Ce guide décrit comment configurer Matomo en mode d'exemption de consentement pour le programme de la CNIL. Pour cela, désactivez certaines fonctionnalités, permettez aux visiteurs de refuser le suivi, vérifiez les paramètres par défaut de Matomo et évitez la collecte de données personnelles.
Introduction
Matomo est un logiciel libre (Open Source) d'analyse d'audience. Cela permet de s’assurer qu’il est sécurisé et assure la confidentialité des données.
Cookies : solutions pour les outils de mesure d'audience
Dans quels cas les cookies sont-ils exemptés de consentement ? Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience
Deux modes d’hébergement
Lorsque vous utilisez Matomo, vous pouvez soit l’héberger vous-même avec Matomo en auto-hébergement soit l’héberger sur les serveurs d’hébergement en cloud de Matomo. Ces deux modes d’hébergement (auto-hébergé ou cloud) vous donnent la propriété à 100 % des données et protègent la vie privée de vos utilisateurs par défaut.
Matomo en version auto-hébergé (Self-hosted / On-Premise)
Lorsque vous hébergez Matomo sur vos serveurs, personne d’autre que vous n’a accès à vos données pour les traiter (l’équipe de Matomo n’a aucun accès possible à vos données). Matomo peut être téléchargé gratuitement puis installé sur vos serveurs ou sur tout autre hébergeur web.
L'analyse d'audience Web hébergée sur vos serveurs | Matomo On-Premise
Restez propriétaire de vos données, assurez le plus haut niveau de sécurité et de confidentialité, disposez d'un maximum de souplesse pour faire ce que vous souhaitez avec Matomo Analytics On-Premise en auto-hébergement.
https://fr.matomo.org/matomo-on-premise/
Matomo en version cloud : Matomo Cloud (Saas)
L’entreprise InnoCraft (qui édite Matomo et fournit le service Matomo Cloud) s’engage à respecter la réglementation applicable, et à fournir le service uniquement pour le compte du client et à ne pas utiliser les données pour leur propre compte, et à ne pas partager les données avec des tiers.
Le Matomo Cloud DPA et les Matomo Cloud Terms of Service garantissent la confidentialité des données personnelles traitées et assurent que l'entreprise InnoCraft ne poursuit pas ses propres fins avec les données, mais les traite uniquement pour le compte du client. Les clients possèdent tous les droits, titres et intérêts sur les données de leurs utilisateurs et InnoCraft n'obtient aucun droit sur ces données.
Procédure à suivre pour le mode exempté de consentement
Suivez ces étapes ci-dessous pour pouvoir mettre en place Matomo sur vos sites en mode exempté.
Désactiver les exports de données
Il est nécessaire de désactiver des fonctionnalités d’export en suivant les étapes ci-dessous :
- Connectez-vous en tant que Super User dans Matomo et allez dans Administration.
- Dans le menu à gauche, cliquez sur Système puis sur Paramètres généraux.
- Dans la page dans la section Live, cliquez sur Disable Visits log & Visitor Profile.
- Cliquez sur le bouton Enregistrer.
Les fonctionnalités suivantes vont ainsi être désactivées :
- 🚫 Journal des visites & Visiteurs en temps réel
- 🚫 Profil visiteur
- 🚫 Carte des visiteurs en temps réel
Permettre aux visiteurs de refuser d’être suivis (Opt-out)
Sur votre site Web, ajoutez un moyen pour les visiteurs de « refuser » d'être suivis par votre serveur Matomo (Opt-out). En cliquant sur le lien dans le Opt-out, tous ces visiteurs seront ignorés. Pour afficher cet Opt-out, vous pouvez inclure une ligne de code HTML.
Configure Privacy Settings in Matomo - Analytics Platform - Matomo
This guide explains the privacy implications of tracking your visitors’ web analytics data, and how Matomo can easily be configured to ensure that your users’ privacy is respected.
https://matomo.org/faq/general/configure-privacy-settings-in-matomo/#step-3-include-a-web-analytics-opt-out-feature-on-your-site-using-an-iframe
Vérifier que les paramètres par défaut de Matomo sont toujours en place
Pour une installation Matomo existante, vérifiez les paramètres suivants sont toujours en place.
a) s’assurer que les adresses IP sont anonymes
- Connectez-vous en tant que Super User dans Matomo et allez dans Administration.
- Dans le menu à gauche, cliquez sur Vie privée puis sur Anonymiser les données.
- Vérifiez que l’option Rendre anonyme les adresses IP des visiteurs est activée.
Par défaut, Matomo limite la collecte d’information de localisation à l’échelle des villes, et enlève les deux derniers octets des adresses IPv4. (Donc par exemple pour les adresses IPv4, une IPv4 deviendrait
124.45.0.0
et une IPv6 deviendrait 2001:db8:0:0:0:0:0:00
). Bien que ce soit la configuration
par défaut, cette option peut être désactivée par un administrateur.b) s’assurer que les cookies tiers et le cross-domain ne sont pas utilisés
Par défaut, Matomo utilise uniquement les cookies dits “First party”. Chaque visiteur est tracé uniquement sur le domaine du site web en question. Bien que ce soit la configuration par défaut, il existe des fonctionnalités avancées qui peuvent être utilisées lorsque le consentement de l’utilisateur est obtenu.
En mode “exempté de recueil du consentement” il est important de vérifier que :
- La fonctionnalité de “cross domain tracking” n’est pas utilisée sur les domaines.
- La fonctionnalité de “cookies tiers” n’est pas activée.
c) s’assurer que la mesure du “User ID” n’est pas utilisée
En mode “exempté de recueil du consentement” il est important que la mesure du User ID (ID utilisateur) ne soit pas utilisée sur le site. (Pour pouvoir mesurer un ID utilisateur, par exemple le login, nom d’utilisateur, email… alors Il faut demander le consentement de l’utilisateur.)
Par défaut, Matomo ne mesure pas le User ID (ID utilisateur).
Pour vérifier que le User ID (ID utilisateur) n’est pas utilisé sur le site, il vous suffit dans Matomo de cliquer dans le menu sur “Visiteurs”, puis cliquez sur “ID Utilisateur”. Le rapport devrait indiquer “Il n'y a pas de données pour ce rapport.” ce qui indique que les ID utilisateurs ne sont pas mesurés.
d) s’assurer que la mesure du E-Commerce n’est pas utilisée
En mode “exempté de recueil du consentement” il est important que la mesure des commandes du commerce électronique (E-commerce) ne soit pas utilisée sur le site. (Pour pouvoir utiliser la mesure du E-Commerce pour un visiteur, il serait nécessaire de demander le consentement de l’utilisateur.)
Par défaut, Matomo ne mesure pas les interactions E Commerce, et donc le menu “E-Commerce” n’est pas disponible. Pour vérifier que le E-Commerce est désactivé, il vous suffit dans Matomo de vérifier dans le menu principal si il existe une catégorie ”E-Commerce”. Si elle existe, vous pouvez facilement désactiver les fonctionnalités de E-Commerce en suivant ces étapes :
- Connectez-vous en tant que Super User dans Matomo et allez dans Administration.
- Dans le menu à gauche, cliquez sur Éléments mesurables puis sur Gérer.
- Cliquez sur l’icône Modifier pour votre site internet.
- Sous l’option E-Commerce sélectionnez N'est pas un site d'e-commerce.
e) s’assurer que les cartes de chaleurs et enregistrements de session sont désactivées
Par défaut, Matomo ne mesure pas de cartes de chaleur ou d’enregistrements de sessions. Pour s’assurer que les cartes de chaleurs et enregistrements de session sont complètement désactivées, ajoutez la ligne de code suivante dans le code de suivi en JavaScript de Matomo :
javascript_paq.push(['HeatmapSessionRecording::disable']);
Vérifier que vous ne collectez pas de données personnelles
Par défaut, Matomo ne collecte pas de données personnelles de manière automatique. Il est conseillé de vérifier que vous ne collectez pas de données personnelles :
- Si vous utilisez les dimensions personnalisées dans Matomo, il convient de s’assurer qu’elles ne récupèrent pas de données personnelles. Par défaut, Matomo ne collecte aucune donnée de dimensions personnalisées. Pour vérifier que vous ne collectez pas données personnelles dans les dimensions personnalisées, suivez ces étapes :
- Connectez-vous en tant que Super User dans Matomo et allez dans Administration.
- Dans le menu à gauche, cliquez sur Éléments mesurables, puis sur Dimensions personnalisées.
- Pour chaque dimension qui pourrait être listée, ouvrez le rapport et vérifiez qu’il n’affiche aucune donnée personnelle.
- Les URL de page et les titres de page et les événements personnalisés peuvent contenir des données personnelles, en fonction de la façon dont votre ou vos sites Web sont conçus (par exemple, lorsque l'URL de la page inclut un e-mail, un code postal, ou un nom). Lorsque c’est le cas, il convient de supprimer ces données personnelles des URLs et titres de pages et évènements :
JavaScript Tracking Client: Integrate - Matomo Analytics (formerly Piwik Analytics) - Developer Docs - v5
You can use the JavaScript tracking client to track any application that supports JavaScript: for example websites!
https://developer.matomo.org/guides/tracking-javascript-guide#custom-page-title
De manière générale, lorsque vous récupérez des données personnelles, vous devez demander le consentement à vos utilisateurs. En savoir plus sur Implementing tracking or cookie consent with the Matomo JavaScript Tracking Client.
En savoir plus
Auteur
Hamza El Kharraz
Issue d’un background en CRO, Hamza est web analyste senior depuis 5 ans et maîtrise Python, SQL. Hamza est aussi passionné de lectures d'histoires et biographies.
Suivez Starfox Analytics sur Linkedin
Un besoin, une question ? Notre équipe vous répondra au plus vite.
→ Suivez Starfox sur Linkedin
Suggérer une amélioration
Quelque chose n’est pas clair, vous souhaitez contribuer à la base de connaissance ou simplement, suggérez des améliorations ? Contactez [email protected].