Respecter le RGPD avec Matomo

Vous venez d'installer le code de suivi de Matomo, seul souci, le code fourni par Matomo ne respecte pas complètement le RGPD. Nous allons voir dans cet épisode comment modifier le code de suivi et configurer Matomo afin de collecter des données tout en respectant la loi.

Je vous rassure, Matomo est relativement bien pensé à ce niveau-là, ce qui fait de Matomo un atout majeur pour les propriétaires de site internet face au RGPD.

Permettre aux utilisateurs de refuser le suivi

Le RGPD vous ordonne de permettre à vos visiteurs de désactiver le suivi lorsque ces derniers le souhaitent. Pour cela, dans la section Administration > Vie privée > Désinscription des utilisateurs, vous trouverez un code à ajouter sur la page de ‘Politique de Confidentialité’ de votre site.

<div id="matomo-opt-out"></div>
<script src="https://matomo.mon-site.fr/index.php?module=CoreAdminHome&action=optOutJS&div=matomo-opt-out&language=auto&showIntro=1"></script>

Ce code est un script JavaScript qui va permettre de générer automatiquement une case à cocher pour désactiver/activer le tracker pour l'utilisateur qui le souhaite. Chaque utilisateur de votre site aura donc le choix d'activer ou non le tracker de Matomo pour sa visite.

Prise en charge du DoNotTrack

Depuis quelque temps, les navigateurs web sont dotés d’une fonctionnalité appelé le DoNotTrack (DNT). Safari l’avait activé de force sur tous les derniers Macs, mais l’a finalement complètement retiré début 2019. Cette fonctionnalité du navigateur permet aux utilisateurs de désactiver automatiquement les trackers lorsqu’ils visitent un site internet. En revanche, c’est à vous de respecter leur choix en prenant en charge le DoNotTrack sur Matomo. Assurez-vous que la case ‘Activer la prise en charge’ soit bien cochée.
Vous trouverez cette option dans l'administration puis dans "Vie privée > Désinscription des utilisateurs", tout en bas de la page.

Anonymisation des adresses IP

Lorsque Matomo collecte les données des visiteurs de votre site, il conserve l’adresse IP de ces derniers. Il n’est pas interdit de collecter les adresses IP de vos visiteurs à partir du moment où vous les rendez anonymes. Pour cela, Matomo possède une fonctionnalité qui vous permet de choisir le niveau d’anonymisation des adresses IP collectées. En modifiant cette valeur pour masquer les deux derniers bytes de l’adresse IP, vous respectez un peu plus la vie privée de vos utilisateurs et donc également la loi.

Ces réglages se trouvent dans l'administration, dans "Vie privée > Anonymiser les données".

Bandeau cookie

Concernant la mise en place des bandeaux cookies, il faut savoir que Matomo est capable de collecter des données de deux manières :

• Collecter des données personnelles avec consentement utilisateur
• Collecter des données non personnelles sans consentement utilisateur.

Dans la première situation, vous devrez mettre en place un outil de consentement utilisateur du type Axeptio ou Tarteaucitron sur votre site web.

Dans la seconde situation, vous pouvez être exempté de consentement utilisateur (et donc d'afficher un bandeau cookie) comme le dit la CNIL dans son article sur les solutions de mesure d'audience.

Pour cela, vous devrez suivre une configuration spécifique recommandée par la CNIL.

Comme vous pouvez le constater, Matomo à tout prévu pour vous permettre de respecter la loi au maximum et ce avec des outils très simple. Nous allons voir dans la suite de cet article comment utiliser Matomo sans le consentement utilisateur et en accord avec les attentes CNIL.

Utiliser Matomo sans le consentement des utilisateurs

Depuis quelques temps, la CNIL dresse une liste des logiciels de suivi pour lesquels vous pouvez être exemptés de consentement utilisateur. Matomo fait en effet partis de cette liste, mais ce que beaucoup de personnes ignorent, c'est que Matomo doit répondre à une configuration bien précise pour être exempté de consentement utilisateur. Je vous invite donc à suivre ces quelques étapes :

Désactiver les exports de données

La première étape consiste à vous rendre dans les réglages et à désactiver certaines fonctionnalités en vous rendant dans l'administration puis dans "Système > Paramètres généraux", scrollez ensuite jusqu'à la section "Live" et cochez la première case "Désactiver le journal des visites et le profil du visiteur" et enregistrez cette modification.

En cochant cette case, vous perdrez l'accès au rapport "Journal des visites", c'est un rapport extrêmement intéressant, mais malheureusement trop intrusif.

Ne pas utiliser les cookies tiers et cross-domain

La prochaine étape consiste à vérifier que vous n'utilisez pas les fonctionnalités de suivi entre différents domaines et que vous n'utilisez pas de cookie-tiers. Par défaut, ces deux fonctionnalités sont désactivées dans Matomo. 

Si vous souhaitez vous assurer que la fonctionnalité n'est pas activée, vous pouvez vérifier si le paramètre suivant est bien absent dans le fichier config/config.ini, sinon il faudra le retirer :

[Tracker]
use_third_party_id_cookie = 1

Pour s'assurer que le suivi cross domaine ne soit pas activé, vérifiez que votre code de suivi ne contient pas ces deux lignes de code JavaScript.

_paq.push(["setDomains", ["*.domain1.com", "*.domain2.com"]]);
_paq.push(["enableCrossDomainLinking"]);

Si c'est le cas, il faudra les retirer de votre code de suivi.

Ne pas utiliser la fonctionnalité User Id

Vous devez vous assurer de ne pas avoir mis en place cette fonctionnalité. Le User ID permet de suivre un utilisateur sur différents appareils et différentes sessions grâce à un identifiant unique. 

Pour savoir si cette fonctionnalité est mise en place, vous pouvez voir si des données sont remontée dans le rapport "Visiteurs > ID Utilisateur".

Ne pas utiliser les fonctions e-commerce

Si votre site web est un site e-commerce, vous ne pourrez malheureusement pas utiliser les fonctions de suivi avancées sans bandeau de consentement utilisateur. 

Il faudra alors désactiver le suivi e-commerce dans les réglages "Administration > Elements mesurables > Gérer > Editer. Dans le champ "E-Commerce" situé en bas du formulaire, vous devez sélectionner la valeur "N'est pas un site d'e-commerce".

Pour éditeurs de sites e-commerce, je vous invite à avoir un suivi à deux niveaux, un sans consentements et donc sans données e-commerce, et un avec consentement pour garder un oeil sur vos performances de vente !

Ne pas utiliser les plugins HeatMap & Session Recording

La mise en place de cartes de chaleur et des enregistrements de sessions est interdit sans consentement utilisateur. Ces deux modules sont des plugins payants qui ne sont pas inclus dans l'offre "On Premise" de Matomo. Dans la majorité des cas, vous n'avez donc rien à faire, si vous disposez de ces plugins, je vous invite également à les désactiver ou à mettre en place un suivi à deux niveaux.

Vérifiez que vous ne collectez pas de données personnelles

C'est le point le plus souvent négligé et pourtant l'un des plus importants ! Lorsque vous collectez des données sur des pages web, celles-ci peuvent remonter des données personnelles sans que vous le sachiez ! L'exemple le plus commun, c'est de remonter des titres de pages qui contiennent des informations sur l'utilisateur. Par exemple la page :

URL : https://mon-site.com/mon-compte/ronan-hello
Titre de la page : Profil de Ronan HELLO

Cette URL remontera automatiquement dans Matomo, mais le souci c'est que cette URL contient des données personnelles, mon prénom et mon nom ! Vous devrez donc ici faire des modifications au niveau du site web et non de Matomo.

N'oubliez d'identifier les pages qui peuvent comporter ce genre de données, et faites évoluer le fonctionnement de votre site web.

Conclusion

Vous vous sentez mieux ? Votre site est enfin prêt, il collecte tout seul des données, les ranges proprement dans votre instance de Matomo et en plus de ça, on ne peut plus rien vous reprocher au niveau de la loi ! Rendez-vous au prochain épisode pour apprendre à lire et à interpréter vos données dans Matomo.

• 

  Publié par Gaxel58 il y a 1 an

  Bonjour,

  Pour cette partie "Pour éditeurs de sites e-commerce, je vous invite à avoir un suivi à deux niveaux, un sans consentements et donc sans données e-commerce, et un avec consentement pour garder un oeil sur vos performances de vente !"

  Pour faire un suivi à deux niveaux, vous conseillez de faire comme avec ce tuto ? https://fr.matomo.org/faq/how-to/how-do-i-segment-people-that-have-been-identified-using-tracking-cookies/

  De plus, j'aurais une autre question si l'utilisateur refuse les cookies alors nous recevrons plus de données pour Matomo ou alors on recevra toujours les données basiques de suivi Matomo qui ne nécessitent pas le consentement des utilisateurs ?

  Merci d'avance.

  1. 

     Publié par Ronan il y a 1 an

     Bonjour,

     C'est bien ça en effet, Les fonctions de suivi e-commerce doivent être désactivées pour les utilisateurs qui n'ont pas accepté les cookies. La création du segment de profilage est également recommandée pour bien séparer les visites et avoir une analyse plus précise.

     SI l'utilisateur refuse les cookies ET que vous utilisez les fonctions natives de Matomo, Matomo fonctionnera en mode cookieless, les données de bases remonteront, mais pas les données liées à la temporalité (nombre de jours depuis la dernière visite etc...). C'est la configuration que je recommande également. Documentation : https://developer.matomo.org/guides/tracking-consent

     En espérant avoir répondu à vos questions. Ronan

• 

  Publié par phil il y a 1 an

  Bonjour,

  Vous parlez d'une case à cocher via js dans le paragraphe sur "Aperçu de la clause de non-participation", hors je ne vois rien de tel ici https://ronan-hello.fr/politique-confidentialite

  Merci

  1. 

     Publié par Ronan il y a 1 an

     Bonjour,

     La case à cocher est bien présente sur cette page, sous la rubrique "Autorisation", vous pouvez la décocher ou la cocher, le texte situé au dessus sera modifié en fonction et le choix de l'utilisateur sera pris en compte.

     Si vous ne voyez pas cette case, c'est probablement que votre navigateur n'accepte pas les JavaScript ou que vous disposez d'une extensions qui bloque toutes les connexions vers des URLs d'outils d'analyse d'audience.

     En espérant avoir répondu à votre question, Ronan HELLO

Je réalise des formations professionnelles sur-mesure. Si ça peut vous intéresser, n'hésitez pas à me contacter 🤓

• 1
  Épisode 1 L’analyse d’audience avec Matomo
• 2
  Épisode 2 Collecter des données avec Matomo
• 3
  Épisode 3 Installer Matomo sur votre serveur
• 4
  Épisode 4 Mise en place du code de suivi
• 5

  Épisode 5 Respecter le RGPD avec Matomo
• 6
  Épisode 6 Comprendre le tableau de bord
• 7
  Épisode 7 Analyse des rapports sur les visites
• 8
  Épisode 8 Étude du comportement des visiteurs
• 9
  Épisode 9 Le rapport de performance
• 10
  Épisode 10 Mesurer les différents canaux d'acquisition
• 11
  Épisode 11 Gérez vos campagnes
• 12
  Épisode 12 Créer et configurer des objectifs
• 13
  Épisode 13 Configurer des segments personnalisés
• 14
  Épisode 14 Configurer un rapport automatique
• 15
  Épisode 15 Les alertes personnalisées
• 16
  Épisode 16 Gestion des rôles utilisateurs
• 17
  Épisode 17 Personnaliser l'interface de Matomo
• 18
  Épisode 18 Suivi des impressions
• 19
  Épisode 19 Les dimensions personnalisées
• 20
  Épisode 20 Paramétrer le UserID
• 21
  Épisode 21 Importer des logs de serveur
• 22
  Épisode 22 Qu'est-ce qu’un Tag Manager
• 23
  Épisode 23 Mise en place de Matomo Tag Manager
• 24
  Épisode 24 Publier une balise
• 25
  Épisode 25 Configurer un déclencheur
• 26
  Épisode 26 Comprendre les variables
• 27
  Épisode 27 Débugger et prévisualiser votre conteneur
• 28
  Épisode 28 Mise en place du Data Layer
• 29
  Épisode 29 Importer des données de Google Analytics
• 30
  Épisode 30 Suivi e-commerce avancé
• 31
  Épisode 31 Suivi e-commerce avec Matomo Tag Manager