Vous voulez supprimer le bandeau cookies de votre site tout en restant parfaitement conforme au RGPD ? C’est possible, et c’est même prévu explicitement par la CNIL depuis 2020. La délibération 2020-091 exempte de consentement les outils de mesure d’audience respectant 6 conditions techniques.
Ce week-end, nous l’avons appliquée sur datacampus.fr avec Matomo en mode cookieless. Voici le retour d’expérience complet : la configuration exacte, les pièges à éviter, et la checklist pour savoir si votre propre site est éligible.
Résumé en 10 secondes
Matomo auto-hébergé + disableCookies() + anonymisation IP 2 octets + rétention 23 mois + aucun tracker tiers
= exemption CNIL valide = pas de bandeau cookies à afficher. Durée de mise en place : 30 minutes.
Pourquoi supprimer le bandeau cookies ?
Un bandeau cookies bien fait prend 2 secondes à traiter. Un bandeau mal fait — c’est-à-dire 95 % de ceux qu’on croise — dégrade le First Contentful Paint, fait chuter le taux de conversion, fausse les statistiques d’audience (30 à 40 % de refus en moyenne) et agace les visiteurs. Il envoie aussi un message implicite : « on fait des choses avec vos données qui nécessitent votre accord ».
Sur notre site, ce message était faux. Pas de Google Analytics, pas de Facebook Pixel, pas de tracker publicitaire. Juste une instance Matomo auto-hébergée sur nos propres serveurs en France pour mesurer l’audience. Le bandeau était une auto-punition inutile, en contradiction avec notre discours de souveraineté numérique.
Peut-on vraiment avoir un site sans bandeau cookies ?
Oui, dans deux cas :
- Site sans aucun cookie non-essentiel. Les cookies strictement nécessaires au fonctionnement (session PHP, panier d’achat, préférence de langue) sont dispensés de consentement par l’article 82 de la loi Informatique et Libertés.
- Site avec mesure d’audience éligible à l’exemption CNIL. C’est le cas que nous détaillons ici.
En revanche, dès qu’un tracker tiers entre en jeu (Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Intercom, chat Crisp…), le bandeau de consentement redevient obligatoire. Plus largement, si vous hésitez à faire le tri, notre article sur les alternatives souveraines aux GAFAM fait le point sur les outils compatibles RGPD par défaut.
Qu’est-ce que la délibération CNIL 2020-091 ?
Adoptée le 17 septembre 2020, cette délibération précise les conditions dans lesquelles un outil de mesure d’audience peut être déployé sans recueillir le consentement préalable du visiteur.
Le raisonnement de la CNIL est simple : la mesure d’audience est indispensable au bon fonctionnement d’un site. Tant qu’elle reste strictement limitée à la production de statistiques pour le propriétaire, sans profilage ni partage avec des tiers, elle ne présente pas de risque significatif pour la vie privée. D’où l’exemption.
Les 6 conditions pour bénéficier de l’exemption CNIL
La CNIL ne laisse aucune place à l’interprétation. L’exemption ne s’applique que si les 6 conditions suivantes sont toutes remplies.
Les 6 conditions cumulatives
- Finalité strictement limitée à la mesure d’audience — pas de profilage, pas de reciblage, pas de partage avec des régies.
- Pas de recoupement avec d’autres traitements — stats non croisées avec un CRM, une base client ou un système d’identification.
- Pas de transmission à des tiers — c’est la condition qui disqualifie Google Analytics.
- Anonymisation de l’adresse IP — au moins 2 octets masqués avant stockage.
- Durée de conservation limitée — cookie de suivi ≤ 13 mois, données brutes ≤ 25 mois.
- Information du visiteur + droit d’opposition — mention dans la politique cookies + mécanisme d’opt-out.
Détail : comment on a coché chaque case
1 & 2. Finalité et recoupement. Matomo alimente uniquement notre tableau de bord interne. Aucune donnée n’en sort. L’instance tourne dans une VM dédiée, sans connecteur vers notre ERP ou notre système de tickets.
3. Transmission à des tiers. Matomo auto-hébergé tourne sur nos serveurs en France (datacenter Futuroscope). Pas de tiers, pas de transfert hors UE. Ce point seul exclut Google Analytics de l’exemption, comme détaillé dans notre analyse du conflit CLOUD Act / RGPD.
4. Anonymisation IP. Dans l’admin Matomo : Administration > Confidentialité > Anonymiser les données :
- Anonymiser les adresses IP : activé
- Octets masqués : 2 (résultat :
192.168.xxx.xxx)
5. Rétention. Nous avons simplifié : mode cookieless (aucun cookie déposé) et rétention des logs réglée à 700 jours (~23 mois), sous le plafond CNIL de 25 mois.
6. Information + opt-out. Nous avons refondu notre page cookies avec le formulaire d’opt-out Matomo embarqué (ça a été l’étape la plus galère, nous y revenons plus bas).
Et aussi : les fonctionnalités Matomo à désactiver
Pour rester dans le périmètre d’exemption, il faut désactiver explicitement :
- User ID : associer un identifiant unique à un utilisateur connecté = profilage = consentement requis.
- E-commerce tracking : suivre des transactions avec panier et valeur = profilage commercial.
- Cross-domain tracking : suivre un visiteur sur plusieurs domaines = profilage étendu.
- Heatmaps, session recording : enregistrement du comportement individuel.
Comment configurer Matomo en mode cookieless (le snippet JS)
Le plus simple pour maximiser la conformité : passer Matomo en mode cookieless. Aucun cookie déposé sur le terminal du visiteur, donc même l’article 82 de la loi Informatique et Libertés ne s’applique plus. Ceinture et bretelles juridiques.
Le snippet à placer avant </body> :
<script>
var _paq = window._paq = window._paq || [];
_paq.push(['disableCookies']);
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);
(function() {
var u = "https://matomo.exemple.fr/";
_paq.push(['setTrackerUrl', u + 'matomo.php']);
_paq.push(['setSiteId', '1']);
var d = document, g = d.createElement('script'), s = d.getElementsByTagName('script')[0];
g.async = true; g.src = u + 'matomo.js'; s.parentNode.insertBefore(g, s);
})();
</script>
La ligne critique : _paq.push(['disableCookies']);. Matomo n’utilise alors plus aucun cookie
pour identifier les visiteurs. La contrepartie : un même visiteur qui revient le lendemain est compté
comme une nouvelle visite. Pour une mesure d’audience éditoriale, c’est acceptable.
Le piège technique : l’iframe d’opt-out bloquée par X-Frame-Options
La CNIL exige un droit d’opposition accessible. Matomo propose depuis des années une URL dédiée,
/index.php?module=CoreAdminHome&action=optOut, qu’on intègre classiquement dans une
<iframe>. Nous avons poussé en prod, ouvert la page… iframe blanche.
Cause : Matomo sert cette page avec l’en-tête HTTP X-Frame-Options: sameorigin.
Traduction : seul le domaine Matomo peut intégrer sa propre page. Comme notre instance tourne sur
matomo.datacampus.fr et le site sur datacampus.fr, le navigateur bloque l’affichage.
C’est une bonne pratique sécurité (anti-clickjacking), mais ça casse l’usage documenté par Matomo.
La solution : remplacer l’iframe par le snippet JavaScript que Matomo génère aussi,
via l’endpoint optOutJS. Le script est chargé comme du JS classique (pas de X-Frame-Options),
il injecte le formulaire d’opt-out dans un <div> de votre page :
<div id="matomo-opt-out"></div>
<script src="https://matomo.exemple.fr/index.php?module=CoreAdminHome&action=optOutJS&divId=matomo-opt-out&language=fr&showIntro=0" defer></script>
Attention, pensez à autoriser le domaine Matomo dans votre directive CSP script-src,
sinon le navigateur bloque le chargement.
Est-ce que mon site est éligible à l’exemption ? La checklist
Cochez tout, ou gardez votre bandeau
- Outil de mesure d’audience auto-hébergé (Matomo, Plausible, Umami…) ou certifié CNIL (AT Internet, Piano, Wysistat).
- Aucun autre tracker : pas de Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, Intercom, Crisp…
- Pas de widget YouTube non-nocookie, pas de Google Fonts chargés depuis Google (utilisez les polices auto-hébergées).
- Anonymisation IP (2 octets) + rétention logs ≤ 25 mois + pas de User ID, e-commerce ni cross-domain.
- Page cookies accessible avec opt-out fonctionnel.
Si vous cochez tout : vous pouvez supprimer votre bandeau. Sinon, gardez-le — et profitez-en pour revoir vos pages légales obligatoires.
Ce que ça change concrètement
Pour le visiteur :
- Plus de bandeau à traiter à l’arrivée. Contenu immédiatement accessible.
- Aucun cookie déposé par la mesure d’audience. Un
document.cookiedans la console DevTools retourne une chaîne vide (hors session PHP du formulaire de contact). - Droit d’opposition accessible en permanence via /cookies.
Pour le propriétaire du site :
- Plus de biais de consentement dans les stats. Nous récupérons 100 % du trafic, pas seulement les 60-70 % qui acceptaient.
- Meilleure performance : ~70 lignes de JS et 30 de CSS en moins.
- Cohérence avec le discours souveraineté / respect de la vie privée.
Quels outils analytics sont éligibles à l’exemption ?
La CNIL publie une liste officielle des solutions d’audience exemptées. Au 2026, elle inclut :
- Matomo (auto-hébergé ou cloud), avec la configuration décrite ici
- AT Internet / Piano Analytics (solution française cloud)
- Wysistat
- Abla Analytics, Beyable, Compass…
Plausible et Umami en self-hosted sont également compatibles (ils sont cookieless par défaut), même s’ils ne figurent pas nommément dans la liste CNIL — le principe d’exemption s’applique aux caractéristiques techniques, pas aux marques.
Google Analytics (GA4) est toujours exclu de l’exemption en France, même en mode « anonymisé » ou « consent mode ». La CNIL a même mis en demeure plusieurs éditeurs en 2022 pour des transferts de données vers les États-Unis jugés illégaux. Pour un tour d’horizon plus large, voir notre guide héberger ses données en France.
Et juridiquement, vous êtes sûrs ?
Nous ne sommes pas avocats, et ce retour d’expérience ne remplace pas un audit de conformité. Mais la délibération 2020-091 est publique et détaillée, les conditions sont techniques et vérifiables, et la CNIL a publié un guide de configuration Matomo spécifique. Notre DPO a validé.
Si vous avez un doute sur votre propre cas : contactez un DPO ou un cabinet RGPD, quelques centaines d’euros qui évitent les mauvaises surprises.
Vous voulez la même chose sans maintenance ?
Datacampus propose Matomo Analytics hébergé en France, préconfiguré pour l’exemption CNIL : instance dédiée, mode cookieless actif, anonymisation IP, rétention conforme, opt-out fonctionnel, mises à jour et sauvegardes incluses. Hébergé dans notre datacenter du Futuroscope, alimenté à 100 % en énergie renouvelable.
Sur ce, bonne lecture du reste du site. Sans bandeau.
FAQ — Site sans bandeau cookies et exemption CNIL
Peut-on avoir un site sans bandeau cookies tout en étant conforme RGPD ?
Oui, à condition de ne déposer que des cookies strictement nécessaires ou de bénéficier d’une exemption CNIL (comme la délibération 2020-091 pour la mesure d’audience). Tout tracker tiers (Google Analytics, Facebook Pixel, Hotjar) disqualifie automatiquement le site.
Matomo nécessite-t-il un bandeau de consentement cookies ?
Non, si Matomo est auto-hébergé, configuré avec anonymisation IP (2 octets), rétention des données brutes ≤ 25 mois, sans User ID, sans e-commerce tracking, sans cross-domain tracking. Dans ce cas, la délibération CNIL 2020-091 s’applique et le consentement n’est pas requis.
Qu’est-ce que la délibération CNIL 2020-091 ?
Adoptée le 17 septembre 2020, cette délibération exempte de consentement les outils de mesure d’audience strictement limités à la production de statistiques anonymes pour le propriétaire du site, sous 6 conditions techniques précises.
Comment configurer Matomo pour l’exemption CNIL ?
Activer l’anonymisation IP sur 2 octets, activer disableCookies() dans le tracker JavaScript, régler la rétention des logs bruts à ≤ 25 mois (700 jours recommandés), désactiver User ID et e-commerce, auto-héberger l’instance en France ou dans l’UE.
Google Analytics peut-il bénéficier de l’exemption CNIL ?
Non. Google étant un tiers qui reçoit les données, la condition « pas de transmission à des tiers » n’est jamais remplie. Même Google Analytics 4 en mode « anonymisé » reste soumis au consentement explicite en France.
Quelle est la durée maximale de conservation des cookies Matomo ?
La CNIL recommande une durée de vie du cookie visiteur limitée à 13 mois, et une conservation des données brutes limitée à 25 mois. Le plus simple reste le mode cookieless (aucun cookie déposé), que Matomo active avec disableCookies().
L’adresse IP doit-elle être anonymisée pour l’exemption ?
Oui. La CNIL exige un masquage d’au moins 2 octets de l’IP avant stockage. Dans Matomo, cela se règle dans Administration > Confidentialité > Anonymiser les données.
Quels outils analytics sont éligibles à l’exemption CNIL ?
Les outils auto-hébergés ou certifiés par la CNIL : Matomo (auto-hébergé ou cloud certifié), AT Internet / Piano Analytics, Wysistat, Plausible self-hosted, Umami self-hosted. La liste des solutions validées est publiée sur le site de la CNIL.
Pour aller plus loin :
• Page officielle CNIL — Solutions pour les outils de mesure d’audience
• Guide CNIL de configuration Matomo pour l’exemption (PDF)
• FAQ Matomo — Configuration pour l’exemption CNIL
• Sur datacampus.fr : Matomo hébergé en France · CLOUD Act vs RGPD · Alternatives souveraines aux GAFAM · Héberger ses données en France · Pages légales obligatoires