Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
Marketing Digital

Matomo et RGPD : guide de conformité 2026

Matomo et RGPD : exemption de consentement CNIL, configuration conforme, transferts et obligations à respecter après la réforme du 1er janvier 2026.

Depuis le 1er janvier 2026, la liste publique des solutions de mesure d’audience exemptées de consentement par la CNIL a disparu. C’est désormais à chaque éditeur de prouver que son outil remplit les conditions de l’exemption. Matomo reste l’un des rares outils capables de fonctionner sans bannière cookies — à condition d’être correctement configuré. Voici comment, et ce que l’exemption ne dispense pas de faire.

Matomo, l’alternative privacy by design à Google Analytics

Matomo (anciennement Piwik) est la principale solution open source de mesure d’audience web. Son intérêt en matière de conformité tient à son architecture : selon le mode de déploiement choisi, les données peuvent rester sous le contrôle exclusif de l’éditeur, sans transmission à un tiers à des fins propres — ce qui constitue justement le cœur des conditions d’exemption posées par la CNIL.

Deux modes de déploiement coexistent. Matomo On-Premise (auto-hébergé) installe le logiciel sur vos propres serveurs : vous êtes seul responsable de traitement, les données ne quittent pas votre infrastructure. Matomo Cloud est une version hébergée par l’éditeur InnoCraft, dont les serveurs européens sont situés en Allemagne. Dans les deux cas, aucun transfert vers les États-Unis n’est en jeu, contrairement à Google Analytics dont les transferts reposent sur la fragile décision d’adéquation EU-US Data Privacy Framework.

Cette différence structurelle explique pourquoi Matomo est souvent présenté comme conforme « par conception ». La formule est commode mais trompeuse : Matomo n’est conforme que s’il est configuré pour l’être. Installé avec ses réglages par défaut et l’ensemble de ses fonctionnalités activées, il dépose des traceurs soumis à consentement comme n’importe quel autre outil.

L’exemption de consentement CNIL : ce qui change au 1er janvier 2026

L’enjeu central de Matomo est la possibilité de mesurer son audience sans recueillir le consentement prévu à l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy). Concrètement : pas de bannière cookies bloquante pour les statistiques, donc des données collectées sur 100 % des visiteurs et non sur la fraction qui accepte les cookies.

La fin de la liste blanche

Jusqu’en 2025, la CNIL gérait un programme d’évaluation et publiait une liste des solutions reconnues comme éligibles à l’exemption. Matomo y figurait depuis 2021. Dans sa mise à jour des lignes directrices « Cookies : solutions pour les outils de mesure d’audience » publiée le 4 juillet 2025, la CNIL a profondément modifié ce dispositif. La liste publique a été supprimée au 1er janvier 2026 et remplacée par un outil d’auto-évaluation mis à la disposition des éditeurs et des fournisseurs.

Le changement n’est pas cosmétique. La charge de la preuve bascule : il appartient désormais à chaque responsable de traitement de démontrer, le cas échéant lors d’un contrôle de la CNIL, que la configuration retenue respecte bien les critères de l’exemption. La grille d’auto-évaluation de la CNIL structure cette démonstration autour de 5 objectifs et 14 critères à vérifier point par point. Documenter cette analyse n’est plus une bonne pratique : c’est la seule manière de se prémunir.

Les conditions de fond de l’exemption

Les critères de la CNIL restent cohérents avec sa doctrine antérieure. Pour être exempté de consentement, un outil de mesure d’audience doit notamment : avoir une finalité strictement limitée à la mesure d’audience pour le compte exclusif de l’éditeur ; produire des données statistiques anonymes ; ne pas recouper les données avec d’autres traitements ni les transmettre à des tiers ; ne pas permettre le suivi global de la navigation d’une personne sur différents sites ; et respecter des durées de conservation encadrées (traceur de 13 mois maximum, données de 25 mois maximum).

Matomo, dans ses deux versions, peut satisfaire ces conditions. Mais seules certaines configurations le permettent — et plusieurs fonctionnalités appréciées des équipes marketing font, elles, basculer l’outil hors du champ de l’exemption.

Configurer Matomo pour bénéficier de l’exemption de consentement

Voici les réglages qui conditionnent l’éligibilité à l’exemption. Dans mon expérience d’accompagnement, c’est l’oubli d’un seul de ces points qui invalide l’ensemble du raisonnement.

Anonymiser l’adresse IP

L’anonymisation de l’adresse IP doit être activée, en masquant au minimum les deux derniers octets (par exemple 192.168.xxx.xxx). Cette mesure empêche la réidentification fine du visiteur à partir de son adresse IP et conditionne le caractère « anonyme » des statistiques produites.

Limiter les cookies aux first-party et leur durée de vie

Matomo utilise par défaut des cookies « first-party », déposés sur le domaine de l’éditeur, et ne recourt pas à des cookies tiers. La durée de vie du cookie de suivi doit être plafonnée à 13 mois et la conservation des données ne doit pas excéder 25 mois, conformément à la doctrine CNIL. Ces valeurs se paramètrent directement dans la configuration de l’instance.

Désactiver le suivi inter-sites et le User ID

Le suivi inter-domaines (cross-domain tracking) et l’usage du même identifiant sur plusieurs sites permettraient de reconstituer la navigation d’une personne au-delà du seul site de l’éditeur : ils sont incompatibles avec l’exemption et doivent être désactivés. De même, la fonctionnalité User ID, qui rattache les visites à un identifiant utilisateur, sort du cadre de la simple mesure d’audience anonyme et ne doit pas être utilisée en mode exempté.

Bannir les fonctionnalités allant au-delà de la mesure d’audience

C’est le point le plus souvent négligé. Plusieurs modules de Matomo dépassent la finalité de mesure d’audience et nécessitent donc un consentement : les Heatmaps & Session Recordings (cartes de chaleur et enregistrement de session), le suivi e-commerce (panier, transactions rattachées à un visiteur), les tests A/B, le suivi des formulaires ou des médias. Activer l’un de ces modules fait perdre le bénéfice de l’exemption pour l’ensemble du traçage. En mode exempté, ils doivent rester désactivés ; si vous en avez besoin, ils ne peuvent être déclenchés qu’après recueil du consentement via une plateforme de gestion du consentement.

La conformité CNIL en un clic (avril 2026)

Pour simplifier cette configuration, Matomo a déployé en avril 2026 une fonctionnalité de conformité CNIL « en un clic », qui applique automatiquement les réglages requis pour le mode exempté de consentement destiné aux visiteurs français. C’est un gain de temps appréciable, mais il ne dispense pas de vérifier la cohérence d’ensemble : si un module non conforme est activé par ailleurs, le bouton ne suffira pas. La grille d’auto-évaluation de la CNIL reste l’outil de référence pour valider — et documenter — votre conformité.

L’exemption de consentement ne dispense pas du RGPD

C’est le contresens le plus fréquent que je rencontre. L’exemption porte uniquement sur le consentement au dépôt du traceur (article 82 de la loi Informatique et Libertés). Elle ne supprime aucune des obligations du RGPD, qui s’appliquent intégralement dès lors que des données personnelles sont traitées — et l’adresse IP, même tronquée, ou un identifiant de visiteur en relèvent souvent.

Une fois l’exemption acquise, le responsable de traitement doit donc toujours :

  • Identifier une base légale au sens de l’article 6 du RGPD. Pour la mesure d’audience exemptée de consentement, c’est généralement l’intérêt légitime de l’éditeur (Art. 6(1)(f)), qui suppose une mise en balance documentée avec les droits des visiteurs.
  • Informer les visiteurs dans la politique de confidentialité, conformément à l’article 13 du RGPD : finalités, données collectées, durées, droits et, le cas échéant, droit d’opposition.
  • Inscrire le traitement au registre des activités de traitement prévu à l’article 30 : finalité de mesure d’audience, catégories de données, hébergeur, durées de conservation et mesures de sécurité.
  • Garantir la sécurité du traitement au titre de l’article 32 du RGPD, en particulier pour une instance auto-hébergée dont vous assumez seul la protection (chiffrement, accès restreints, mises à jour).

C’est précisément ce travail de qualification (base légale, registre, durées, information) que Legiscope automatise pour les responsables de traitement qui gèrent un parc d’outils numériques croissant.

Matomo Cloud ou auto-hébergement : quel choix pour la conformité ?

Le choix du mode de déploiement a des conséquences directes sur l’analyse de conformité, notamment au regard des transferts hors UE.

L’auto-hébergement offre le contrôle maximal : les données restent sur votre infrastructure, aucun transfert ni sous-traitant n’est en jeu, et vous démontrez aisément la finalité « pour le compte exclusif de l’éditeur ». La contrepartie est opérationnelle : vous assumez l’hébergement, les sauvegardes, les correctifs de sécurité et la disponibilité du service.

Matomo Cloud confie l’hébergement à InnoCraft, qui agit comme sous-traitant au sens de l’article 28 du RGPD : un contrat de sous-traitance (DPA) est alors nécessaire. Les serveurs européens étant situés en Allemagne, il n’y a pas de transfert vers un pays tiers à sécuriser, ce qui constitue un net avantage par rapport à une solution américaine. Reste à vérifier la chaîne de sous-traitance ultérieure et à conserver le DPA dans votre documentation.

Dans les deux cas, Matomo se distingue des solutions reposant sur des transferts vers les États-Unis, dont la sécurité juridique dépend du maintien du Data Privacy Framework, lui-même contesté devant la Cour de justice de l’Union européenne. Pour une comparaison détaillée des réglages de l’écosystème Google, voyez nos guides sur GA4 et Google Tag Manager.

Ce qu’il faut retenir

  • Depuis le 1er janvier 2026, la liste CNIL des solutions exemptées a disparu : c’est à l’éditeur de prouver sa conformité via la grille d’auto-évaluation (5 objectifs, 14 critères).
  • Matomo (Cloud ou On-Premise) peut être exempté de consentement, mais uniquement avec une configuration stricte : IP anonymisée, cookies first-party plafonnés à 13 mois, données à 25 mois, ni suivi inter-sites ni User ID.
  • Les modules Heatmaps, Session Recordings, e-commerce, A/B testing et suivi de formulaires font perdre l’exemption et exigent un consentement.
  • L’exemption ne concerne que le traceur (Art. 82 LIL) : base légale (Art. 6(1)(f)), information (Art. 13), registre (Art. 30) et sécurité (Art. 32) du RGPD restent dus.
  • L’hébergement européen de Matomo écarte la question des transferts hors UE qui fragilise Google Analytics.

FAQ

Matomo nécessite-t-il une bannière cookies en 2026 ?

Pas nécessairement. Correctement configuré en mode exempté (IP anonymisée, cookies first-party, sans suivi inter-sites, User ID ni modules avancés), Matomo peut mesurer l’audience sans recueillir le consentement de l’article 82 de la loi Informatique et Libertés. En revanche, dès qu’une fonctionnalité dépasse la mesure d’audience (heatmaps, e-commerce, A/B testing), une bannière de consentement redevient obligatoire pour ces traitements.

Comment prouver à la CNIL que Matomo est conforme depuis 2026 ?

La liste publique des solutions évaluées par la CNIL a disparu le 1er janvier 2026. Vous devez désormais réaliser et conserver une auto-évaluation à partir de la grille publiée par la CNIL (5 objectifs, 14 critères), accompagnée des captures de configuration de votre instance. Cette documentation est ce que la CNIL examinera en cas de contrôle.

Matomo Cloud transfère-t-il des données hors de l’Union européenne ?

Non : les serveurs de Matomo Cloud sont situés en Allemagne, au sein de l’Union européenne. Il n’y a donc pas de transfert vers un pays tiers à encadrer. L’éditeur InnoCraft agit toutefois comme sous-traitant : un contrat de sous-traitance conforme à l’article 28 du RGPD doit être signé et conservé.

L’exemption de consentement suffit-elle à être conforme au RGPD ?

Non. L’exemption ne porte que sur le consentement au dépôt du traceur (directive ePrivacy / Art. 82 LIL). Le RGPD continue de s’appliquer pleinement : il faut une base légale (le plus souvent l’intérêt légitime de l’article 6(1)(f)), informer les visiteurs (article 13), inscrire le traitement au registre (article 30) et garantir la sécurité des données (article 32).

Vous voulez suivre les évolutions de la doctrine CNIL et du RGPD sans y passer vos journées ? Recevez nos analyses conformité chaque semaine.