Vous voulez supprimer le bandeau cookies de votre site tout en restant parfaitement conforme au RGPD ? C’est possible, et c’est même prévu explicitement par la CNIL depuis 2020. La délibération 2020-091 exempte de consentement les outils de mesure d’audience respectant 6 conditions techniques.
Ce week-end, nous l’avons appliquée sur datacampus.fr avec Matomo en mode cookieless. Voici le retour d’expérience complet : la configuration exacte, les pièges à éviter, et la checklist pour savoir si votre propre site est éligible.
Faits clés
- Délibération CNIL n° 2020-091 adoptée le 17 septembre 2020 : exempte de consentement les outils de mesure d’audience respectant 6 conditions cumulatives.
- Anonymisation IP : au moins 2 octets masqués avant stockage (ex : 192.168.xxx.xxx).
- Durées de conservation maximales : cookie de suivi ≤ 13 mois, données brutes ≤ 25 mois.
- Google Analytics exclu de l’exemption en France : la CNIL a mis en demeure plusieurs éditeurs en 2022 pour transferts illégaux vers les États-Unis.
- Taux de refus moyen d’un bandeau cookies : 30 à 40 %, ce qui fausse les statistiques d’audience.
- Outils éligibles : Matomo (auto-hébergé ou cloud certifié), AT Internet / Piano Analytics, Wysistat, Plausible et Umami self-hosted.
Résumé en 10 secondes
Matomo auto-hébergé + disableCookies() + anonymisation IP 2 octets + rétention 23 mois + aucun tracker tiers
= exemption CNIL valide = pas de bandeau cookies à afficher. Durée de mise en place : 30 minutes.
Pourquoi supprimer le bandeau cookies ?
Un bandeau cookies bien fait prend 2 secondes à traiter. Un bandeau mal fait — c’est-à-dire 95 % de ceux qu’on croise — dégrade le First Contentful Paint, fait chuter le taux de conversion, fausse les statistiques d’audience (30 à 40 % de refus en moyenne) et agace les visiteurs. Il envoie aussi un message implicite : « on fait des choses avec vos données qui nécessitent votre accord ».
Sur notre site, ce message était faux. Pas de Google Analytics, pas de Facebook Pixel, pas de tracker publicitaire. Juste une instance Matomo auto-hébergée sur nos propres serveurs en France pour mesurer l’audience. Le bandeau était une auto-punition inutile, en contradiction avec notre discours de souveraineté numérique.
Peut-on vraiment avoir un site sans bandeau cookies ?
Oui, dans deux cas :
- Site sans aucun cookie non-essentiel. Les cookies strictement nécessaires au fonctionnement (session PHP, panier d’achat, préférence de langue) sont dispensés de consentement par l’article 82 de la loi Informatique et Libertés.
- Site avec mesure d’audience éligible à l’exemption CNIL. C’est le cas que nous détaillons ici.
En revanche, dès qu’un tracker tiers entre en jeu (Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Intercom, chat Crisp…), le bandeau de consentement redevient obligatoire. Plus largement, si vous hésitez à faire le tri, notre article sur les alternatives souveraines aux GAFAM fait le point sur les outils compatibles RGPD par défaut.
Qu’est-ce que la délibération CNIL 2020-091 ?
Adoptée le 17 septembre 2020, cette délibération précise les conditions dans lesquelles un outil de mesure d’audience peut être déployé sans recueillir le consentement préalable du visiteur.
Le raisonnement de la CNIL est simple : la mesure d’audience est indispensable au bon fonctionnement d’un site. Tant qu’elle reste strictement limitée à la production de statistiques pour le propriétaire, sans profilage ni partage avec des tiers, elle ne présente pas de risque significatif pour la vie privée. D’où l’exemption.
Les 6 conditions pour bénéficier de l’exemption CNIL
La CNIL ne laisse aucune place à l’interprétation. L’exemption ne s’applique que si les 6 conditions suivantes sont toutes remplies.
Les 6 conditions cumulatives
- Finalité strictement limitée à la mesure d’audience — pas de profilage, pas de reciblage, pas de partage avec des régies.
- Pas de recoupement avec d’autres traitements — stats non croisées avec un CRM, une base client ou un système d’identification.
- Pas de transmission à des tiers — c’est la condition qui disqualifie Google Analytics.
- Anonymisation de l’adresse IP — au moins 2 octets masqués avant stockage.
- Durée de conservation limitée — cookie de suivi ≤ 13 mois, données brutes ≤ 25 mois.
- Information du visiteur + droit d’opposition — mention dans la politique cookies + mécanisme d’opt-out.
Détail : comment on a coché chaque case
1 & 2. Finalité et recoupement. Matomo alimente uniquement notre tableau de bord interne : pages vues, sources de trafic, pages populaires. Aucune donnée n’en sort, aucune API n’exporte vers un autre système. L’instance tourne dans une VM dédiée sans connecteur vers notre ERP (Dolibarr) ni notre système de tickets. Concrètement : les rapports Matomo ne nous apprennent rien sur l’identité d’un visiteur, seulement sur le comportement agrégé d’une audience.
3. Transmission à des tiers.
Matomo auto-hébergé tourne sur nos serveurs en France (datacenter Futuroscope, Vienne).
Les requêtes de tracking partent vers matomo.datacampus.fr, qui résout sur notre AS50446.
Aucun CDN tiers, aucun pixel externe, aucune lib chargée depuis un domaine Google ou Cloudflare.
C’est ce point qui disqualifie structurellement Google Analytics : même en « consent mode v2 », les données transitent par les serveurs de Google. Voir notre analyse du conflit CLOUD Act / RGPD.
4. Anonymisation IP.
Chemin exact dans l’interface : Administration > Confidentialité > Anonymiser les données des visiteurs.
Réglage : « Anonymiser les adresses IP » activé, nombre d’octets masqués : 2.
Une IP comme 91.198.44.12 est stockée 91.198.0.0. La localisation géographique reste possible au niveau païs et région, mais impossible au niveau individu.
La CNIL accepte 1 octet masqué, mais 2 est la pratique recommandée dans son guide Matomo officiel.
5. Rétention. Deux curseurs à régler dans Administration > Confidentialité > Anonymiser les données des visiteurs : la durée de conservation des données brutes (logs, visites) et celle des données agrégées (rapports). Nous avons choisi 700 jours pour les logs (~23 mois, sous le plafond CNIL de 25 mois) et 36 mois pour les rapports agrégés, qui eux ne contiennent plus aucune donnée personnelle. En mode cookieless, la question du cookie visiteur (13 mois max) ne se pose plus : il n’existe pas.
6. Information + opt-out. Nous avons refondu notre page cookies en deux parties : une explication claire de ce qu’on collecte et pourquoi, et le formulaire d’opt-out Matomo intégré directement dans la page (voir la section suivante sur le piège X-Frame-Options). Le lien « Cookies & vie privée » figure dans le footer sur toutes les pages. Ce point est souvent brocolé dans les audits : la CNIL vérifie que l’opt-out est effectivement accessible, pas juste mentionné dans les mentions légales.
Et aussi : les fonctionnalités Matomo à désactiver
Matomo est un outil puissant avec des fonctionnalités qui, si elles sont activées, font sortir immédiatement du périmètre d’exemption. Voici ce qu’il faut vérifier dans Administration > Paramètres du site et Administration > Plugins :
-
User ID : si votre site a un espace membre, la tentation est grande de passer l’identifiant de l’utilisateur connecté à Matomo via
_paq.push(['setUserId', 'uid123']). Dès lors, Matomo peut reconstituer le parcours d’un individu identifié — c’est du profilage au sens strict, consentement requis. Si vous avez cet appel dans votre snippet, retirez-le. -
E-commerce tracking : la méthode
trackEcommerceOrder()enregistre les paniers, montants et références produit associés à des visites. Même sans User ID, la granularité transactionnelle dépasse la « simple mesure d’audience ». Désactiver dans Paramètres du site > E-commerce. -
Cross-domain tracking : la fonction
enableCrossDomainLinking()permet de suivre un visiteur sur plusieurs de vos domaines. Utile pour un tunnel de conversion sur un sous-domaine, mais ça constitue un profilage étendu. Ne l’activez pas si vous voulez rester dans l’exemption. - Heatmaps & Session Recording : le plugin payant de Matomo enregistre les clics, les mouvements de souris et parfois les saisies clavier. C’est explicitement exclu de l’exemption. Vérifiez dans Administration > Plugins qu’il n’est pas activé.
Comment configurer Matomo en mode cookieless (le snippet JS)
Le plus simple pour maximiser la conformité : passer Matomo en mode cookieless. Aucun cookie déposé sur le terminal du visiteur, donc même l’article 82 de la loi Informatique et Libertés ne s’applique plus. Ceinture et bretelles juridiques.
Le snippet à placer avant </body> :
<script>
var _paq = window._paq = window._paq || [];
_paq.push(['disableCookies']);
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);
(function() {
var u = "https://matomo.exemple.fr/";
_paq.push(['setTrackerUrl', u + 'matomo.php']);
_paq.push(['setSiteId', '1']);
var d = document, g = d.createElement('script'), s = d.getElementsByTagName('script')[0];
g.async = true; g.src = u + 'matomo.js'; s.parentNode.insertBefore(g, s);
})();
</script>
La ligne critique : _paq.push(['disableCookies']);. Matomo n’utilise alors plus aucun cookie
pour identifier les visiteurs. La contrepartie : un même visiteur qui revient le lendemain est compté
comme une nouvelle visite. Pour une mesure d’audience éditoriale, c’est acceptable.
Le piège technique : l’iframe d’opt-out bloquée par X-Frame-Options
La CNIL exige un droit d’opposition accessible. Matomo propose depuis des années une URL dédiée,
/index.php?module=CoreAdminHome&action=optOut, qu’on intègre classiquement dans une
<iframe>. Nous avons poussé en prod, ouvert la page… iframe blanche.
Cause : Matomo sert cette page avec l’en-tête HTTP X-Frame-Options: sameorigin.
Traduction : seul le domaine Matomo peut intégrer sa propre page. Comme notre instance tourne sur
matomo.datacampus.fr et le site sur datacampus.fr, le navigateur bloque l’affichage.
C’est une bonne pratique sécurité (anti-clickjacking), mais ça casse l’usage documenté par Matomo.
La solution : remplacer l’iframe par le snippet JavaScript que Matomo génère aussi,
via l’endpoint optOutJS. Le script est chargé comme du JS classique (pas de X-Frame-Options),
il injecte le formulaire d’opt-out dans un <div> de votre page :
<div id="matomo-opt-out"></div>
<script src="https://matomo.exemple.fr/index.php?module=CoreAdminHome&action=optOutJS&divId=matomo-opt-out&language=fr&showIntro=0" defer></script>
Attention, pensez à autoriser le domaine Matomo dans votre directive CSP script-src,
sinon le navigateur bloque le chargement.
Est-ce que mon site est éligible à l’exemption ? La checklist
Cochez tout, ou gardez votre bandeau
- Outil de mesure d’audience auto-hébergé (Matomo, Plausible, Umami…) ou certifié CNIL (AT Internet, Piano, Wysistat).
- Aucun autre tracker : pas de Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, Intercom, Crisp…
- Pas de widget YouTube non-nocookie, pas de Google Fonts chargés depuis Google (utilisez les polices auto-hébergées).
- Anonymisation IP (2 octets) + rétention logs ≤ 25 mois + pas de User ID, e-commerce ni cross-domain.
- Page cookies accessible avec opt-out fonctionnel.
Si vous cochez tout : vous pouvez supprimer votre bandeau. Sinon, gardez-le — et profitez-en pour revoir vos pages légales obligatoires.
Ce que ça change concrètement
Pour le visiteur :
- Plus de bandeau à traiter à l’arrivée. Contenu immédiatement accessible.
- Aucun cookie déposé par la mesure d’audience. Un
document.cookiedans la console DevTools retourne une chaîne vide (hors session PHP du formulaire de contact). - Droit d’opposition accessible en permanence via /cookies.
Pour le propriétaire du site :
- Plus de biais de consentement dans les stats. Nous récupérons 100 % du trafic, pas seulement les 60-70 % qui acceptaient.
- Meilleure performance : ~70 lignes de JS et 30 de CSS en moins.
- Cohérence avec le discours souveraineté / respect de la vie privée.
Quels outils analytics sont éligibles à l’exemption ?
La CNIL publie une liste officielle des solutions d’audience exemptées. Au 2026, elle inclut :
- Matomo (auto-hébergé ou cloud), avec la configuration décrite ici
- AT Internet / Piano Analytics (solution française cloud)
- Wysistat
- Abla Analytics, Beyable, Compass…
Plausible et Umami en self-hosted sont également compatibles (ils sont cookieless par défaut), même s’ils ne figurent pas nommément dans la liste CNIL — le principe d’exemption s’applique aux caractéristiques techniques, pas aux marques.
Google Analytics (GA4) est toujours exclu de l’exemption en France, même en mode « anonymisé » ou « consent mode ». La CNIL a même mis en demeure plusieurs éditeurs en 2022 pour des transferts de données vers les États-Unis jugés illégaux. Pour un tour d’horizon plus large, voir notre guide héberger ses données en France.
Et juridiquement, vous êtes sûrs ?
Nous ne sommes pas avocats, et ce retour d’expérience ne remplace pas un audit de conformité. Cela dit, la délibération 2020-091 est un texte public, clair et précis. Les conditions sont techniques, pas juridiques : elles se vérifient en lisant un fichier de configuration, pas en interprétant un article de loi. La CNIL a même publié un guide de configuration Matomo spécifique (PDF) avec les cases exactes à cocher dans l’interface. Il est difficile d’être plus explicite.
La vraie question n’est pas « est-ce que le texte s’applique », mais « est-ce que votre configuration est effectivement conforme ».
C’est là qu’une erreur peut se glisser : un snippet JS copié-collé avec un setUserId() laissé par inadvertance, une mise à jour Matomo qui réactive un plugin, un prestataire externe ajouté sans audit.
Nous avons fait valider notre configuration par notre DPO et nous la revérifions à chaque évolution du site.
Si vous avez un doute sur votre propre cas : un DPO ou un cabinet RGPD peut auditer votre configuration Matomo en une heure, pour quelques centaines d’euros. C’est négligeable par rapport au risque d’une mise en demeure — ou, plus concrètement, par rapport au coût d’une réfection complète de votre bandeau de consentement si vous changez d’outil analytics dans six mois.
Vous voulez la même chose sans maintenance ?
Datacampus propose Matomo Analytics hébergé en France, préconfiguré pour l’exemption CNIL : instance dédiée, mode cookieless actif, anonymisation IP, rétention conforme, opt-out fonctionnel, mises à jour et sauvegardes incluses. Hébergé dans notre datacenter du Futuroscope, alimenté à 100 % en énergie renouvelable.
Sur ce, bonne lecture du reste du site. Sans bandeau.
FAQ — Site sans bandeau cookies et exemption CNIL
Peut-on avoir un site sans bandeau cookies tout en étant conforme RGPD ?
Oui, à condition de ne déposer que des cookies strictement nécessaires ou de bénéficier d’une exemption CNIL (comme la délibération 2020-091 pour la mesure d’audience). Tout tracker tiers (Google Analytics, Facebook Pixel, Hotjar) disqualifie automatiquement le site.
Matomo nécessite-t-il un bandeau de consentement cookies ?
Non, si Matomo est auto-hébergé, configuré avec anonymisation IP (2 octets), rétention des données brutes ≤ 25 mois, sans User ID, sans e-commerce tracking, sans cross-domain tracking. Dans ce cas, la délibération CNIL 2020-091 s’applique et le consentement n’est pas requis.
Qu’est-ce que la délibération CNIL 2020-091 ?
Adoptée le 17 septembre 2020, cette délibération exempte de consentement les outils de mesure d’audience strictement limités à la production de statistiques anonymes pour le propriétaire du site, sous 6 conditions techniques précises.
Comment configurer Matomo pour l’exemption CNIL ?
Activer l’anonymisation IP sur 2 octets, activer disableCookies() dans le tracker JavaScript, régler la rétention des logs bruts à ≤ 25 mois (700 jours recommandés), désactiver User ID et e-commerce, auto-héberger l’instance en France ou dans l’UE.
Google Analytics peut-il bénéficier de l’exemption CNIL ?
Non. Google étant un tiers qui reçoit les données, la condition « pas de transmission à des tiers » n’est jamais remplie. Même Google Analytics 4 en mode « anonymisé » reste soumis au consentement explicite en France.
Quelle est la durée maximale de conservation des cookies Matomo ?
La CNIL recommande une durée de vie du cookie visiteur limitée à 13 mois, et une conservation des données brutes limitée à 25 mois. Le plus simple reste le mode cookieless (aucun cookie déposé), que Matomo active avec disableCookies().
L’adresse IP doit-elle être anonymisée pour l’exemption ?
Oui. La CNIL exige un masquage d’au moins 2 octets de l’IP avant stockage. Dans Matomo, cela se règle dans Administration > Confidentialité > Anonymiser les données.
Quels outils analytics sont éligibles à l’exemption CNIL ?
Les outils auto-hébergés ou certifiés par la CNIL : Matomo (auto-hébergé ou cloud certifié), AT Internet / Piano Analytics, Wysistat, Plausible self-hosted, Umami self-hosted. La liste des solutions validées est publiée sur le site de la CNIL.
Pour aller plus loin :
• Page officielle CNIL — Solutions pour les outils de mesure d’audience
• Guide CNIL de configuration Matomo pour l’exemption (PDF)
• FAQ Matomo — Configuration pour l’exemption CNIL
• Sur datacampus.fr : Matomo hébergé en France · CLOUD Act vs RGPD · Alternatives souveraines aux GAFAM · Héberger ses données en France · Pages légales obligatoires