Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Matomo (anciennement Piwik) est une plateforme d'analyse web open source qui vous donne la pleine propriété de vos données. Disponible en auto-hébergé, en cloud (serveurs UE) ou en plugin WordPress, Matomo suit le comportement des visiteurs via des cookies first-party et supporte le tracking sans cookies. Approuvé par la CNIL pour une exemption de consentement lorsqu'il est correctement configuré.
Matomo (anciennement Piwik) est une plateforme d'analyse web open source utilisée par plus d'un million de sites dans le monde, dont la Commission européenne. Contrairement à Google Analytics, Matomo offre aux opérateurs de sites la pleine propriété de leurs données. Il est disponible en auto-hébergement (On-Premise), en service cloud managé avec des serveurs basés dans l'UE, ou en plugin WordPress. Matomo propose des fonctionnalités telles que l'analyse en temps réel, les heatmaps, les enregistrements de sessions, les tests A/B, la gestion de tags et le suivi des conversions.
Par défaut, Matomo utilise des cookies first-party pour suivre les interactions des visiteurs. Les principaux cookies sont : _pk_id (stocke un identifiant visiteur unique, valide 13 mois), _pk_ses (cookie de session, valide 30 minutes), _pk_ref (stocke les données d'attribution du referrer, valide 6 mois) et _pk_cvar (stocke les variables personnalisées de session). Les cookies optionnels incluent mtm_consent (enregistre le statut de consentement), mtm_consent_removed (enregistre le refus) et _pk_hsr (utilisé pour les Heatmaps et Enregistrements de sessions). Matomo peut également fonctionner entièrement sans cookies, en utilisant une approche sans empreinte qui repose sur des hachages de visiteurs réinitialisés quotidiennement.
En vertu de la directive ePrivacy, la plupart des pays de l'UE exigent un consentement préalable avant tout suivi analytique, y compris les cookies first-party et le suivi JavaScript. Cependant, certains pays autorisent des exemptions pour les outils d'analyse respectueux de la vie privée. La France (CNIL) a spécifiquement approuvé Matomo comme l'un des rares outils éligibles à l'exemption de consentement, à condition qu'il soit configuré avec l'anonymisation des IP, le mode sans cookies, une rétention limitée des données et l'absence de suivi inter-sites. Des exemptions similaires s'appliquent en Espagne, en Italie et aux Pays-Bas sous certaines conditions. Lorsque des données personnelles telles que les adresses IP, les User IDs ou les URLs de pages contenant des informations identifiables sont traitées, le RGPD s'applique et exige une base légale (consentement ou intérêt légitime avec une évaluation documentée).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Matomo fournit une gestion du consentement intégrée via son API JavaScript, supportant le consentement au tracking (aucune requête envoyée sans consentement) et le consentement aux cookies (les requêtes de tracking sont envoyées mais aucun cookie n'est déposé sans consentement). Matomo s'intègre avec les principales CMP dont Cookiebot, OneTrust, Usercentrics, Complianz et Klaro. Pour la configuration d'exemption CNIL, Matomo doit être configuré avec des paramètres de confidentialité spécifiques : désactiver les cookies, anonymiser les IP d'au moins 2 octets, désactiver le suivi par User ID et limiter la rétention des données. Dans les juridictions ePrivacy strictes (Allemagne, Autriche, Irlande), le consentement est toujours requis quelle que soit la configuration de Matomo.
L'un des atouts majeurs de Matomo en matière de conformité est la souveraineté complète des données. Avec les installations On-Premise, toutes les données restent sur les serveurs de l'opérateur, dans le pays de son choix. Matomo Cloud stocke les données exclusivement dans des centres de données UE (Allemagne et France). Aucune donnée n'est partagée avec des tiers, et Matomo n'utilise pas les données collectées à ses propres fins. Cela contraste avec Google Analytics, qui a fait l'objet de multiples décisions des autorités de protection des données européennes (Autriche, France, Italie) pour des transferts illégaux de données vers les États-Unis.
Pour atteindre la conformité RGPD avec Matomo : choisissez On-Premise ou Matomo Cloud (serveurs UE) pour un contrôle total des données. Activez l'anonymisation des IP (2 ou 3 octets). Configurez des politiques de rétention des données adaptées à vos besoins. Documentez Matomo dans votre Registre des Activités de Traitement (RAT). Mettez à jour votre politique de confidentialité pour déclarer l'utilisation de Matomo, les cookies déposés et la base légale du traitement. Si le consentement est requis dans votre juridiction, intégrez Matomo avec une CMP ou utilisez son API de consentement intégrée. Pour l'exemption CNIL, suivez le guide officiel de configuration CNIL pour désactiver les cookies, anonymiser toutes les données personnelles et fournir un mécanisme d'opt-out. Proposez aux utilisateurs un iframe d'opt-out ou un formulaire personnalisé sur votre page de confidentialité.
Les sites web utilisant Matomo Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas nécessaire pour les déploiements standard Matomo On-Premise ou Cloud avec les paramètres de confidentialité par défaut. Cependant, une AIPD est recommandée lorsque : les Heatmaps et Enregistrements de sessions sont activés, les données de groupes vulnérables sont traitées, les données Matomo sont combinées avec d'autres sources de données personnelles, ou le suivi par User ID est utilisé pour relier les sessions à des individus identifiés.
Exemple de texte de consentement
Nous utilisons Matomo Analytics pour analyser le trafic de notre site web. Matomo utilise des cookies first-party (_pk_id, _pk_ses) pour distinguer les visiteurs uniques et suivre les sessions. Toutes les données sont stockées sur nos propres serveurs [ou dans l'UE] et ne sont jamais partagées avec des tiers. Vous pouvez refuser le suivi à tout moment. Acceptez-vous l'utilisation des cookies Matomo Analytics à des fins statistiques ?
Domaines tiers contactes
matomo.org*.matomo.cloudplugins.matomo.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _pk_id | first-party | 13 months | Stores a unique visitor ID to recognise new and returning visitors and build visitor profiles including visit count, timestamps, eCommerce orders, and goal conversions. |
| _pk_ses | first-party | 30 minutes | Used to link actions performed during a session (page views, downloads, events) to a unique visit, enabling accurate session attribution. |
| _pk_ref | first-party | 6 months | Stores referrer attribution data including the source (search engine, social media, external website, or campaign URL) that brought the visitor to the site. |
| _pk_cvar | first-party | 30 minutes (session) | Stores custom variables in key-value pairs to define additional metadata about the visitor or their actions during a session. |
| mtm_consent | first-party | Until withdrawn (default: 30 years) | Records that the visitor has given consent to be tracked. Set when using Matomo's built-in consent management or a CMP integration. |
| mtm_consent_removed | first-party | Until withdrawn (default: 30 years) | Records that the visitor has opted out of being tracked. Used when the visitor withdraws previously given consent. |
| _pk_hsr | first-party | Session | Used by Heatmap and Session Recording features to track which areas of a webpage visitors interact with and to capture session recording data. |
Matomo Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Matomo dépose quatre cookies first-party principaux : _pk_id (identifiant visiteur unique, 13 mois), _pk_ses (suivi de session, 30 minutes), _pk_ref (attribution du referrer, 6 mois) et _pk_cvar (variables personnalisées de session, 30 minutes). Les cookies optionnels incluent mtm_consent et mtm_consent_removed pour la gestion du consentement, et _pk_hsr pour les Heatmaps et Enregistrements de sessions. Matomo peut également fonctionner entièrement sans cookies.
Dans la plupart des pays de l'UE, le consentement est requis par les règles ePrivacy avant tout suivi analytique, y compris Matomo. Cependant, en France (CNIL), en Espagne, en Italie et aux Pays-Bas, Matomo peut bénéficier d'une exemption de consentement lorsqu'il est configuré avec des paramètres de confidentialité spécifiques : mode sans cookies, anonymisation des IP, absence de suivi inter-sites et rétention limitée des données. Dans les juridictions strictes comme l'Allemagne, l'Autriche et l'Irlande, le consentement est toujours requis.
Deux bases légales s'appliquent à Matomo : le consentement ou l'intérêt légitime. Le consentement est l'option la plus sûre et est requis dans la plupart des juridictions de l'UE. L'intérêt légitime peut être utilisé si vous réalisez une évaluation d'intérêt légitime (LIA) documentant la finalité, la nécessité et la mise en balance des intérêts. Pour l'exemption CNIL, la base légale ePrivacy est l'exemption de stricte nécessité, mais les exigences du RGPD s'appliquent toujours si des données personnelles sont traitées.
Non. Avec Matomo On-Premise, toutes les données restent sur vos propres serveurs dans le lieu de votre choix. Avec Matomo Cloud, les données sont stockées exclusivement dans des centres de données UE (Allemagne et France). Matomo ne partage jamais les données avec des tiers et ne les utilise pas à ses propres fins. C'est un avantage majeur de conformité par rapport à des outils comme Google Analytics, qui ont été jugés illégaux par plusieurs APD européennes en raison des transferts de données vers les États-Unis.
Une AIPD n'est généralement pas nécessaire pour les déploiements standard de Matomo avec les paramètres de confidentialité par défaut, car l'outil est conçu pour la protection de la vie privée par défaut et n'effectue aucun transfert vers des pays tiers. Cependant, une AIPD est recommandée lorsque les Heatmaps et Enregistrements de sessions sont activés, que les données de groupes vulnérables sont traitées, que les données Matomo sont combinées avec d'autres sources de données personnelles, ou que le suivi par User ID est utilisé.
Étapes clés : choisissez On-Premise ou Matomo Cloud pour un contrôle total des données. Activez l'anonymisation des IP (2 ou 3 octets). Définissez des politiques de rétention adaptées. Documentez Matomo dans votre RAT. Mettez à jour votre politique de confidentialité. Intégrez une CMP ou utilisez l'API de consentement intégrée de Matomo (_paq.push(['requireConsent']) ou _paq.push(['requireCookieConsent'])). Pour l'exemption CNIL, suivez le guide officiel de configuration. Proposez un mécanisme d'opt-out via l'iframe Matomo ou un formulaire personnalisé.
Les alternatives d'analyse respectueuses de la vie privée incluent Plausible Analytics (sans cookies, léger, hébergé dans l'UE), Fathom Analytics (sans cookies, simple, axé sur la confidentialité), GoatCounter (open source, suivi minimal) et Umami (open source, auto-hébergé). Pour les organisations nécessitant une parité fonctionnelle complète avec Google Analytics, Matomo reste l'option la plus complète avec son modèle auto-hébergé et son approbation CNIL.
Votre politique de cookies doit lister chaque cookie Matomo par nom, type, finalité et durée : _pk_id (persistant, identification du visiteur, 13 mois), _pk_ses (session, suivi de session, 30 minutes), _pk_ref (persistant, attribution du referrer, 6 mois), _pk_cvar (session, variables personnalisées, 30 minutes). Si vous utilisez la gestion du consentement, listez aussi mtm_consent et mtm_consent_removed. Indiquez que Matomo utilise uniquement des cookies first-party, que les données sont stockées sur vos serveurs ou dans l'UE, et qu'aucune donnée n'est partagée avec des tiers.