Back to blog
-- 16 min read

Peut-on faire de l'analytique sans bannière de consentement ? Ce que disent les autorités européennes

Un tour d'horizon de la manière dont les autorités européennes de protection des données (CNIL, BayLDA, Datatilsynet, AP) traitent les outils d'analytique et l'exigence de consentement. Quels outils se qualifient pour l'exemption de mesure ?

La question, et pourquoi elle est importante

Personne n'aime les bannières cookies. Les exploitants de site ne les aiment pas parce qu'elles nuisent à la conversion et encombrent le design. Les visiteurs ne les aiment pas parce qu'elles sont une interruption à chaque session de navigation. Les professionnels de la protection des données ne les aiment pas parce qu'elles se sont transformées en un rituel de faux consentement qui ne protège personne.

La question revient donc constamment : peut-on simplement s'en passer ? Plus précisément, peut-on faire de l'analytique — mesurer les pages vues, les taux de rebond, les sources de trafic, la performance des campagnes — sans demander de consentement ?

La réponse est « parfois, et cela dépend de l'autorité de protection des données dont vous avez le plus de chances d'entendre parler ». Sous l'apparente divergence, le cadre juridique est le même dans toute l'UE : l'article 5(3) de la directive ePrivacy contrôle le stockage et l'accès sur l'appareil de l'utilisateur, et le RGPD contrôle le traitement des données personnelles. Les différences entre autorités portent toutes sur l'interprétation, la priorité d'application et l'étroitesse de l'exemption « strictement nécessaire ».

Cet article examine les positions des autorités les plus susceptibles de regarder votre site si vous opérez dans l'UE. Il est descriptif, non prescriptif — nous ne donnons pas de conseils juridiques, et vous devriez passer votre configuration spécifique en revue avec votre propre conseil avant de faire des changements.

CNIL (France) : la plus détaillée et la plus permissive

La CNIL, la Commission Nationale de l'Informatique et des Libertés française, a produit les lignes directrices les plus détaillées sur l'analytique et le consentement parmi toutes les autorités de l'UE. Sa position est simultanément la plus stricte à certains égards et la plus permissive à d'autres.

La partie stricte : la CNIL a activement sanctionné Google Analytics dans sa configuration par défaut, estimant que le transfert de données vers les États-Unis et le dépôt de cookies identifiants étaient incompatibles avec le droit de l'UE. Plusieurs sites français ont reçu l'ordre de mettre leurs déploiements de GA en conformité ou de cesser d'utiliser l'outil. Cette application a envoyé un signal clair : exécuter le script GA4 tel que fourni par Google, sur un public français, n'est pas acceptable.

La partie permissive : la CNIL reconnaît explicitement que certains outils d'analytique sont entièrement exemptés de l'exigence de consentement. Elle appelle cela l'« exemption mesure d'audience ». Un outil se qualifie s'il remplit toutes les conditions suivantes :

  • Son objet est strictement limité à la production de statistiques anonymes pour l'éditeur
  • Il est utilisé exclusivement par l'éditeur ou son sous-traitant
  • Les données ne sont pas recoupées avec d'autres traitements ni partagées avec des tiers
  • Le suivi est limité à un seul site web
  • Les adresses IP sont anonymisées (généralement par troncature) avant conservation
  • La conservation est limitée à une durée raisonnable

Les outils qui remplissent la barre peuvent être déployés sans bannière de consentement en France. La CNIL tient une liste publiée des solutions qu'elle a examinées et a reconnu plusieurs produits d'analytique sans cookies (dont Matomo en mode sans cookies avec certains paramètres, Piwik Pro, Abla Analytics, AT Internet et d'autres) comme conformes.

Un outil qui ne stocke jamais rien sur l'appareil — comme Web-Tracking.eu, Plausible, Fathom et Pirsch — se situe au-dessus de l'exemption. Il n'a pas besoin de l'exemption car il n'engage pas l'article 5(3) en premier lieu. Les lignes directrices de la CNIL le disent clairement en passant, mais sont principalement rédigées pour le cas plus difficile des outils d'analytique qui touchent l'appareil.

Point pratique pour les sites français : si vous utilisez un outil d'analytique sans cookies sans stockage sur l'appareil, sans suivi intersites, avec hébergement UE et conservation appropriée, vous n'avez pas besoin de bannière de consentement pour la couche analytique. Vous pouvez encore en avoir besoin pour d'autres traceurs.

DSK et BayLDA (Allemagne) : lecture stricte de la lettre de la loi

L'Allemagne transpose la directive ePrivacy via le §25 du TTDSG, récemment renommé TDDDG. L'application est répartie entre seize autorités de Länder (LDI NRW, BayLDA en Bavière, LfD Niedersachsen, etc.), qui se coordonnent via la Datenschutzkonferenz (DSK).

La position de la DSK sur l'analytique est stricte. Tout stockage d'informations sur l'équipement terminal, ou toute lecture d'informations depuis celui-ci, nécessite un consentement au titre du §25 TTDSG, sauf s'il est strictement nécessaire pour un service que l'utilisateur a expressément demandé. L'analytique ne se qualifie pas comme strictement nécessaire. Ainsi, tout outil d'analytique qui touche l'appareil nécessite une bannière de consentement en Allemagne.

Le BayLDA, l'autorité bavaroise, a été le plus actif dans l'application. Il a publié des lignes directrices précisant que :

  • Déposer des cookies d'analytique sans consentement est illégal au titre du §25 TTDSG
  • La transmission de données à des serveurs tiers (en particulier les services hébergés aux États-Unis) nécessite en outre une base légale au titre du chapitre V du RGPD
  • Les fonctionnalités de « consent mode » offertes par Google et d'autres ne résolvent pas le problème de consentement sous-jacent — les cookies sont toujours déposés, même s'ils portent moins de données

Cette lecture stricte joue en fait en faveur des architectures sans cookies. Si tout stockage sur l'appareil nécessite un consentement, alors aucun stockage sur l'appareil ne nécessite aucun consentement. Les autorités allemandes acceptent cette logique. Un outil qui ne stocke rien sur l'appareil tombe simplement hors du champ d'application du §25 TTDSG, et l'exigence de consentement ne s'applique pas à lui. Vous avez toujours besoin d'une base légale RGPD pour tout traitement de données personnelles, mais c'est une question différente traitée sous l'article 6, typiquement via l'intérêt légitime.

Point pratique pour les sites allemands : l'approche sans cookies est la voie la plus sûre en Allemagne. Il n'existe pas d'« exemption mesure » équivalente à celle de la France — vous avez besoin soit du consentement, soit d'une architecture qui n'engage pas du tout le §25.

Datatilsynet (Danemark) : fidèle à la directive

L'autorité danoise, Datatilsynet, applique la cookie bekendtgørelse danoise, qui est une transposition directe de l'article 5(3). Ses lignes directrices publiées insistent sur deux points :

  • Les règles cookies s'appliquent à tout stockage ou accès à des informations sur l'appareil de l'utilisateur, et non aux cookies au sens strict
  • Si un service ne stocke ni ne consulte rien sur l'appareil, les règles cookies ne s'appliquent tout simplement pas à lui

Il s'agit de la formulation la plus claire de la position parmi les autorités de l'UE. Datatilsynet ne tient pas une « liste approuvée » détaillée comme la CNIL, mais ses lignes directrices sont claires : un outil d'analytique sans cookies avec comptage côté serveur n'a pas besoin de bannière de consentement pour son propre fonctionnement. Datatilsynet a été actif dans l'application des règles cookies contre les sites danois utilisant des traceurs non conformes, avec plusieurs amendes émises depuis 2022.

Point pratique pour les sites danois : la logique est identique à l'Allemagne. Si vous utilisez un outil qui ne touche pas l'appareil, les règles cookies danoises ne sont pas engagées et vous n'avez pas besoin de bannière de consentement pour cet outil.

AP (Pays-Bas) : règles spécifiques aux cookies, interprétation large

L'Autoriteit Persoonsgegevens néerlandaise applique l'article 11.7a de la loi sur les télécommunications (Telecommunicatiewet), qui est la transposition néerlandaise de l'article 5(3). La position de l'AP s'aligne sur la lecture européenne dominante : tout stockage ou accès sur l'appareil nécessite un consentement, sauf s'il est strictement nécessaire.

L'AP a émis des avis et des mesures d'application contre des sites web utilisant des cookies publicitaires tiers sans consentement, et s'est particulièrement concentrée sur les pratiques des grands éditeurs de médias. L'analytique n'a pas été une cible d'application primaire, mais l'AP a été explicite : elle considère que l'analytique avec stockage sur l'appareil nécessite un consentement.

L'AP n'a pas publié de « liste approuvée » style CNIL, mais elle a confirmé dans plusieurs déclarations publiques que les solutions d'analytique sans cookies sont hors du champ d'application de l'article 11.7a. Les services numériques du gouvernement néerlandais utilisent eux-mêmes un outil d'analytique sans cookies (auparavant Piwik/Matomo en configuration allégée, plus récemment d'autres options) pour éviter l'exigence de consentement sur les sites du secteur public.

Point pratique pour les sites néerlandais : même chose que l'Allemagne et le Danemark. Un outil sans cookies ne déclenche pas l'article 11.7a, donc aucune bannière de consentement n'est nécessaire pour lui.

ICO (Royaume-Uni, post-Brexit) : des lignes directrices pragmatiques

Le Royaume-Uni reste soumis à PECR, qui transpose l'article 5(3) de la directive ePrivacy, même après son départ de l'UE. Les lignes directrices de l'ICO sur PECR et les cookies constituent l'un des textes réglementaires les plus pratiquement rédigés dans ce domaine et valent la peine d'être lues en entier.

L'ICO confirme que :

  • PECR s'applique à tout stockage ou accès sur l'appareil, et non seulement aux cookies
  • L'analytique first-party peut, dans des circonstances limitées, se qualifier pour l'exemption « strictement nécessaire », bien que l'ICO prévienne qu'il s'agit d'une voie étroite et que le consentement est la valeur par défaut plus sûre pour l'analytique avec stockage sur l'appareil
  • Un outil qui ne s'engage pas dans le stockage ou l'accès sur l'appareil n'est pas du tout soumis à PECR

L'ICO a été plus indulgent dans son application que certaines autorités continentales. Il a priorisé les violations à grande échelle et les traceurs flagrants par rapport aux sites web analytiquement lourds. Néanmoins, ses lignes directrices écrites sont claires et les attentes de conformité sont théoriquement les mêmes.

Point pratique pour les sites britanniques : l'architecture sans cookies a le même effet sous PECR que sous la directive ePrivacy. Pas de stockage sur l'appareil, pas d'engagement de PECR, pas de bannière de consentement pour la couche analytique.

Exigences communes à toutes les autorités

La lecture des lignes directrices des autorités ci-dessus révèle un ensemble cohérent d'exigences que l'analytique sans cookies devrait remplir. Considérez-les comme la base commune, pas tout à fait écrite dans un seul document mais présente dans tous :

  • Pas de suivi intersites. Tout identifiant doit être limité à un seul site. Vous ne devriez pas pouvoir suivre un visiteur du Site A au Site B en utilisant le même outil d'analytique.
  • Conservation limitée. Les entrées brutes (IP, User-Agent) doivent être rejetées immédiatement. Les données agrégées ne devraient pas être conservées plus longtemps que nécessaire — la CNIL a suggéré 13 mois pour les cookies et 25 mois pour les statistiques agrégées comme plafonds approximatifs.
  • IP anonymisées ou rejetées. Si les IP sont conservées, elles devraient être tronquées. Mieux : les rejeter entièrement après avoir extrait ce dont vous avez besoin.
  • Pas de partage de données avec des tiers. Les données d'analytique devraient rester chez l'éditeur (et son sous-traitant), sans remonter vers les réseaux publicitaires, les courtiers en données ou d'autres tiers.
  • Déploiement first-party. Le traceur devrait être servi depuis l'infrastructure de l'éditeur ou depuis un sous-traitant soumis à un accord de traitement des données approprié, pas depuis un tiers qui peut combiner les données avec d'autres sources.
  • Base légale RGPD documentée. Même sans bannière de consentement, le traitement nécessite une base au titre de l'article 6 du RGPD — typiquement l'intérêt légitime avec une évaluation documentée.

Les outils sans cookies comme Web-Tracking.eu, Plausible, Fathom et Pirsch remplissent toutes ces conditions dans leurs configurations par défaut. Certains outils peuvent être configurés pour les remplir (Matomo en mode sans cookies ; Piwik Pro avec les paramètres appropriés) mais nécessitent une mise en place délibérée.

Quels outils se qualifient (sans cookies par conception)

Les outils qui ne stockent jamais rien sur l'appareil, par conception, sont le cas le plus simple. Ils satisfont automatiquement le test de déclenchement ePrivacy et n'ont qu'à franchir la barre du traitement RGPD (ce qu'ils font via l'intérêt légitime et des garanties appropriées). La liste courte :

  • Web-Tracking.eu — hachage rotatif quotidien côté serveur, hébergement UE
  • Plausible — hachage rotatif quotidien côté serveur, hébergement UE
  • Fathom — hachage côté serveur, option de centre de données UE disponible
  • Pirsch — empreinte salée côté serveur, hébergement UE
  • Simple Analytics — hachage côté serveur, hébergement UE

Dans tous ces cas, la couche analytique peut être déployée sans bannière de consentement cookies dans toute l'UE. La formulation exacte de la politique de confidentialité reste importante, et d'autres parties du site (intégrations, widgets de chat, publicités) peuvent nécessiter leur propre bannière.

Quels outils ne se qualifient pas (sans configuration soigneuse)

Les outils ci-dessous touchent l'appareil dans leur configuration par défaut et nécessitent donc un consentement ou une reconfiguration soigneuse pour se qualifier à une exemption de mesure.

  • Google Analytics 4 (gtag.js) — dépose des cookies first-party (_ga, _ga_*). Le consent mode v2 ajuste le comportement mais ne supprime pas les cookies. Nécessite une bannière dans toute juridiction de l'UE.
  • Microsoft Clarity — outil de session replay et heatmap qui stocke des identifiants et enregistre les interactions. Nécessite un consentement.
  • Hotjar — session replay, heatmaps, sondages et plus. Dépose plusieurs cookies et identifiants. Nécessite un consentement.
  • Facebook Pixel / Meta Pixel — traceur publicitaire avec liaison intersites. Nécessite un consentement et comporte des problèmes de transfert supplémentaires au titre du chapitre V du RGPD.
  • LinkedIn Insight Tag — cookies publicitaires et liaison intersites. Nécessite un consentement.
  • Matomo (par défaut) — dépose des cookies first-party (_pk_id, _pk_ses). Nécessite un consentement sauf s'il est reconfiguré en mode sans cookies, et même dans ce cas, l'empreinte sans cookies peut ou non se qualifier à une exemption de mesure selon l'autorité.
  • Adobe Analytics — dépose plusieurs cookies, historiquement considéré comme un outil d'analytique avec stockage sur l'appareil. Nécessite un consentement.

Aucun d'eux n'est « illégal » en tant que tel — ils peuvent tous être déployés légalement avec un flux de consentement approprié et dans la bonne configuration. Mais ils ne sont pas sans cookies et ne peuvent pas être déployés sans bannière.

La question du GA4 côté serveur

Une question courante est de savoir si l'on peut rendre GA4 conforme en le chargeant côté serveur, soit via Google Tag Manager Server-Side, via le Measurement Protocol, soit via une alternative hébergée sur CDN. La réponse courte est : peut-être, mais les parties difficiles ne disparaissent pas.

GA4 côté serveur peut éviter les cookies côté client pour les pages vues si vous construisez l'intégration avec soin. Dans cette configuration, rien n'est stocké sur l'appareil (pour la partie GA4), et l'article 5(3) n'est pas engagé pour la requête elle-même. Cependant, plusieurs problèmes subsistent :

  • L'outil de tagging côté serveur de Google dépose typiquement encore un cookie côté client à moins de le désactiver activement
  • Si vous utilisez une fonctionnalité GA4 qui dépend d'un identifiant côté client (enhanced measurement, suivi cross-device, intégrations publicitaires), le cookie revient
  • Les données sont toujours transférées vers Google aux États-Unis, ce qui crée des obligations au titre du chapitre V du RGPD indépendantes de l'article 5(3)
  • Vous assumez toute la charge d'ingénierie d'un déploiement côté serveur, ce qui est non trivial et coûteux

En pratique, un outil d'analytique sans cookies correctement construit vous donne la même exemption ePrivacy avec moins de complexité et sans la question du transfert international. C'est pourquoi la voie « GA4 côté serveur » est populaire auprès des grandes entreprises qui disposent déjà d'une infrastructure GA, mais ne s'est pas étendue aux petits sites.

Que dire à votre équipe juridique

Si vous proposez de faire tourner votre site sans bannière cookies parce que vous utilisez de l'analytique sans cookies, votre équipe juridique voudra voir une histoire de conformité concrète. Voici une liste de contrôle à leur donner :

  1. Base sous ePrivacy. Documentez que l'outil d'analytique ne stocke pas et n'accède pas à des informations sur l'appareil de l'utilisateur. Citez le mécanisme spécifique (hachage côté serveur, pas de cookies, pas de localStorage). Référez-vous à l'article 5(3) et expliquez pourquoi il n'est pas déclenché.
  2. Base légale sous RGPD. Documentez une évaluation d'intérêt légitime couvrant le traitement de l'adresse IP et du User-Agent comme entrées transitoires de hachage, et la conservation du hachage résultant en tant que données non personnelles. Adressez les trois tests de nécessité du RGPD : finalité, nécessité, mise en balance.
  3. Conservation des données. Précisez combien de temps les données hachées sont conservées, ce qui est agrégé, quand cela est supprimé.
  4. Sous-traitants et localisations. Listez le fournisseur d'analytique comme sous-traitant et confirmez l'hébergement UE. Joignez l'accord de traitement des données du fournisseur.
  5. Autres traceurs. Auditez le reste du site. Confirmez soit qu'aucun autre outil avec stockage sur l'appareil n'est présent, soit que ces outils ont leur propre flux de consentement.
  6. Considérations spécifiques à l'autorité. Si votre public principal est dans un pays spécifique, mentionnez la position publiée de l'autorité sur l'analytique sans cookies et incluez un lien vers ses lignes directrices.
  7. Documentation du comportement du traceur. Demandez à votre fournisseur d'analytique une description technique de ce qui se passe exactement à chaque requête. Un fournisseur qui ne peut pas en fournir une ne devrait pas figurer sur votre liste courte.

Avec ce dossier en main, une équipe juridique raisonnable approuvera l'exécution sans bannière de consentement pour la couche analytique. Attendez-vous à des questions de suivi sur le reste du site — en particulier les intégrations, les publicités, les widgets de chat et tout ce qui est chargé depuis un CDN tiers — car l'argument de l'analytique sans cookies ne les couvre pas.

En résumé

Aucune autorité de protection des données de l'UE ne soutient la position « l'analytique sans cookies nécessite toujours une bannière de consentement ». Le débat dans l'UE porte entièrement sur les outils qui stockent quelque chose sur l'appareil, et sur la question étroite de savoir quand l'exemption « strictement nécessaire » ou une exemption spécifique à la mesure peut être invoquée. Un outil qui n'engage pas l'article 5(3) du tout dépasse tout le débat.

Le chemin pratique pour les exploitants de site qui souhaitent retirer leur bannière cookies est donc :

  1. Passer à un outil d'analytique sans cookies qui calcule les identifiants côté serveur
  2. Supprimer ou reconfigurer les autres traceurs avec stockage sur l'appareil (publicités, intégrations, widgets de chat)
  3. Documenter la base légale au titre de l'article 6 du RGPD pour le traitement restant
  4. Mettre à jour la politique de confidentialité pour refléter la nouvelle architecture
  5. Retirer la bannière cookies

Chaque étape est atteignable. Le cadre juridique le soutient. Chaque autorité examinée ci-dessus a confirmé, directement ou indirectement, que c'est la lecture correcte de la loi.

Web-Tracking.eu est une plateforme d'analytique sans cookies. Pour en savoir plus sur notre approche, consultez l'explication juridique aucune bannière cookies.