Matomo et l'exemption CNIL : guide complet de configuration
Matomo peut être exempté de consentement par la CNIL. Conditions, paramétrage précis, pièges courants et vérification : le guide complet.
Pourquoi Matomo intéresse autant les entreprises françaises
La CNIL accorde une exemption de consentement à certains outils de mesure d’audience, à condition qu’ils respectent un cadre strict. Matomo est le seul outil majeur à pouvoir en bénéficier. Concrètement, cela signifie que vous pouvez mesurer l’audience de votre site sans afficher de bandeau de cookies pour l’analytics — et donc collecter des données sur 100 % de vos visiteurs au lieu de 60 à 70 %.
C’est un avantage considérable. Mais l’exemption n’est pas automatique. Elle dépend d’une configuration précise que beaucoup d’installations Matomo ne respectent pas.
Les conditions d’éligibilité
La CNIL impose plusieurs conditions cumulatives pour bénéficier de l’exemption. Les données collectées doivent servir uniquement à produire des statistiques anonymes. Aucun croisement avec d’autres traitements n’est autorisé. Les données ne doivent pas être transmises à des tiers. Et les utilisateurs doivent être informés et pouvoir s’opposer facilement.
Plus précisément, voici les exigences techniques :
L’adresse IP doit être anonymisée sur au moins deux octets (par exemple, 192.168.0.0 au lieu de 192.168.12.34). Les données de géolocalisation ne doivent pas descendre en dessous de l’échelle de la ville. La durée de vie du cookie traceur (habituellement _pk_id) ne doit pas dépasser 13 mois. Et le cookie de session (_pk_ses) doit être limité à 30 minutes.
Paramétrage précis dans Matomo
Dans l’interface d’administration de Matomo, accédez aux paramètres de confidentialité. Voici les réglages à appliquer :
Anonymisation des IP : activez l’anonymisation et configurez-la sur 2 octets minimum. La recommandation CNIL est claire sur ce point — un seul octet ne suffit pas.
Durée des cookies : dans les paramètres de tracking, réduisez la durée du cookie visiteur à 13 mois maximum et le cookie de session à 30 minutes.
Respect du Do Not Track : activez l’option “Respecter l’en-tête Do Not Track des navigateurs”. Même si cette fonctionnalité est en perte de vitesse côté navigateurs, la CNIL l’exige.
Pas de User ID : n’utilisez pas la fonctionnalité User ID si vous souhaitez bénéficier de l’exemption. Le suivi cross-device est incompatible avec le cadre d’exemption.
Opt-out accessible : intégrez le widget d’opt-out Matomo sur votre page de politique de confidentialité. L’utilisateur doit pouvoir refuser la mesure d’audience même en l’absence de bandeau.
Les pièges à éviter
Le piège le plus fréquent : activer des plugins Matomo qui sortent du cadre de l’exemption. Les heatmaps, les enregistrements de sessions, les A/B tests ou le suivi e-commerce avancé impliquent des traitements qui vont au-delà de la simple mesure d’audience. Si vous les activez, l’exemption tombe et vous devez recueillir le consentement.
Deuxième piège : utiliser Matomo Cloud sans vérifier la localisation des serveurs. Pour l’exemption CNIL, les données doivent être hébergées en Europe. Matomo Cloud est hébergé en Allemagne, ce qui est conforme. Mais si vous avez une installation on-premise, vérifiez la localisation de votre hébergeur.
Troisième piège : ne pas informer les utilisateurs. L’exemption de consentement ne dispense pas de l’information. Votre politique de confidentialité doit mentionner l’utilisation de Matomo, la finalité statistique, la durée de conservation et le droit d’opposition.
Comment vérifier votre conformité
La CNIL publie un guide de vérification sur son site. Mais le moyen le plus fiable reste d’inspecter les requêtes réseau de votre site : vérifiez les cookies déposés, les paramètres envoyés dans les requêtes de tracking et les réponses du serveur Matomo.
Si vous hésitez entre Matomo et GA4 ou si vous souhaitez vérifier que votre configuration Matomo est bien éligible à l’exemption, un audit de conformité analytics permet de trancher rapidement.