Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Open Web Analytics (OWA) est une plateforme d'analytique web libre écrite en PHP et MySQL. Maintenue par Peter Adams, elle est auto hébergée et propose suivi des pages vues, sessions, clics, heatmaps et événements DOM, comparable à Matomo on premise.
Open Web Analytics, souvent appelé OWA, est une plateforme libre d''analytique web écrite en PHP avec une base MySQL. Elle est maintenue par Peter Adams sous licence GPL et s''installe sur les serveurs de l''opérateur, généralement à côté du site qu''elle mesure. OWA suit les pages vues, sessions, référents, clics, mouvements de souris, profondeur de défilement, événements DOM et propose un tableau de bord proche de Matomo. C''est une option appréciée des organisations qui veulent garder la main sur leur stack analytique.
Par défaut, le traceur JavaScript écrit deux cookies first party sur le domaine du site : owa_v, identifiant persistant du visiteur, et owa_s, cookie de session court. Le traceur peut aussi collecter adresses IP, taille d''écran, user agent, référents, coordonnées de souris pour les heatmaps et événements DOM. Toutes ces données restent dans la base MySQL de l''opérateur, sans transmission à un tiers par OWA.
Même si les données restent sur les serveurs du responsable de traitement, l''écriture du cookie owa_v déclenche l''article 5(3) de la directive ePrivacy. Le cookie est first party mais n''est pas strictement nécessaire à la fourniture du service. L''adresse IP et l''identifiant visiteur sont des données personnelles au sens de l''article 4 du RGPD. L''opérateur doit donc choisir une base légale au titre de l''article 6 et savoir si ses cookies relèvent d''une exemption.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En configuration par défaut avec heatmaps, cookies persistants et IP complètes, OWA nécessite un consentement préalable au titre de l''article 6(1)(a) du RGPD. Une configuration épurée avec anonymisation d''IP, sans suivi inter sites, sans empreintage et avec conservation courte peut entrer dans l''exemption CNIL relative à la mesure d''audience, alignée sur les recommandations du CEPD. L''opérateur doit documenter sa configuration.
OWA étant auto hébergé, le logiciel n''effectue aucun transfert. La localisation suit l''hébergeur choisi. Un OWA hébergé en UE reste en UE et évite le chapitre V du RGPD. Si l''opérateur l''héberge chez un fournisseur cloud américain qualifié d''importateur, des clauses contractuelles types et une analyse d''impact des transferts deviennent nécessaires.
Choisissez un hébergeur européen, activez l''anonymisation d''IP, fixez une durée de conservation courte pour les logs bruts, désactivez les heatmaps quand elles ne sont pas indispensables et conditionnez le chargement du traceur à votre bandeau de consentement, sauf si votre configuration relève de l''exemption CNIL. Inscrivez OWA dans le registre des traitements (article 30) et mentionnez le dans la politique de confidentialité.
Les sites web utilisant Open Web Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD au sens de l'article 35 du RGPD n'est pas systématiquement requise lorsque OWA est auto hébergé en UE avec anonymisation d'IP, conservation courte et sans heatmap. Elle devient recommandée si l'opérateur active des heatmaps, du rejeu de session, du suivi inter sites ou conserve les IP brutes longtemps, schémas proches d'une surveillance systématique.
Exemple de texte de consentement
Nous utilisons Open Web Analytics, un outil libre auto hébergé, pour comprendre l'usage de ce site. Avec votre accord, nous déposons les cookies first party owa_v et owa_s sur ce domaine afin de mesurer visites, clics et sessions. Les données restent sur nos serveurs. Vous pouvez refuser ou retirer votre consentement à tout moment.
Domaines tiers contactes
openwebanalytics.comgithub.com/Open-Web-AnalyticsCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| owa_v | first party analytics | around 2 years | Persistent visitor identifier written by the OWA JavaScript tracker on the operator's own domain. Allows OWA to recognise returning visitors, link sessions to a single profile and compute audience metrics like new vs returning users. |
| owa_s | first party analytics | session | Short lived session cookie set by the OWA tracker on the operator's own domain. Groups individual events and pageviews into a single visit so OWA can compute session level metrics such as duration, bounce and entry pages. |
Open Web Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
OWA écrit deux cookies first party sur le domaine du site : owa_v, identifiant persistant du visiteur valable environ deux ans, et owa_s, cookie de session. Tous deux sont stockés sur le domaine de l'opérateur et non sur un domaine tiers, ce qui maintient les données dans le périmètre du responsable mais reste soumis à la loi cookies.
Dans la configuration comportementale par défaut, oui. Le cookie owa_v n'étant pas strictement nécessaire au service, l'article 5(3) ePrivacy s'applique. Une configuration épurée avec anonymisation d'IP, sans suivi inter sites, sans empreintage et avec conservation courte peut entrer dans l'exemption analytique reconnue par la CNIL et le CEPD.
Configuration par défaut : consentement de l'article 6(1)(a) du RGPD. Configuration sans cookie ou conforme à l'exemption : intérêt légitime de l'article 6(1)(f), à condition de documenter le test de mise en balance. La base légale doit figurer dans la politique de confidentialité et dans le registre des traitements.
Pas par le logiciel. OWA est auto hébergé : la localisation suit les serveurs de l'opérateur. Un hébergement en UE évite tout transfert. Si OWA tourne sur un fournisseur cloud américain, les clauses contractuelles types et une analyse d'impact des transferts Schrems II deviennent nécessaires.
Pas systématiquement. Une AIPD au titre de l'article 35 du RGPD est conseillée quand OWA est configuré avec heatmaps, replays de session, suivi inter sites ou conservation longue des IP brutes. Avec une configuration basique anonymisée sur infrastructure UE, le registre de l'article 30 suffit généralement.
Hébergez en UE, anonymisez les IP, raccourcissez la conservation, désactivez les heatmaps si elles ne sont pas indispensables, conditionnez le traceur au bandeau de consentement sauf exemption, documentez la configuration, signez les contrats sous traitance avec l'hébergeur et mentionnez OWA dans la politique de confidentialité comme outil analytique first party.
Matomo est l'alternative la plus proche, avec un produit plus mature, une structure européenne (InnoCraft, France et Nouvelle Zélande) et un modèle auto hébergé comparable. Plausible (Estonie) et Piwik PRO (Pologne) offrent des modes sans consentement intégrés. Pour le suivi pur événementiel, PostHog Cloud EU ou Umami sont des choix répandus.
Listez owa_v et owa_s comme cookies analytiques first party avec leur finalité et leur durée. Indiquez qui héberge OWA, où sont stockées les données, la durée de conservation, la base légale et la procédure de refus ou de retrait. Mettez la politique à jour à chaque changement de configuration, de durée ou d'hébergeur.