Comment paramétrer Matomo pour tracker sans consentement ?
Découvrez comment paramétrer Matomo Analytics pour respecter le RGPD et vous permettre de suivre vos utilisateurs sur votre site web en étant exempté du recueil de consentement.
Sommaire
- Désactiver les rapports de données
- Permettre à vos utilisateurs de refuser le suivi
- Anonymiser les IP
- Cookie tiers et cross domain tracking désactivé
- Suivi e-commerce désactivé
- Cartes de chaleur et enregistrements de sessions désactivés
- Ne pas utiliser le User ID
- Pas de donnée personnelle dans les dimensions et événements personnalisés
Le temps de l’hésitation entre Google Analytics vs Matomo est bien passé, et il est temps de revenir sur le sujet. La CNIL a décidé de mettre en place un nouveau suivi de base pour les sites web, et c’est le cas de Matomo.
Désactiver les rapports de données
Dans Système > Paramètres généraux, Dans la section “Live”, assurez-vous que « journal des visites et profil du visiteur » est désactivé.
Les IP version 4 – IPV4 : 127.0.0.1 et leur version 6 – IPV6 : 0:0:0:0:0:ffff:7f00:1. Les IP version 4 – IPV4 : 127.0.0.1 et leur version 6 – IPV6 : 0:0:0:0:0:ffff:7f00:1.
Permettre à vos utilisateurs de refuser le suivi
Pour respecter la réglementation de la CNIL, Le suivi sans consentement de Matomo doit permettre à l’utilisateur de désactiver son suivi s’il le souhaite.
Pas besoin de bannière bien entendu, vous pouvez par exemple ajouter l’opt-out sur une page comme votre politique de confidentialité. Matomo met à votre disposition un bloc HTML et un script que vous trouverez dans :
Paramètre > Vie privée > Désinscription des utilisateurs
// ne copiez pas ce code
<div id="matomo-opt-out"></div>
<script src="<https://exemple.matomo.cloud/index.php?module=CoreAdminHome&action=optOutJS&divId=matomo-opt-out&language=auto&showIntro=1>"></script>Anonymiser les IP
Par défaut, Matomo enlève les deux derniers octets des IP. Lorsque vous installez Matomo, vous serez donc aux normes sur ce point. Ce paramétrage est modifiable, donc si vous souhaitez rester en mode exempté, assurez-vous de ne rien modifier.
Pour vérifier, rendez-vous dans : Paramètre > Vie privée > Anonymiser les données
Dans la partie « Anonymiser les données de suivi », assurez-vous que « rendre anonymes les adresses IP des visiteurs » est coché.
Cookie tiers et cross domain tracking désactivé
Les cookies tiers, et le cross domain tracking, c’est-à-dire la possibilité de suivre un utilisateur sur plusieurs domaines, ne doivent pas être activés.
Pour les cookies tiers (par défaut non activés), qui permettent de mettre en place le User ID, il faudra vérifier le fichier config/config.ini.php , il ne doit pas faire mention de la ligne suivante :
[Tracker] use_third_party_id_cookie = 1Pour le cross domain tracking, par défaut, cette option n’est pas activée. Pour s’en assurer, c’est assez simple, vérifiez que le code de suivi ne contient pas les lignes suivantes :
_paq.push(["setDomains", ["*.domain1.com", "*.domain2.com"]]);
_paq.push(["enableCrossDomainLinking"]);Suivi e-commerce désactivé
Malheureusement, le suivi e-commerce de Matomo est aussi une fonctionnalité qui doit nécessiter le consentement de l’utilisateur. Si vous souhaitez rester en mode exemption de consentement, vous devrez vous assurer de ne pas activer la fonctionnalité.
Pour le vérifier, c’est assez simple. dans le menu principal, l’onglet e-commerce ne doit pas apparaître.
Si c’est le cas, rendez-vous dans Paramètre > Elements mesurables > Gérer
Cliquez sur l’icône modifier à droite de votre site web. Dans l’input « Ecommerce » changez pour « N’est pas un site e-commerce ».
Cartes de chaleur et enregistrements de sessions désactivés
La carte de chaleur et l’enregistrement de session doivent être désactivés dans le cadre de la mesure sans consentement, Matomo conseille d’ajouter la ligne de code suivante dans le code de suivi de base de Matomo :
_paq.push(["HeatmapSessionRecording::disable"]);Ne pas utiliser le User ID
Le User ID, particulièrement pratique pour tracker les utilisateurs sur du multi-device, ne doit pas être activé, même s’il est anonymisé par la suite. Par défaut, le User ID est désactivé.
Pour s’en assurer, le code de suivi ne devrait pas faire mention de cette ligne :
_paq.push(["setUserId", "USER_ID"]);Pas de donnée personnelle dans les dimensions et événements personnalisés
Enfin, si vous créez des dimensions ou des événements personnalisés, pensez à vérifier qu’ils ne contiennent pas de donnée personnelle. Par exemple, si vous mettez en place un événement qui contient un numéro de commande, ou un email ou toutes autres informations personnelles qui permettraient d’identifier une personne de façon directe ou indirecte, alors il ne sera pas possible d’utiliser Matomo sans consentement.
Et voilà, si vous respectez à la lettre ce paramétrage sur Matomo, vous serez officiellement exempté du recueil du consentement des utilisateurs et RGPD compliant. Rien ne vous empêche pour autant de profiter de ces nouvelles fonctionnalités, mais dans ce cas, vous devrez mettre en place un outil de recueil de consentement.