Matomo et RGPD

Suite à un précédent post où je parlais des bandeaux de cookies pour wordpress, je vais aborder le sujet non moins épineux du tracking des visiteurs sur un site web.

Saviez-vous qu’il était possible de tracker les visiteurs de votre site web sans bandeau de cookie et tout en étant respectueux du RGPD ? 

Oui, c’est possible.

Pourquoi je vous dis cela ? 

Parce que de plus en plus d’entreprises en France et en Europe prennent conscience que la protection des données est un enjeux tout aussi important que celui de l’acquisition client.

Une entreprise saine numériquement et conforme à la RGPD devient aux yeux des internautes une garantie supplémentaire de sa qualité.

Je vais tenter de vous expliquer dans cet article comment fonctionne Matomo et en quoi il peut être une alternative viable à Google Analytics.

Même pour les marketeurs 😉

Qu’est-ce que Matomo Analytics ?

Petit historique.

Matomo, anciennement Piwik, est un programme d’analyse gratuit basé sur PHP et utilisant une base de données MySQL que vous téléchargez, installez et hébergez sur votre propre serveur web. 

Il compte les visiteurs à l’aide de JavaScript, de pixels de suivi, d’API ou d’analyse de fichiers journaux. 

En raison de ses paramètres respectueux de la vie privée et de sa facilité d’utilisation, c’est un outil d’analyse populaire qui est déjà utilisé sur plus d’un million de sites web dans 200 pays. 

La particularité de Matomo par rapport à Google Analytics est qu’il peut être utilisé sans le consentement des utilisateurs tout en garantissant la sécurité de leur vie privée. 

Matomo est même mentionné par la CNIL comme une recommandation pour l’analyse statistique sans opt-in si les paramètres sont correctement configurés.

Parmi les statistiques disponibles dans Matomo, je peux citer :

  • Statistiques des accès à vos sites web
  • Accès en temps réel
  • Évaluation par jour, semaine, mois, année
  • Tableau de bord configurable
  • Analyse des pages : pages d’entrée et de sortie, taux de rebond, temps de lecture.
  • Termes de recherche
  • Recevoir des rapports automatisés par e-mail (quotidien, hebdomadaire, mensuel)
  • Application mobile pour IOS et Android
  • Données stockées sur votre serveur (version Saas également disponible)
  • Fonction d’exclusion pour désactiver le suivi (conforme au RGPD)
  • Anonymisation de l’adresse IP (conforme au RGPD)

Que fait Matomo ?

Matomo est utilisé pour l’analyse de l’audience de sites web de toutes tailles. Matomo convient aux sites web commerciaux simples ainsi qu’aux boutiques en ligne avec suivi du commerce électronique et à l’enregistrement des campagnes de marketing en ligne.

Vous me direz, ok, mais pourquoi changer si ça fait tout pareil que Google Analytics ?

J’y viens…

De ‘grands’ sites comme celui de la CNIL elle-même utilisent Matomo.

Combien coûte Matomo ?

Tout comme Google Analytics, Matomo est un outil gratuit dans sa configuration de base. 

Divers plugins sont disponibles au prix d’une licence mensuelle ou annuelle à partir de 19€ par an. 

Donc premier point, oui Matomo est gratuit dans sa version de base, mais peut rapidement vous coûter cher si vous souhaitez faire des analyses plus poussées de vos données. Alors que ces mêmes outils sont disponibles en natif dans Google Analytics.

Une solution de serveur tiers est également possible moyennant des frais et selon le nombre de pages vues par mois.

Là aussi je trouve la pilule un peu dure à avaler. Certes, on a droit à un service, certes l’entreprise doit aussi gagner de l’argent, mais il est malgré tout compliqué, du fait du modèle économique, de passer à Matomo, notamment pour les petites structures qui n’ont pas forcément les moyens. 

Matomo et le RGPD

La question de l’utilisation conforme au RGPD de Matomo Analytics et de l’affichage de la bannière des cookies est une question litigieuse en matière de protection des données.

Je vais tenter de clarifier ce point. 

Il m’a fallu beaucoup de temps de lecture, de compréhension, d’analyse et de recherche pour aboutir au constat suivant.

Car oui, les informations sont difficilement trouvables et compréhensibles…

Ai-je besoin du consentement explicite des visiteurs de mon site web pour Matomo ?

Oui et non. Car cela dépend entièrement des paramètres par défaut. 

Avec les paramètres par défaut de Matomo, des cookies sont diffusés sur l’appareil de l’utilisateur pour analyser son comportement. Avec les paramètres par défaut, Matomo est donc soumis au consentement.

Pour rappel, le consentement doit être éclairé, volontaire, actif et donné à l’avance, par exemple via un outil de gestion du consentement (le fameux bandeau de cookies).

Le respect des données personnelles et du RGPD faisant partie des principes de Matomo, l’outil offre de nombreuses possibilités pour être utilisé de manière respectueuse de la protection des données.

Utiliser Matomo sans le consentement préalable de l’utilisateur est donc possible grâce à quelques ajustements simples.  

Matomo et l’anonymisation automatique des adresses IP des visiteurs

L’adresse IP est une donnée personnelle et doit donc être anonymisée. Cela peut être fait avec le plugin “Privacy Manager” sous l’option de menu “Paramètres > Confidentialité > Anonymiser les données”. 

En outre, le paramètre “Utiliser également l’IP anonyme lors de l’enrichissement de la visite” doit être activé dans les paramètres de confidentialité de Matomo.  

(Je m’excuse pour les traductions approximatives, l’interface de Matomo que j’utilise est en anglais).

Désactiver de manière générale l’utilisation des cookies

Il suffit de cliquer sur “désactiver tous les cookies de suivi” dans les paramètres.

Ou ajustez le code JavaScript en suivant les instructions de Matomo. Ce paramètre entraînera la suppression automatique de tous les cookies Matomo restants lors de la prochaine visite de la page.

RGPD : respecter le devoir d’observation

Même si le consentement explicite n’est plus requis avec ces paramètres, vous devez informer les visiteurs de votre site web de l’utilisation des cookies. Cela devrait être indiqué a minima dans la politique de confidentialité. 

Si vous utilisez un outil de gestion des consentements (pour une utilisation de cookies d’application tierces), vous pouvez également répertorier Matomo ici. Puisqu’aucun consentement n’est nécessaire, la classification dans la catégorie “Essentiel” sans option de retrait est suffisante ici.

Cela est probablement un des points les plus obscurs et complexes. Quoiqu’il en soit, il semblerait donc qu’utiliser Matomo peut vous exempter de l’utilisation d’une bannière de consentement. 

Un clic en moins pour l’internaute. Pourquoi pas ? 😉

Comparaison de Matomo et de Google Analytics

Matomo permet de stocker les données sur son propre serveur / ou sur un serveur sécurisé de l’UE et peut donc également être utilisé sans le “bouclier” de protection des données.

Matomo est basé sur un logiciel open source : cela signifie que le code source peut être consulté, modifié et utilisé.

Si vous êtes développeur, libre à vous donc de modifier le code et de créer vos propres outils !

Matomo est une alternative éthique à Google Analytics, car aucune donnée personnelle n’est transmise à des tiers = protection des données des utilisateurs.

En effet, Google Analytics, comme tous les outils de Google, envoie les données vers les Etats-Unis. 

Bien que Google indique explicitement les crypter, il ne les crypte qu’une fois sur place. La transmission se ferait donc bien en ‘clair’.

L’utilisation de Matomo renforce la confiance des utilisateurs et entraîne une augmentation des taux d’adhésion.  

Les utilisateurs de Matomo ont le contrôle total des données. Faites le test. En fermant la page de navigateur d’un site utilisant Matomo, les cookies sont automatiquement supprimés.

Matomo peut être utilisé sans consentement explicite.

Matomo permet des options de paramétrage respectueuses de la protection des données, de la sauvegarde des données et l’analyse des visiteurs sans cookies est conforme au RGPD.

Mais pourquoi le consentement n’est-il pas requis avec Matomo ?

Encore une fois, Matomo n’utilise pas ces données à d’autres fins que celles de l’analyse. Contrairement à Google Analytics, qui l’utilise à d’autres fins et requiert donc toujours un consentement.

Je me répète peut-être beaucoup, mais c’est vraiment un point essentiel ! 

De plus, les visiteurs ne sont pas suivis sur différents sites web. une fois le site quitté, les vannes se ferment. Stop, fini, plus de data.

Les empreintes digitales changent quotidiennement pour chaque visiteur, ce qui signifie qu’aucun visiteur n’est suivi au fil des jours sur le même site web et qu’aucun profil d’utilisateur ne peut être créé si les cookies sont désactivés.

Que faire si vous ne pouvez pas vous passer de Google Analytics ?

L’écosystème de Google est quand même séduisant. Moi le premier, j’adore Google 😉 Rien que pour le retargeting des audiences, le tracking du parcours des internautes, je trouve cela fantastique.

J’ai personnellement toujours un peu de mal à comprendre la RGPD dans ce sens où je n’ai pas de données personnelles dans mon tableau de bord Analytics. Ce ne sont que des chiffres. Bref… 

Le débat peut durer un bon moment 😉

Quelles alternatives à Google Analytics ?

Entre les deux, mon coeur balance… 

Et bien, utilisez les deux ! Si vous ne voulez pas vous passer de certaines fonctions que Matomo ne propose pas, vous pouvez toujours utiliser Google Analytics. 

Avec une bannière de cookies bien configurée, vous obtiendrez également l’adhésion de vos utilisateurs à cet effet. 

Toutefois, le consentement explicite de l’utilisateur est obligatoire dans le cas de Google Analytics et l’affichage peut être refusé en cas de doute. 

Si tel était le cas, vous disposeriez toujours des données anonymes de Matomo et pourriez les utiliser à des fins de marketing.

Y a-t-il encore des risques liés à l’utilisation de Matomo ?

Le consensus sur l’utilisation sans cookie et donc sans consentement de Matomo Analytics sur les sites web est qu’un outil sans cookie ne nécessite pas de consentement. 

Si les paramètres de confidentialité sont correctement mis en œuvre, rien ne s’y oppose selon le règlement général sur la protection des données (RGPD). Néanmoins, la question de la classification de l’outil dans une bannière de cookies reste posée : même si l’utilisateur n’est pas obligé de donner un opt-in, il doit avoir la possibilité de revoter/opting out, c’est-à-dire de rejeter son profilage (bien qu’il soit anonymisé et ne s’étende pas sur plusieurs pages) ?

Actuellement, il n’existe pas de jurisprudence ou de procédure d’amende connue sur cette question. Par conséquent, les experts en protection des données sont d’avis que l’outil sans consentement et sans possibilité de rejet est conforme à la protection des données, le risque restant faible.

Un projet SEO ? Besoin de conseils stratégiques sur la mise en œuvre d’une campagne SEA ? Besoin de formation ? Contactez-moi. Je serai ravi de répondre à vos questions. Ou par téléphone : 07.67.87.55.03.