RGPD et Matomo (mesure d'audience)

Matomo est-il exempté de consentement au titre du RGPD ?

Matomo peut être exempté de consentement uniquement s'il est configuré selon les conditions posées par la CNIL au titre de l'article 82 de la loi Informatique et Libertés : mesure d'audience strictement nécessaire, pour le compte exclusif de l'éditeur, sans recoupement avec d'autres traitements ni suivi de la navigation sur d'autres sites. À défaut, le consentement préalable reste obligatoire.

Les 6 étapes pour configurer Matomo en conformité RGPD :

  1. Limiter Matomo à la production de statistiques anonymes pour le compte exclusif de votre site
  2. Activer l'anonymisation des adresses IP dans les paramètres de confidentialité
  3. Désactiver tout recoupement avec d'autres traitements et tout suivi inter-sites
  4. Limiter la durée de vie des traceurs à 13 mois et la conservation des données à 25 mois maximum
  5. Proposer un mécanisme d'opposition (opt-out) accessible à tout moment
  6. Documenter cette configuration dans le registre des traitements et la politique de confidentialité

Matomo (ex-Piwik) est la principale alternative open-source à Google Analytics : auto-hébergeable, sans réutilisation des données à des fins publicitaires propres, il est régulièrement cité comme la solution de mesure d'audience la plus compatible avec le RGPD. Son atout le plus connu : correctement configuré, il peut bénéficier de l'exemption de consentement prévue pour les traceurs de mesure d'audience strictement nécessaires.

Cette exemption est toutefois conditionnelle, jamais automatique : elle dépend du respect des conditions posées par la CNIL au titre de l'article 82 de la loi Informatique et Libertés. Un Matomo mal paramétré reste un traceur soumis à consentement comme un autre. Cette page détaille la configuration attendue et la manière de déclarer Matomo dans votre politique de confidentialité.

Générer ma politique RGPD MatomoVoir tous les modèles RGPD

L'exemption de consentement : possible, mais jamais automatique

L'article 82 de la loi Informatique et Libertés exige en principe un consentement avant tout dépôt ou lecture de traceur. La CNIL admet toutefois une exemption pour les traceurs de mesure d'audience strictement nécessaires au fonctionnement et à l'administration courante du site, sous conditions strictes : finalité limitée à la mesure d'audience pour le compte exclusif de l'éditeur, production de statistiques anonymes, absence de recoupement avec d'autres traitements et absence de suivi de la navigation sur d'autres sites.

Matomo figure parmi les outils que la CNIL a identifiés comme pouvant être configurés pour entrer dans ce cadre. Le point essentiel : c'est la configuration qui crée l'exemption, pas l'outil lui-même. Un Matomo paramétré avec suivi inter-sites, profils utilisateurs persistants ou partage de données avec des tiers retombe dans le droit commun et exige une CMP avec consentement préalable, exactement comme Google Analytics.

Même en configuration exemptée, l'obligation d'information demeure : votre politique de confidentialité et votre page cookies doivent décrire le dispositif de mesure d'audience et offrir un mécanisme d'opposition simple.

Configurer Matomo selon les conditions de la CNIL

Concrètement : activez l'anonymisation des adresses IP dans les paramètres de confidentialité de Matomo, limitez la durée de vie des traceurs à treize mois (sans prolongation automatique à chaque visite) et la conservation des données collectées à vingt-cinq mois au maximum, désactivez les fonctionnalités de croisement (suivi des campagnes publicitaires individualisé, identifiants utilisateurs inter-sites) et n'utilisez les données qu'à des fins de statistiques agrégées pour votre propre site.

Proposez un opt-out accessible à tout moment : Matomo fournit nativement un mécanisme d'opposition à intégrer dans votre page de politique cookies ou de confidentialité. Documentez l'ensemble de la configuration dans votre registre des traitements : en cas de contrôle, c'est cette documentation qui démontre que les conditions de l'exemption sont effectivement remplies.

Attention aux fonctionnalités avancées : les heatmaps, l'enregistrement de sessions et les tests A/B proposés par Matomo dépassent la mesure d'audience strictement nécessaire et requièrent un consentement préalable, au même titre que Hotjar ou Microsoft Clarity. L'exemption ne couvre que le socle de mesure d'audience.

Auto-hébergement ou Matomo Cloud : qui traite les données ?

En auto-hébergement, les données restent sur vos serveurs : pas de sous-traitant pour l'analytics lui-même (en dehors de votre hébergeur), une chaîne de traitement courte et une maîtrise complète de la localisation des données. C'est l'argument historique de Matomo face à Google Analytics, dont les transferts vers les États-Unis ont valu des mises en demeure de la CNIL à plusieurs sites français en 2022.

Avec Matomo Cloud, l'éditeur (InnoCraft) devient votre sous-traitant : signez le DPA conformément à l'article 28 du RGPD et vérifiez la localisation d'hébergement annoncée ainsi que la liste des sous-traitants ultérieurs. InnoCraft est une société néo-zélandaise — la Nouvelle-Zélande bénéficie d'une décision d'adéquation de la Commission européenne — mais la localisation effective des serveurs reste l'élément à vérifier et à documenter dans votre politique de confidentialité.

Dans les deux cas, mentionnez Matomo dans votre politique : finalité (mesure d'audience), configuration retenue (exemptée de consentement ou non), durée de conservation des données et mécanisme d'opposition mis à disposition des visiteurs.

Générez votre document en 5 minutes

Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.

Générer ma politique RGPD Matomo

Questions fréquentes

Matomo est-il exempté de consentement dès l'installation ?

Non. L'installation standard ne suffit pas : l'exemption suppose une configuration spécifique (anonymisation des IP, finalité limitée à la mesure d'audience, absence de recoupement et de suivi inter-sites, durées limitées, opt-out). Tant que cette configuration n'est pas en place et documentée, traitez les traceurs Matomo comme soumis à consentement.

Matomo est-il plus conforme au RGPD que Google Analytics ?

Matomo offre des garanties structurelles que GA4 n'a pas : auto-hébergement possible (pas de transfert hors UE), absence de réutilisation des données à des fins propres lorsqu'il est auto-hébergé, et possibilité d'exemption de consentement sous conditions CNIL. Google Analytics, lui, ne remplit pas les critères de l'exemption et requiert toujours un consentement préalable.

Faut-il quand même un bandeau cookies avec Matomo ?

Si Matomo est configuré en mode exempté, ses traceurs ne nécessitent pas de consentement : un bandeau n'est pas requis pour eux, mais l'information des visiteurs et un mécanisme d'opposition restent obligatoires. Si votre site utilise par ailleurs des traceurs non exemptés (publicité, réseaux sociaux), le bandeau de consentement reste nécessaire pour ces derniers.

Peut-on utiliser Matomo sans cookies ?

Oui, Matomo propose un mode de suivi sans cookie. Cela allège les obligations liées au dépôt de traceurs, mais ne fait pas disparaître le RGPD : le traitement des données de navigation et d'adresses IP reste soumis aux principes d'information, de minimisation et de limitation des durées de conservation. Déclarez ce traitement dans votre politique de confidentialité.

Voir aussi

RGPD
RGPD et Google Analytics (GA4)
RGPD
RGPD et Microsoft Clarity (heatmaps & session replay)
Politique cookies
Bandeau cookies conforme CNIL 2026 : exigences, erreurs fréquentes et checklist

Guides pour aller plus loin

Guide
Google Analytics est-il toujours autorisé en France en 2026 ?

État du droit en 2026 : Google Analytics, GA4, transferts hors UE, position CNIL, configuration moins risquée et alternatives conformes au RGPD.