Retour aux articles
Analytics
Analytics Cookies Vie privée RGPD

Analytics sans cookie : comment et pourquoi en 2026

12 novembre 2025 10 min de lecture DPLIANCE

L’analytics sans cookie n’est pas une mode. C’est une réponse rationnelle à une réalité simple : le web basé sur le traçage des individus est en train de mourir.

Safari bloque les cookies tiers depuis 2017 avec Intelligent Tracking Prevention (ITP). Firefox fait de même avec Enhanced Tracking Protection (ETP). Chrome, qui représente environ 65 % du marché des navigateurs, a annoncé en juillet 2024 qu’il ne supprimerait finalement pas les cookies tiers par défaut, mais qu’il proposerait un choix aux utilisateurs via Privacy Sandbox. En parallèle, les bloqueurs de publicités et de traceurs sont utilisés par plus de 40 % des internautes.

Le résultat ? Si vous utilisez encore un outil d’analytics basé sur les cookies tiers, vous ne voyez qu’une fraction de votre audience réelle. Et vous vous exposez à des risques juridiques croissants.

Chez DPLIANCE, nous pensons que la vie privée n’est pas un compromis. C’est un droit fondamental. Et il est parfaitement possible de comprendre le comportement de vos visiteurs sans les traquer.

L’analytics sans cookie désigne les méthodes de mesure d’audience qui ne déposent aucun cookie sur le terminal de l’utilisateur. Ni cookie tiers (ceux utilisés pour le suivi publicitaire multi-sites), ni cookie first-party persistant (ceux utilisés par les outils classiques pour identifier un visiteur au fil du temps).

Cela ne signifie pas qu’on ne collecte aucune donnée. Cela signifie qu’on ne stocke rien sur l’appareil du visiteur pour le reconnaître ultérieurement.

  • Cookie tiers : déposé par un domaine différent de celui que l’utilisateur visite. Utilisé principalement pour le suivi publicitaire multi-sites. C’est celui que Safari, Firefox et bientôt Chrome bloquent.
  • Cookie first-party : déposé par le domaine visité. Utilisé par Google Analytics (même GA4) pour identifier les visiteurs récurrents. Moins problématique juridiquement, mais toujours soumis au consentement selon la CNIL.

L’analytics sans cookie va plus loin : elle ne dépose ni l’un ni l’autre.

1. Le cadre légal l’exige (ou l’encouragera bientôt)

En France, la CNIL est claire : tout traceur déposé sur le terminal d’un utilisateur nécessite son consentement préalable, sauf exception limitée à la mesure d’audience (article 82 de la loi Informatique et Libertés, transposant la directive ePrivacy). L’internaute doit consentir par un acte positif clair. Son silence vaut refus. Aucun traceur non essentiel ne peut être déposé sans ce consentement.

Les lignes directrices de la CNIL sur les cookies et traceurs, régulièrement mises à jour, renforcent cette position. En 2025, la CNIL a sanctionné Google de 325 millions d’euros pour des manquements liés aux cookies et à la publicité ciblant plus de 74 millions de comptes en France.

2. Les navigateurs tuent les cookies tiers

Voici l’état des lieux en mars 2026 :

  • Safari (ITP) : bloque les cookies tiers depuis 2017. Depuis ITP 2.1, les cookies first-party posés par des scripts de tracking connus sont limités à 7 jours de durée de vie.
  • Firefox (ETP) : bloque les cookies de tracking connus par défaut depuis 2019. Les cookies tiers non liés au tracking sont autorisés.
  • Chrome (Privacy Sandbox) : Google a renoncé à supprimer les cookies tiers par défaut en juillet 2024. À la place, les utilisateurs peuvent choisir via les paramètres de confidentialité. Les API Privacy Sandbox (Topics, Attribution Reporting, Protected Audiences) restent disponibles.

Concrètement, entre Safari, Firefox, les bloqueurs de publicités et les utilisateurs Chrome qui refusent les cookies, une part significative de votre audience échappe déjà aux outils basés sur les cookies.

3. Des données plus fiables

Paradoxalement, l’analytics sans cookie produit souvent des données plus fiables que l’analytics classique. Pourquoi ?

  • Pas de perte de données liée au refus du bandeau de cookies (selon les secteurs, 30 à 70 % des visiteurs refusent les cookies)
  • Pas de distorsion liée aux bloqueurs de publicités
  • Pas de biais lié à la suppression des cookies par les utilisateurs
  • 100 % des visiteurs sont mesurés, sans biais de sélection

Plusieurs approches techniques permettent de faire de l’analytics sans déposer de cookie.

Le tracking basé sur les sessions (session-based)

C’est la méthode la plus répandue parmi les outils respectueux de la vie privée. Le principe :

  1. Quand un visiteur arrive sur votre site, le serveur génère un identifiant de session temporaire
  2. Cet identifiant existe uniquement le temps de la visite (généralement 30 minutes d’inactivité)
  3. À la fin de la session, l’identifiant est détruit
  4. Si le visiteur revient le lendemain, il est considéré comme un nouveau visiteur

Avantage : aucun stockage sur le terminal de l’utilisateur. Inconvénient : impossible de mesurer le taux de retour de manière précise.

Le hachage anonymisé (hash-based)

Certains outils utilisent un hash anonyme et non réversible de paramètres techniques (adresse IP tronquée, user-agent, taille d’écran) pour regrouper les actions d’un même visiteur au sein d’une journée. Par exemple, Matomo utilise un config_id généré à partir d’un hash aléatoire et limité dans le temps (maximum 24 heures).

Cette méthode n’est pas du fingerprinting : l’identifiant change chaque jour, n’est pas persistant, et ne permet pas de suivre un utilisateur d’un site à l’autre.

Le tracking server-side

Le tracking server-side déplace la collecte de données du navigateur vers un serveur contrôlé par l’éditeur du site. Au lieu de scripts JavaScript qui envoient des données directement à un service tiers, les interactions sont d’abord envoyées au serveur de l’entreprise, qui les traite, les anonymise si nécessaire, puis les transmet à l’outil d’analyse.

Avantages :

  • Contourne les bloqueurs de publicités
  • Permet un contrôle total sur les données envoyées
  • Facilite la gestion du consentement (un seul point de contrôle)
  • Améliore les performances du site (moins de scripts côté client)

Les entreprises qui passent au server-side tracking récupèrent en moyenne 20 à 40 % de données de conversions manquées par rapport au tracking client-side classique.

L’approche sans identifiant (stateless)

L’approche la plus radicale : ne générer aucun identifiant, même temporaire. Chaque page vue est un événement isolé. On mesure le nombre de pages vues, les referrers, les pages de destination, mais on ne relie pas les pages vues entre elles.

C’est l’approche de Simple Analytics et, dans une certaine mesure, de Plausible. Elle produit des métriques fiables au niveau du site (trafic global, pages populaires, sources) mais ne permet pas d’analyser les parcours individuels.

Ce n’est pas du fingerprinting

Le fingerprinting consiste à créer une empreinte unique de l’appareil d’un utilisateur à partir de ses caractéristiques techniques (user-agent, résolution d’écran, plugins installés, polices, etc.). Cette empreinte est persistante et permet de suivre l’utilisateur sans son consentement.

Le fingerprinting est explicitement considéré comme non conforme au RGPD par les autorités européennes. Comme le souligne Matomo dans sa documentation, le fingerprinting “n’est pas considéré comme respectueux de la vie privée” et “peut être contraire aux réglementations GDPR”. Contrairement aux cookies que l’utilisateur peut supprimer, les empreintes digitales ne peuvent pas être supprimées.

Les outils d’analytics sans cookie sérieux ne font pas de fingerprinting.

Ce n’est pas une perte de données

L’analytics sans cookie ne mesure pas les mêmes choses que Google Analytics. Mais ce qu’elle mesure, elle le mesure mieux : sans biais de consentement, sans perte liée aux bloqueurs, sans distorsion.

Vous perdez la capacité de suivre un individu précis dans le temps. Vous gagnez une vision complète et non biaisée de votre audience.

Mirage Analytics

Mirage Analytics est l’outil d’analytics sans cookie édité par DPLIANCE. Il combine analytics web, session replay, heatmaps et error monitoring dans une seule solution, sans déposer de cookie tiers ni de traceur persistant. Hébergé sur Scaleway en France, il garantit l’absence de transfert de données hors de l’Union européenne.

Ce qui rend Mirage unique dans cette catégorie, c’est l’intégration du session replay et des heatmaps sans cookie. La plupart des outils sans cookie se limitent aux métriques agrégées. Mirage permet de comprendre le comportement individuel des visiteurs (où vont-ils ? où cliquent-ils ? quelles erreurs rencontrent-ils ?) sans les identifier.

À partir de 19 EUR HT/mois.

  • Plausible : open source, minimaliste, à partir de 9 EUR/mois
  • Fathom : simple et rapide, à partir de 15 $/mois
  • Simple Analytics : zéro donnée personnelle, à partir de 15 $/mois
  • Pirsch : hébergé en Allemagne, à partir de 6 $/mois
  • Umami : open source, auto-hébergeable, gratuit
  • Matomo : configurable en mode sans cookie (exemption CNIL), gratuit en auto-hébergé ou à partir de 22 EUR/mois en Cloud

L’exemption CNIL : analytics sans cookie ET sans bandeau

L’un des avantages majeurs de l’analytics sans cookie est la possibilité de bénéficier de l’exemption de consentement prévue par la CNIL. Cette exemption, basée sur l’article 82 de la loi Informatique et Libertés, permet de mesurer l’audience d’un site sans afficher de bandeau de cookies, à condition de respecter des critères stricts.

Les conditions principales :

  • La finalité doit être strictement limitée à la mesure d’audience
  • Les données ne doivent pas être recoupées avec d’autres traitements
  • Les données ne doivent pas être transmises à des tiers
  • La durée de vie des traceurs doit être limitée à 13 mois
  • Les données brutes collectées doivent être conservées 25 mois maximum
  • Pas de suivi de la navigation sur différents sites ou applications

Pour en savoir plus, consultez notre guide sur l’exemption CNIL analytics.

FAQ

Elle est différente, pas moins précise. Vous ne pourrez pas suivre un visiteur individuel sur plusieurs mois. Mais vous mesurez 100 % de votre audience (pas seulement les 30 à 70 % qui acceptent les cookies), sans distorsion liée aux bloqueurs. Pour la plupart des sites, les métriques obtenues sont plus fiables.

Oui. Mirage Analytics intègre le session replay sans déposer de cookie. Les sessions sont enregistrées de manière anonyme, sans identifiant persistant, ce qui permet de comprendre le parcours utilisateur au sein d’une visite sans traquer l’individu.

L’analytics sans cookie fonctionne-t-elle avec les SPA (Single Page Applications) ?

Oui. La plupart des outils modernes sans cookie gèrent nativement les Single Page Applications en détectant les changements de route côté client. C’est le cas de Mirage, Plausible, Fathom et Umami.

Mon bandeau de cookies est-il encore nécessaire ?

Si votre outil d’analytics est votre seul traceur et qu’il fonctionne sans cookie dans le respect des conditions d’exemption CNIL, vous n’avez pas besoin d’un bandeau de cookies pour la mesure d’audience. Attention : si vous utilisez d’autres traceurs (publicité, réseaux sociaux, chat, etc.), le bandeau reste nécessaire pour ceux-ci.

“Sans cookie” signifie qu’aucun cookie n’est déposé sur le terminal de l’utilisateur. “Sans tracking” signifierait qu’aucune donnée n’est collectée, ce qui rendrait l’analytics impossible. L’analytics sans cookie collecte bien des données (pages vues, referrers, etc.), mais de manière anonyme et sans identifier les individus.

Sources : CNIL, “Les règles à respecter” et “Cookies : solutions pour les outils de mesure d’audience” (cnil.fr) ; CNIL, sanction Google 325 M EUR, 1er septembre 2025 ; Apple, documentation ITP (webkit.org) ; Google, “Privacy Sandbox Next Steps” (privacysandbox.google.com) ; Matomo, documentation sur le fingerprinting et le config_id (matomo.org).

La vie privée de vos utilisateurs n’est pas un compromis. Découvrez Mirage Analytics : analytics web sans cookie, session replay et heatmaps intégrés, hébergé en France. À partir de 19 EUR HT/mois.

Écrivez-nous

contact@dpliance.com
Nous contacter