Comment utiliser Matomo en conformité avec le RGPD et les recommandations de la CNIL ?

24/7/2023
⚒️ Outils

Le 10 février 2022, la CNIL rendait une décision particulièrement importante : l’utilisation de Google Analytics en France n’est pas conforme au RGPD (Règlement Général sur la Protection des Données).

En effet, via l’outil d’analyse de site web Google Analytics, les données personnelles des internautes sont transférées aux USA permettant ainsi l’accès aux données des européens par les renseignements américains (rien que ça !).

Le problème ? 85% des éditeurs de site l’utilisent ! Il existe toutefois des alternatives.

Bien consciente des difficultés posées par l’interdiction de l’utilisation de Google Analytics, la CNIL a étudié une liste d’outil de mesure d’audience offrant des services équivalents tout en étant conformes au RGPD. Parmi elles, la solution Matomo Analytics a été approuvée par l’autorité de contrôle française.

Matomo est même l’un des rares outils d’analyse Web permettant de collecter des données sans avoir à recueillir le consentement des visiteurs. Vous devez toutefois configurer l’outil de manière à utiliser Matomo sur vos sites web en “mode exempté” selon les recommandations de la CNIL.

  • Qu’est-ce que l’outil Matomo ?
  • Quels sont les usages et les fonctionnalités de Matomo ?
  • Quelles sont les étapes pour mettre en place Matomo sur vos sites web en conformité avec le RGPD et selon les recommandations de la CNIL ?

1 - Qu’est-ce que l’outil Matomo ?

Matomo et RGPD : une solution recommandée par la CNIL

Matomo est l’ancien Piwik Analytics. Il s’agit d’une plateforme d’analyse web open source, c’est-à-dire que le code source du logiciel est librement accessible. Cela signifie également que des centaines de personnes l’ont revu pour s’assurer qu’il génère suffisamment de sécurité.

Le grand avantage de cette solution ? C’est qu’elle est officiellement identifiée comme un outil conforme au RGPD par l’autorité française elle-même ! La solution est même dispensée du consentement au traçage sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application.

Ainsi, à condition d’être correctement configuré, Matomo peut même être utilisé pour collecter des données sans avoir à obtenir le consentement des internautes.

L’exemption de consentement : les conditions de la CNIL

Matomo, comme toutes solutions d’analyse web, utilise des cookies, qui sont des fichiers textes stockés sur l’ordinateur du visiteur pour permettre d’analyser leur utilisation du site web. Les informations des cookies sont stockées sur le serveur du site ou sur le cloud selon que vous utilisiez Matomo Cloud ou On-Premise.

💡 Quelles sont les conditions imposées par la CNIL pour recueillir des données sans le consentement des visiteurs ? Comment les cookies peuvent-ils être exemptés de consentement ?

  1. Les cookies doivent avoir une finalité strictement limitée à la seule mesure de l’audience et pour le compte exclusif de l’éditeur,
  2. Les cookies ne peuvent servir à produire des données statistiques que si celles-ci sont anonymes.
  3. Les cookies ne doivent pas permettre de :
  4. Recouper ces données avec d’autres traitements ou de transmettre ces données à des tiers,
  5. Suivre la navigation de l’internaute.

Concrètement, les cookies d’audience d’un site sont assimilés par la CNIL à des cookies techniques s’ils servent à produire des reportings pour comprendre le comportement des visiteurs et/ou améliorer l’ergonomie du site. Ce sont ceux qui permettent notamment de  :

  • Mesurer les performances du site,
  • Détecter les problèmes de navigation,
  • Optimiser les performances techniques ou l’ergonomie,
  • Analyser des contenus consultés.

Quelques exemples de métriques d’analyse d’audience : nombre de visiteurs uniques, nombre de pages vues, durée moyenne des visites, origine des visiteurs (pays, ville), source de trafic (moteurs de recherche, réseaux sociaux…) etc.

🚩 Pour être exemptés de consentement, les cookies ne doivent servir qu’à de la mesure d’audience agrégée. S’ils ont une finalité marketing ou publicitaire, alors le consentement doit être recueilli.

Par exemple, si le cookie permet de savoir combien de visiteurs ont consulté tel ou tel contenu, il a une finalité de mesure d’audience. En revanche, si le cookie est utilisé pour pouvoir pousser au visiteur des produits complémentaires à son achat, sa finalité est publicitaire.

Matomo Analytics, une fois configuré conformément aux recommandations de la CNIL, offre une telle protection des données personnelles qu’il peut être utilisé sans avoir besoin de recueillir le consentement pour leur collecte !

2 - Les usages et les fonctionnalités de Matomo

L’objectif de l’utilisation de Matomo est d’évaluer l’ensemble du parcours d’un internaute sur un site web. Cette solution permet de :

  • Mesurer l’audience d’un site web ou d’une application,
  • Récolter et analyser les données des visiteurs.

Quelles sont les principales fonctionnalités de Matomo ?

  • Analyse web : Matomo évalue l’ensemble du parcours des visiteurs pour suivre les performances. Vous retrouvez des rapports sous forme de tableaux de bord à organiser comme vous le préférez.
  • Analyse des conversions : l'outil permet de retracer le parcours des utilisateurs sur le site web ou l’application pour vous permettre de repérer les points d'achoppement et d’améliorer l’ergonomie du site. Des fonctionnalités dédiées (heatmap, enregistrement de cession, analyse de formulaires) vous aident à améliorer la conversion.
  • Analyse des profils visiteurs : créez un historique complet pour chaque visiteur, conservez son profil d’une visite à l’autre, visualisez son parcours d’achat sur la durée.
  • Amélioration du référencement : Matomo permet de piloter et d’optimiser votre stratégie SEO via un certain nombre de rapports : positionnement selon les mots-clés, intégration avec Google etc.

⚠️ Pour exploiter certaines de ces fonctionnalités, le recueil du consentement est obligatoire (comme les cartes de chaleur par exemple) .

Matomo met en place des garanties de conformité au RGPD et notamment :

  • Anonymisation des données et de l’IP,
  • La possibilité pour les utilisateurs de refuser tout suivi,
  • Cookies propriétaires par défaut,
  • La possibilité pour les personnes de consulter les données collectées,
  • La possibilité de supprimer les données des visiteurs s’ils en font la demande,
  • La garantie de ne pas utiliser les données à d’autres fins (à la différence de Google Analytics),
  • La possibilité de désactiver le journal des visiteurs et les profils.

Nous verrons comment activer certaines options dans la dernière partie du guide.

Matomo : où sont stockées les données ?

Vous avez deux possibilités : héberger Matomo sur vos propres serveurs (On-premise) ou l’héberger sur les serveurs d’hébergement en cloud de Matomo Cloud.

  • Matomo Cloud : à la différence de Google Analytics, avec Matomo Cloud, vos données sont stockées en Europe par une entreprise européenne. Aucune donnée ne fait l'objet d’un transfert aux États-Unis. De plus, Matomo s’engage à ne pas utiliser les données pour son propre compte et à ne pas les partager avec des tiers.
  • Matomo On-Premise : les données sont stockées dans le pays de votre choix et personne d’autre que vous n’a accès aux données. Dans ce cas l’équipe de Matomo n’a aucun accès aux données.

3 - Comment configurer Matomo pour être en conformité avec la CNIL ?

En définitive, l’outil Matomo est identifié par la CNIL comme conforme au RGPD car son paramétrage permet de répondre aux exigences du RGPD, contrairement à Google Analytics.

Si vous ne collectez des données qu'à des fins de mesure d’audience, vous pouvez le configurer de manière à ne pas avoir à demander de consentement de suivi. À l‘inverse, si vous recueillez des données à des fins marketing et/ou publicitaire, vous devez vous assurer de recueillir le consentement. C’est généralement le cas des sites e-commerce notamment. Dans ce cas, il vous faut mettre en place une bannière de cookies conformément aux recommandations de la CNIL.

Vous venez d’installer le code de suivi Matomo dans votre site web ? Nous vous détaillons les étapes pour configurer Matomo conformément aux obligations de la CNIL afin de respecter le RGPD.

⚠️ Pour configurer ces paramètres, vous devez avoir un accès “super utilisateur”.

Étape n°1 - Désactiver les exports de données

Pour mettre en place Matomo sur vos sites en mode exempté, vous devez désactiver des fonctionnalités d’export :

  • Se connecter en tant que Super User puis se rendre dans le menu Administration,
  • Cliquer sur Système → Paramètres généraux,
  • Dans la page dans la section Live → Disable Visits log & Visitor Profile.

Il n’y a plus qu’à enregistrer pour désactiver les fonctionnalités suivantes :  journal des visites, Visiteurs en temps réel, Profil visiteur, et Carte des visiteurs en temps réel.

Étape n°2 - Permettre de refuser le suivi

Vous pouvez permettre aux visiteurs de refuser le suivi. Pour cela, il faut intégrer un code Matomo qui informe l’utilisateur s’il est suivi ou non.

Par défaut, les internautes sont suivis, vous devez donc leur laisser la possibilité de se désinscrire en cliquant sur le lien dans le Opt-out. Matomo recommande d’inclure le formulaire d’Opt out dans votre page de confidentialité.

Étape n°3 - Anonymiser les adresses IP

Les adresses IP récoltées dans Matomo sont anonymisées. A la différence de Google Analytics, Matomo intègre cette option par défaut.

En effet, suivant les recommandations de la CNIL, Matomo limite la collecte d’informations de localisation à l’échelle des villes et vous pouvez choisir de masquer les deux voire les trois derniers bytes de l’adresse IP.

Pour plus de sécurité, vérifiez que cette option est toujours activée : Administration →  Vie privée →  Anonymiser les données : vérifiez que l’option “Rendre anonymes les adresses IP des visiteurs” est activée.

Étape n°4 - Ne pas utiliser les cookies tiers et cross-domain

Par défaut, Matomo utilise uniquement les cookies dits “First party” qui sont les cookies “propriétaires”, c’est-à-dire ceux appartenant au site web et récoltés par ses propres moyens. Ainsi, il n’est pas possible de suivre la navigation de l’internaute sur d’autres sites web.

Pour que le cookie soit exempté de consentement, vérifiez que les fonctionnalités “cross domain tracking” et “cookies tiers” sont bien désactivées.

Étape n°5 - Ne pas utiliser la mesure du “User ID”

L’user ID ou l’ID utilisateur est un identifiant client unique par lequel un utilisateur visitant son site Web est identifié. Il peut s’agir d’une adresse mail, du nom ou encore d’un pseudo.

Cet identifiant de connexion permet :

  • de différencier les différents utilisateurs du site web en leur garantissant une identification unique,
  • de réaliser un suivi de l'activité de chaque utilisateur.

L’ID utilisateur ne doit pas être utilisé sur le site web si vous désirez exploiter Matomo en mode exempté. Par défaut, Matomo ne mesure pas le User ID (ID utilisateur). Pour vérifier ce qu’il en est : cliquez dans le menu sur “Visiteurs” → “ID Utilisateur” et vérifiez que le rapport indique “Il n'y a pas de données pour ce rapport.”

Étape n°6 - Ne pas utiliser la mesure du E-Commerce

Par défaut, Matomo ne mesure pas les interactions e-commerce. Si vous désirez utiliser Matomo en mode Exempté, vous devez vous assurer que la mesure des commandes est bien désactivée : catégorie ”E-Commerce” →  Administration → Éléments mesurables → Gérer → Sous l’option E-Commerce sélectionnez “N'est pas un site d'e-commerce”.

Si au contraire vous êtes un site e-commerce et que vous avez besoin d’activer cette fonctionnalité,  il est obligatoire de recueillir le consentement des internautes aux cookies. En effet, ces indicateurs de suivi ont des finalités marketing.

Étape n°7 - Ne pas activer les heatmaps et les enregistrements de session

Cette fonctionnalité, qui n’existe pas sur Google Analytics, permet d’analyser le comportement d’un visiteur sur le site web.

Par défaut, Matomo ne permet pas de mesurer les cartes de chaleur ou d’enregistrements de sessions car il s’agit de plugins payants. Si vous désirez les utiliser, vous devrez mettre en place un suivi avec consentement.

Étape n°8 - Ne pas collecter pas de données personnelles

Par défaut,  Matomo ne collecte pas de données personnelles de manière automatique. Vous pouvez le vérifier : Administration → Éléments mesurables → Dimensions personnalisées. Ouvrez le rapport pour chaque dimension personnalisée et vérifiez qu’il n’affiche aucune donnée personnelle.

Pour rappel, une donnée personnelle, au sens de l’article 4 du RGPD, est une information directe ou indirecte qui se rapporte à une personne physique identifiée ou identifiable. Dès lors que la donnée est anonymisée ce n’est plus une donnée à caractère personnel car elle ne permet plus d’identifier une personne physique.

Étape n°9 - Exclure les données personnelles des URL et des titres de page

II s’agit de configurer le site de manière à ce que les URLs de page et les titres de page ne contiennent aucune donnée personnelle (e-mail, un code postal, ou un nom). S’ils contiennent des données personnelles, mieux vaut les supprimer des URLs et titres de pages.

Étape n°10 - Ne collecter que des données utiles à la mesure d’audience

Il est important de rappeler que si vous entendez vous passer du consentement des visiteurs aux cookies, ceux-ci ne doivent être collectés que dans un seul but de mesure d’audience. Ainsi, vous ne pouvez pas lier vos web analytics à un outil marketing ou publicitaire par exemple.

Enfin, n'oubliez pas de mentionner l’utilisation de Matomo dans votre politique de confidentialité !

Pour être informé en temps réels de la conformité de vos outils, aidez-vous du logiciel RGPD Leto. N’hésitez pas à demander une démo de notre solution !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Saurez-vous comment utiliser HubSpot tout en respectant le RGPD ?
10/8/2021
Shopify et RGPD : 5 Points à Vérifier Avant de Couler Votre Business !
21/3/2022
Salesforce et RGPD : 4 astuces à connaître pour vous mettre en conformité
1/10/2021
RGPD : Pourquoi vous devriez vous méfier d’Airtable
1/6/2022

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023