Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Umami est une plateforme open source d'analyse web axée sur la vie privée, distribuée sous licence MIT. Elle n'écrit aucun cookie, ne stocke aucune donnée personnelle sur disque et identifie les visiteurs uniquement via un haché salé renouvelé chaque jour : la réidentification d'un jour à l'autre est impossible. Disponible en auto, hébergement Docker ou en Umami Cloud avec résidence des données en UE optionnelle, c'est l'un des outils analytiques les plus simples à déployer sans bandeau de consentement en UE.
Umami est un outil open source d''analyse web publié pour la première fois en 2020 sous licence MIT. Il est construit autour d''un principe : collecter des statistiques de fréquentation sans identifier aucun visiteur. Umami est une application Node.js avec Postgres ou MySQL, livrée en images Docker pour un VPS, Kubernetes ou un PaaS managé. Umami Software Inc., société américaine, opère également Umami Cloud, une version hébergée du même code avec une résidence des données en UE en option sur les offres payantes. Le produit fournit l''ensemble des dimensions analytiques classiques (pages vues, sessions, appareils, navigateurs, pays, referrers, évènements personnalisés) sans jamais déposer de cookie ni stocker d''IP brute.
Umami n''écrit aucun cookie ni entrée localStorage. Les sessions visiteurs sont calculées côté serveur via un haché SHA de (sel renouvelé chaque jour + IP du visiteur + user, agent + nom d''hôte). Le sel est régénéré toutes les 24 heures : un même visiteur sur deux jours différents apparaît comme deux sessions sans lien et toute traçabilité au, delà de 24 heures est impossible. L''IP brute n''est jamais persistée sur disque ; seuls l''identifiant haché et des métadonnées agrégées (pays issu de la géolocalisation IP, navigateur, OS, type d''appareil, taille d''écran, langue) sont conservés. Les évènements personnalisés peuvent porter des compteurs ou de courts payloads textuels si l''opérateur les ajoute.
Umami n''écrit aucun cookie et ne stocke aucune donnée personnelle sous forme identifiante : il ne déclenche pas l''article 5(3) de la directive ePrivacy qui exige le consentement pour le stockage ou l''accès à des informations sur le terminal. Les critères d''exemption CNIL pour les outils analytiques, absence de finalité publicitaire, absence de tracking inter, sites, absence d''enrichissement avec d''autres données, anonymisation, sont satisfaits par défaut. Au regard du RGPD, le risque résiduel est très faible : des métriques agrégées qui ne peuvent pas être rattachées à un individu sortent du champ des données personnelles après la rotation quotidienne du sel. L''opérateur reste responsable de traitement pour les choix de configuration.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Umami peut être chargé sans condition de consentement CMP dans sa configuration par défaut sans cookies. La CNIL, l''AEPD et le BfDI acceptent ce type de solutions analytiques au titre de l''exemption de consentement, à condition que les données ne soient pas enrichies avec des sources de profilage et que la finalité reste limitée à la mesure d''audience. Si l''opérateur ajoute des évènements personnalisés captant des données personnelles, ces évènements doivent être conditionnés au consentement ou isolés sur un autre traitement, mais le traceur Umami de base continue à fonctionner sans consentement.
Umami auto, hébergé ne transfère aucune donnée hors de la région choisie par l''opérateur. Sur Umami Cloud, l''opérateur choisit entre les régions UE (Francfort) et US : pour une audience européenne, choisissez UE et le chemin des données reste à l''intérieur de l''EEE. Umami Software Inc. étant une société américaine, la relation contractuelle implique un peu de métadonnées qui transitent vers les États, Unis (facturation, support), couvertes par les Clauses Contractuelles Types avec les clients européens. Pour la plupart des sites européens, l''auto, hébergement sur un petit VPS UE ou Umami Cloud UE est la voie recommandée.
Ajoutez Umami à votre registre des activités de traitement sous Mesure d''audience avec l''intérêt légitime comme base légale. Si vous utilisez Umami Cloud, signez le DPA d''Umami Software Inc. et sélectionnez la région UE. Définissez une durée de conservation raisonnable des évènements (12 à 25 mois suffisent pour les comparaisons annuelles). Évitez de transmettre des données personnelles via les propriétés des évènements personnalisés. Listez Umami dans la politique de confidentialité avec une note expliquant l''absence de cookies et l''impossibilité de réidentifier le visiteur d''un jour à l''autre. Le site peut généralement être servi sans bandeau de consentement.
Les sites web utilisant Umami doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour un déploiement Umami par défaut car aucun cookie n'est écrit, la rotation quotidienne du sel empêche la réidentification d'un jour à l'autre et il n'y a pas de tracking inter, sites. Une AIPD ne devient pertinente que si l'opérateur étend Umami avec des évènements personnalisés contenant des données personnelles (email, ID utilisateur, champs libres) ou si Umami est combiné à d'autres outils pour reconstituer des profils complets. Documentez la rotation du sel, la durée de conservation, le lieu d'hébergement (auto, hébergé ou Umami Cloud UE/US) et le rôle de sous, traitant d'Umami Software Inc. sur les offres Cloud.
Exemple de texte de consentement
Nous utilisons Umami Analytics pour comprendre l'usage de notre site. Umami n'écrit pas de cookies, ne stocke pas d'adresse IP et ne peut pas vous réidentifier d'un jour à l'autre. Les statistiques agrégées sont stockées sur nos propres serveurs [ou dans Umami Cloud UE]. Comme Umami ne collecte pas de données personnelles par défaut, aucun bandeau de consentement n'est requis, mais vous pouvez vous opposer à tout moment.
Domaines tiers contactes
umami.iscloud.umami.isanalytics.umami.isapi.umami.isCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| No cookies | none | n/a | Umami is a privacy focused analytics platform that does not use cookies or any client side persistent identifier. Sessions are derived server side from a hashed combination of IP address, user agent and a daily rotating salt. |
Umami collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Aucun. Umami est totalement sans cookies. Il n'écrit ni cookie ni entrée localStorage sur le navigateur du visiteur. Les sessions visiteurs sont calculées côté serveur via un haché SHA de (sel quotidien + IP + user, agent + hôte) et le sel tourne toutes les 24 heures, ce qui rend impossible toute réidentification d'un jour à l'autre.
Non, dans la configuration par défaut. Comme Umami n'écrit ni cookie ni stockage local et ne conserve aucune donnée personnelle identifiable, il ne déclenche pas l'article 5(3) de la directive ePrivacy. La CNIL, l'AEPD et le BfDI acceptent ce type d'analytics sans cookies au titre de l'exemption de consentement, dès lors qu'il n'y a pas de finalité publicitaire, pas de tracking inter, sites et pas d'enrichissement avec d'autres données.
L'intérêt légitime (article 6, 1, f du RGPD) est la base légale standard, avec une analyse d'intérêt légitime documentée mettant en avant le faible volume de données collectées, la rotation quotidienne du sel et l'absence de tracking inter, sites. Pour certaines implémentations, les données sont si agrégées qu'elles sortent du champ des données personnelles après la rotation du sel.
Non lorsque Umami est auto, hébergé en UE, et non lorsque Umami Cloud est configuré sur la région UE. Umami Software Inc. est immatriculé aux États, Unis : un petit volume de métadonnées (facturation, support) transite vers les États, Unis sous CCT, mais les données analytiques restent dans la région choisie.
Généralement non. La combinaison tracking sans cookies, rotation quotidienne du sel, absence de tracking inter, sites et dimensions limitées maintient le risque résiduel à un niveau très bas. Une AIPD n'est recommandée que si vous étendez Umami avec des propriétés d'évènement contenant des données personnelles ou si vous combinez Umami à d'autres outils pour reconstituer des profils.
Auto, hébergez sur un serveur en UE ou choisissez la région UE sur Umami Cloud. Conservez la configuration par défaut sans cookies, fixez une durée de conservation raisonnable (12 à 25 mois), évitez les données personnelles dans les évènements personnalisés, listez Umami dans la politique de confidentialité avec la mention "sans cookies" et inscrivez, le au registre des activités de traitement sous Mesure d'audience, intérêt légitime.
Oui. Plausible Analytics (sans cookies, cloud UE), Fathom Analytics (sans cookies, cloud UE), Pirsch (sans cookies, Allemagne), Simple Analytics (sans cookies, Pays, Bas), Matomo en mode sans cookies (exemption CNIL) et Counter (open source, auto, hébergé) partagent une posture vie privée similaire.
Indiquez explicitement qu'Umami est sans cookies, qu'aucune donnée personnelle n'est stockée sur disque et que le visiteur ne peut pas être réidentifié d'un jour à l'autre. Mentionnez la rotation quotidienne du sel comme garantie technique. Si vous utilisez Umami Cloud, citez Umami Software Inc. comme sous, traitant et la région UE. Aucun cookie tiers n'est à divulguer puisque aucun n'est posé.