Pourquoi Web-Tracking.eu n'a pas besoin de bannière cookies

Une analyse technique et juridique pour les exploitants de site, les juristes et les décideurs

Dernière mise à jour: 10 avril 2026

En bref

Nous ne stockons aucune information sur les appareils des visiteurs — ni cookies, ni localStorage, ni sessionStorage, ni IndexedDB, ni fingerprinting.
L'article 5(3) de la directive ePrivacy n'est déclenché que par le stockage ou l'accès à des informations sur l'équipement terminal d'un utilisateur. Aucun des deux ne se produit avec notre traceur.
Les visiteurs uniques sont comptés côté serveur à l'aide d'un hachage renouvelé quotidiennement qui n'atteint jamais le navigateur.
Comme aucun déclencheur de consentement ne s'applique, Web-Tracking.eu peut être déployé dans toute l'UE sans bannière de consentement cookies pour la partie analytique de votre site.
Vous pouvez encore avoir besoin d'une bannière de consentement pour d'autres services (GA4, Meta Pixel, Hotjar, intégrations YouTube, etc.). Nous expliquons les cas limites ci-dessous.

1. La base juridique : article 5(3) de la directive ePrivacy

Le cadre juridique de l'UE pour le stockage ou l'accès à des informations sur l'appareil d'un utilisateur n'est pas le RGPD — c'est la directive ePrivacy (2002/58/CE), modifiée par la directive 2009/136/CE. Cette directive est antérieure au RGPD et est transposée séparément par chaque État membre de l'UE (la fameuse « loi cookies »).

La disposition opérationnelle est l'article 5(3) :

Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à la condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

Deux éléments méritent d'être soulignés. Premièrement, le déclencheur est technologiquement neutre : il couvre les cookies, localStorage, le fingerprinting, les ETags, les abus de cache, et tout autre mécanisme qui soit stocke des informations sur l'équipement terminal, soit en lit. Deuxièmement, la règle s'applique indépendamment du fait que les informations soient des données personnelles. Même un identifiant non personnel compte s'il est stocké sur l'appareil.

La conséquence logique est tout aussi importante : si un service ne stocke rien sur l'appareil et n'accède à rien de ce qui y est stocké, l'article 5(3) ne s'applique simplement pas. Aucun consentement n'est requis au titre de la directive ePrivacy, et aucune bannière de consentement n'est juridiquement nécessaire pour cette activité de traitement spécifique.

2. Ce que nous stockons sur l'appareil de votre visiteur

Rien. Notre traceur (t.js) effectue un unique appel fetch() ou navigator.sendBeacon() vers notre serveur puis s'arrête. Il ne lit rien depuis l'appareil avant l'envoi, et n'écrit rien en retour après.

Mécanisme de stockage	Utilisé ?	Déclenche l'article 5(3) ?
Cookies HTTP (first-party)	Non	Déclencherait
Cookies HTTP (third-party)	Non	Déclencherait
localStorage	Non	Déclencherait
sessionStorage	Non	Déclencherait
IndexedDB	Non	Déclencherait
Cache API / Service Workers	Non	Déclencherait
Fingerprinting Canvas / WebGL / audio	Non	Déclencherait (lecture d'infos appareil)
Énumération de polices / API matériel	Non	Déclencherait
ETag / astuces de cache	Non	Déclencherait
Hachage quotidien côté serveur (sur notre serveur)	Oui	Non déclenché — aucune interaction avec l'appareil

Le seul identifiant que nous calculons jamais est un hachage qui vit entièrement sur notre serveur. Le navigateur ne le voit jamais, ne le stocke jamais et n'a aucun moyen de le récupérer. Du point de vue du navigateur, il n'y a rien à consentir — rien n'a été écrit ni lu depuis l'appareil au-delà des en-têtes HTTP qui sont automatiquement envoyés avec chaque requête.

3. Comment fonctionne l'identification des visiteurs par hachage

Pour compter les visiteurs uniques sans les suivre, nous dérivons un hachage déterministe côté serveur à chaque requête entrante. Le hachage est construit à partir d'attributs de requête déjà disponibles pour tout serveur web, combinés avec la date UTC courante et un sel secret quotidien.

// Pseudo-code — s'exécute sur l'edge Web-Tracking.eu, jamais dans le navigateur
function visitorId(req, siteId) {
    const ip     = req.remoteAddr;          // rejetée après hachage
    const ua     = req.headers['user-agent']; // rejeté après hachage
    const date   = today('UTC');             // tourne à minuit UTC
    const salt   = dailySalt();              // aléatoire, renouvelé quotidiennement

    return sha256(`${ip}|${ua}|${siteId}|${date}|${salt}`);
}

Quatre choix de conception comptent ici :

Rotation quotidienne. La composante date garantit que le hachage de demain pour le même visiteur est différent. Nous ne pouvons pas suivre un visiteur à travers les jours.
Sel secret quotidien. Empêche les attaques par table arc-en-ciel et garantit que même si les hachages fuitaient, ils ne pourraient pas être inversés pour récupérer l'IP d'entrée.
Limitation au site. Les hachages du Site A ne peuvent pas être corrélés avec le Site B. Un visiteur apparaissant sur deux sites suivis par Web-Tracking.eu produit deux hachages sans rapport. Aucun suivi intersites n'est possible.
Les entrées brutes sont rejetées. L'adresse IP et le User-Agent sont utilisés pour calculer le hachage puis abandonnés. Ils ne sont jamais écrits dans des logs, bases de données ou sauvegardes.

Cette approche a été approuvée comme technique d'anonymisation acceptable par le Groupe de travail Article 29 (désormais le CEPD) dans l'avis 05/2014 sur les techniques d'anonymisation, à condition que le hachage ne puisse pas être lié à un individu et ne puisse pas être utilisé pour l'individualiser à travers les sessions ou les contextes. La rotation quotidienne combinée à un sel rotatif satisfait cette barre.

4. Positions des autorités de protection des données de l'UE sur l'analytique et le consentement

L'interprétation de l'article 5(3) est harmonisée par la directive ePrivacy, mais l'application et les nuances diffèrent selon les États membres. Voici un bref tour d'horizon des positions les plus pertinentes. Aucune ne contredit la conclusion ci-dessus : si rien n'est stocké sur l'appareil, aucune bannière de consentement n'est nécessaire.

CNIL (France)

L'autorité de contrôle française publie les lignes directrices les plus détaillées sur l'analytique et le consentement. Dans ses lignes directrices et recommandations sur les traceurs et les cookies (dernière consolidation en 2020, toujours en vigueur), la CNIL reconnaît une « exemption mesure d'audience » pour les outils d'analytique qui remplissent des conditions spécifiques : strictement limitée à la mesure d'audience pour le compte de l'éditeur, pas de suivi intersites, pas de partage de données avec des tiers, adresses IP anonymisées, conservation limitée. La CNIL a explicitement listé certaines configurations d'analytique sans cookies ou limitées comme exemptées de consentement. Comme Web-Tracking.eu ne stocke rien du tout sur l'appareil, nous sommes clairement hors du champ d'application de l'article 5(3) selon l'interprétation française.

BayLDA / DSK (Allemagne)

Les autorités allemandes, coordonnées via la Datenschutzkonferenz (DSK), adoptent une lecture stricte de la transposition allemande de l'article 5(3) dans le §25 TTDSG (maintenant TDDDG). L'autorité bavaroise (BayLDA) a historiquement été l'un des plus actifs contre Google Analytics et les outils similaires basés sur les cookies. Le §25 TTDSG reflète la directive : le consentement est requis pour tout stockage ou accès à des informations sur l'équipement terminal, sauf lorsque c'est strictement nécessaire. Un traceur qui ne touche jamais l'appareil ne relève pas du tout du §25. La rigueur de la position allemande joue en réalité en faveur des architectures sans cookies.

Datatilsynet (Danemark)

L'autorité danoise suit la cookie bekendtgørelse danoise qui transpose l'article 5(3). Elle a publié des lignes directrices spécifiques indiquant que les technologies qui ne déposent ni ne lisent d'informations sur l'appareil de l'utilisateur ne sont pas couvertes par les règles cookies. La seule question restante dans ce cas est de savoir si tout traitement qui a lieu (par exemple, d'une adresse IP utilisée momentanément pour calculer un hachage) dispose d'une base légale RGPD valable — qui pour l'analytique est systématiquement l'intérêt légitime au titre de l'article 6(1)(f).

AP (Pays-Bas)

L'Autoriteit Persoonsgegevens néerlandaise a publié des lignes directrices sur l'analytique au titre de la loi néerlandaise sur les télécommunications. Sa position est que les outils d'analytique qui ne déposent ni ne lisent de cookies (ou équivalents) sortent de l'exigence de consentement de l'article 11.7a de la loi. L'AP a précédemment certifié des configurations d'analytique spécifiques comme exemptes de consentement lorsqu'aucun identifiant ne persiste sur l'appareil de l'utilisateur.

ICO (Royaume-Uni, post-Brexit)

Les Privacy and Electronic Communications Regulations (PECR) britanniques transposent l'article 5(3) et restent en vigueur après le Brexit. Les lignes directrices de l'ICO sur les cookies adoptent la même position : la loi s'applique à tout ce qui stocke ou lit des informations depuis l'appareil de l'utilisateur. Un mécanisme de comptage purement côté serveur qui ne touche pas l'appareil n'est pas dans le champ d'application.

En résumé : aucune autorité de protection des données de l'UE ne soutient la position « l'analytique sans cookies nécessite toujours un consentement ». La controverse porte entièrement sur les outils qui déposent des identifiants sur l'appareil (cookies first-party GA4, ancien localStorage haché de Plausible, Meta Pixel, etc.). Notre conception contourne entièrement le débat.

5. Quand vous avez encore besoin d'une bannière de consentement

Passer à Web-Tracking.eu supprime la raison liée à l'analytique pour une bannière, mais ne rend pas automatiquement tout votre site sans consentement. Vous avez toujours besoin d'une bannière de consentement cookies si votre site utilise l'un des éléments suivants :

Google Analytics (GA4) côté client via gtag.js. GA4 dépose _ga et les cookies associés quel que soit le consent mode. Le consent mode v2 ne contrôle que si ces cookies portent des identifiants — il ne les fait pas disparaître.
Google Tag Manager lorsqu'il est chargé sans condition. GTM lui-même dépose un cookie et charge du code tiers arbitraire.
Meta Pixel, TikTok Pixel, LinkedIn Insight Tag — tous déposent des cookies publicitaires et requièrent un consentement explicite.
Hotjar, Microsoft Clarity, Mouseflow, FullStory — outils de session replay et heatmap qui stockent des identifiants de session et enregistrent les interactions des utilisateurs.
Intégrations YouTube ou Vimeo en mode par défaut (non-privacy). Utilisez youtube-nocookie.com ou un placeholder click-to-load pour éviter de déposer des cookies tant que l'utilisateur n'a pas interagi.
Intercom, Drift, Crisp, HubSpot chat et widgets de messagerie client similaires qui maintiennent un cookie de session ou une entrée localStorage.
Outils de test A/B comme Optimizely ou VWO qui stockent les affectations de variantes dans des cookies ou localStorage.
Cloudflare Bot Management, reCAPTCHA v3 dans leur configuration par défaut — tous deux déposent des identifiants persistants.

Auditez votre site honnêtement. Ouvrez DevTools, regardez l'onglet Application et listez chaque cookie, entrée localStorage et base IndexedDB déposés avant que l'utilisateur n'ait interagi avec une UI de consentement. Tout ce qui n'est pas essentiel doit partir — ou nécessite un consentement.

6. Comparaison : ce que chaque outil d'analytique stocke sur l'appareil du visiteur

Outil	Cookies	localStorage	Fingerprinting appareil	Bannière de consentement requise
Web-Tracking.eu	Non	Non	Non	Non (pour l'analytique)
Google Analytics 4 (gtag.js)	Oui (`_ga`, `_ga_*`)	Non	Non (mais utilise des cookies)	Oui
Plausible	Non	Non (depuis 2024)	Non	Non (pour l'analytique)
Fathom Lite / Fathom	Non	Non	Non	Non (pour l'analytique)
Matomo (par défaut)	Oui (`_pk_id`, `_pk_ses`)	Non	Non	Oui, sauf si le mode sans cookies est activé
Matomo (mode sans cookies)	Non	Non	Utilise une empreinte config_id	Discutable — dépend de la configuration
Pirsch	Non	Non	Non	Non (pour l'analytique)
Simple Analytics	Non	Non	Non	Non (pour l'analytique)

L'analytique sans cookies n'est plus exotique. Plusieurs fournisseurs — nous inclus — ont convergé vers la même architecture : calculer un identifiant éphémère côté serveur à partir des métadonnées de requête, abandonner les entrées brutes immédiatement, ne jamais toucher l'appareil. Ce qui diffère, c'est le détail du schéma de hachage, la durée de conservation et le fait que le fournisseur évite ou non en plus les transferts de données hors de l'UE.

7. L'angle RGPD (distinct d'ePrivacy)

L'article 5(3) de la directive ePrivacy n'est que la moitié de l'analyse. Même lorsqu'aucun consentement n'est requis au titre d'ePrivacy, tout traitement de données personnelles nécessite toujours une base légale au titre de l'article 6 du RGPD. Pour l'analytique, cette base est typiquement l'intérêt légitime — article 6(1)(f) — avec un test de mise en balance documenté.

Web-Tracking.eu traite l'adresse IP et l'en-tête User-Agent du visiteur momentanément pour calculer le hachage quotidien, puis les rejette. La sortie hachée ne contient aucune donnée personnelle sous forme utilisable : elle ne peut pas être utilisée pour réidentifier une personne spécifique, elle tourne toutes les 24 heures et elle est limitée à un seul site. Notre évaluation d'intérêt légitime (disponible sur demande) conclut que ce traitement est proportionné et ne prévaut pas sur les droits de la personne concernée.

Nous ne prétendons pas qu'aucune donnée personnelle n'est traitée à aucun moment — l'adresse IP brute existe en mémoire pendant quelques millisecondes. Nous affirmons que le traitement est minimal, ciblé et protégé par des garanties appropriées, et que les données stockées résultantes ne sont pas des données personnelles selon toute lecture raisonnable de l'article 4(1) du RGPD.

8. Sources et lectures complémentaires

Avis juridique

Cette page est une explication technique et juridique du fonctionnement de Web-Tracking.eu et de son interaction avec le droit européen de la protection de la vie privée. Elle ne constitue pas un conseil juridique. Si vous êtes un exploitant de site qui déploie de l'analytique dans un secteur réglementé ou une configuration complexe, vous devriez consulter votre propre conseil ou DPO. Nous nous ferons un plaisir de fournir notre évaluation d'intérêt légitime, notre accord de traitement des données et notre documentation technique sur demande à privacy@web-tracking.eu.