Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Yandex.Metrica est l'équivalent russe de Google Analytics, proposant analytique web gratuite, heatmaps, click maps et session replay. Opérée par Yandex LLC en Russie, toutes les données sont stockées sur l'infrastructure russe. Le déploiement de Yandex.Metrica sur du trafic UE pose des problèmes RGPD majeurs : pas d'adéquation UE pour la Russie, transferts sous CCT + TIA très difficile à supporter, et le cadre de sanctions UE depuis 2022 ajoute un risque commercial et réputationnel.
Yandex.Metrica est une plateforme d'analytique web gratuite opérée par Yandex LLC, la principale entreprise russe de recherche et de technologie. Elle propose analytique de trafic, suivi des conversions, heatmaps, click maps, scroll maps, analytique de formulaires et replay complet de sessions. Fonctionnellement, elle se rapproche de Google Analytics combiné à Hotjar dans un seul produit.
Sur un site, Yandex.Metrica est déployée via un tag JavaScript servi depuis mc.yandex.ru. Toutes les données remontent vers les serveurs Yandex en Fédération de Russie, principalement dans les datacenters de la région de Moscou.
Yandex.Metrica traite l'IP visiteur, l'User Agent, la résolution d'écran, l'URL, le referrer, les positions de clic et de défilement, le temps passé, les interactions de formulaire et, quand le replay est activé, les mutations DOM complètes. Des événements personnalisés et paramètres ecommerce peuvent aussi être transmis.
Cookies déposés sur yandex.ru et le domaine de l''éditeur : _ym_uid (ID visiteur, 1 an), _ym_d (date de première visite, 1 an), _ym_isad (détection adblock, 1 jour), _ym_visorc_<counter_id> (reconstruction session, 30 min), yabs sid (session publicitaire). Aucun n''est strictement nécessaire.
La Russie n''a aucune adéquation UE. Les transferts UE Russie exigent donc CCT plus TIA. La TIA doit considérer la loi N°152 FZ sur la localisation, les droits d''accès FSB et SORM, et l''absence de voie de recours effective pour les personnes concernées de l''UE devant les juridictions russes. Après Schrems II, cette analyse aboutit rarement favorablement.
Plusieurs autorités UE et juristes recommandent depuis 2022 de ne plus utiliser Yandex.Metrica pour le trafic UE, en s''appuyant à la fois sur Schrems II et le contexte de sanctions. À comparer aux avertissements formels CNIL, DSB autrichienne et Garante italien sur Google Analytics : Yandex.Metrica présente un cas encore plus défavorable.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Depuis 2022, le cadre de sanctions UE (règlement 833/2014 modifié) restreint diverses relations commerciales avec des entités russes. Yandex N.V. (ancienne holding néerlandaise) a été contrainte de céder son activité russe, opérée désormais sous Yandex LLC en Russie, séparée du groupe international Nebius. Le traitement Yandex.Metrica reste néanmoins en Russie.
Au-delà de la conformité, les responsables UE encourent un risque réputationnel en envoyant les données visiteur à un sous-traitant russe dans le contexte géopolitique actuel.
Pour la plupart des responsables UE, la recommandation pratique est de migrer vers une alternative RGPD friendly : Matomo (auto hébergé ou cloud UE), Piwik PRO (Allemagne), Plausible (Estonie), Fathom (Canada avec adéquation UE), Simple Analytics (Pays-Bas).
Si vous devez conserver Yandex.Metrica (par exemple pour un site russophone ciblant la Russie), géofencez strictement le tag pour qu''il ne se charge que pour les visiteurs hors UE, signez le DPA Yandex le plus récent, captez un consentement explicite sur le trafic UE résiduel et documentez le risque résiduel dans l''AIPD.
Documentez pourquoi Yandex.Metrica est nécessaire et pourquoi aucune alternative UE n''est acceptable. Signez le DPA Yandex et les CCT. Menez une TIA documentée qui aborde explicitement la loi N°152 FZ, SORM et l''absence de recours UE effectifs. Différez le tag jusqu''au consentement explicite. Listez Yandex LLC comme sous-traitant dans votre politique avec le drapeau transfert Russie en évidence.
Surveillez régulièrement les avis DPA et les évolutions de sanctions. Préparez-vous à migrer rapidement si une autorité émet un avertissement formel sur Yandex.Metrica semblable aux décisions Google Analytics.
Les sites web utilisant Yandex.Metrica doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Yandex.Metrica est l'un des outils d'analytique les plus à risque pour le trafic UE. Points clés pour l'AIPD : (1) toutes les données sont traitées sur des serveurs en Fédération de Russie, sans adéquation UE ; (2) la loi fédérale russe N°152 FZ impose la localisation des données et donne accès au FSB via les règles SORM ; (3) depuis l'invasion russe de l'Ukraine en 2022, le cadre de sanctions UE (règlement 833/2014 modifié) restreint certaines relations commerciales avec des entités russes ; (4) Yandex.Metrica capture aussi des session replays avec click maps et analytique de formulaires ; (5) les cookies (_ym_uid, _ym_d, _ym_isad, _ym_visorc) incluent un ID visiteur persistant 1 an ; (6) pour la plupart des responsables UE, une TIA ne peut pas conclure à un niveau de protection adéquat, le maintien expose au risque GDPR et aux mesures DPA. La migration vers un outil GDPR friendly est fortement recommandée.
Exemple de texte de consentement
Nous utilisons Yandex.Metrica (Yandex LLC, Fédération de Russie) pour l'analytique web, les heatmaps et les enregistrements de sessions. Avec votre consentement explicite, Yandex.Metrica dépose des cookies et transfère les données vers ses serveurs en Russie sous CCT. La Russie ne bénéficie d'aucune adéquation UE et ce transfert présente un risque juridique additionnel. Vous pouvez refuser ce suivi ; nous le recommandons si vous êtes préoccupé par les transferts hors UE.
Domaines tiers contactes
mc.yandex.rumetrika.yandex.ruyandex.rumc.yandex.commc.yandex.com.trCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _ym_uid | Analytics | 1 year | Persistent visitor identifier set by Yandex.Metrica. Used to recognise returning visitors across sessions and to power all subsequent analytics, heatmaps, and session replays. |
| _ym_d | Analytics | 1 year | Stores the date of the visitor first visit, used to calculate new vs returning visitor rates. |
| _ym_isad | Analytics | 1 day | Detects whether the visitor uses an ad blocker, used to apply different tracking strategies. |
| _ym_visorc_<counter_id> | Analytics | 30 minutes | Used by the Yandex.Metrica session replay feature (Webvisor) to reconstruct the visitor session for later playback. |
| yabs-sid | Marketing | Session | Yandex advertising session identifier, used for cross site advertising attribution when Yandex.Direct is also enabled. |
Yandex.Metrica collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Yandex.Metrica dépose plusieurs cookies first party : _ym_uid (ID visiteur, 1 an), _ym_d (date première visite, 1 an), _ym_isad (détection adblock, 1 jour), _ym_visorc_<counter_id> (reconstruction session, 30 min), yabs sid (session publicitaire). Aucun n'est essentiel et tous exigent un consentement.
Oui, à deux titres. D'abord, l'art. 5(3) ePrivacy et le §25 TTDSG exigent un consentement pour ces cookies non essentiels. Ensuite, le transfert vers la Russie pose lui-même problème : le consentement seul ne légitime pas le transfert au sens du chapitre transfert du RGPD. Pour un déploiement UE en cours, un consentement explicite est le minimum ; pour de nombreuses DPA, même avec consentement le transfert ne passerait pas une évaluation Schrems II.
Seul le consentement art. 6(1)(a) RGPD est envisageable, mais ce n'est pas la seule contrainte : le chapitre transferts (art. 44 et suivants) doit aussi être satisfait. Après Schrems II, un transfert UE Russie est extrêmement difficile à justifier, même avec consentement et CCT.
Oui, vers la Fédération de Russie qui n'a aucune adéquation UE. Les transferts reposent sur des CCT et exigent une TIA qui aborde explicitement la loi N°152 FZ, SORM et l'absence de recours UE effectifs. Cette évaluation conclut rarement à un niveau adéquat.
Oui. Yandex.Metrica remplit plusieurs critères EDPB d'AIPD obligatoire : surveillance systématique, construction de profils, transfert transfrontalier vers un pays tiers sans adéquation, et usage innovant de technologies (session replay). L'AIPD doit traiter tous ces points ainsi que le contexte de sanctions.
Dans la plupart des cas, ne le déployez pas sur du trafic UE. Si absolument nécessaire (site russophone ciblant des utilisateurs russes) : géofencez le tag, signez le DPA Yandex le plus récent et les CCT, captez un consentement explicite sur le trafic UE résiduel, menez une AIPD complète, documentez le risque résiduel et préparez un plan de migration en cas d'action DPA.
Analytique RGPD friendly aux fonctions comparables : Matomo (auto hébergé ou cloud UE) avec heatmaps et session recording premium, Piwik PRO (Allemagne) avec résidence UE, Plausible (Estonie, analytique simple), Fathom (Canada), Simple Analytics (Pays-Bas). Pour le session replay : Mouseflow (Danemark), Smartlook (République tchèque), Hotjar avec résidence UE.
Listez tous les cookies Yandex.Metrica (_ym_uid, _ym_d, _ym_isad, _ym_visorc) avec fournisseur (Yandex LLC, Fédération de Russie), finalité, durée et catégorie (Analytique). Mentionnez clairement le transfert vers la Russie et le risque résiduel pour la personne concernée. Liez la politique Yandex. Si vous pouvez migrer, c'est la position GDPR la plus solide.