Google Analytics reste l'outil de mesure d'audience le plus installé au monde : selon les relevés de W3Techs, il équipe environ 78 % des sites qui déclarent un outil d'analytics, soit près de 44 % du web visible. Mais en Europe, sa légalité est attaquée depuis quatre ans, et plusieurs autorités ont déjà conclu à sa non-conformité au RGPD.
Cet article fait le point sur le contexte juridique, puis compare factuellement les principales alternatives auto-hébergées : Matomo, Plausible et Umami. Pas de classement, pas de recommandation hors Datacampus : vous repartez avec les éléments pour trancher.
Faits clés
- Arrêt Schrems II : CJUE, 16 juillet 2020 (C-311/18), invalide le Privacy Shield et fragilise les transferts de données vers les États-Unis.
- Décision CNIL française : 10 février 2022, mise en demeure d'un éditeur de cesser l'usage de Google Analytics en l'état.
- Data Privacy Framework : décision d'adéquation adoptée par la Commission européenne le 10 juillet 2023, fondée sur l'Executive Order 14086 (octobre 2022).
- Matomo : licence GPLv3, stack PHP + MySQL, anonymisation IP native (1, 2 ou 3 octets masqués), exemption de consentement possible avec configuration CNIL.
- Plausible : licence AGPLv3, stack Elixir + ClickHouse, script < 1 Ko, sans cookies, hash quotidien de l'IP.
- Umami : licence MIT, stack Node + PostgreSQL/MySQL, script ~2 Ko, sans cookies, hash quotidien.
Où en est la légalité de Google Analytics en Europe
L'histoire commence en juillet 2020 avec l'arrêt Schrems II de la CJUE (C-311/18) qui invalide le Privacy Shield. Tout transfert de données personnelles vers les États-Unis devient juridiquement fragile.
L'association NOYB (None Of Your Business) dépose alors 101 plaintes coordonnées contre des sites européens utilisant Google Analytics. Les autorités de protection des données traitent les dossiers les uns après les autres :
- Janvier 2022 : la CNIL autrichienne (DSB) juge l'usage de Google Analytics contraire au RGPD ;
- 10 février 2022 : la CNIL française rend une décision identique et met en demeure un éditeur de site de cesser l'usage du service en l'état ;
- Juin 2022 : l'autorité italienne (Garante) suit la même ligne ;
- Mai 2023 : la DPC irlandaise condamne Meta à 1,2 milliard d'euros pour transferts illégaux de données vers les USA, dans une affaire connexe.
Le motif central est toujours le même : les outils analytics américains transmettent des données (notamment l'adresse IP, même tronquée côté client) vers des serveurs soumis au FISA 702 et au Cloud Act, sans garanties suffisantes contre l'accès par les agences de renseignement américaines.
Le Data Privacy Framework règle-t-il le problème ?
Le 10 juillet 2023, la Commission européenne adopte une nouvelle décision d'adéquation appelée EU-US Data Privacy Framework (DPF). Elle remplace le défunt Privacy Shield et permet à nouveau les transferts vers les entreprises américaines auto-certifiées DPF, sans clauses contractuelles types.
Sur le papier, cela rétablit la situation. En pratique :
- Le DPF s'appuie sur l'Executive Order 14086 signé par le président américain en octobre 2022. Un Executive Order n'est pas une loi : il peut être annulé par un successeur.
- Une nouvelle action contentieuse est en cours devant la CJUE. Beaucoup de juristes européens anticipent un « Schrems III » qui invaliderait le DPF.
- La CNIL elle-même, dans ses lignes directrices sur la mesure d'audience, continue de préciser que le recours à un outil hébergé en UE par un opérateur européen reste la voie la plus sûre.
Pour une PME qui n'a pas envie de revivre une migration analytics tous les 3 ans, le pari le plus prudent reste donc une solution hébergée en France ou en UE.
Trois alternatives auto-hébergées matures
Dans l'écosystème open source, trois noms reviennent presque systématiquement : Matomo, Plausible et Umami. Voici leurs caractéristiques factuelles, sans ranking.
Matomo
Site officiel : matomo.org. Créé en 2007 sous le nom Piwik par Matthieu Aubry, renommé Matomo en 2018. Code source GitHub, éditeur néo-zélandais (InnoCraft), licence GPLv3. C'est l'outil le plus complet du lot : tunnels de conversion, segments, heatmaps, enregistrements de session, A/B testing, e-commerce, multi-sites, API. Fonctionnellement, il est le plus proche d'un Google Analytics.
Anonymisation IP intégrée (1, 2 ou 3 octets masqués, traitement en mémoire avant écriture), exemption de consentement possible si la configuration suit la recommandation CNIL (mesure d'audience strictement limitée).
Stack : PHP + MySQL/MariaDB. Ressources moyennes pour un site à 100 000 visites/mois : 1 vCPU, 2 Go RAM, 10 Go stockage. La part de marché mondiale relevée par W3Techs est de l'ordre de 1,5 % du web visible (2,7 % des sites équipés d'un outil analytics), avec des références comme Archive.org ou europa.eu.
Plausible
Site officiel : plausible.io. Né en 2019, équipe estonienne, code Elixir, licence AGPLv3, base de données ClickHouse. Volontairement minimaliste : une page de tableau de bord, pas de cookies, pas d'identifiants persistants. Le script JavaScript pesé en production fait moins de 1 Ko.
Pas de cookies du tout : les visites sont identifiées par un hash quotidien de l'IP, du user-agent et du domaine. Cette approche permet souvent de se passer de bannière de consentement, à condition de bien la documenter.
Beaucoup moins de fonctionnalités que Matomo : pas de heatmaps, pas d'enregistrement de session, pas de tunnel d'achat avancé. C'est revendiqué comme un parti pris.
Umami
Site officiel : umami.is. Le plus jeune des trois (première release 2020), écrit en TypeScript/Next.js, licence MIT. Stack PostgreSQL ou MySQL. Très léger en ressources, interface moderne, focus sur la simplicité.
Fonctionnellement plus proche de Plausible que de Matomo : métriques de base (visiteurs, pages, sources, durée), pas de segmentation poussée ni d'enregistrement de session. Pas de cookies, hash quotidien similaire à Plausible.
L'écosystème et la communauté sont plus jeunes que ceux de Matomo, ce qui se voit sur le nombre de plugins disponibles.
Tableau de comparaison factuel
| Critère | Matomo | Plausible | Umami |
|---|---|---|---|
| Licence | GPLv3 | AGPLv3 | MIT |
| Stack | PHP + MySQL | Elixir + ClickHouse | Node + PostgreSQL/MySQL |
| Cookies | Optionnels | Aucun | Aucun |
| Anonymisation IP | Native, configurable | Hash quotidien | Hash quotidien |
| Heatmaps / sessions | Oui | Non | Non |
| E-commerce avancé | Oui | Limité | Limité |
| Taille du script | ~22 Ko | <1 Ko | ~2 Ko |
Migrer depuis Google Analytics : les étapes
Quel que soit l'outil retenu, la méthode reste la même. Quatre étapes pour ne pas perdre l'historique ni la continuité de mesure :
- Exporter l'historique GA4 : via Google BigQuery (export natif) ou via les API. Conservez au minimum 13 mois de données agrégées pour l'analyse comparée année/année.
- Installer la nouvelle solution en parallèle pendant 4 à 8 semaines. Les deux outils tournent en simultané, ce qui permet de calibrer les écarts (les méthodologies diffèrent, surtout sur les sessions).
- Configurer la conformité RGPD : anonymisation IP, durées de conservation alignées sur la durée nécessaire (la CNIL recommande 13 mois maximum pour la mesure d'audience), bannière cookies seulement si vous dépassez le cadre exempté.
- Couper Google Analytics une fois la confiance établie. Mettre à jour la politique de confidentialité, la déclaration de cookies et le registre des traitements.
L'angle souveraineté
Au-delà du juridique, sortir de Google Analytics renforce votre chaîne de souveraineté numérique. Vos données de comportement utilisateur sont une mine pour qui sait les exploiter (concurrents, croisements publicitaires, profilage). Les garder dans une infrastructure que vous contrôlez est aussi une bonne pratique de sécurité, même sans contrainte légale.
Pour aller plus loin, voir aussi : Cloud Act et RGPD : pourquoi héberger en France, Les alternatives souveraines aux GAFAM et Héberger ses données en France, ce que ça change.
Datacampus et Matomo infogéré
Chez Datacampus, on opère Matomo en infogestion complète : installation, mises à jour, supervision, sauvegardes, configuration RGPD prête à l'emploi (anonymisation, durées de conservation, exemption de consentement documentée). Hors France, hors Cloud Act, sur notre datacenter du Futuroscope. Si vous voulez sortir de Google Analytics sans monter une équipe d'exploitation interne, voir notre offre Matomo infogérée.