Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Matomo (anciennement Piwik) est une plateforme d'analyse web open source qui vous donne la pleine propriété de vos données. Disponible en auto-hébergé, en cloud (serveurs UE) ou en plugin WordPress, Matomo suit le comportement des visiteurs via des cookies first-party et supporte le tracking sans cookies. Approuvé par la CNIL pour une exemption de consentement lorsqu'il est correctement configuré.
Matomo Analytics est le produit de mesure d''audience historique de la plateforme open source Matomo (anciennement Piwik). Il mesure pages vues, sessions, conversions, événements, transactions e commerce et comportements sur la page via un tag JavaScript (matomo.js) et une requête image (matomo.php). Matomo Analytics peut être déployé en auto hébergement sur l''infrastructure PHP et MySQL de l''éditeur, ou en SaaS via Matomo Cloud, hébergé en France chez OVHcloud.
Les cookies par défaut écrits par Matomo Analytics sont des cookies first party sur le domaine de l''éditeur: _pk_id (identifiant visiteur, 13 mois selon la CNIL), _pk_ses (compteur de session, 30 minutes), _pk_ref (référent, 6 mois), _pk_cvar (variables personnalisées, 30 minutes) et _pk_testcookie (test navigateur, quelques secondes). En mode sans cookie, aucun identifiant persistant n''est écrit; Matomo calcule un hash serveur quotidien à partir de l''IP tronquée et du user agent. L''éditeur doit toujours respecter l''article 5(3) ePrivacy sauf si les conditions strictes de l''exemption CNIL sont réunies.
Pour utiliser Matomo Analytics sans bandeau, suivez l''exemption CNIL (guide de mars 2022): troncature IP sur au moins deux octets, pas de suivi inter sites, pas de réutilisation commerciale, pas de partage à des tiers, conservation à 13 mois pour les cookies visiteurs et 25 mois pour les rapports agrégés, mécanisme d''opposition. Dans ce périmètre, la base légale est l''intérêt légitime (art. 6 1 f RGPD). Hors exemption, le consentement explicite (art. 6 1 a RGPD et 5(3) ePrivacy) est requis.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sur Matomo Cloud, l''ensemble des serveurs est localisé en France chez OVHcloud. L''opérateur InnoCraft Ltd est établi à Wellington (Nouvelle Zélande), pays couvert par la décision d''adéquation de la Commission européenne de 2012, ce qui autorise l''accès administratif depuis la Nouvelle Zélande sans clauses contractuelles types. L''instance auto hébergée n''engendre aucun transfert sauf si l''éditeur choisit une infrastructure hors EEE.
Activez setIPv4Anonymize sur au moins deux octets, désactivez la fonction User ID sauf justification contractuelle, plafonnez la conservation à 13 mois, documentez la configuration dans votre registre des traitements (art. 30 RGPD) et dans la politique de confidentialité. Evitez les plugins Heatmap, Session Recording et Form Analytics si vous vous appuyez sur l''exemption. Fournissez un lien d''opposition en un clic basé sur le trackerUrl.
Les alternatives privacy first comparables incluent Plausible (sans cookie, Allemagne), Fathom Analytics, Piano Analytics (France, exempté CNIL par défaut), Umami et Open Web Analytics. La migration depuis ou vers Matomo Analytics reste simple grâce au schéma SQL documenté et à l''API d''export.
Les sites web utilisant Matomo Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Lorsque Matomo Analytics est configuré selon les recommandations CNIL (anonymisation IP, pas de suivi inter sites, cookies 13 mois, pas de partage tiers, opt out disponible), le risque résiduel est faible et une AIPD complète n'est généralement pas requise. Une AIPD devient recommandée si vous activez le session replay, les heatmaps sur des utilisateurs connectés, l'analyse de funnels avec User ID persistant, l'A/B testing ou des plugins d'enrichissement de profil. L'évaluation doit comparer avec le déploiement Google Analytics précédent pour démontrer l'amélioration et la configuration doit être tracée dans le registre article 30.
Exemple de texte de consentement
Nous utilisons Matomo Analytics, un outil de mesure d'audience open source, pour comptabiliser les visites de ce site. Lorsque Matomo Analytics est configuré sous l'exemption CNIL (IP anonymisée, pas de suivi inter sites, pas de réutilisation commerciale, conservation limitée à 13 mois), aucun consentement n'est requis, mais vous pouvez vous opposer à tout moment. Sinon, Matomo Analytics utilise les cookies _pk_id, _pk_ses et _pk_ref. Vos données sont traitées dans l'Union européenne sur Matomo Cloud (France) ou sur notre propre serveur. Vous pouvez retirer votre consentement à tout moment depuis notre panneau de préférences.
Domaines tiers contactes
matomo.cloudmatomo.orgmatomo.cloudmatomo.org*.matomo.cloudmatomo.orgplugins.matomo.orginnocraft.cloudinnocraft.cloudCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _pk_id | first-party | 13 months | Stores a unique visitor ID to recognise new and returning visitors and build visitor profiles including visit count, timestamps, eCommerce orders, and goal conversions. |
| _pk_id | First party (Matomo) | 13 months | Visitor identifier used to recognise returning visitors. |
| _pk_id.{siteId}.{hash} | HTTP cookie (first party) | 13 months (configurable) | Stores the unique Matomo Analytics visitor identifier used to distinguish returning visitors from new visitors. |
| _pk_ses | First party (Matomo) | 30 minutes | Short lived session cookie used to track the current visit. |
| _pk_ses | first-party | 30 minutes | Used to link actions performed during a session (page views, downloads, events) to a unique visit, enabling accurate session attribution. |
| _pk_ses.{siteId}.{hash} | HTTP cookie (first party) | 30 minutes | Marks the current Matomo Analytics session as active. Expires 30 minutes after the last tracked event. |
| _pk_ref | First party (Matomo) | 6 months | Stores referrer or campaign attribution for the visitor. |
| _pk_ref.{siteId}.{hash} | HTTP cookie (first party) | 6 months | Stores the campaign and referrer information that brought the visitor to the site, used by attribution reports. |
| _pk_ref | first-party | 6 months | Stores referrer attribution data including the source (search engine, social media, external website, or campaign URL) that brought the visitor to the site. |
| _pk_testcookie | HTTP cookie (first party) | Session | Short lived test cookie used to verify whether the browser accepts cookies before any tracking starts. |
| _pk_cvar | first-party | 30 minutes (session) | Stores custom variables in key-value pairs to define additional metadata about the visitor or their actions during a session. |
| _pk_cvar | First party (Matomo) | 30 minutes | Stores temporary custom variables for the current visit (legacy). |
| _pk_testcookie | First party (Matomo) | Session | Tests whether cookies are supported by the browser. |
| mtm_consent | first-party | Until withdrawn (default: 30 years) | Records that the visitor has given consent to be tracked. Set when using Matomo's built-in consent management or a CMP integration. |
| mtm_consent_removed | first-party | Until withdrawn (default: 30 years) | Records that the visitor has opted out of being tracked. Used when the visitor withdraws previously given consent. |
| _pk_hsr | first-party | Session | Used by Heatmap and Session Recording features to track which areas of a webpage visitors interact with and to capture session recording data. |
Matomo Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Matomo dépose quatre cookies first-party principaux : _pk_id (identifiant visiteur unique, 13 mois), _pk_ses (suivi de session, 30 minutes), _pk_ref (attribution du referrer, 6 mois) et _pk_cvar (variables personnalisées de session, 30 minutes). Les cookies optionnels incluent mtm_consent et mtm_consent_removed pour la gestion du consentement, et _pk_hsr pour les Heatmaps et Enregistrements de sessions. Matomo peut également fonctionner entièrement sans cookies.
Dans la plupart des pays de l'UE, le consentement est requis par les règles ePrivacy avant tout suivi analytique, y compris Matomo. Cependant, en France (CNIL), en Espagne, en Italie et aux Pays-Bas, Matomo peut bénéficier d'une exemption de consentement lorsqu'il est configuré avec des paramètres de confidentialité spécifiques : mode sans cookies, anonymisation des IP, absence de suivi inter-sites et rétention limitée des données. Dans les juridictions strictes comme l'Allemagne, l'Autriche et l'Irlande, le consentement est toujours requis.
Deux bases légales s'appliquent à Matomo : le consentement ou l'intérêt légitime. Le consentement est l'option la plus sûre et est requis dans la plupart des juridictions de l'UE. L'intérêt légitime peut être utilisé si vous réalisez une évaluation d'intérêt légitime (LIA) documentant la finalité, la nécessité et la mise en balance des intérêts. Pour l'exemption CNIL, la base légale ePrivacy est l'exemption de stricte nécessité, mais les exigences du RGPD s'appliquent toujours si des données personnelles sont traitées.
Non. Avec Matomo On-Premise, toutes les données restent sur vos propres serveurs dans le lieu de votre choix. Avec Matomo Cloud, les données sont stockées exclusivement dans des centres de données UE (Allemagne et France). Matomo ne partage jamais les données avec des tiers et ne les utilise pas à ses propres fins. C'est un avantage majeur de conformité par rapport à des outils comme Google Analytics, qui ont été jugés illégaux par plusieurs APD européennes en raison des transferts de données vers les États-Unis.
Une AIPD n'est généralement pas nécessaire pour les déploiements standard de Matomo avec les paramètres de confidentialité par défaut, car l'outil est conçu pour la protection de la vie privée par défaut et n'effectue aucun transfert vers des pays tiers. Cependant, une AIPD est recommandée lorsque les Heatmaps et Enregistrements de sessions sont activés, que les données de groupes vulnérables sont traitées, que les données Matomo sont combinées avec d'autres sources de données personnelles, ou que le suivi par User ID est utilisé.
Étapes clés : choisissez On-Premise ou Matomo Cloud pour un contrôle total des données. Activez l'anonymisation des IP (2 ou 3 octets). Définissez des politiques de rétention adaptées. Documentez Matomo dans votre RAT. Mettez à jour votre politique de confidentialité. Intégrez une CMP ou utilisez l'API de consentement intégrée de Matomo (_paq.push(['requireConsent']) ou _paq.push(['requireCookieConsent'])). Pour l'exemption CNIL, suivez le guide officiel de configuration. Proposez un mécanisme d'opt-out via l'iframe Matomo ou un formulaire personnalisé.
Les alternatives d'analyse respectueuses de la vie privée incluent Plausible Analytics (sans cookies, léger, hébergé dans l'UE), Fathom Analytics (sans cookies, simple, axé sur la confidentialité), GoatCounter (open source, suivi minimal) et Umami (open source, auto-hébergé). Pour les organisations nécessitant une parité fonctionnelle complète avec Google Analytics, Matomo reste l'option la plus complète avec son modèle auto-hébergé et son approbation CNIL.
Votre politique de cookies doit lister chaque cookie Matomo par nom, type, finalité et durée : _pk_id (persistant, identification du visiteur, 13 mois), _pk_ses (session, suivi de session, 30 minutes), _pk_ref (persistant, attribution du referrer, 6 mois), _pk_cvar (session, variables personnalisées, 30 minutes). Si vous utilisez la gestion du consentement, listez aussi mtm_consent et mtm_consent_removed. Indiquez que Matomo utilise uniquement des cookies first-party, que les données sont stockées sur vos serveurs ou dans l'UE, et qu'aucune donnée n'est partagée avec des tiers.
Matomo Analytics dépose trois cookies propriétaires : _pk_id (identifiant unique de visiteur, 13 mois par défaut), _pk_ses (session active, 30 minutes) et _pk_ref (référent, 6 mois). Un mode sans cookies est disponible où l'identification se fait côté serveur à partir d'une IP tronquée et de l'agent utilisateur. Matomo ne dépose jamais aucun cookie tiers.
Quatre cookies propriétaires : _pk_id (identifiant visiteur, 13 mois), _pk_ses (session, 30 minutes), _pk_ref (référent, 6 mois) et cookies de configuration courts. Le mode sans cookies les désactive tous.
Pas nécessairement. Lorsque Matomo Analytics est configuré selon l'exemption CNIL (anonymisation IP, cookies 13 mois, pas de suivi inter sites, pas de partage avec des tiers, opt out, respect de Do Not Track), il est considéré comme une mesure strictement nécessaire et le consentement préalable n'est pas exigé. Dans toute autre configuration, un consentement opt in au titre de l'article 6(1)(a) du RGPD et de l'article 5(3) ePrivacy est requis.
Pas en France ou en Espagne sous l'exemption CNIL/AEPD (anonymisation IP, plafond 13 mois, pas de fingerprinting, opt out). En Allemagne, le TDDDG exige le consentement sauf en mode cookieless.
En configuration exemptée, la base légale est l'intérêt légitime (article 6(1)(f) du RGPD) car le traitement est strictement nécessaire à un service de mesure attendu par l'éditeur et le risque pour la personne concernée est faible. Hors de cette configuration, la base légale est le consentement. Le DPA avec InnoCraft (Cloud) est signé au titre de l'article 28 ; en auto hébergé, aucune relation de sous traitance n'existe.
Intérêt légitime (article 6.1.f du RGPD) sous exemption CNIL/AEPD. Sinon consentement (article 6.1.a du RGPD combiné à l'article 5.3 ePrivacy).
Non. Matomo Cloud est hébergé en France et en Allemagne et Matomo auto hébergé tourne sur votre infrastructure UE. Aucun transfert vers les États-Unis.
Non. Les données Matomo Cloud sont stockées exclusivement en Allemagne (Hetzner Online, Falkenstein et Nuremberg). En auto hébergé, Matomo tourne sur l'infrastructure choisie par l'opérateur. InnoCraft, l'éditeur, est basé en Nouvelle Zélande qui bénéficie d'une décision d'adéquation UE depuis 2012 ; l'accès du support ne constitue donc pas un transfert nécessitant des CCT.
Généralement non quand le profil privacy est en place sur une infrastructure UE. Recommandée pour un suivi à grande échelle, des catégories sensibles ou un croisement CRM.
Une AIPD complète n'est généralement pas requise dans la configuration exemptée avec IP anonymisée car le risque résiduel est faible. Elle devient recommandée si vous activez le session replay, les heatmaps sur utilisateurs identifiés, l'analyse de funnel avec User ID persistant, l'A/B testing ou les plugins d'enrichissement de profil. Documentez systématiquement la configuration au registre article 30.
Activez l'anonymisation IP, désactivez le fingerprinting, plafonnez les cookies à 13 mois, respectez Do Not Track, exposez l'opt out. Documentez la configuration au registre article 30 et dans la politique de confidentialité.
Ouvrez un compte Matomo Cloud ou installez la version auto hébergée, répliquez les objectifs et le suivi ecommerce, lancez l'importateur Google Analytics officiel sur les 24 derniers mois, déployez matomo.js en parallèle de GA en mode comparaison pendant 30 à 60 jours, puis retirez la balise GA, mettez à jour la politique cookies et prévenez le DPO. Vérifiez dans les logs bruts que l'anonymisation IP est active avant la bascule définitive.
Plausible Analytics, Fathom Analytics, Piwik PRO, Pirsch et Umami auto hébergé pour la privacy. Google Analytics 4 et Adobe Analytics pour la parité fonctionnelle entreprise (avec consentement).
Pour de l'analyse exemptée : Plausible (Allemagne), Pirsch (Allemagne), Fathom Lite (auto hébergeable), Cabin (auto hébergeable), umami (open source). Pour une analyse basée sur le consentement avec plus de fonctionnalités : PostHog (US/UE), Mixpanel (US), Amplitude (US), Heap (US). Pour l'analyse de logs côté serveur : Piano Analytics (France, ex AT Internet), eulerian (France), Wide Angle Analytics (Pologne).
Listez les quatre cookies Matomo avec finalité, durée et base légale. Mentionnez la configuration (IP anonyme, pas de fingerprinting, hébergement UE). Régénérez le document à chaque changement.
Inscrivez l'entrée soit comme analyse exemptée (lorsque les conditions CNIL sont respectées) soit comme analyse soumise au consentement. Indiquez le sous traitant (InnoCraft Ltd. pour Matomo Cloud ou auto hébergé), la finalité (mesure d'audience), la base légale, les cookies et leurs durées (13 mois, 30 minutes, 6 mois), la rétention (25 mois maximum), l'absence de transfert tiers et un lien vers la page d'opt out.