Retour aux articles
Analytics
Analytics CNIL RGPD Cookies

Exemption CNIL analytics : conditions et outils éligibles

7 janvier 2026 10 min de lecture DPLIANCE

L’exemption CNIL analytics est probablement le sujet le plus mal compris du web français. Beaucoup d’éditeurs de sites pensent qu’il suffit d’utiliser un outil “RGPD-friendly” pour se passer de bandeau de cookies. C’est faux. L’exemption existe, mais elle est encadrée par des conditions strictes que la majorité des implémentations ne respectent pas.

Chez DPLIANCE, nous croyons que la conformité ne devrait pas être un casse-tête. Mais elle ne devrait pas non plus être une illusion. Voici tout ce qu’il faut savoir sur l’exemption de consentement pour les outils de mesure d’audience.

Qu’est-ce que l’exemption CNIL ?

Le cadre légal

En France, la directive ePrivacy, transposée par l’article 82 de la loi Informatique et Libertés, impose un principe clair : tout dépôt de traceur (cookie ou autre) sur le terminal d’un utilisateur nécessite son consentement préalable.

Il existe toutefois une exception : les traceurs “strictement nécessaires” au fonctionnement du service ou ceux ayant pour “finalité exclusive de permettre ou faciliter la communication par voie électronique”. La CNIL a interprété cette exception pour y inclure, sous conditions strictes, les outils de mesure d’audience.

L’idée est simple : mesurer combien de personnes visitent un site, quelles pages sont consultées et comment améliorer le service est une finalité légitime qui peut être exemptée de consentement, à condition que cette mesure ne serve qu’à cela.

Ce que dit la CNIL

La CNIL a publié des lignes directrices détaillées sur les cookies et traceurs, régulièrement mises à jour. Concernant la mesure d’audience, elle précise que les traceurs peuvent être exemptés de consentement s’ils remplissent des conditions cumulatives et strictes.

La CNIL a également lancé un programme d’évaluation des solutions de mesure d’audience, qui a permis de constituer une liste d’outils pouvant être configurés pour bénéficier de l’exemption. Ce programme a été remplacé depuis par un outil d’auto-évaluation à destination des fournisseurs de solutions.

Les conditions de l’exemption

Les conditions sont cumulatives. Il faut les respecter toutes. En manquer une seule suffit à faire perdre le bénéfice de l’exemption.

1. Finalité strictement limitée à la mesure d’audience

Les traceurs doivent avoir une finalité strictement limitée à la mesure d’audience du site ou de l’application. Cela inclut :

  • La mesure des performances du site
  • La détection de problèmes de navigation
  • L’optimisation des performances techniques ou de l’ergonomie
  • L’estimation de la capacité serveur nécessaire
  • L’analyse des contenus consultés

Tout autre usage invalide l’exemption. Si les données sont utilisées pour du marketing, du ciblage, de la personnalisation ou de l’optimisation commerciale, l’exemption ne s’applique plus.

2. Production exclusive de données statistiques anonymes

Les traceurs doivent servir à produire exclusivement des données statistiques anonymes. Les résultats de la mesure d’audience doivent être agrégés et ne doivent pas permettre d’identifier, directement ou indirectement, un individu.

3. Pas de recoupement avec d’autres traitements

Les données collectées ne doivent pas être recoupées avec d’autres traitements de données. Concrètement :

  • Pas de croisement avec des données CRM
  • Pas de rapprochement avec des profils utilisateurs
  • Pas de lien avec des campagnes marketing
  • Pas d’enrichissement avec des données tierces

C’est la condition la plus souvent violée en pratique. Beaucoup d’outils d’analytics sont connectés à des plateformes publicitaires, des CRM ou des outils de marketing automation. Ces connexions invalident l’exemption.

4. Pas de transmission à des tiers

Les données non anonymes ne doivent pas être transmises à des tiers. L’outil de mesure doit fonctionner exclusivement pour le compte de l’éditeur du site.

C’est la raison pour laquelle Google Analytics n’a jamais pu bénéficier de l’exemption : les données collectées transitent par les serveurs de Google et alimentent son écosystème publicitaire.

5. Pas de suivi multi-sites

Les traceurs ne doivent pas permettre le suivi global de la navigation d’une personne utilisant différentes applications ou naviguant sur différents sites web. Chaque site doit être mesuré indépendamment.

6. Durée de vie limitée

  • Durée de vie des traceurs : limitée à une durée permettant une comparaison pertinente des audiences dans le temps. La CNIL recommande une durée maximale de 13 mois, sans prolongation automatique à chaque visite.
  • Conservation des données brutes : les données collectées doivent être conservées pour une durée maximale de 25 mois.

7. Information de l’utilisateur

Même avec l’exemption, l’utilisateur doit être informé de l’utilisation de traceurs et de la possibilité de s’y opposer. L’exemption porte sur le consentement préalable, pas sur le droit d’information ni sur le droit d’opposition.

Quels outils sont éligibles ?

Le programme d’évaluation de la CNIL

Depuis 2021, la CNIL a évalué plusieurs solutions de mesure d’audience pour vérifier leur capacité à être configurées en conformité avec les conditions d’exemption. Ce programme a produit une liste d’outils évalués, disponible sur le site de la CNIL.

Parmi les solutions ayant été évaluées favorablement :

  • Analytics Suite Delta (AT Internet / Piano)
  • SmartProfile (Net Solution Partner)
  • Wysistat Business
  • Matomo (avec configuration spécifique)
  • Abla Analytics
  • Beyable Analytics

Depuis le 1er janvier 2026, le programme d’évaluation a été remplacé par un outil d’auto-évaluation. Les fournisseurs de solutions sont désormais invités à vérifier eux-mêmes la conformité de leur outil sur la base des critères publiés par la CNIL.

Matomo : le cas le mieux documenté

Matomo est l’outil pour lequel la CNIL a publié le guide de configuration le plus détaillé. Pour bénéficier de l’exemption avec Matomo, il faut :

  • Utiliser Matomo en auto-hébergé ou en Cloud avec hébergement en Europe
  • Désactiver le suivi multi-sites
  • Anonymiser les adresses IP
  • Limiter la durée de conservation des données à 25 mois
  • Ne pas exporter les données vers des outils tiers
  • Configurer le config_id pour une durée maximale de 24 heures
  • Ne pas activer les plugins de heatmap ou session replay (qui peuvent nécessiter un consentement spécifique)

La configuration est technique et requiert de la rigueur. Une erreur de paramétrage peut faire perdre le bénéfice de l’exemption.

Google Analytics : jamais exempt

Google Analytics (ni Universal Analytics, ni GA4) n’a jamais bénéficié de l’exemption de consentement de la CNIL. Les raisons sont multiples :

  • Les données sont envoyées vers les serveurs de Google (tiers)
  • Google utilise les données à des fins propres (publicité)
  • Les données sont susceptibles d’être transférées hors UE
  • Le modèle de Google ne permet pas de garantir l’absence de recoupement avec d’autres traitements

Aucune configuration de Google Analytics ne permet de remplir les conditions d’exemption.

Mirage Analytics et l’exemption

Mirage Analytics a été conçu pour être compatible avec les conditions d’exemption CNIL. Son architecture répond aux critères fondamentaux :

  • Pas de cookie tiers, pas de traceur persistant : le tracking est basé sur les sessions, sans identifiant persistant
  • Hébergement souverain sur Scaleway (France) : aucun transfert de données hors UE
  • Données traitées exclusivement pour le compte de l’éditeur : DPLIANCE n’utilise pas les données à des fins propres
  • Pas de recoupement avec d’autres traitements : les données analytiques restent cloisonnées

Pour les fonctionnalités de session replay et de heatmaps, qui vont au-delà de la stricte mesure d’audience, une analyse spécifique doit être menée au cas par cas. La mesure d’audience pure (pages vues, sessions, sources, etc.) est compatible avec l’exemption.

Les erreurs courantes

Erreur 1 : “Mon outil est sans cookie, donc je suis exempt”

Faux. L’absence de cookie est une condition nécessaire mais pas suffisante. Un outil sans cookie qui transmet des données à un tiers, qui permet le suivi multi-sites ou qui est utilisé à des fins marketing ne bénéficie pas de l’exemption.

Erreur 2 : “L’outil est dans la liste CNIL, donc je n’ai rien à faire”

Faux. La liste CNIL (désormais remplacée par l’auto-évaluation) indiquait que l’outil pouvait être configuré pour bénéficier de l’exemption. Elle ne certifiait pas que toute installation de l’outil était automatiquement conforme. La configuration est de la responsabilité du responsable de traitement (vous).

Erreur 3 : “L’exemption me dispense d’informer les utilisateurs”

Faux. L’exemption porte sur le consentement préalable, pas sur le droit d’information. Vous devez toujours informer vos utilisateurs de l’existence de la mesure d’audience et de leur droit de s’y opposer (opt-out).

Erreur 4 : “Je peux utiliser les données pour optimiser mes campagnes marketing”

Faux. Si vous utilisez les données de mesure d’audience pour optimiser vos campagnes, cibler vos publicités ou personnaliser votre contenu, vous sortez du périmètre de l’exemption. L’exemption couvre uniquement la mesure d’audience stricto sensu.

Erreur 5 : “L’exemption est permanente”

Faux. Les conditions de l’exemption peuvent évoluer avec les lignes directrices de la CNIL. En 2025, la CNIL a lancé une consultation publique sur de nouvelles recommandations. En 2026, des travaux sur le consentement multi-propriétés (cross-domain) sont prévus. Il faut maintenir une veille régulière.

Comment mettre en place l’exemption correctement

Étape 1 : Choisir un outil compatible

Sélectionnez un outil de mesure d’audience qui peut être configuré pour respecter toutes les conditions d’exemption. Vérifiez en priorité :

  • Où sont hébergées les données (UE obligatoire)
  • Si l’outil transmet des données à des tiers
  • Si l’outil permet de limiter la durée de conservation
  • Si l’outil peut fonctionner sans cookie ou avec des traceurs limités à 13 mois

Étape 2 : Configurer l’outil strictement

Appliquez les configurations nécessaires :

  • Désactiver tout partage de données avec des tiers
  • Anonymiser les adresses IP
  • Limiter la conservation des données brutes à 25 mois
  • Désactiver le suivi multi-sites si vous avez plusieurs domaines
  • Configurer la durée de vie des traceurs à 13 mois maximum

Étape 3 : Documenter

Documentez votre configuration et votre base légale dans votre registre des traitements. Indiquez clairement que la mesure d’audience est fondée sur l’exemption de consentement et détaillez les mesures prises pour respecter les conditions.

Étape 4 : Informer les utilisateurs

Même sans bandeau de cookies, vous devez :

  • Mentionner la mesure d’audience dans votre politique de confidentialité
  • Proposer un mécanisme d’opt-out (opposition à la mesure)
  • Expliquer quelles données sont collectées et pourquoi

Étape 5 : Auditer régulièrement

Vérifiez périodiquement que votre configuration n’a pas été modifiée (mises à jour de l’outil, changements de paramètres) et que les conditions d’exemption sont toujours respectées.

FAQ

L’exemption CNIL est-elle valable dans toute l’Europe ?

Non. L’exemption est une interprétation de la directive ePrivacy par la CNIL, applicable en France. D’autres autorités européennes ont des positions différentes. Si votre site cible des visiteurs dans plusieurs pays de l’UE, vérifiez les positions des autorités locales.

Combien d’outils sont aujourd’hui éligibles à l’exemption ?

Le programme d’évaluation de la CNIL a évalué favorablement une dizaine d’outils avant d’être remplacé par l’auto-évaluation. Parmi les plus connus : Analytics Suite Delta (AT Internet), Matomo (avec configuration spécifique), SmartProfile, Wysistat Business, Abla Analytics. Depuis janvier 2026, tout fournisseur peut auto-évaluer sa solution.

Puis-je utiliser le session replay avec l’exemption ?

Le session replay va au-delà de la stricte mesure d’audience et peut nécessiter un consentement spécifique. Cependant, si le session replay est mis en oeuvre sans identifiant persistant et sans collecte de données personnelles, une analyse au cas par cas est nécessaire. La CNIL n’a pas publié de position spécifique sur le session replay dans le cadre de l’exemption.

Que se passe-t-il si je perds le bénéfice de l’exemption ?

Si votre configuration ne respecte plus les conditions d’exemption, vous devez obtenir le consentement préalable des utilisateurs avant de déposer des traceurs. En pratique, cela signifie mettre en place un bandeau de cookies conforme. Le défaut de consentement constitue une infraction sanctionnable par la CNIL.

L’exemption couvre-t-elle les tests A/B ?

Non, en principe. Les tests A/B ont une finalité d’optimisation commerciale, pas de mesure d’audience stricto sensu. Ils nécessitent généralement le consentement de l’utilisateur.

Sources : CNIL, “Cookies : solutions pour les outils de mesure d’audience” (cnil.fr) ; CNIL, “Solutions de mesure d’audience exemptées de consentement : la CNIL lance un programme d’évaluation” (cnil.fr) ; CNIL, lignes directrices modificatives et recommandation cookies et autres traceurs (cnil.fr) ; CNIL, guide de configuration Matomo pour l’exemption (cnil.fr) ; Article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Vous cherchez un outil d’analytics compatible avec l’exemption CNIL, hébergé en France ? Découvrez Mirage Analytics : analytics web sans cookie, session replay et heatmaps intégrés. À partir de 19 EUR HT/mois.

Écrivez-nous

contact@dpliance.com
Nous contacter