Formation Matomo

Respecter le RGPD avec Matomo

  • Episode N° 5
  • Difficulté intermédiaire
  • Publié le 23/05/2019 par
  • Dernière mise à jour le 03/09/2020

Vous venez d'installer le code de suivi de Matomo, seul souci, le code fourni par Matomo ne respecte pas complètement le RGPD. Nous allons voir dans cet épisode comment modifier le code de suivi et configurer Matomo afin de collecter des données tout en respectant la loi.

Je vous rassure, Matomo est relativement bien pensé à ce niveau-là, ce qui fait de Matomo un atout majeur pour les propriétaires de site internet face au RGPD.

Iframe de consentement

Le RGPD vous ordonne de permettre à vos visiteurs de désactiver le suivi lorsque ces derniers le souhaitent. Pour cela, dans la section Administration > Vie privée > Désinscription des utilisateurs, vous trouverez un code à ajouter sur la page de ‘Politique de Confidentialité’ de votre site. Ce code est une balise <iframe> qui va permettre de générer automatiquement une case à cocher pour désactiver/activer le tracker pour l'utilisateur qui le souhaite. Chaque utilisateur de votre site aura donc le choix d'activer ou non le tracker de Matomo pour sa visite.

Iframe d'ouptout matomo
Module de consentement utilisateur de Matomo

Prise en charge du DoNotTrack

Depuis quelque temps, les navigateurs web sont dotés d’une fonctionnalité appelé le DoNotTrack (DNT). Safari l’avait activé de force sur tous les derniers Macs, mais l’a finalement complètement retiré de Safari récemment (début 2019). Cette fonctionnalité du navigateur permet aux utilisateurs de désactiver automatiquement les trackers lorsqu’ils visitent un site internet. En revanche, c’est à vous de respecter leur choix en prenant en charge le DoNotTrack sur Matomo. Assurez-vous que la case ‘Activer la prise en charge’ soit bien cochée.

Selection de la prise en charge DoNotTrack dans Matomo
Réglage de prise en charge du DoNotTrack dans l'administration de Matomo

Anonymisation des adresses IP

Lorsque Matomo collecte les données des visiteurs de votre site, il conserve l’adresse IP de ces derniers. Il n’est pas interdit de collecter les adresses IP de vos visiteurs à partir du moment où vous les rendez anonymes. Pour cela, Matomo possède une fonctionnalité qui vous permet de choisir le niveau d’anonymisation des adresses IP collectées. En modifiant cette valeur pour masquer les deux derniers bytes de l’adresse IP, vous respectez un peu plus la vie privée de vos utilisateurs et donc également la loi.

Réglage d'anonymisation des adresses IP dans Matomo
Réglage d'anonymisation de l'adresse IP des utilisateurs

Consentement utilisateur

Matomo vous offre la possibilité de recueillir le consentement des utilisateurs de votre site internet, et de le mémoriser. Cette partie est un peu plus technique et nous l'aborderons en détail par la suite. En attendant gardez en mémoire qu’il vous faut l'autorisation de vos visiteurs pour collecter de la donnée.

Bandeau cookie

Vous vous attendiez à ce que l’on parle de bandeau cookie ici ? Vous avez raison puisqu’on va le faire. La citation : ‘Vous devez recueillir le consentement des utilisateurs pour collecter de la donnée’ et cet article de la CNIL nous mettent un peu dans le flou. En effet, Piwik (et donc Matomo aujourd’hui) est exempté de bandeau cookie comme le dit cet article présent sur le site de la CNIL:

 https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience

Comme vous pouvez le constater, Matomo à tout prévu pour vous permettre de respecter la loi au maximum et ce avec des outils très simple. 

Durée de vie des cookies

Le code de suivi JavaScript proposé de base par Matomo ne respecte pas complètement le RGPD. En effet le code de suivi de Matomo ne limite pas la durée de vie du cookie déposé, or la loi oblige que les cookies expirent automatiquement au bout de 13 mois. Pour respecter le RGPD, il vous suffira de rajouter un petit morceau de JavaScript que la CNIL met à disposition sur son site internet et que je vous ai recopié ici afin de vous faciliter la tâche.
Ce code est à inséré dans votre code de suivi :

//Code à coller avant la fonction _paq.push(["trackPageView"]);
_paq.push([function() {
var self = this;
function getOriginalVisitorCookieTimeout() {
 var now = new Date(),
 nowTs = Math.round(now.getTime() / 1000),
 visitorInfo = self.getVisitorInfo();
 var createTs = parseInt(visitorInfo[2]);
 var cookieTimeout = 33696000; // 13 mois en secondes
 var originalTimeout = createTs + cookieTimeout - nowTs;
 return originalTimeout;
}
this.setVisitorCookieTimeout( getOriginalVisitorCookieTimeout() );
}]);

//Suite de votre code Matomo
_paq.push(["trackPageView"]);

Vous vous sentez mieux ? Votre site est enfin prêt, il collecte tout seul des données, les ranges proprement dans votre instance de Matomo et en plus de ça, on ne peut plus rien vous reprocher au niveau de la loi ! Rendez-vous au prochain épisode pour apprendre à lire et à interpréter vos données dans Matomo.