laisse à l''éditeur la maîtrise complète de la localisation, de la durée de conservation et de la réutilisation des données, ce qui en fait la solution de référence pour les organisations qui visent l''exemption CNIL de mesure d''audience.
Dans sa configuration par défaut Matomo dépose des cookies first party sur le domaine de l''éditeur: _pk_id (identifiant visiteur, 13 mois selon la recommandation CNIL), _pk_ses (compteur de session, 30 minutes), _pk_ref (référent, 6 mois), _pk_cvar (variables personnalisées, 30 minutes), _pk_hsr (heatmap et session recording, 30 minutes, si le plugin HSR est actif) et _pk_testcookie (test navigateur, quelques secondes). Matomo peut aussi fonctionner en mode sans cookie en utilisant une empreinte côté serveur (IP tronquée, user agent et jour de visite) régénérée toutes les 24 heures. Même en mode sans cookie, des cookies de configuration peuvent être écrits sur le terminal, donc l''article 5(3) ePrivacy s''applique sauf si les conditions de l''exemption mesure d''audience sont réunies.
L''exemption CNIL (guide mesure d''audience, mars 2022) autorise Matomo à fonctionner sans consentement si la configuration est strictement anonymisée: troncature IP sur au moins les deux derniers octets, pas de suivi inter sites ni inter appareils, pas de réutilisation commerciale, pas de partage avec des tiers, conservation limitée à 13 mois pour les cookies visiteurs et 25 mois pour les rapports agrégés, mécanisme d''opposition toujours disponible. Lorsque ces conditions sont réunies, la base légale est l''intérêt légitime (art. 6 1 f du RGPD) et l''obligation de consentement de l''article 5(3) ePrivacy est levée. Hors exemption (suivi inter sites, déclenchement de tags marketing via Matomo Tag Manager, partage avec des tiers, publicité comportementale), un consentement explicite est requis et Matomo doit n''être chargé qu''après acceptation.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sur Matomo Cloud, les serveurs sont localisés en France chez OVHcloud (Roubaix et Strasbourg). InnoCraft, l''opérateur, est établi à Wellington (Nouvelle Zélande), pays couvert par la décision d''adéquation de la Commission européenne du 19 décembre 2012, ce qui permet le transfert sans garanties supplémentaires. Matomo auto hébergé ne génère aucun transfert sauf si l''éditeur déploie l''application hors EEE. L''accord de traitement Matomo publié est conforme à l''article 28 du RGPD et inclut les clauses contractuelles types pour les éventuels sous traitants ultérieurs.
Activez l''anonymisation IP sur au moins deux octets (setIPv4Anonymize) et n''enregistrez jamais l''IP complète dans les logs bruts. Désactivez la fonction User ID sauf finalité contractuelle claire. Limitez la conservation à 13 mois pour les logs visiteurs et 25 mois pour les rapports agrégés dans le panneau Vie privée. Documentez la configuration dans votre registre des traitements (art. 30 RGPD) et dans votre politique de confidentialité. Si vous utilisez aussi Matomo Tag Manager pour charger des pixels marketing, considérez l''ensemble comme soumis à consentement. Vérifiez l''absence des plugins de profilage (Heatmaps et Session Recording, Form Analytics, Funnels) lorsque vous vous appuyez sur l''exemption.
Les options privacy first comparables incluent Plausible Analytics (sans cookie, hébergé en Allemagne), Fathom Analytics, Piano Analytics (anciennement AT Internet, exempté CNIL par défaut), Umami et Open Web Analytics. Migrer depuis Matomo reste simple car le schéma SQL est documenté et l''API permet l''export en masse. Conservez vos historiques pendant la durée légale de conservation avant suppression de la base, conformément à l''article 5 1 e du RGPD sur la limitation de la conservation.
Les sites web utilisant Matomo doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Dans la configuration exemptée de consentement, une AIPD complète n'est généralement pas requise car le risque résiduel est faible : données conservées dans l'UE (Cloud) ou en interne (auto hébergé), IP anonymisées, pas d'enrichissement de profil, pas de partage avec des tiers. Une AIPD devient recommandée si Matomo est utilisé avec des plugins d'enrichissement de profil, du retargeting, de l'A/B testing, du session replay avancé ou un suivi étendu d'utilisateurs identifiés. Documentez la configuration dans tous les cas (niveau d'anonymisation, durée des cookies, plugins activés, rétention) afin que le DPO puisse démontrer la conformité au titre de l'accountability (article 5(2) RGPD).
Exemple de texte de consentement
Nous utilisons Matomo, une plateforme d'analyse d'audience open source, pour mesurer la fréquentation du site et comprendre quels contenus vous sont utiles. Selon notre configuration, Matomo fonctionne soit sans cookies sous l'exemption CNIL réservée à la mesure d'audience (adresse IP anonymisée, pas de suivi inter sites, pas de réutilisation commerciale), soit avec les cookies _pk_id, _pk_ses et _pk_ref conservés jusqu'à 13 mois. Sur Matomo Cloud, vos données sont traitées en France par InnoCraft Ltd, société néo zélandaise bénéficiant de la décision d'adéquation européenne de 2012. Vous pouvez refuser ou retirer votre consentement à tout moment depuis notre panneau de préférences, même lorsque Matomo fonctionne sous l'exemption.
Domaines tiers contactes
matomo.cloudmatomo.cloudmatomo.orgmatomo.orgmatomo.orgcloud.matomo.orginnocraft.cloudinnocraft.cloudcdn.matomo.cloudplugins.matomo.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _pk_id | persistent | 13 months | Matomo visitor identifier cookie — not set in cookieless mode; identifies unique visitors for analytics |
| _pk_id | First party (Matomo) | 13 months | Visitor identifier used to recognise returning visitors. Stores a random anonymous ID. |
| _pk_id.{siteId}.{hash} | HTTP cookie (first party) | 13 months (configurable) | Stores the unique Matomo visitor identifier used to distinguish returning users from new users and to link multiple sessions to the same visitor profile. |
| _pk_ses | session | Session | Matomo session cookie for grouping page views within a single visit — not set in cookieless mode |
| _pk_ses | First party (Matomo) | 30 minutes | Short lived session cookie used to track if the current visit is ongoing. |
| _pk_ses.{siteId}.{hash} | HTTP cookie (first party) | 30 minutes | Marks the current visitor session as active. The cookie expires 30 minutes after the last tracked event, at which point any new event starts a new session. |
| _pk_ref.{siteId}.{hash} | HTTP cookie (first party) | 6 months | Stores the campaign, search engine or external referrer information that led the user to the site, so attribution reports can be built without re reading the Referer header on every page. |
| _pk_ref | First party (Matomo) | 6 months | Stores the original referrer or campaign attribution for the visitor. |
| _pk_cvar | First party (Matomo) | 30 minutes | Stores temporary custom variables for the current visit (legacy). |
| _pk_cvar.{siteId}.{hash} | HTTP cookie (first party) | 30 minutes | Temporarily stores custom variables set via the setCustomVariable API at session scope. Only present if the website uses custom variables. |
| _pk_testcookie | HTTP cookie (first party) | Session | Short lived test cookie used by Matomo to verify whether the browser accepts cookies. Deleted immediately after the test. |
| _pk_testcookie | First party (Matomo) | Session | Used by Matomo to test whether cookies are supported by the browser. |
| mtm_consent | First party (Matomo Tag Manager) | 30 years (configurable) | Stores the consent decision of the visitor for Matomo Tag Manager. |
Matomo collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Oui. Matomo en mode sans cookies avec anonymisation des IP répond aux critères d'exemption CNIL pour les analyses sans consentement. Configurez : désactivez tous les cookies, anonymisez les IP (au moins 2 octets), désactivez le suivi inter-sites, aucun partage de données tierces. Cette configuration ne nécessite aucune bannière de cookies.
La CNIL a défini des critères selon lesquels les outils analytiques peuvent fonctionner sans consentement : suivi sans cookies, anonymisation des IP, données sur un seul site (pas inter-sites), données utilisées uniquement à des fins statistiques internes, pas de partage de données avec des tiers. Matomo est l'un des rares outils capables de répondre à tous ces critères.
Auto-hébergé : aucun transfert — les données restent sur votre serveur. Matomo Cloud : hébergé en Allemagne, aucun transfert hors de l'UE. Aucune option ne nécessite de CCT. C'est l'avantage principal de Matomo par rapport à Google Analytics pour les organisations européennes.
Auto-hébergé : vous installez Matomo sur votre propre serveur, contrôle total des données, logiciel open-source gratuit, nécessite une configuration technique. Matomo Cloud : hébergé par InnoCraft en Allemagne, service géré, abonnement payant, aucune configuration technique, nécessite un accord de traitement avec InnoCraft.
Matomo dépose des cookies par défaut (_pk_id pour l'identifiant visiteur, _pk_ses pour la session, _pk_ref pour la référence) mais ceux-ci peuvent être désactivés en mode sans cookies. Sans cookies, Matomo utilise un hachage basé sur le jour de l'IP et de l'agent utilisateur pour le regroupement temporaire des sessions.
Dans l'administration Matomo, allez dans Confidentialité : activez l'anonymisation des IP (anonymisez les 2 premiers octets), activez le suivi sans cookies (désactivez tous les cookies propriétaires), désactivez l'empreinte numérique. Vérifiez dans les outils de développement du navigateur qu'aucun cookie n'est déposé lors de la visite du site suivi.
Oui, Matomo fournit des fonctionnalités d'enregistrement de sessions et de heatmaps. Ces fonctionnalités traitent des sessions utilisateurs individuelles et nécessitent un consentement, comme les outils payants. L'exemption sans cookies ne s'applique pas aux fonctionnalités d'enregistrement de sessions.
Matomo est significativement plus simple pour la conformité RGPD : hébergé en Europe (aucun transfert vers les États-Unis), peut fonctionner sans consentement en mode sans cookies, vous possédez toutes les données, open-source et auditable. Google Analytics nécessite un consentement, des CCT US, un accord de traitement avec Google et a été jugé non conforme par plusieurs APD européennes.
Par défaut Matomo dépose quatre cookies propriétaires : _pk_id (identifiant visiteur, 13 mois), _pk_ses (session, 30 minutes), _pk_ref (attribution du référent, 6 mois) et quelques cookies de configuration à courte durée. Les cookies peuvent être totalement désactivés par configuration : Matomo bascule alors sur une identification sans cookie valable uniquement le temps de la visite.
Cela dépend de la configuration. En France la CNIL autorise Matomo sans consentement si le profil de durcissement est appliqué (IP anonymisée, pas de fingerprinting, cookie 13 mois maximum, opt out, pas de suivi inter sites). En Allemagne le TDDDG impose en règle générale un consentement pour tout cookie non essentiel, sauf en mode totalement cookieless. En Espagne, l'AEPD reprend la position de la CNIL.
Sous l'exemption CNIL ou AEPD, la base légale est l'intérêt légitime (article 6.1.f du RGPD) à condition d'avoir réalisé et documenté un test de mise en balance. En dehors de l'exemption, ou pour tout suivi inter sites, la base légale est le consentement (article 6.1.a du RGPD combiné à l'article 5.3 de la directive ePrivacy transposé à l'article 82 de la loi Informatique et Libertés).
Non. Matomo Cloud est hébergé intégralement dans l'Union européenne (France et Allemagne) et Matomo auto hébergé fonctionne sur l'infrastructure que vous contrôlez. Il n'y a aucun transfert de données personnelles aux États-Unis, ce qui place Matomo hors du périmètre Schrems II et en fait un choix solide pour les organisations sensibles aux transferts internationaux.
Une AIPD n'est généralement pas requise pour Matomo configuré en mode privacy sur une infrastructure UE, avec IP anonymisée et sans suivi inter sites. Elle devient recommandée si vous suivez des catégories sensibles (enfants, santé), si vous croisez les données Matomo avec des identifiants nominatifs de votre CRM, ou si vous traitez des volumes très importants relevant des critères de risque élevé de l'EDPB.
Installez Matomo sur une infrastructure UE ou souscrivez à Matomo Cloud (UE). Dans l'administration, activez l'anonymisation IP (2 octets), désactivez le fingerprinting, plafonnez les cookies à 13 mois, désactivez le suivi inter sites, respectez Do Not Track et publiez l'opt out. Mettez à jour la politique de confidentialité et le registre article 30. Si le consentement est requis, intégrez Matomo à votre CMP via l'API _paq.push.
Les alternatives orientées privacy incluent Plausible Analytics (UE, sans cookies), Fathom Analytics (UE/US), Piwik PRO (UE, entreprise), Pirsch (UE, sans cookies) et Umami auto hébergé. Pour une parité fonctionnelle plus large, comparez avec Google Analytics 4, Adobe Analytics ou Mixpanel, qui exigent toutefois un consentement explicite et une analyse approfondie des transferts.
Ajoutez une entrée dédiée listant les quatre cookies Matomo (_pk_id, _pk_ses, _pk_ref, plus les cookies de configuration), leur finalité (mesure d'audience), leur durée, la base légale (intérêt légitime avec durcissement ou consentement), le lieu d'hébergement (UE) et un lien d'opt out cliquable. Reportez ces informations dans votre CMP afin que les visiteurs puissent retirer leur consentement à tout moment.