Tag : Rgpd
Tous les articles du blog avec ce tag.
- 16 Mar, 2026
487 M€ d'amendes CNIL en 2025 : que risquez-vous vraiment avec votre analytics ?
Le 9 février 2026, la CNIL a publié son bilan des sanctions 2025. Un seul chiffre résume la situation : 487 millions d'euros d'amendes prononcées en un an. C'est neuf fois plus qu'en 2024. Et ce n'est pas un hasard : les cookies et les outils de mesure d'audience représentent désormais plus d'un quart des sanctions (21 sur 83). Si vous utilisez Google Analytics, Hotjar, ou tout autre outil de tracking sur votre site, vous êtes potentiellement concerné. Pas parce que vous êtes malveillant. Simplement parce que les règles ont changé, que les contrôles se sont intensifiés, et que « je ne savais pas » n'est plus une ligne de défense acceptable. Les deux plus grosses amendes de 2025 concernent des géants : Google (325 millions d'euros) et Shein (150 millions). Mais sur les 83 sanctions prononcées, 67 visaient des structures plus modestes, via une procédure simplifiée. Des montants entre 5 000 et 20 000 euros. Moins spectaculaires, mais tout aussi réels pour une PME ou un e-commerçant. Cet article décrypte le bilan CNIL 2025, identifie les trois motifs de sanction les plus fréquents, et vous explique concrètement ce que vous risquez avec votre configuration analytics actuelle. Parce qu'attendre qu'un courrier de mise en demeure arrive, c'est déjà trop tard. Le bilan CNIL 2025 en chiffres : record absolu 487 millions d'euros : neuf fois plus qu'en 2024 En 2024, la CNIL avait prononcé 55 millions d'euros d'amendes. En 2025, ce montant est multiplié par neuf. Cette explosion s'explique par deux sanctions record :Google : 325 millions d'euros pour publicités Gmail sans consentement et cookies déposés lors de la création de comptes Google, sans consentement valable des utilisateurs français. Shein : 150 millions d'euros pour cookies déposés sans consentement sur son site e-commerce.Ces deux sanctions à elles seules représentent 475 millions d'euros, soit 97,5 % du total. Mais les 12 millions restants se répartissent sur 81 autres décisions. Et c'est cette « longue traîne » qui concerne directement les TPE, PME et agences web. 83 sanctions prononcées, dont 67 via la procédure simplifiée La CNIL a rendu 259 décisions en 2025, dont 83 sanctions effectives. Parmi ces 83 sanctions, 67 ont été prononcées via la procédure simplifiée. Cette procédure, mise en place en 2020, permet de traiter rapidement des dossiers sans complexité particulière, avec des amendes plafonnées à 20 000 euros. Concrètement, cela signifie que la majorité des sanctions ne visent pas des multinationales, mais des acteurs de taille moyenne : e-commerçants, éditeurs de sites, agences, SaaS B2B. Des structures qui n'ont ni département juridique dédié, ni budget pour un cabinet d'avocats spécialisé. Le message de la CNIL est clair : la conformité n'est pas négociable, quelle que soit votre taille. L'argument « on est trop petit pour être contrôlé » ne tient plus. 21 sanctions liées aux cookies : plus d'un quart du total Sur les 83 sanctions, 21 concernent spécifiquement des manquements aux règles sur les cookies et traceurs. C'est 25 % du total, ce qui en fait le deuxième motif de sanction le plus fréquent après la sécurité des données (violations de données, mesures de sécurité insuffisantes). Les cookies analytics -- ceux que vous installez pour mesurer votre audience -- ne sont pas épargnés. Même si votre objectif est légitime (comprendre d'où vient votre trafic, quelles pages fonctionnent), la manière dont vous collectez ces données peut être sanctionnée. Les trois types de manquements les plus sanctionnés sont :Dépôt de cookies sans consentement : des cookies sont installés avant que l'utilisateur n'ait cliqué sur « Accepter ». Informations insuffisantes : la bannière de consentement ne précise pas clairement quels cookies sont déposés et pourquoi. Refus non respecté : l'utilisateur refuse les cookies, mais ils continuent d'être lus ou ne sont pas supprimés.Les trois motifs de sanction qui concernent votre analytics Motif 1 : Cookies déposés avant le consentement C'est le manquement le plus fréquent. Vous installez Google Analytics (ou équivalent) sur votre site. Par défaut, le script se charge dès que la page s'affiche, avant même que la bannière de consentement n'apparaisse. Résultat : des cookies sont déposés et des données collectées avant que l'utilisateur n'ait donné son accord. Exemple concret (sanction American Express, novembre 2025) : dès l'arrivée sur le site americanexpress.com/fr-fr/, plusieurs cookies publicitaires étaient déposés avant toute interaction avec la bannière de consentement. Amende : 1,5 million d'euros. Pour éviter ce piège, vous devez :Bloquer le chargement du script analytics tant que l'utilisateur n'a pas consenti. Utiliser une plateforme de gestion du consentement (CMP) qui gère ce blocage automatiquement : OneTrust, Axeptio, Cookiebot, Didomi, etc. Vérifier régulièrement (au moins tous les trimestres) que le blocage fonctionne réellement, notamment après chaque mise à jour de votre CMS ou de votre thème.Motif 2 : Bannière de consentement insuffisante ou trompeuse La CNIL a mené plus de 40 contrôles en ligne en 2024 suite à des plaintes visant des bandeaux « trompeurs », conçus pour inciter les utilisateurs à accepter les cookies plutôt qu'à faire un choix éclairé. Les défauts les plus fréquents :Pas de bouton « Refuser » visible : seul un bouton « Accepter » ou « Personnaliser » est affiché. Refuser nécessite de naviguer dans plusieurs sous-menus. Boutons asymétriques : le bouton « Accepter » est grand, coloré, attirant, tandis que le bouton « Refuser » est petit, grisé, discret. Informations vagues : la bannière dit « Nous utilisons des cookies pour améliorer votre expérience », sans préciser lesquels, pourquoi, combien de temps. Pas de distinction entre cookies : les cookies strictement nécessaires (panier, connexion) ne sont pas séparés des cookies analytics ou publicitaires.Ce qui est attendu en 2026 :Un bouton « Refuser tout » aussi visible que « Accepter tout », de taille et couleur équivalentes. Une liste claire des finalités : « Mesure d'audience » (distinct de « Publicité personnalisée »). Une information sur la durée de conservation des cookies. Un lien vers la politique de confidentialité, accessible et lisible.Motif 3 : Refus du consentement non respecté L'utilisateur clique sur « Refuser », mais les cookies continuent d'être lus ou ne sont pas supprimés du navigateur. C'est exactement ce qui a été reproché à American Express : même après refus, les cookies précédemment placés continuaient à être lus. Ce manquement est particulièrement grave car il trahit la confiance de l'utilisateur. Il a explicitement dit « non », et vous passez outre. Pour être conforme :Lorsque l'utilisateur refuse, tous les cookies non strictement nécessaires doivent être supprimés du navigateur (via JavaScript). Si l'utilisateur avait précédemment accepté puis change d'avis (retrait du consentement), les cookies doivent être supprimés immédiatement et leur lecture doit cesser. Les CMP modernes gèrent cela automatiquement, mais il faut vérifier que la configuration est correcte.Ce que vous risquez concrètement selon votre profil TPE / PME : entre 5 000 et 20 000 euros via la procédure simplifiée Si vous êtes une petite structure (moins de 50 salariés, chiffre d'affaires annuel inférieur à 10 millions d'euros), vous ne risquez probablement pas une amende à plusieurs millions. En revanche, la procédure simplifiée permet à la CNIL de sanctionner rapidement avec des montants entre 5 000 et 20 000 euros. Ça peut sembler « raisonnable » comparé aux 325 millions de Google. Mais pour une TPE avec une trésorerie serrée, 15 000 euros d'amende + les frais de mise en conformité (consultant RGPD, refonte de la bannière, audit technique), c'est un coup dur. Et surtout, la sanction est souvent publiée. Votre nom, votre activité, les manquements constatés : tout est visible sur le site de la CNIL. L'impact réputationnel peut être plus coûteux que l'amende elle-même. E-commerce / SaaS : risque de sanction intermédiaire (50 000 à 500 000 euros) Si vous collectez des données à grande échelle (plusieurs dizaines de milliers de visiteurs par mois, fichier client important), vous sortez du cadre de la procédure simplifiée. La CNIL peut alors prononcer des sanctions « intermédiaires », selon la gravité des manquements et le nombre de personnes concernées. Exemples 2025 :Transmission de données à un réseau social (sanction de janvier 2026) : 3,5 millions d'euros pour avoir transmis les données de 10,5 millions de membres d'un programme de fidélité à un réseau social, sans consentement. France Travail : 5 millions d'euros pour violation de données (sécurité insuffisante).Si votre site e-commerce utilise des pixels Facebook, TikTok ou Google Ads sans recueillir de consentement préalable, vous êtes dans une zone à risque élevé. La transmission de données personnelles (email, téléphone) à des plateformes publicitaires sans consentement est désormais sanctionnée très durement. Agences web / freelances : responsabilité en tant que sous-traitant Si vous êtes développeur, intégrateur ou agence web, vous pouvez être sanctionné en tant que sous-traitant (article 28 du RGPD). Votre responsabilité est engagée si :Vous installez des outils de tracking sans informer votre client de ses obligations RGPD. Vous configurez mal une bannière de consentement (blocage des scripts non activé). Vous ne documentez pas les mesures de sécurité mises en place.La CNIL a déjà sanctionné des prestataires techniques. Votre contrat doit préciser :Qui est responsable de quoi (client vs prestataire). Quelles mesures techniques vous mettez en œuvre (blocage scripts, masquage formulaires, etc.). Que vous conseillez au client de consulter un DPO ou un avocat RGPD pour la partie juridique.Et surtout : facturez la mise en conformité. Ce n'est pas « inclus » dans un forfait développement web classique. Les outils analytics spécifiquement dans le viseur Google Analytics : le cas emblématique Google Analytics 4 (GA4) est l'outil le plus utilisé au monde. C'est aussi celui qui pose le plus de problèmes de conformité :Transferts de données vers les États-Unis : même si Google a mis en place des « garanties supplémentaires » après l'invalidation du Privacy Shield, la CNIL (et d'autres autorités européennes) considère que le risque d'accès par les autorités américaines (FISA, CLOUD Act) persiste.Réutilisation des données par Google : Google peut utiliser les données collectées via GA4 pour améliorer ses propres services, y compris publicitaires. Même si vous désactivez le partage de données, certains traitements persistent.Collecte par défaut très large : GA4 collecte bien plus de données que nécessaire pour une simple mesure d'audience (identifiants publicitaires, device ID, géolocalisation précise si autorisée).Conséquence : plusieurs entreprises ont reçu des mises en demeure pour utilisation de Google Analytics sans base légale valable. Certaines ont été contraintes d'arrêter complètement GA4, d'autres ont dû mettre en place un consentement strict (exit l'exemption de consentement). Si vous utilisez GA4, vous devez :Recueillir le consentement explicite (pas d'exemption possible). Désactiver toutes les fonctionnalités de partage de données avec Google. Anonymiser les IP (fonctionnalité native de GA4, mais vérifier qu'elle est activée). Documenter votre analyse d'impact (AIPD) concernant les transferts hors UE.Ou alors, passer à une alternative européenne qui ne pose pas ces problèmes structurels. Hotjar, Clarity, Fullstory : la prochaine vague Les outils de session replay (Hotjar, Microsoft Clarity, Fullstory) sont dans le viseur de la CNIL. Une consultation publique est en cours jusqu'au 22 avril 2026 pour encadrer ces pratiques. Ces outils enregistrent l'intégralité du parcours utilisateur : clics, mouvements de souris, défilements, saisies dans les formulaires. C'est bien plus intrusif qu'un simple cookie analytics. Si vous utilisez Hotjar sans :Recueillir le consentement explicite. Masquer automatiquement tous les champs de formulaire sensibles (mots de passe, coordonnées bancaires, données de santé). Limiter l'échantillonnage (enregistrer 100 % des sessions est disproportionné). Réduire la durée de conservation (30 jours maximum).Vous êtes en infraction caractérisée. Et vu les amendes 2025 pour cookies simples, imaginez les montants pour du session replay non conforme. Pixels publicitaires (Meta, TikTok, LinkedIn) Le pixel Facebook (Meta Pixel), le pixel TikTok, le tag LinkedIn Insight : ces scripts transmettent des données personnelles (adresse email hashée, numéro de téléphone, comportement de navigation) à des plateformes publicitaires, souvent situées hors UE. Sanction de janvier 2026 : 3,5 millions d'euros pour transmission de données de 10,5 millions de membres d'un programme de fidélité à un réseau social, sans consentement. Le consentement « fourre-tout » (« Nous utilisons des cookies pour améliorer votre expérience ») ne suffit pas. Il faut un consentement spécifique pour chaque plateforme publicitaire. Si vous utilisez ces pixels, votre bannière de consentement doit mentionner explicitement : « Partage de données avec Meta (Facebook, Instagram) pour publicité ciblée ». Et l'utilisateur doit pouvoir refuser sans que cela n'affecte son accès au site. Les solutions concrètes pour réduire le risque à zéro (ou presque) Solution 1 : Utiliser un outil exempt de consentement La CNIL permet une exemption de consentement pour les outils de mesure d'audience qui respectent 10 critères stricts. En résumé :Finalité strictement limitée à la mesure (pas de publicité, pas de partage de données). Données anonymisées ou fortement pseudonymisées. Pas de recoupement avec d'autres fichiers. Durée de conservation limitée (13 mois pour les cookies, 25 mois pour les données). Hébergement et traitement en Europe.Si vous utilisez un outil conforme à ces critères (Matomo configuré en mode exempt, AT Internet, ou une solution frugale par conception), vous n'avez pas besoin de bannière de consentement pour l'analytics. Vous éliminez ainsi 90 % du risque. Attention : Google Analytics 4 ne peut pas bénéficier de cette exemption, même avec une configuration stricte. Les transferts US et la réutilisation par Google le disqualifient structurellement. Solution 2 : Configurer strictement votre CMP Si vous devez continuer avec Google Analytics ou d'autres outils nécessitant un consentement, votre CMP (plateforme de gestion du consentement) doit être irréprochable :Bloquer tous les scripts tant que le consentement n'est pas donné. Utilisez un système de « tag management » (Google Tag Manager, OneTrust, Cookiebot) qui gère le blocage automatiquement.Afficher un bouton « Refuser tout » aussi visible que « Accepter tout », de taille et couleur identiques. Depuis janvier 2026, c'est une obligation quasi-formelle (recommandation CNIL sur le consentement multi-terminaux).Séparer clairement les finalités : ne mélangez pas « Mesure d'audience », « Publicité personnalisée », « Réseaux sociaux », et « Amélioration du produit ». Chaque finalité doit être une case distincte.Respecter le refus : si l'utilisateur refuse, supprimez les cookies (pas seulement « arrêter de les lire »). Testez régulièrement avec les outils développeur de votre navigateur.Documenter tout : captures d'écran de votre configuration, justification des finalités, analyse d'impact si vous transférez des données hors UE.Solution 3 : Auditer et corriger avant le contrôle La CNIL ne prévient pas avant un contrôle. Un jour, vous recevez un email : « La CNIL a décidé de procéder à un contrôle de votre site web. Vous disposez de 24h pour nous communiquer les documents suivants. » Il est trop tard pour corriger. Si vous attendez ce moment pour vous mettre en conformité, vous serez sanctionné sur la base de l'état constaté au moment du contrôle, pas de ce que vous aurez fait après. Notre conseil : auditez votre site maintenant. Outils gratuits :Cookie Scanner (Cookiebot, OneTrust) : scannez votre site pour identifier tous les cookies déposés. CNIL Cookie Checker : outil développé par la CNIL elle-même (existe pour Chrome). Outils développeur du navigateur : onglet « Application » > « Cookies ». Vérifiez que rien ne se dépose avant le consentement.Corrigez les anomalies identifiées. Si vous ne savez pas comment faire, budgétez 2 000 à 5 000 euros pour un consultant RGPD ou une agence spécialisée. C'est moins cher qu'une amende à 15 000 euros. Ce qui change en 2026 et après Fin de la liste CNIL d'outils « validés » Jusqu'en décembre 2025, la CNIL publiait une liste indicative d'outils analytics considérés comme conformes à l'exemption de consentement (Matomo, AT Internet, etc.). Cette liste a été supprimée en janvier 2026. Désormais, c'est à vous d'auto-évaluer votre outil. La CNIL a publié en juillet 2025 un outil d'auto-évaluation en ligne qui vous guide à travers les 10 critères. Vous devez documenter cette auto-évaluation et la conserver en cas de contrôle. Conséquence : même si vous utilisez Matomo, vous devez vérifier que votre configuration respecte les critères. Installer Matomo ne suffit pas. Il faut désactiver certaines fonctionnalités (géolocalisation précise, suivi inter-sites, etc.) pour rester dans le cadre de l'exemption. Intensification des contrôles « cookies » en 2026 Le plan d'action CNIL sur les cookies, lancé en 2019, se poursuit en 2026. Plus de 40 contrôles ont été menés en 2024, avec un focus sur les « dark patterns » (bandeaux trompeurs). En 2026, la CNIL a annoncé qu'elle continuerait ces contrôles, notamment sur :Les sites e-commerce à forte fréquentation. Les éditeurs de médias (forte dépendance à la publicité programmatique). Les SaaS B2B qui utilisent des pixels publicitaires pour leur acquisition.Si votre site attire plus de 100 000 visiteurs par mois, ou si vous êtes dans un secteur « sensible » (santé, finance, médias), vos chances d'être contrôlé augmentent mécaniquement. Digital Omnibus : vers un assouplissement ? La Commission européenne a proposé en novembre 2025 un paquet de simplification réglementaire appelé « Digital Omnibus ». Parmi les propositions : une « whitelist » d'outils analytics considérés comme « low-risk », qui pourraient bénéficier d'un consentement simplifié (opt-out plutôt qu'opt-in). Mais attention : ce texte est encore en discussion au Parlement européen et au Conseil. Adoption probable mi-2026, application 2027 au plus tôt. En attendant, les règles actuelles (opt-in strict pour tout ce qui n'est pas exempt) s'appliquent pleinement. Ne misez pas sur un hypothétique assouplissement pour retarder votre mise en conformité. Les contrôles 2026 se feront sur les règles 2026, pas sur celles de 2027. Conclusion : 2026 n'est pas 2019 En 2019, quand le plan d'action cookies de la CNIL a été lancé, beaucoup d'acteurs ont pensé : « Ils ne contrôleront jamais tout le monde, on a le temps. » Sept ans plus tard, 487 millions d'euros d'amendes ont été prononcés en une seule année. Le « temps » est écoulé. Si vous utilisez Google Analytics, Hotjar, des pixels publicitaires ou tout autre outil de tracking, vous avez deux options. Soit vous vous mettez en conformité stricte dès maintenant : consentement, CMP, blocage des scripts, documentation. Soit vous passez à des outils conçus pour la conformité, qui vous libèrent de cette charge mentale et juridique permanente. L'inaction coûte plus cher que l'action. Une amende à 15 000 euros + la publicité de la sanction + les frais de mise en conformité d'urgence, c'est bien plus onéreux qu'un audit préventif à 3 000 euros et une migration vers un outil conforme. Les chiffres 2025 ne sont pas un accident. C'est la nouvelle norme. Adaptez-vous maintenant, ou payez plus tard. Pour ceux qui cherchent une approche analytics respectant par conception les principes RGPD de minimisation et de transparence, vous pouvez rejoindre la liste d'attente de Pomelo pour être informé du lancement. FAQ Quelle est la différence entre la procédure normale et la procédure simplifiée de la CNIL ? La procédure simplifiée a été introduite en 2020 pour traiter rapidement les dossiers sans complexité particulière. Les amendes sont plafonnées à 20 000 euros et la procédure est plus rapide (quelques mois au lieu de 1 à 2 ans). En 2025, 67 sanctions sur 83 ont été prononcées via cette procédure, ce qui montre qu'elle cible majoritairement les PME et structures de taille moyenne. La procédure normale, plus longue, est réservée aux cas complexes ou graves, avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Est-ce que je peux encore utiliser Google Analytics 4 en 2026 ? Oui, techniquement vous pouvez continuer à utiliser Google Analytics 4, mais sous conditions strictes : vous devez recueillir le consentement explicite de vos utilisateurs (pas d'exemption possible), désactiver toutes les fonctionnalités de partage de données avec Google, anonymiser les adresses IP, et documenter une analyse d'impact sur les transferts de données vers les États-Unis. En pratique, beaucoup d'organisations considèrent que ces contraintes rendent GA4 moins attractif et préfèrent migrer vers des alternatives européennes comme Matomo ou des solutions cookieless pour éviter la complexité juridique et technique. Combien coûte une mise en conformité analytics pour une PME ? Pour une PME classique (site vitrine ou e-commerce avec 10 000 à 100 000 visiteurs/mois), comptez entre 2 000 et 5 000 euros pour une mise en conformité complète : audit initial des cookies et traceurs (500-1 000 €), installation et configuration d'une CMP professionnelle (500-1 500 €), rédaction ou mise à jour de la politique de confidentialité (500-1 000 €), et éventuellement migration vers un outil analytics conforme (500-2 000 € selon l'outil choisi). Si vous avez des besoins complexes (pixels publicitaires multiples, session replay, transferts hors UE), le budget peut monter à 10 000-15 000 euros. C'est un investissement, mais nettement inférieur à une amende de 15 000 euros + impact réputationnel. Quels sont les signaux qui peuvent déclencher un contrôle CNIL ? Plusieurs facteurs augmentent vos chances d'être contrôlé : un volume de trafic élevé (> 100 000 visiteurs/mois), une plainte d'un utilisateur ou d'une association (comme NOYB), un secteur sensible (santé, finance, médias, e-commerce à grande échelle), une présence dans l'actualité (levée de fonds, controverse médiatique), ou le fait d'avoir déjà été sanctionné par le passé. La CNIL mène également des contrôles thématiques : en 2024-2025, le focus était sur les cookies et les dark patterns des bandeaux de consentement. En 2026, les contrôles continuent sur ce thème, avec une attention particulière aux outils de session replay. L'exemption de consentement pour la mesure d'audience s'applique-t-elle à tous les outils analytics ? Non, l'exemption ne s'applique qu'aux outils qui respectent strictement les 10 critères définis par la CNIL : finalité limitée à la mesure d'audience (pas de publicité), données anonymisées ou fortement pseudonymisées, pas de recoupement avec d'autres fichiers, durée de conservation limitée (13 mois pour les cookies, 25 mois pour les logs), hébergement en Europe, information claire des utilisateurs, et aucun transfert hors UE. Google Analytics 4 ne peut pas bénéficier de cette exemption en raison des transferts vers les États-Unis et de la réutilisation des données par Google. Matomo peut en bénéficier s'il est correctement configuré (mode exempt activé). Depuis janvier 2026, il n'existe plus de liste officielle d'outils validés : vous devez auto-évaluer votre outil via l'outil CNIL en ligne. SourcesCNIL, "Sanctions et mesures correctrices : la CNIL présente le bilan 2025", 9 février 2026 (https://www.cnil.fr/fr/thematique/cnil/sanctions) CNIL, "Cookies et publicités insérées entre les courriels : la CNIL sanctionne GOOGLE d'une amende de 325 millions d'euros", 1er septembre 2025 (https://www.cnil.fr/fr/regulation-des-cookies-la-cnil-poursuit-le-plan-daction-initie-en-2019-et-prononce-deux-amendes) CNIL, "Cookies déposés sans consentement : la CNIL sanctionne SHEIN d'une amende de 150 millions d'euros", septembre 2025 CNIL, "Cookies : la CNIL sanctionne AMERICAN EXPRESS d'une amende de 1,5 million d'euros", 27 novembre 2025 (https://www.cnil.fr/en/cookies-american-express-fined-eu15-million-cnil) CNIL, "Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une sanction de 3,5 millions d'euros", 22 janvier 2026 (https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction) La Cité Apprenante, "Bilan CNIL : Cookies, surveillance des salariés et sécurité des données, principaux sujets des sanctions en 2025", février 2026 (https://www.laciteapprenante.com/bilan-cnil-cookies-surveillance-des-salaries-et-securite-des-donnees-principaux-sujets-des-sanctions-en-2025/) Haas Avocats, "Sanctions CNIL et cookies : comment sont fixées les amendes ?", 21 janvier 2026 (https://www.haas-avocats.com/protection-des-donnees/sanctions-cnil-et-cookies-comment-sont-fixees-les-amendes/)
- 09 Mar, 2026
Checklist RGPD analytics : 10 points à vérifier avant d'installer un outil de mesure d'audience
Vous venez d'installer un outil de mesure d'audience sur votre site. Le script est en place, les premières données remontent, le tableau de bord s'anime. Tout semble en ordre. Sauf que personne dans l'équipe n'a vérifié si cette installation respecte le cadre légal européen. Et ce n'est pas un détail : en 2025, la CNIL a prononcé 487 millions d'euros d'amendes, dont 21 sanctions portant spécifiquement sur les cookies et traceurs. C'est le premier poste de sanction, devant la sécurité des données et la vidéosurveillance. Le problème n'est pas l'outil en lui-même. C'est la manière dont il est configuré, documenté et exploité. Un outil conforme "sur le papier" peut devenir non conforme en trois clics si les réglages par défaut ne sont pas revus. Cette checklist propose dix points concrets pour vérifier la conformité RGPD de votre analytics, que vous utilisiez Google Analytics 4, Matomo, Plausible, ou tout autre outil. Elle s'adresse aux propriétaires de sites, aux responsables marketing et aux DPO qui veulent s'assurer que leur mesure d'audience ne les expose pas à un risque juridique évitable.1. La finalité est-elle strictement limitée à la mesure d'audience ? C'est le fondement de toute conformité analytics. L'article 5.1(b) du RGPD impose que les données personnelles soient collectées pour des finalités déterminées, explicites et légitimes. Pour un outil de mesure d'audience, cela signifie que les données doivent servir exclusivement à comprendre comment les visiteurs utilisent le site : pages consultées, sources de trafic, temps de chargement, détection de problèmes de navigation. Rien d'autre. En pratique, la dérive est courante. Beaucoup d'outils analytics permettent d'activer des fonctionnalités de remarketing, de ciblage publicitaire ou de croisement avec des bases CRM. Or, dès qu'une seule de ces fonctions est activée, vous sortez du périmètre de la mesure d'audience stricte. Vous perdez l'éligibilité à l'exemption de consentement et vous devez afficher un bandeau cookies complet. Ce qu'il faut vérifier : Documentez la finalité exacte dans votre registre de traitement (article 30 du RGPD). Si la finalité indique "mesure d'audience et optimisation marketing", c'est trop large. La formulation doit se limiter à la production de statistiques anonymes pour le compte exclusif de l'éditeur. Si vous utilisez votre outil analytics en complément d'un outil publicitaire (Meta Pixel, Google Ads), les deux traitements doivent être séparés dans votre registre, avec des bases légales distinctes.2. La base légale est-elle correctement identifiée ? Le RGPD prévoit six bases légales possibles pour traiter des données personnelles (article 6). Pour l'analytics, deux scénarios dominent. Scénario A : exemption de consentement. Si votre outil est configuré pour respecter les critères de la CNIL (finalité stricte, pas de recoupement, données anonymisées), vous pouvez invoquer l'intérêt légitime (article 6.1.f) combiné à l'exemption prévue par l'article 82 de la loi Informatique et Libertés. Dans ce cas, pas de bandeau cookies pour l'analytics. C'est le scénario le plus favorable, détaillé dans notre guide sur l'exemption CNIL. Scénario B : consentement. Si votre outil collecte des données à des fins plus larges que la mesure stricte (profilage, publicité, partage avec des tiers), le consentement de l'utilisateur est obligatoire avant tout dépôt de cookie. Ce consentement doit être libre, éclairé, spécifique et univoque, conformément à l'article 7 du RGPD. En pratique, cela impose un bandeau cookies conforme avec un bouton "Refuser" aussi visible que le bouton "Accepter". La CNIL sanctionne régulièrement les mécanismes de consentement non conformes : en 2025, des amendes de 325 et 150 millions d'euros ont été prononcées pour des manquements liés aux cookies. Ce qu'il faut vérifier : Identifiez clairement dans quel scénario vous vous situez. Si vous hésitez, c'est probablement le scénario B. Et si vous revendiquez l'exemption, assurez-vous de pouvoir le démontrer par écrit : depuis janvier 2026, la CNIL ne publie plus de liste officielle d'outils "validés". C'est désormais à chaque éditeur de prouver sa conformité, notamment via l'outil d'auto-évaluation mis à disposition par la CNIL.3. Quels cookies et traceurs sont réellement déposés ? Beaucoup de sites déclarent utiliser un analytics "sans cookies" alors que leur configuration dépose en réalité des traceurs côté navigateur. L'inverse existe aussi : un outil configuré correctement mais dont la CMP (Consent Management Platform) déclenche elle-même des scripts tiers non déclarés. La seule manière de savoir ce qui se passe réellement est de vérifier par vous-même, dans le navigateur, quels cookies sont déposés lors de la visite. Ce qu'il faut vérifier : Ouvrez votre site en navigation privée. Accédez aux outils de développement (F12 dans Chrome ou Firefox), onglet "Application" puis "Cookies". Notez chaque cookie déposé avant toute interaction avec un éventuel bandeau. Vérifiez aussi l'onglet "Réseau" pour identifier les requêtes envoyées vers des domaines tiers. Si des cookies sont déposés avant consentement et qu'ils ne correspondent pas à un traceur strictement nécessaire au fonctionnement du site, c'est un manquement. Si votre outil analytics est censé fonctionner sans cookies mais que vous voyez un identifiant persistant dans le stockage local (localStorage, sessionStorage), cela peut constituer un traceur au sens de l'article 82 de la loi Informatique et Libertés. Pour un audit plus complet, des outils comme Cookiebot Scanner ou le rapport de transparence de la CNIL permettent de scanner automatiquement les traceurs déposés par votre site.4. La durée de vie des traceurs respecte-t-elle les limites CNIL ? La CNIL est explicite : la durée de vie d'un traceur de mesure d'audience ne doit pas excéder 13 mois. Et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Cette règle est l'une des plus fréquemment ignorées. Google Analytics 4, par exemple, renouvelle par défaut la durée de ses cookies à chaque visite. Ce comportement est incompatible avec l'exemption de consentement. Matomo propose une option similaire qu'il faut désactiver manuellement. Ce qu'il faut vérifier : Consultez la documentation de votre outil pour connaître la durée par défaut de ses cookies. Vérifiez que la configuration active ne prolonge pas les traceurs au-delà de 13 mois. Si votre outil le permet, configurez une durée inférieure (certains outils privacy-first utilisent des fenêtres de 24 heures ou de 30 jours, ce qui est conforme par nature). Les outils qui fonctionnent sans cookies persistants, comme les solutions cookieless décrites dans notre comparatif, contournent cette contrainte puisqu'il n'y a pas de traceur à expirer.5. Les données collectées sont-elles conservées dans les limites autorisées ? La durée de vie du traceur (point 4) et la durée de conservation des données collectées sont deux sujets distincts. La CNIL recommande que les informations recueillies via les traceurs analytics soient conservées pour une durée maximale de 25 mois. Au-delà, les données brutes (événements individuels, identifiants de session) doivent être supprimées ou irréversiblement agrégées. Les tendances et statistiques agrégées (nombre total de visites par mois, top pages) peuvent être conservées plus longtemps, car elles ne contiennent plus de données personnelles. Ce qu'il faut vérifier : Identifiez dans la configuration de votre outil la politique de rétention des données. Google Analytics 4 propose des durées configurables (2 mois ou 14 mois pour les données utilisateur). Matomo permet de configurer une suppression automatique des logs bruts. Si votre outil ne propose pas de purge automatique, mettez en place une procédure manuelle documentée. La recommandation de la CNIL d'un réexamen périodique de ces durées signifie aussi que vous devez pouvoir justifier pourquoi vous conservez les données aussi longtemps. Si 6 mois suffisent pour vos besoins, ne configurez pas 25 mois "au cas où". Le principe de minimisation s'applique aussi à la durée, pas seulement au volume.6. Les données sont-elles hébergées dans l'Espace économique européen ? C'est la question qui a provoqué un séisme en 2022, lorsque plusieurs autorités européennes (dont la CNIL) ont jugé que l'utilisation de Google Analytics entraînait des transferts de données vers les États-Unis incompatibles avec le RGPD, faute de garanties suffisantes après l'invalidation du Privacy Shield. Depuis juillet 2023, le Data Privacy Framework (DPF) a rétabli un cadre de transfert entre l'UE et les États-Unis. Mais ce cadre fait l'objet de contestations (un recours devant la CJUE a été annoncé par NOYB dès son adoption), et rien ne garantit qu'il résistera dans la durée, comme ses deux prédécesseurs (Safe Harbor, Privacy Shield) ont été invalidés avant lui. Ce qu'il faut vérifier : Identifiez où sont physiquement hébergées les données collectées par votre outil analytics. Si le fournisseur est américain, vérifiez s'il est certifié sous le DPF et documentez cette vérification. Si vous souhaitez une sécurité maximale, privilégiez un hébergement exclusivement européen, ce qui rend la question des transferts sans objet. La CNIL rappelle qu'en cas d'utilisation d'un outil impliquant des transferts, un serveur mandataire (proxy) peut constituer une mesure supplémentaire, à condition qu'il soit correctement configuré pour empêcher toute transmission de données identifiantes vers les serveurs du fournisseur. Comme l'explique notre article sur les 5 KPIs essentiels, la question n'est pas seulement juridique : un hébergement européen réduit aussi la latence et améliore la performance de votre dashboard.7. Le sous-traitant est-il encadré par un contrat conforme ? L'article 28 du RGPD impose que tout traitement effectué par un sous-traitant pour le compte d'un responsable de traitement soit encadré par un contrat ou un acte juridique spécifique. C'est ce qu'on appelle couramment le DPA (Data Processing Agreement). Pour l'analytics, le sous-traitant est votre fournisseur d'outil (Google, Matomo Cloud, Plausible, Fathom, etc.). Le DPA doit préciser les finalités du traitement, la nature des données traitées, les mesures de sécurité, les sous-traitants ultérieurs, et les obligations en cas de violation. Ce qu'il faut vérifier : Avez-vous signé (ou accepté en ligne) un DPA avec votre fournisseur analytics ? Si oui, lisez-le. Vérifiez en particulier trois points sensibles. Le premier : le fournisseur s'engage-t-il à ne pas réutiliser les données pour son propre compte ? C'est un critère d'exclusion pour l'exemption de consentement. La CNIL cite explicitement les politiques de confidentialité de certaines grandes offres de mesure d'audience qui indiquent réutiliser les données pour leur propre compte. Le deuxième : la liste des sous-traitants ultérieurs est-elle accessible et à jour ? Vous devez pouvoir savoir qui traite vos données en cascade. Le troisième : les clauses de notification en cas de violation de données sont-elles conformes à l'article 33 du RGPD (notification sous 72 heures) ?8. L'information aux utilisateurs est-elle complète et accessible ? Même si vous bénéficiez de l'exemption de consentement, vous n'êtes pas dispensé d'informer vos visiteurs. La CNIL recommande que les utilisateurs soient informés de la mise en place de ces traceurs, par exemple via la politique de confidentialité du site. L'article 13 du RGPD liste les informations obligatoires : identité du responsable de traitement, finalités, base légale, destinataires, durées de conservation, droits des personnes (accès, rectification, effacement, opposition). Pour l'analytics, il faut ajouter le nom de l'outil utilisé, la nature des données collectées (pages vues, durée de visite, type d'appareil, géolocalisation approximative, etc.) et les coordonnées du DPO si vous en avez un. Ce qu'il faut vérifier : Relisez votre page "Politique de confidentialité" ou "Mentions légales". L'analytics y est-elle mentionnée ? Les informations sont-elles à jour (bon outil, bonnes finalités, bonnes durées) ? Si votre politique de confidentialité est un copier-coller générique qui mentionne Google Analytics alors que vous utilisez Matomo depuis deux ans, c'est un manquement à l'obligation d'information. Un conseil pratique : ajoutez une section dédiée "Mesure d'audience" dans votre politique de confidentialité, avec le nom de l'outil, la base légale retenue, la durée des traceurs et la durée de conservation des données. C'est cette clarté qui distingue un site conforme d'un site qui se contente d'afficher un bandeau.9. Le recoupement de données est-il exclu ? C'est l'un des critères les plus stricts de la CNIL pour l'exemption de consentement : les données collectées par l'outil analytics ne doivent pas être recoupées avec d'autres traitements, ni transmises à des tiers. Cela interdit concrètement plusieurs pratiques courantes : croiser les données analytics avec un CRM pour identifier des utilisateurs, partager des identifiants avec une plateforme publicitaire, utiliser un même cookie pour l'analytics et le retargeting, ou envoyer des données à un réseau social pour créer des audiences similaires (lookalike). Cela interdit aussi le suivi inter-sites : un même identifiant ne peut pas être utilisé pour mesurer la navigation sur plusieurs domaines différents. Si vous gérez plusieurs sites, chaque propriété doit être isolée avec des traceurs indépendants. Ce qu'il faut vérifier : Passez en revue les intégrations actives dans votre outil analytics. Avez-vous activé le lien entre GA4 et Google Ads ? Entre GA4 et BigQuery avec des données CRM ? Ces connexions, même si elles ne sont pas activement exploitées, suffisent à disqualifier l'exemption. Si vous utilisez des UTM ou des paramètres de campagne dans vos URL, vérifiez que ces informations restent dans le périmètre de l'analytics et ne sont pas partagées avec des outils tiers. Le principe est simple : ce qui entre dans l'analytics doit y rester. Pour comprendre comment mesurer efficacement l'impact de vos campagnes sans recouper les données, consultez notre article sur le suivi SEO sans Google Analytics.10. La configuration est-elle documentée et révisable ? C'est le point que tout le monde oublie. La conformité RGPD n'est pas un état figé. C'est un processus continu qui doit être documenté, auditable et régulièrement réexaminé. Depuis janvier 2026, le changement de posture de la CNIL est clair : elle ne valide plus d'outils. C'est à chaque éditeur, avec l'aide de son fournisseur si nécessaire, de démontrer que la configuration déployée est conforme. L'outil d'auto-évaluation publié par la CNIL en juillet 2025 est désormais le mécanisme central pour vérifier l'éligibilité à l'exemption. Ce qu'il faut vérifier : Tenez un document interne (même simple) qui décrit votre configuration analytics : outil utilisé, version, paramètres activés, finalités, base légale, durées, hébergement, sous-traitants. Datez-le. Mettez-le à jour à chaque modification. Si un jour la CNIL vous pose la question, ou si un utilisateur exerce son droit d'accès, vous devez pouvoir répondre en quelques minutes. Planifiez un audit annuel de votre configuration analytics. Vérifiez que les réglages n'ont pas changé après une mise à jour de l'outil, que les intégrations tierces n'ont pas été activées par un collaborateur, et que vos durées de conservation sont toujours respectées. Enfin, si vous faites appel à un prestataire pour gérer votre analytics, assurez-vous que la responsabilité de la conformité est clairement attribuée dans votre contrat. Le responsable de traitement, c'est vous, pas votre agence.En résumé : la grille de vérification rapide Voici les 10 points condensés. Si vous pouvez répondre "oui" à chaque question, votre configuration analytics est solide. Chaque "non" ou "je ne sais pas" identifie un risque à traiter.La finalité est-elle strictement limitée à la mesure d'audience ? La base légale est-elle identifiée et documentée ? Savez-vous exactement quels cookies et traceurs sont déposés ? La durée de vie des traceurs respecte-t-elle la limite de 13 mois ? Les données sont-elles conservées 25 mois maximum (brutes) ? Les données sont-elles hébergées dans l'EEE ou le transfert est-il encadré ? Un DPA est-il signé avec votre fournisseur, sans réutilisation des données ? Votre politique de confidentialité mentionne-t-elle l'analytics ? Aucun recoupement n'est effectué avec d'autres traitements ? La configuration est-elle documentée et auditée régulièrement ?Deux erreurs fréquentes à éviter "Mon outil est conforme, donc mon site est conforme." Non. Un outil peut être conforme dans une certaine configuration, et non conforme dans une autre. La conformité dépend de vos réglages, pas du logo sur la boîte. Matomo peut être conforme ou non selon sa configuration. Google Analytics peut être utilisé avec des mesures supplémentaires (proxy, paramétrage restrictif) ou déclenché uniquement après consentement. C'est la configuration qui compte. Comme le rappelle notre analyse de la data obésité, le réflexe de "tout collecter par défaut" est précisément ce que le RGPD combat. "Je suis trop petit pour être contrôlé." La procédure simplifiée de la CNIL, opérationnelle depuis 2022, permet de traiter rapidement les dossiers de faible complexité, y compris contre de très petites structures. Les amendes sont plafonnées à 20 000 euros dans ce cadre, mais elles existent : en 2025, la CNIL a prononcé 67 décisions via cette procédure. Le risque n'est pas proportionnel à votre taille. Il est proportionnel à votre visibilité et au nombre de plaintes reçues.Conclusion : la conformité comme avantage, pas comme corvée Vérifier ces dix points prend quelques heures, pas quelques semaines. Et le bénéfice dépasse la simple conformité juridique. Un site dont l'analytics est proprement configurée inspire davantage confiance. Les données collectées sont plus fiables, car elles ne sont pas polluées par des scripts inutiles ou des traceurs fantômes. La charge technique est allégée. Et si vous parvenez à remplir les conditions de l'exemption, vous supprimez le bandeau cookies pour l'analytics, ce qui améliore directement l'expérience utilisateur et la complétude de vos données, comme l'explique notre guide sur l'exemption de consentement. La conformité n'est pas un frein à la mesure. C'est le socle sur lequel s'appuie une mesure d'audience digne de confiance.FAQ Mon site personnel ou mon blog a-t-il besoin de cette checklist ? Oui, dès lors que vous collectez des données de navigation via un outil analytics, même gratuit, même auto-hébergé. Le RGPD s'applique à toute personne qui traite des données personnelles de résidents européens, quelle que soit la taille de la structure. Cela dit, si votre outil ne dépose aucun cookie, ne collecte aucune adresse IP et ne permet aucune identification (même indirecte), le risque est mécaniquement très faible. Google Analytics 4 peut-il être conforme au RGPD ? Techniquement, il est possible de configurer GA4 de manière à réduire significativement les risques : anonymisation IP, désactivation des signaux Google, pas de lien avec Google Ads, consentement recueilli avant activation du script. En revanche, GA4 n'est pas éligible à l'exemption de consentement dans sa configuration standard, car Google indique réutiliser les données pour ses propres services. Vous devrez donc afficher un bandeau et n'obtiendrez des données que pour les visiteurs qui acceptent. Quelle est la différence entre anonymisation et pseudonymisation ? La pseudonymisation remplace un identifiant direct (nom, email) par un identifiant indirect (hash, token). Les données restent des données personnelles car la réidentification est théoriquement possible. L'anonymisation, elle, rend la réidentification impossible de manière irréversible, y compris par recoupement. Seules les données véritablement anonymisées sortent du champ du RGPD. La distinction est cruciale pour l'analytics : des données pseudonymisées restent soumises au RGPD et doivent respecter les durées de conservation. Comment savoir si mon outil est éligible à l'exemption de consentement CNIL ? Depuis janvier 2026, la CNIL ne publie plus de liste d'outils validés. Le fournisseur de votre solution peut réaliser une auto-évaluation à l'aide du cadre publié par la CNIL en juillet 2025, et vous remettre un document attestant du respect des conditions. C'est ensuite à vous, en tant qu'éditeur, de vérifier que votre configuration réelle correspond bien à cette évaluation. En cas de doute, la prudence recommande de recueillir le consentement. À quelle fréquence dois-je réauditer ma configuration analytics ? Au minimum une fois par an, ou à chaque changement significatif : mise à jour de l'outil, ajout d'une intégration tierce, changement de prestataire, modification de la finalité. La CNIL recommande un réexamen périodique des durées de conservation, ce qui implique au minimum une revue annuelle documentée.SourcesSource : CNIL, « Cookies : solutions pour les outils de mesure d'audience », délibération du 4 juillet 2025 (https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience) Source : CNIL, « Mesurer la fréquentation de vos sites web et de vos applications » (https://www.cnil.fr/fr/mesurer-la-frequentation-de-vos-sites-web-et-de-vos-applications) Source : CNIL, Outil d'auto-évaluation relatif à la mise en oeuvre d'une solution de mesure d'audience, juillet 2025 (https://www.cnil.fr/sites/default/files/2025-07/outil_d_auto-evaluation_mesure_d_audience.pdf) Source : CNIL, « Mesure d'audience et transferts de données : comment mettre son outil en conformité avec le RGPD » (https://www.cnil.fr/fr/mesure-daudience-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite) Source : L'Usine Digitale, « Avec 487 millions d'euros d'amendes en 2025, la CNIL sanctionne moins mais frappe beaucoup plus fort », 9 février 2026 (https://www.usine-digitale.fr/reglementation/gdpr-rgpd/avec-487-millions-deuros-damendes-en-2025-la-cnil-sanctionne-moins-mais-frappe-beaucoup-plus-fort) Source : Optimal Ways, « Nouvelles règles CNIL sur les solutions de mesure d'audience », décembre 2025 (https://www.optimalways.com/fr/2025/09/cnil-consentement-mesure-audience/)
- 04 Mar, 2026
Piwik PRO supprime son plan gratuit : deadline repoussée au 31 mars, mais la fin est actée
Le 28 février 2026 était censée être la date limite. Piwik PRO allait fermer définitivement son plan Core gratuit, forçant les utilisateurs à migrer vers un plan payant ou à partir ailleurs. Mais le 3 mars 2026 -- soit trois jours après cette échéance --, l'entreprise a envoyé un email à ses utilisateurs pour annoncer une prolongation d'un mois : la nouvelle deadline est fixée au 31 mars 2026. L'entreprise explique avoir été à l'écoute des nombreuses demandes reçues et vouloir s'assurer que chacun ait une chance équitable de préserver ses données. Un mois de plus. Mais Piwik PRO précise explicitement qu'il ne sera pas possible de prolonger à nouveau. La fin du plan Core est actée -- ce délai supplémentaire ne change que le calendrier, pas la décision à prendre. Pour les dizaines de milliers d'organisations qui s'appuyaient sur cet outil depuis des années, le message de fond ne change pas : passez au plan Business à 35 €/mois, ou cherchez ailleurs. La prolongation donne du temps pour décider ; elle ne remet rien en cause. Ce n'est pas anodin. Piwik PRO était l'une des rares solutions analytics à combiner conformité RGPD sérieuse, hébergement européen et accès gratuit. Son plan Core représentait pour beaucoup de PME, d'agences et d'indépendants une porte d'entrée crédible dans le monde de l'analytics privacy-first -- sans avoir à justifier une ligne budgétaire ni à négocier avec la direction financière. Cette porte se ferme dans un mois. Et elle illustre une tension fondamentale que beaucoup ignorent : un freemium sans modèle économique viable ne supprime pas les coûts, il les décale dans le temps. Ce que Piwik PRO a offert pendant des années sans financement pérenne, quelqu'un devait bien le payer. Aujourd'hui, c'est vous qui payez la facture -- avec sept ans de retard. Cet article décrypte ce qui s'est passé, pourquoi cela compte, et quelles alternatives sérieuses s'offrent à vous si votre organisation utilisait le plan Core.Ce qui s'est passé : la chronologie complète Août 2025 : l'annonce officielle En août 2025, Piwik PRO publie une communication officielle pour annoncer la refonte de sa grille tarifaire. Le plan Core gratuit, disponible depuis le lancement commercial de la plateforme, sera supprimé. Une nouvelle structure en deux plans -- Business et Enterprise -- prend le relais à partir du 4 août 2025 pour les nouveaux comptes, et à partir de fin décembre 2025 pour les comptes existants. La justification avancée : offrir "une plateforme unifiée qui optimise l'analyse, la gestion des balises, la gestion des consentements et l'activation des données". En clair, Piwik PRO a décidé de pivoter vers une offre intégrée plus complexe, incompatible avec un modèle freemium. Décembre 2025 : la migration forcée En décembre 2025, tous les comptes Core gratuits basculent vers le plan Business. Des offres de transition -- rabais sur les premiers mois -- sont proposées aux anciens utilisateurs pour adoucir le passage. Mais le fond du message ne change pas : le gratuit, c'est terminé. 28 février 2026 : la première deadline Le 28 février 2026, la date limite officielle arrive. Piwik PRO affiche le bandeau d'alerte sur sa page : "Free Core plan ends February 28. Existing users must upgrade to Business or Enterprise plan before this date to preserve data and continue tracking." 3 mars 2026 : une prolongation d'un mois sous pression Trois jours après la date limite, Piwik PRO envoie un email à ses utilisateurs Core. La pression des demandes reçues a visiblement pesé dans la décision : de nombreux utilisateurs ont signalé avoir besoin de plus de temps pour finaliser leur migration. La nouvelle deadline est le 31 mars 2026. Piwik PRO précise qu'il s'agit du délai final et qu'aucune extension supplémentaire ne sera accordée. L'ampleur du changement : 28 000 organisations concernées Ce n'est pas une décision marginale. Selon un email envoyé par Piwik PRO à ses utilisateurs, plus de 28 000 organisations avaient recours au plan Core gratuit depuis son lancement. Ce chiffre révèle à quel point ce plan avait été adopté massivement -- et à quel point la décision crée une rupture pour une partie significative de l'écosystème analytics européen.L'économie du freemium : pourquoi ce modèle finit toujours par casser Google Analytics a créé une attente impossible La gratuité de Google Analytics n'est pas de la générosité. C'est un modèle économique : vous payez avec vos données et celles de vos visiteurs, qui nourrissent l'écosystème publicitaire de Google. Ce contrat implicite est documenté, contesté, et à l'origine de la plupart des problèmes RGPD des dernières années. Mais cette gratuité a créé une attente de marché : l'analytics devrait être gratuit. Toute startup qui s'est positionnée comme "alternative privacy-first à Google Analytics" a dû répondre à cette attente -- en proposant au moins un plan freemium pour abaisser la barrière à l'entrée. Piwik PRO l'a fait. Plausible l'a fait avec son modèle open source auto-hébergeable. Matomo le fait avec sa version auto-hébergée. Piwik PRO a voulu jouer dans une autre cour La décision de Piwik PRO de supprimer le gratuit s'inscrit dans un repositionnement stratégique clair. L'entreprise ne cherche plus à conquérir les PME avec une entrée de gamme accessible. Elle vise les organisations de taille moyenne à grande, opérant dans des secteurs réglementés (santé, finance, secteur public), qui ont besoin d'une plateforme unifiée : analytics, gestion des tags, gestion du consentement, activation des données. L'analyste Brian Clifton, qui a rejoint le conseil consultatif de Piwik PRO en 2025, l'a dit clairement dans son analyse publiée en juillet 2025 : les géants comme Google, Microsoft ou Meta sont les seuls à pouvoir financer durablement un modèle freemium à grande échelle. Les acteurs plus modestes doivent trouver leur propre chemin -- et ce chemin passe souvent par l'abandon du gratuit. Ce que cela coûte réellement Pour une organisation qui utilisait le plan Core, le passage au plan Business représente un investissement minimum de 35 €/mois, soit 420 €/an. C'est le prix d'entrée annoncé ; la facture réelle dépend du nombre de domaines gérés et du volume de données collectées. Ce n'est pas exorbitant pour une PME. Mais pour une association, une petite agence, un indépendant ou un projet secondaire, c'est une ligne budgétaire qui n'existait pas et qui doit maintenant se justifier. Et si l'organisation gère plusieurs domaines, la facture grimpe rapidement au-delà de l'entrée de gamme.Ce que Piwik PRO offrait -- et ce que vous allez devoir reconstruire Les atouts du plan Core Le plan Core gratuit de Piwik PRO n'était pas anecdotique. Il incluait des fonctionnalités que peu d'outils gratuits proposaient à ce niveau de conformité :Hébergement européen (avec l'infrastructure Elastx en Suède depuis 2025). Gestion du consentement intégrée. Collecte de données non transférée à des tiers pour de la publicité. Un gestionnaire de tags inclus. Une limite de 500 000 actions mensuelles -- suffisante pour la majorité des sites PME.C'était, en d'autres termes, un outil enterprise-grade accessible sans budget. Ce paradoxe avait une limite, et cette limite vient d'être atteinte. Ce qui change en pratique Si vous étiez sur le plan Core, vous faites maintenant face à trois options : Option 1 : migrer vers le plan Business à 35 €/mois. C'est la continuité la plus simple si Piwik PRO répond à vos besoins et si vous avez le budget. La plateforme reste techniquement solide et conformément certifiée. Mais le saut de 0 à 35 €/mois est brutal pour une organisation habituée à la gratuité. Option 2 : basculer vers Matomo en auto-hébergement. Matomo Analytics reste open source et auto-hébergeable gratuitement. Vous gérez vous-même l'infrastructure, les mises à jour, la sécurité. C'est une solution viable pour les équipes techniques, mais elle implique un coût indirect en temps et en compétences que beaucoup sous-estiment. Option 3 : adopter une solution analytics plus légère et plus simple. Si vous n'avez pas besoin de la totalité des fonctionnalités de Piwik PRO -- gestion avancée des tags, CDP, activation des données -- des alternatives plus accessibles existent. C'est ici que le marché des analytics frugaux prend tout son sens.Le panorama des alternatives sérieuses Plausible Analytics : l'open source accessible Plausible est basé en Europe (Estonie), open source, et propose un modèle cloud à partir de 9 €/mois pour 10 000 pages vues. Sa force : une interface minimaliste, une empreinte technique légère (script de ~1 KB contre ~45 KB pour GA4), et une conformité RGPD sans bannière cookies nécessaire dans la plupart des configurations. Sa limite : Plausible ne propose pas de gestion native du consentement ni de gestionnaire de tags. Si vous aviez besoin de ces fonctionnalités dans Piwik PRO, vous devrez les gérer séparément. Fathom Analytics : le premium accessible Fathom, hébergé aux États-Unis avec option EU, facture à partir de 15 $/mois pour 100 000 pages vues. Son positionnement est explicitement orienté vers la simplicité et la conformité. Son modèle de données ne repose pas sur des cookies ni sur du fingerprinting. Un acteur solide, mais dont le prix grimpe vite selon le volume de trafic. Simple Analytics : la rétention illimitée comme argument Simple Analytics, d'origine néerlandaise, facture à partir de 19 $/mois pour 100 000 datapoints avec une rétention des données illimitée. C'est son argument distinctif : vous ne perdez jamais vos données historiques, contrairement à Piwik PRO dont la rétention était limitée à 14 mois sur le plan Core. Un argument solide pour les organisations qui veulent analyser des tendances sur plusieurs années. Pirsch Analytics : l'option budgétaire allemande Pirsch, basé en Allemagne, propose son offre cloud à partir de 5 €/mois pour 10 000 pages vues. C'est l'une des entrées de gamme les plus basses du marché pour un outil privacy-first hébergé en Europe. Moins connu, mais fonctionnellement suffisant pour les cas d'usage courants. Le tableau comparatifSolution Prix d'entrée Volume inclus Hébergement EU Cookieless par défautPiwik PRO Business 35 €/mois Variable (actions) Oui (Elastx/Azure) Non (banner requis)Plausible 9 €/mois 10 k pages vues Oui OuiFathom ~14 €/mois 100 k pages vues Optionnel OuiSimple Analytics ~18 €/mois 100 k datapoints Oui (NL) OuiPirsch 5 €/mois 10 k pages vues Oui (DE) OuiMatomo auto-hébergé Coût infra Illimité Selon votre hébergeur Non (banner requis)Ce que ce tableau dit clairement : la suppression du plan Core gratuit de Piwik PRO libère un segment de marché. Des organisations qui n'avaient jamais envisagé de payer pour de l'analytics se retrouvent à comparer des options qui coûtent entre 5 et 35 €/mois. Et beaucoup vont découvrir que des alternatives plus simples, plus légères et moins chères répondent largement à leurs besoins réels.Ce que cet épisode révèle sur le marché analytics Freemium sans financement viable : un modèle condamné L'histoire de Piwik PRO Core n'est pas un accident. C'est le dénouement logique d'un modèle économique particulier : le freemium massif sans financement pérenne, où la gratuité sert de levier d'acquisition sans qu'il existe un chemin clair vers la rentabilité. Il faut distinguer deux formes de gratuité qui n'ont rien à voir l'une avec l'autre. La première, c'est la gratuité des données : Google Analytics peut se permettre d'être gratuit parce que les données de vos visiteurs alimentent une régie publicitaire de plusieurs centaines de milliards de dollars. Ce contrat implicite est documenté, contesté, et à l'origine de la plupart des problèmes RGPD des dernières années. Pour approfondir les enjeux juridiques, notre guide sur l'exemption CNIL et les analytics cookieless vous donne les clés essentielles. La seconde, c'est la gratuité structurée : un plan gratuit volontairement limité, adossé à un modèle économique transparent où la monétisation est explicite -- sur le volume, sur les fonctionnalités d'équipe, sur des services complémentaires. C'est une approche honnête et viable, qui respecte l'utilisateur parce qu'elle ne le piège pas. Piwik PRO Core n'appartenait ni à l'une ni à l'autre catégorie. C'était un plan gratuit généreux, sans contrainte de volume significative, sans levier de conversion évident -- financé par des investisseurs dans l'espoir de convertir à terme vers l'Enterprise. Quand ce financement atteint sa limite, la migration forcée est inévitable. Les PME sont les premières exposées La décision de Piwik PRO affecte disproportionnellement les petites structures. Une grande entreprise sur un plan Enterprise n'est pas perturbée par la fin du Core. En revanche, une association culturelle, un cabinet de conseil de 5 personnes ou un e-commerçant indépendant qui avait installé Piwik PRO parce que "c'était gratuit et RGPD-compliant" se retrouve face à un choix qu'il n'avait pas anticipé. C'est précisément cette réalité que l'analytics frugale cherche à adresser : proposer des outils simples, honnêtes dans leur modèle économique, calibrés pour des besoins réels -- et non pour des fonctionnalités que 90 % des utilisateurs n'utiliseront jamais. Notre article sur les 5 KPIs essentiels pour un dashboard analytics frugal illustre concrètement ce que "mesurer l'essentiel" signifie en pratique. Un signal pour tout l'écosystème La fin du plan Core de Piwik PRO envoie un signal fort au marché : le freemium massif sans modèle économique cohérent n'est pas une stratégie durable. Les outils analytics privacy-first qui survivront et se développeront sont ceux qui construisent un modèle économique transparent, avec une proposition de valeur claire -- pas ceux qui utilisent la gratuité comme levier d'acquisition avant de refacturer brutalement. Pour les utilisateurs, cela signifie qu'une question simple vaut la peine d'être posée avant d'adopter n'importe quel outil : comment est-il financé si je ne paie pas ? Un plan gratuit limité, adossé à une monétisation explicite et cohérente, est structurellement fiable. Un freemium généreux sans chemin de rentabilité visible, non.Ce que vous devez faire maintenant Si votre organisation utilisait le plan Core de Piwik PRO, voici les étapes prioritaires : Exportez vos données historiques. Avant toute chose, assurez-vous de récupérer vos données si vous n'avez pas encore migré. Piwik PRO propose des exports CSV depuis le dashboard. Ne les perdez pas. Évaluez vos besoins réels. Utilisiez-vous vraiment le gestionnaire de tags, le CDP, la gestion du consentement intégrée ? Ou principalement les métriques de base (visites, pages vues, sources de trafic, conversions simples) ? Si c'est le second cas, des alternatives beaucoup plus simples et moins chères répondront à vos besoins. Comparez sur la durée, pas sur le prix d'entrée. Un outil à 9 €/mois avec une interface que vous comprenez et que vous utilisez vraiment vaut plus qu'un outil à 35 €/mois dont vous n'exploitez que 10 % des fonctionnalités. Pensez au coût total d'utilisation : temps de configuration, courbe d'apprentissage, maintenance. Vérifiez la conformité de votre nouvelle solution. La fin du plan Core est aussi une occasion de faire le point sur votre situation RGPD. Notre checklist RGPD analytics en 10 points vous permet d'évaluer rapidement si votre nouvelle configuration est en règle -- ou si des ajustements sont nécessaires.Conclusion La suppression du plan Core gratuit de Piwik PRO n'est pas une catastrophe. C'est une clarification utile : un freemium massif sans modèle économique viable finit toujours par se répercuter sur ses utilisateurs. L'outil n'était pas malhonnête -- mais son modèle était fragile. Pour les 28 000 organisations concernées, c'est un moment de recalibrage. L'occasion de réévaluer ce dont elles ont réellement besoin -- et de choisir un outil dont le modèle est lisible : qu'est-ce qui est gratuit, pourquoi, jusqu'où, et comment l'éditeur en vit. Ce sujet mérite d'être approfondi. Dans un prochain article, nous examinerons ce que peut être un modèle analytics véritablement éthique : analytics de base accessible gratuitement, monétisation sur la croissance et les usages équipe, sans exploitation des données et sans piège tarifaire. Si cette approche vous parle et que vous cherchez une solution simple, privacy-first et honnête dans son modèle, vous pouvez rejoindre la liste d'attente de Pomelo Analytics.FAQ Pourquoi Piwik PRO a-t-il supprimé son plan gratuit ? Piwik PRO a justifié cette décision par la volonté d'offrir "une plateforme unifiée" combinant analytics, gestion des tags, gestion du consentement et activation des données. En pratique, le modèle freemium n'était plus compatible avec la montée en gamme de l'offre. L'entreprise cible désormais des organisations de taille moyenne à grande dans des secteurs réglementés, pour lesquelles une tarification enterprise est plus adaptée. Le plan Core Piwik PRO était-il vraiment RGPD-compliant ? Piwik PRO Core permettait une configuration RGPD-compliant, mais elle n'était pas automatique. La plateforme utilise des cookies et nécessite donc un bandeau de consentement dans la plupart des configurations. La conformité dépendait de la façon dont le gestionnaire de consentement intégré était configuré par l'administrateur du compte. Quelles sont les alternatives gratuites sérieuses à Piwik PRO ? La seule alternative gratuite véritablement sérieuse est Matomo Analytics en version auto-hébergée. Gratuit en logiciel, il nécessite un hébergement et une maintenance technique. Pour les organisations sans compétences techniques internes, les alternatives payantes à bas prix (Plausible à 9 €/mois, Pirsch à 5 €/mois) offrent un meilleur équilibre coût/simplicité qu'une installation Matomo mal maintenue. Est-ce que les données des anciens comptes Core sont perdues ? Oui, si vous migrez avant le 31 mars 2026. Piwik PRO a prolongé sa deadline d'un mois, jusqu'au 31 mars 2026, précisément pour permettre à tous les utilisateurs de préserver leurs données. Dashboards, rapports, configurations et historiques sont intégralement conservés lors de la migration vers le plan Business. Ce type de suppression de plan gratuit peut-il arriver avec d'autres outils analytics ? Oui, mais la nuance est importante. Le risque existe pour les outils qui proposent un plan gratuit généreux sans financement pérenne -- comme Piwik PRO Core. En revanche, un plan gratuit volontairement limité, adossé à une monétisation transparente (volume, équipe, fonctionnalités avancées), est structurellement stable. La question à poser n'est pas "y a-t-il un plan gratuit ?" mais "comment l'outil est-il financé si je ne paie pas ?". La transparence du modèle économique est un critère de sélection à part entière.SourcesPiwik PRO, "Voici notre nouvelle structure tarifaire", août 2025 (https://piwikpro.fr/blog/voici-notre-nouvelle-structure-tarifaire/) Piwik PRO Community, "Will the free Piwik Pro remain active after February 2026?", août 2025 (https://community.piwik.pro/t/will-the-free-piwik-pro-remain-active-after-february-2026/5300) Brian Clifton, "Piwik PRO Ends Freemium: My Take", juillet 2025 (https://brianclifton.com/blog/2025/07/03/piwik-pro-ends-freemium-my-take/) R-bloggers / rstats-tips.net, "Piwik Pro doesn't offer a free plan anymore", septembre 2025 (https://www.r-bloggers.com/2025/09/piwik-pro-doesnt-offer-a-free-plan-anymore/) Piwik PRO, page officielle "Business Plan" (https://piwikpro.fr/business-plan/) European Alternatives, fiche Piwik PRO (https://european-alternatives.eu/product/piwik-pro)
- 02 Mar, 2026
Session Replay (Hotjar, Clarity) : la CNIL ouvre la boîte de Pandore
Vous utilisez peut-être Hotjar, Microsoft Clarity ou Fullstory pour comprendre comment vos visiteurs naviguent sur votre site. Ces outils de « session replay » vous montrent leurs clics, leurs mouvements de souris, leurs hésitations. C'est pratique pour corriger des bugs ou améliorer l'expérience utilisateur. Le problème ? Vous enregistrez peut-être bien plus que ce que vous croyez. Et la CNIL vient de mettre le sujet sur la table. Le 25 février 2026, l'autorité française de protection des données a ouvert une consultation publique sur les outils de session replay. Une première en Europe. La consultation court jusqu'au 22 avril 2026, et la recommandation finale sera adoptée ensuite. Pour les éditeurs de sites web, les agences et les fournisseurs de ces solutions, c'est un signal clair : la récréation est terminée. Les chiffres parlent d'eux-mêmes. En 2025, la CNIL a prononcé 487 millions d'euros d'amendes, dont 21 sanctions spécifiquement liées aux cookies et traceurs. Google a écopé de 325 millions d'euros, Shein de 150 millions. Le session replay, bien plus intrusif qu'un simple cookie de mesure d'audience, est désormais dans le viseur. Cette consultation n'est pas un exercice théorique : c'est le prélude à des contrôles et potentiellement à des sanctions. Dans cet article, vous allez comprendre ce qu'est réellement le session replay, pourquoi c'est plus risqué qu'un outil d'analytics classique, ce que dit la CNIL dans son projet de recommandation, et comment vous mettre en conformité avant que le texte ne devienne contraignant. Parce qu'attendre la version finale pour agir, c'est prendre le risque de devoir tout refaire dans l'urgence. Qu'est-ce que le session replay et pourquoi c'est différent de Google Analytics La différence entre mesure d'audience et enregistrement intégral Quand vous installez Google Analytics, Matomo ou un outil d'analytics frugal, vous collectez des métriques agrégées : nombre de visites, pages vues, taux de rebond, sources de trafic. Vous savez que 1 000 personnes ont visité votre page produit, mais vous ne voyez pas comment chaque personne a navigué, pixel par pixel. Le session replay, c'est tout le contraire. Il enregistre l'intégralité du parcours de navigation d'un utilisateur, comme si vous filmiez son écran. Mouvements de souris, clics, défilements, interactions tactiles sur mobile, et parfois même les saisies dans les formulaires. Ces données sont ensuite rejouées sous forme de vidéo. Vous voyez l'utilisateur hésiter, revenir en arrière, cliquer trois fois sur un bouton qui ne fonctionne pas. C'est extrêmement utile pour identifier des bugs invisibles dans les statistiques classiques. Un formulaire qui plante sur Safari iOS 14, un bouton de paiement mal positionné, un message d'erreur incompréhensible : tout devient visible. Mais cette granularité a un prix : vous collectez des données personnelles à un niveau de détail bien supérieur à ce que permet un outil d'analytics standard. Ce que ces outils enregistrent vraiment La plupart des solutions de session replay capturent par défaut :Les mouvements et positions du curseur (ou du doigt sur mobile). Tous les clics et double-clics. Le défilement des pages (scroll). Les « rage clicks » (clics répétés au même endroit, signe d'irritation). Les survols prolongés sur certains éléments. Les changements d'onglets ou de fenêtres (parfois). Les saisies dans les formulaires, sauf si explicitement masquées.Ce dernier point est critique. Par défaut, certains outils enregistrent ce que les utilisateurs tapent dans les champs de formulaire. Nom, prénom, email, adresse, numéro de téléphone, et même des données sensibles comme les coordonnées bancaires ou les informations de santé si votre site en collecte. La plupart des solutions proposent un masquage automatique, mais encore faut-il l'activer correctement. Résultat : vous pouvez vous retrouver avec des enregistrements qui montrent un utilisateur en train de remplir un formulaire médical, de corriger une faute de frappe dans son numéro de carte bleue, ou de supprimer et réécrire un message dans un champ « motif de résiliation ». Vous voyez le problème ? Les outils concernés Les trois leaders du marché sont :Hotjar : la solution la plus connue des PME et agences. Interface simple, heatmaps intégrées, gratuit jusqu'à 35 sessions/jour. Microsoft Clarity : entièrement gratuit, intégration facile avec Azure et Google Tag Manager, très utilisé depuis 2023. Fullstory : orienté entreprise, avec analyse automatique des comportements et détection d'anomalies par IA.Mais il en existe des dizaines d'autres : Lucky Orange, Smartlook, Mouseflow, SessionCam, Inspectlet, etc. La CNIL ne cible pas une solution en particulier : elle encadre toute la catégorie d'outils. Ce que dit la CNIL dans son projet de recommandation Les usages acceptables selon l'autorité La CNIL ne dit pas que le session replay doit être interdit. Elle fixe un cadre strict. Selon le projet de recommandation publié le 25 février 2026, trois usages sont considérés comme légitimes :Détection et compréhension des erreurs techniques : identifier des bugs, des plantages, des formulaires cassés, des éléments qui ne s'affichent pas correctement sur certains navigateurs ou appareils.Amélioration de l'expérience utilisateur (UX) : repérer des points de friction, des parcours confus, des éléments mal placés. Par exemple, constater que 80 % des utilisateurs cliquent trois fois sur un bouton « Valider » avant de comprendre qu'il faut d'abord cocher une case.Assistance client et support : rejouer la session d'un utilisateur qui rencontre un problème pour mieux comprendre son cas et l'aider à le résoudre.Ces trois usages ont un point commun : ils sont techniques ou orientés support. Ce ne sont pas des usages marketing. Ce qui est exclu : marketing et retargeting La CNIL est très claire sur ce point. Le session replay ne doit pas être utilisé pour :Du retargeting publicitaire (afficher des pubs ciblées à un utilisateur qui a hésité sur une page produit). De la segmentation marketing avancée (créer des audiences selon leur comportement fin). De l'optimisation commerciale agressive (identifier les « acheteurs hésitants » pour leur envoyer une promo).Pourquoi cette exclusion ? Parce que ces usages violent le principe de minimisation des données. Si votre objectif est de vendre, vous n'avez pas besoin de voir chaque mouvement de souris. Des statistiques agrégées suffisent. Le session replay est disproportionné pour ces finalités. Si vous utilisez Hotjar ou Clarity pour « mieux comprendre vos clients » dans une logique de conversion marketing, vous êtes hors-cadre. Et en cas de contrôle CNIL, ça passera mal. Consentement obligatoire : pas d'exemption possible Le projet de recommandation est sans ambiguïté : le session replay nécessite un consentement préalable et explicite de l'utilisateur. Il ne peut pas bénéficier de l'exemption de consentement pour la mesure d'audience. Pourquoi ? Parce que l'exemption, encadrée par l'article 82 de la loi Informatique et Libertés, ne concerne que les traceurs strictement nécessaires à la fourniture du service ou exclusivement dédiés à la mesure d'audience dans un cadre très limité. Le session replay ne rentre dans aucune de ces cases. C'est un outil d'analyse comportementale fine, pas une mesure statistique anonymisée. Concrètement, cela signifie :Vous devez afficher une bannière de consentement (via une CMP, plateforme de gestion du consentement). Le session replay doit apparaître comme un choix distinct dans la bannière, avec une description claire. L'utilisateur doit pouvoir refuser sans que cela n'affecte l'accès au site. Si l'utilisateur refuse ou retire son consentement, les enregistrements doivent cesser immédiatement et les données déjà collectées doivent être supprimées (ou anonymisées de manière irréversible).Minimisation et masquage : des exigences techniques précises La CNIL insiste sur le principe de minimisation. Vous ne devez collecter que ce qui est strictement nécessaire à votre objectif. En pratique, cela implique :Masquage automatique de tous les champs de formulaire sensibles : mots de passe, coordonnées bancaires, données de santé, numéros de sécurité sociale, etc. Masquage par défaut des champs de saisie, sauf si vous pouvez justifier que l'enregistrement est indispensable (par exemple, pour reproduire un bug qui ne se produit que sur une saisie spécifique). Échantillonnage : enregistrer seulement un pourcentage des sessions, pas 100 %. Si vous avez 10 000 visites par jour, enregistrer les 10 000 sessions est disproportionné. Échantillonner 5 % ou 10 % suffit largement pour identifier des bugs. Durée de conservation courte : les sessions doivent être supprimées dès que l'objectif est atteint. Une session enregistrée pour corriger un bug n'a pas vocation à être conservée 12 mois « au cas où ».La CNIL recommande également de documenter vos paramétrages. En cas de contrôle, il faudra prouver que vous avez activé les masquages, configuré l'échantillonnage et limité la durée de conservation. Responsabilités : qui doit faire quoi ? Fournisseur vs éditeur de site La recommandation CNIL distingue deux acteurs :Le fournisseur de la solution (Hotjar, Microsoft, Fullstory, etc.) : il conçoit l'outil, définit les paramétrages par défaut, propose (ou non) des options de masquage et de minimisation. Il peut être considéré comme responsable de traitement pour ses propres usages (améliorer son produit, par exemple) ou comme sous-traitant s'il ne fait qu'héberger les données pour le compte de l'éditeur du site.L'éditeur du site web ou de l'application mobile : c'est vous, si vous installez Hotjar sur votre site. Vous êtes responsable de traitement pour l'usage que vous faites du session replay. C'est à vous de recueillir le consentement, de configurer le masquage, de définir les durées de conservation.Dans certains cas, la CNIL évoque une responsabilité conjointe (article 26 du RGPD) : si le fournisseur et l'éditeur poursuivent des finalités communes (par exemple, si Hotjar utilise vos données pour améliorer son algorithme de détection d'anomalies), ils doivent signer un accord de co-responsabilité. Agences web : attention au piège contractuel Si vous êtes une agence web et que vous installez Hotjar ou Clarity pour vos clients, la question de la responsabilité se complique. Qui doit recueillir le consentement ? Qui configure le masquage ? Qui est sanctionné en cas de manquement ? Par défaut, c'est le client (l'éditeur du site) qui reste responsable. Mais si vous ne l'avez pas informé des obligations, si vous n'avez pas configuré correctement l'outil, ou si vous n'avez pas documenté les paramétrages, vous pouvez être mis en cause. La CNIL a déjà sanctionné des prestataires techniques pour non-respect de leurs obligations en tant que sous-traitants. Notre conseil : ajoutez dès maintenant une clause dans vos contrats qui précise :Qui est responsable de la conformité RGPD du session replay. Qui configure les masquages et l'échantillonnage. Qui met à jour la bannière de consentement. Qui conserve la documentation de conformité.Et facturez la mise en conformité. Ce n'est pas inclus dans un forfait « installation de Hotjar ». Les alternatives et bonnes pratiques pour rester conforme Option 1 : Configurer strictement le session replay Si vous voulez continuer à utiliser Hotjar, Clarity ou équivalent, voici les étapes :Activez le masquage automatique de tous les champs de formulaire. La plupart des outils proposent un mode « strict » qui masque tout par défaut.Réduisez l'échantillonnage à 5-10 % des sessions. Vous n'avez pas besoin d'enregistrer 100 % du trafic pour détecter des bugs.Limitez la durée de conservation à 30 jours maximum. Si vous n'avez pas corrigé le bug en 30 jours, c'est que ce n'était pas urgent.Mettez à jour votre CMP (OneTrust, Axeptio, Cookiebot, Didomi, etc.) pour ajouter une case spécifique « Analyse comportementale » ou « Session replay », distincte de la case « Mesure d'audience ».Documentez tout : captures d'écran des paramètres, fichier Excel listant les champs masqués, justification de la finalité.Option 2 : Remplacer par des heatmaps ou des analytics frugaux Le session replay est souvent utilisé pour des besoins qui ne nécessitent pas un enregistrement intégral. Quelques alternatives :Heatmaps (cartes de chaleur) : elles montrent où les utilisateurs cliquent le plus, sans enregistrer le parcours individuel. C'est beaucoup moins intrusif. Analytics orientée événements : configurez des événements spécifiques dans Google Analytics, Matomo ou un outil frugal pour mesurer les clics sur certains boutons, les erreurs de formulaire, les abandons de panier. A/B testing : testez deux versions d'une page plutôt que de chercher à « comprendre » pourquoi la version actuelle ne fonctionne pas.Ces approches vous donnent 80 % de l'information utile, avec 10 % du risque juridique. Option 3 : Session replay strictement sur demande utilisateur Une pratique émergente consiste à n'activer le session replay que lorsque l'utilisateur le demande explicitement. Par exemple :Un utilisateur contacte le support en disant « j'ai un problème avec le formulaire ». Le support lui envoie un lien unique qui active temporairement l'enregistrement de sa session, avec son consentement explicite. La session est enregistrée, analysée, puis supprimée immédiatement après résolution du problème.C'est la méthode la plus conforme, mais elle nécessite une infrastructure technique un peu plus complexe. Ce qui va se passer après la consultation Calendrier et prochaines étapes La consultation publique se termine le 22 avril 2026. Ensuite, la CNIL va :Analyser les contributions reçues (professionnels, fédérations, associations de consommateurs, ONG). Réviser le projet de recommandation si nécessaire. Adopter la version finale, probablement au cours du second semestre 2026. Publier la recommandation sur son site, avec une période de transition (généralement 6 à 12 mois).Pendant la période de transition, la CNIL ne sanctionnera pas immédiatement, mais elle attend une mise en conformité progressive. Passé ce délai, les contrôles commenceront. Risques en cas de non-conformité Si vous continuez à utiliser le session replay sans consentement ou avec des paramétrages non conformes, vous vous exposez à :Une mise en demeure de la CNIL (première étape, publique ou non). Une sanction pécuniaire pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 du RGPD). Une publicité de la sanction, avec impact réputationnel.En 2025, 67 sanctions sur 83 ont été prononcées via la procédure simplifiée, avec des amendes plafonnées à 20 000 euros pour les « petits » manquements. Mais pour les cas graves (collecte massive, absence totale de consentement, données sensibles exposées), les montants peuvent être bien plus élevés. Shein a pris 150 millions d'euros pour des cookies, et le session replay est objectivement plus intrusif qu'un cookie. Effet domino en Europe La France n'est pas seule. D'autres autorités européennes surveillent ce dossier de près. Si la CNIL adopte une recommandation stricte, il est probable que :L'EDPB (Comité européen de la protection des données) s'en inspire pour un avis ou des lignes directrices au niveau européen. Les autorités allemande (DSB), italienne (Garante), espagnole (AEPD) ou irlandaise (DPC) suivent avec leurs propres textes.Autrement dit, si vous opérez en Europe, respecter les règles CNIL sera de toute façon nécessaire à court terme, même si vous n'avez pas de trafic français. Conclusion : agir maintenant, pas en avril 2027 La consultation CNIL sur le session replay est un signal d'alerte, pas une surprise. Les outils qui enregistrent l'intégralité des parcours utilisateurs sont dans le viseur des régulateurs depuis plusieurs années. Ce qui change en 2026, c'est que la CNIL passe de la sensibilisation à l'encadrement formel. Si vous utilisez Hotjar, Clarity ou tout autre outil de session replay, vous avez deux options. Soit vous configurez strictement l'outil dès maintenant : masquage, échantillonnage, consentement, documentation. Soit vous envisagez des alternatives moins intrusives : heatmaps, analytics frugaux, tests A/B. L'inaction n'est plus une stratégie viable. Les PME et les agences web ont jusqu'à fin 2026 pour se mettre en conformité sans risque immédiat. Mais plus vous attendez, plus la mise en conformité sera coûteuse et précipitée. Et vu les montants d'amendes prononcés en 2025 (487 millions d'euros au total), le risque n'est plus théorique. Pour ceux qui cherchent une approche plus simple, il existe des solutions de mesure d'audience qui respectent par conception les principes de minimisation et de transparence. Si cette démarche vous parle, vous pouvez rejoindre la liste d'attente de Pomelo pour être informé du lancement. FAQ Est-ce que je peux continuer à utiliser Hotjar ou Clarity après la recommandation CNIL ? Oui, à condition de respecter les exigences : recueillir le consentement explicite via une bannière CMP, activer le masquage de tous les champs sensibles, limiter l'échantillonnage (5-10 % des sessions maximum), réduire la durée de conservation à 30 jours, et documenter tous vos paramétrages. Si vous remplissez ces conditions, vous pouvez continuer à utiliser ces outils pour des finalités techniques (détection de bugs, amélioration UX, support client). En revanche, les usages marketing (retargeting, segmentation avancée) sont exclus. Le session replay est-il concerné par l'exemption de consentement pour la mesure d'audience ? Non. L'exemption de consentement prévue à l'article 82 de la loi Informatique et Libertés ne s'applique qu'aux outils de mesure d'audience strictement limités à des statistiques agrégées et anonymes. Le session replay, qui enregistre des parcours individuels détaillés, ne peut pas en bénéficier. Vous devez donc obligatoirement recueillir le consentement des utilisateurs avant d'activer l'enregistrement, même si votre objectif est purement technique. Si je suis une agence web, qui est responsable de la conformité : moi ou mon client ? Par défaut, c'est l'éditeur du site (votre client) qui est responsable de traitement pour les données collectées via le session replay. Mais vous, en tant qu'agence, êtes responsable en tant que sous-traitant de la bonne configuration technique de l'outil. Si vous installez Hotjar sans activer le masquage, sans configurer l'échantillonnage, ou sans ajouter une case dans la bannière de consentement, vous pouvez être mis en cause. Il est donc essentiel de clarifier cette répartition des responsabilités dans un contrat écrit et de facturer la mise en conformité RGPD comme une prestation distincte. Quelles sont les sanctions prévues si je n'applique pas la recommandation CNIL ? La recommandation CNIL n'a pas force de loi, mais elle précise comment appliquer le RGPD et la loi Informatique et Libertés. Ne pas la respecter expose à une mise en demeure, puis à une sanction pécuniaire pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon l'article 83 du RGPD. En pratique, pour les PME, les amendes via la procédure simplifiée sont plafonnées à 20 000 euros pour les manquements moins graves. Mais en cas de collecte massive sans consentement ou de données sensibles exposées, les montants peuvent être bien plus élevés, comme l'illustrent les sanctions de 2025 (Google 325 M€, Shein 150 M€). Existe-t-il des alternatives moins risquées au session replay pour améliorer l'UX ? Oui, plusieurs alternatives permettent d'obtenir des insights UX sans enregistrer des parcours individuels complets. Les heatmaps (cartes de chaleur) montrent les zones les plus cliquées sans identifier les utilisateurs. Les analytics orientées événements permettent de mesurer des actions spécifiques (clics sur un bouton, erreurs de formulaire) avec des outils comme Google Analytics, Matomo ou des solutions frugales. Les tests A/B comparent deux versions d'une page pour identifier la plus performante. Enfin, les enquêtes utilisateurs (post-achat ou exit-intent) donnent des retours qualitatifs directs. Ces approches fournissent 80 % de l'information utile avec beaucoup moins de risques juridiques. SourcesCNIL, "Rejeu de session : la CNIL lance une consultation publique sur son projet de recommandation", 25 février 2026 (https://www.cnil.fr/fr/rejeu-de-session-la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation) CNIL, "Sanctions et mesures correctrices : la CNIL présente le bilan 2025", 9 février 2026 (https://www.cnil.fr/fr/thematique/cnil/sanctions) CNIL, "Cookies et publicités insérées entre les courriels : la CNIL sanctionne GOOGLE d'une amende de 325 millions d'euros", 1er septembre 2025 (https://www.cnil.fr/en/cookies-and-advertisements-inserted-between-emails-google-fined-325-million-euros-cnil) Nomos, "Session replay: the CNIL's draft recommendation", 27 février 2026 (https://www.nomosparis.com/en/session-replay-the-cnils-draft-recommendation/) PPC Land, "France's CNIL puts session replay tools under the privacy microscope", 26 février 2026 (https://ppc.land/frances-cnil-puts-session-replay-tools-under-the-privacy-microscope/) Solutions Numériques, "Rejeu de session : la CNIL ouvre une consultation publique pour encadrer ces outils de suivi", 25 février 2026 (https://www.solutions-numeriques.com/rejeu-de-session-la-cnil-ouvre-une-consultation-publique-pour-encadrer-ces-outils-de-suivi/) August Debouzy, "Cookies et autres traceurs, une action de régulation ciblée au niveau national", février 2026 (https://www.august-debouzy.com/fr/blog/2281-cookies-et-autres-traceurs-une-action-de-regulation-ciblee-au-niveau-national)
- 07 Feb, 2026
Plausible vs Fathom vs Simple Analytics : le comparatif 2026 des analytics frugales
Vous avez décidé de quitter Google Analytics. Vous avez compris que le « gratuit » avait un coût réel, que la complexité de GA4 dépassait vos besoins, et que la conformité RGPD méritait mieux qu'un bandeau cookie mal configuré. Parfait. Vous faites partie d'un mouvement en pleine accélération. Reste le choix le plus difficile : parmi les alternatives privacy-first, laquelle correspond vraiment à votre situation ? Trois noms reviennent systématiquement dans les recommandations : Plausible, Fathom et Simple Analytics. Ce sont les solutions les plus citées, les plus matures et les plus crédibles du segment « analytics frugales ». Mais leurs différences, souvent invisibles dans les présentations marketing, ont des conséquences très concrètes sur votre facture, votre conformité et votre quotidien. Ce comparatif ne vise pas à élire un vainqueur universel. Il cherche à vous donner les éléments factuels pour choisir en connaissance de cause. Nous avons vérifié les prix sur les pages officielles, documenté les fonctionnalités réelles, et ajouté deux outsiders souvent oubliés dans les discussions : Pirsch et Umami. Ce que ces trois solutions ont en commun Avant de détailler les différences, posons le cadre. Plausible, Fathom et Simple Analytics partagent un socle commun qui les distingue radicalement de Google Analytics : Aucune de ces solutions n'utilise de cookies par défaut. Elles ne construisent pas de profil publicitaire. Leur script pèse moins de 5 KB (contre environ 45 KB pour GA4, selon les mesures de HTTP Archive). Elles affichent toutes les métriques essentielles sur une seule page, sans menu imbriqué ni formation préalable. Sur le plan légal, toutes trois revendiquent la conformité RGPD sans bandeau cookie. En pratique, le niveau de cette conformité varie, et c'est l'un des points que nous allons détailler. Enfin, les trois sont des entreprises indépendantes, sans levée de fonds massive, financées par leurs abonnements. C'est un signal fort de pérennité. Les prix réels, comparés poste par poste Le prix d'entrée ne dit pas tout. Ce qui compte, c'est le coût à volume équivalent. Voici les tarifs vérifiés sur les pages officielles de chaque solution en février 2026. Grille de prix mensuelle (en dollars, facturation mensuelle)Volume mensuel Plausible (Starter) Fathom Simple Analytics (Simple)10 000 pageviews 9 $ 15 $ 15 $100 000 pageviews 9 $ (même palier) 15 $ ~19 $200 000 pageviews 14 $ (Growth) 25 $ ~29 $500 000 pageviews ~19 $ (Business) 45 $ ~49 $1 000 000 pageviews sur devis 60 $ sur devisSources : plausible.io/pricing, usefathom.com/pricing, simpleanalytics.com/pricing. Tarifs vérifiés en février 2026. À retenir : Plausible est la solution la moins chère à petit volume (9 $/mois pour 10k pageviews). Mais sa tarification monte rapidement : le plan Growth à 14 $ et le plan Business à 19 $ débloquent des fonctionnalités supplémentaires (plus de sites, accès équipe, funnels). Fathom propose un tarif unique par palier de volume, avec toutes les fonctionnalités incluses dès 15 $/mois. Pas de plan gratuit. Pas de remise. Leur philosophie affichée : un prix identique pour tout le monde, sans promotion. Simple Analytics offre un plan gratuit (limité à 30 jours d'historique) et un plan Simple à 15 $/mois. Le plan Team (40 $/mois) ajoute la collaboration et l'accès API. Leur pricing évolue de manière dynamique : la facture s'ajuste automatiquement selon la moyenne de trafic des trois derniers mois. Deux outsiders à connaître Pirsch (basé en Allemagne) propose l'un des prix d'entrée les plus bas du marché : 6 $/mois pour 10 000 pageviews, 10 $/mois pour 100 000 pageviews. Il inclut le white-label et jusqu'à 50 domaines. Sources : pirsch.io/pricing. Umami est open source et entièrement auto-hébergeable gratuitement. C'est la seule solution du comparatif qui ne coûte rien en licence, à condition de gérer soi-même l'hébergement. Pour ceux qui préfèrent un service géré, Umami Cloud commence à 9 $/mois. Source : umami.is. Hébergement et localisation des données C'est le point critique pour la conformité RGPD. La question n'est pas seulement « où sont les serveurs ? » mais « qui opère l'infrastructure et sous quelle juridiction ? ».Solution Localisation des données Infrastructure Entité juridiquePlausible Union européenne (Hetzner, Allemagne) Propriété d'entreprises européennes Plausible Insights OÜ (Estonie)Fathom Serveurs en Allemagne (via AWS EU) Amazon Web Services Conva Ventures Inc. (Canada)Simple Analytics Pays-Bas Serveurs européens propriétaires Simple Analytics B.V. (Pays-Bas)Pirsch Allemagne Serveurs allemands Emvi Software GmbH (Allemagne)Umami (Cloud) Variable selon le plan Vercel/Cloud Umami Software Inc. (États-Unis)Plausible insiste sur le fait que l'ensemble de son infrastructure est opéré par des entreprises européennes. Début 2026, ils revendiquent plus de 16 000 abonnés payants, dont 600 comptes entreprise. Source : plausible.io/enterprise-web-analytics. Fathom utilise AWS en région européenne (Francfort), mais l'entité juridique est canadienne. Le Canada bénéficie d'une décision d'adéquation de la Commission européenne, ce qui simplifie les transferts. Mais pour les organisations les plus strictes sur la souveraineté des données, ce n'est pas équivalent à une entité 100 % européenne. Simple Analytics est la solution la plus explicite sur la localisation : données exclusivement aux Pays-Bas, serveurs propriétaires, aucun sous-traitant américain. C'est l'argument le plus fort pour les organisations soumises à des politiques de souveraineté strictes. Pirsch, basé et hébergé en Allemagne, offre une alternative comparable en termes de localisation européenne. La question du respect de la vie privée Les trois solutions se revendiquent « privacy-first ». Mais le diable est dans les détails techniques. Plausible utilise un hash de l'adresse IP du visiteur combiné avec le User-Agent et un sel quotidien pour identifier les visiteurs uniques. L'adresse IP brute n'est jamais stockée. Le hash est renouvelé chaque jour, ce qui empêche le suivi à long terme. C'est une forme de pseudonymisation. Fathom emploie une approche similaire de hachage, mais ajoute une couche de routage via ce qu'ils appellent des « signatures uniques ». Comme Plausible, l'IP brute n'est pas conservée. Simple Analytics se distingue en affirmant ne collecter aucune donnée personnelle, y compris sous forme hachée. Pas de hash d'IP, pas de User-Agent enregistré. Leur comptage de visiteurs uniques repose sur un mécanisme différent, basé sur les référents et les URLs. C'est l'approche la plus radicale en matière de minimisation. Cette différence a une conséquence directe : Simple Analytics peut légitimement affirmer ne pas traiter de données personnelles au sens du RGPD, ce qui renforce le cas d'exemption de consentement. Pour Plausible et Fathom, la question est plus nuancée : un hash d'IP, même non réversible, pourrait être considéré comme une donnée pseudonymisée. En pratique, les autorités de protection des données (dont la CNIL) tendent à accepter ces approches si elles respectent les critères d'exemption (pas de recoupement, conservation limitée, finalité strictement statistique). Pour approfondir les conditions d'exemption de consentement, consultez notre article dédié : Mesure d'audience, RGPD et exemption de bandeau cookie. Fonctionnalités : ce que chacun fait (et ne fait pas) Toutes ces solutions ont fait le choix de la simplicité. Mais « simple » ne veut pas dire identique. Voici les différences qui comptent au quotidien. Tableau comparatif des fonctionnalitésFonctionnalité Plausible Fathom Simple AnalyticsDashboard mono-page Oui Oui OuiÉvénements personnalisés Oui Oui OuiObjectifs / Conversions Oui (funnels avancés) Oui OuiFunnels multi-étapes Oui (plan Business) Non NonIntégration Google Search Console Oui Non NonSuivi e-commerce (revenus) Oui (plan Business) Oui NonImport données GA4 Oui Oui NonAPI d'export Oui Oui Oui (plan Team)Rapports par email Oui Oui OuiPartage de dashboard Oui (lien public/privé) Oui (lien partageable) OuiMulti-sites 1 (Starter) / 3+ (Growth) 50 inclus 5 (Free) / 10+ (Simple)Membres d'équipe 1 (Starter) / 3 (Growth) 1 (plan de base) 1 (Simple) / 2+ (Team)Rétention des données 3-5 ans selon le plan Illimitée 30 jours (Free) / 3-5 ansOpen source Oui (Community Edition) Non NonAuto-hébergement Oui (CE, fonctionnalités réduites) Non NonWhite-label Non (sauf Enterprise) Non NonLes points saillants : Plausible est la solution la plus riche en fonctionnalités parmi les trois. L'intégration Google Search Console est un avantage significatif pour le SEO : elle permet de voir les requêtes de recherche directement dans le dashboard analytics, sans basculer vers un autre outil. Les funnels multi-étapes (plan Business) la rapprochent des outils plus avancés. Et le fait d'être open source rassure les organisations qui veulent auditer le code. Fathom se distingue par sa politique de rétention illimitée et l'inclusion de 50 sites dès le plan de base. Pour un freelance ou une agence gérant de nombreux sites à faible trafic, c'est un avantage économique réel. L'infrastructure est conçue pour le volume : ils affirment gérer des sites à un milliard de pageviews par mois. Simple Analytics mise tout sur la simplicité et la confidentialité absolue. Leur fonctionnalité « Mini Websites » permet de voir les pages exactes qui ont référencé votre site (par exemple, un tweet spécifique), ce que les autres solutions n'offrent pas. Leur outil d'IA intégré permet d'interroger ses analytics en langage naturel. Poids du script et impact sur la performance Pour un site web, chaque kilooctet de JavaScript ajouté affecte le temps de chargement et les Core Web Vitals. C'est un critère à ne pas négliger, en particulier si le SEO est une priorité.Solution Poids du script Impact estiméPlausible < 1 KB NégligeableFathom ~2 KB NégligeableSimple Analytics ~6 KB Très faiblePirsch < 1 KB (ou intégration serveur) Négligeable à nulGoogle Analytics (GA4) ~45 KB Mesurable (LCP, FID)Toutes les solutions du comparatif ont un impact négligeable sur la performance, surtout comparé à GA4. L'avantage revient à Plausible et Pirsch, dont les scripts sont les plus légers. Pirsch offre en plus une intégration côté serveur (via API ou SDK), qui élimine complètement le JavaScript côté client. Pour comprendre en détail pourquoi le poids du script analytics compte pour le SEO, consultez notre article : Mythe : Google Analytics est nécessaire pour le SEO. Quel outil pour quel profil ? Plutôt que de désigner un vainqueur, voici un guide de décision par situation concrète. Vous êtes un développeur indie ou un maker avec un SaaS Vous gérez un ou deux projets, le trafic est modéré (< 100k pageviews/mois), et vous voulez un outil qui s'installe en 30 secondes. Meilleur choix : Plausible (Starter à 9 $/mois) pour le meilleur rapport qualité-prix au premier palier, l'open source et l'intégration Search Console. Alternative : Pirsch (6 $/mois) si le budget est très serré, ou Umami (gratuit) si vous êtes à l'aise avec l'auto-hébergement. Vous êtes un freelance ou une agence qui gère 10-30 sites clients Le volume par site est faible, mais le nombre de sites est élevé. Vous avez besoin de dashboards séparés et d'un reporting simple. Meilleur choix : Fathom (15 $/mois, 50 sites inclus). Aucun concurrent n'inclut autant de sites dans le plan de base. La rétention illimitée vous évite de perdre l'historique des clients. Alternative : Pirsch qui offre aussi 50 domaines dès le premier plan. Vous êtes une PME avec des obligations strictes de conformité (DPO, registre des traitements) La question n'est pas le prix mais la démonstration de conformité auprès de votre DPO ou de votre autorité de contrôle. Meilleur choix : Simple Analytics, pour l'argument « zéro donnée personnelle ». C'est la position la plus facile à défendre dans un registre des traitements. Alternative : Plausible, dont l'hébergement 100 % européen sur infrastructure européenne (pas AWS) renforce le dossier de souveraineté. Vous êtes une organisation qui a besoin de funnels, d'e-commerce tracking ou d'analyses avancées Vous dépassez les besoins d'un dashboard minimaliste. Vous avez besoin de suivre des parcours de conversion multi-étapes. Meilleur choix : Plausible (plan Business). C'est la seule solution du comparatif qui propose des funnels avancés et le suivi des revenus e-commerce, tout en restant dans le paradigme privacy-first. Pour une vue plus large incluant GA4 et Matomo, consultez notre comparatif général : Google Analytics, Matomo et les analytics frugales : guide pour choisir en 2026. Le coût total : au-delà du prix affiché Le prix mensuel n'est qu'une partie de l'équation. Voici les coûts cachés (ou évités) à intégrer dans votre calcul. Coûts évités par rapport à GA4 : pas de formation nécessaire (GA4 requiert souvent des jours de formation), pas de consultant pour la configuration, pas de Consent Management Platform à maintenir si vous êtes éligible à l'exemption CNIL, pas de risque juridique lié aux transferts de données vers les États-Unis. Coût de migration : Plausible et Fathom permettent d'importer l'historique Google Analytics. Simple Analytics ne le permet pas. Si la continuité historique est importante pour vous, c'est un critère à considérer. Coût de l'auto-hébergement (Plausible CE, Umami) : gratuit en licence, mais comptez le temps de maintenance, les mises à jour, et le coût du serveur (environ 5 à 20 €/mois pour un VPS selon le volume). Et la Community Edition de Plausible n'inclut pas toutes les fonctionnalités du cloud (funnels, e-commerce, Sites API). Pour approfondir la question du coût réel des analytics, notre article sur la data obésité éclaire les conséquences économiques de la sur-collecte : Data obésité : pourquoi votre PME n'a pas besoin de Big Data. Tableau récapitulatif finalCritère Plausible Fathom Simple Analytics PirschPrix d'entrée 9 $/mois 15 $/mois Gratuit (limité) 6 $/moisVolume d'entrée 10k pvs 100k pvs Illimité (Free) 10k pvsSites inclus 1-10+ 50 5-20+ 50Localisation données UE (Hetzner) UE (AWS Francfort) Pays-Bas AllemagneEntité juridique Estonie (UE) Canada Pays-Bas (UE) Allemagne (UE)Hash d'IP Oui (quotidien) Oui Non OuiOpen source Oui (CE) Non Non Oui (partiellement)Rétention 3-5 ans Illimitée 30 j - 5 ans Non préciséeImport GA4 Oui Oui Non OuiFunnels Oui (Business) Non Non Oui (basique)Intégration GSC Oui Non Non OuiScript < 1 KB ~2 KB ~6 KB < 1 KBFAQ Plausible, Fathom ou Simple Analytics : lequel est le moins cher ? Cela dépend du volume. Pour moins de 10 000 pageviews par mois, Pirsch est le moins cher (6 $/mois). Parmi les trois solutions principales, Plausible est la plus accessible à petit volume (9 $/mois pour 10k pvs). À 100 000 pageviews, Plausible et Fathom se retrouvent autour de 15 $/mois. Au-delà, Plausible reste généralement moins cher, mais avec des fonctionnalités réparties entre plusieurs plans (Starter, Growth, Business). Est-ce que Plausible est vraiment conforme RGPD sans bandeau cookie ? Plausible est conçu pour fonctionner sans cookies. Leur méthode d'identification utilise un hash d'IP renouvelé quotidiennement, sans stockage de l'adresse brute. Selon les critères de la CNIL pour l'exemption de consentement, cette approche est recevable si elle est strictement limitée à la mesure d'audience et qu'aucun recoupement avec d'autres traitements n'est effectué. Toutefois, le caractère « donnée personnelle » du hash d'IP fait l'objet de débats juridiques. La prudence recommande de consulter votre DPO et de documenter votre analyse dans votre registre des traitements. Fathom est-il adapté aux agences qui gèrent de nombreux clients ? Oui, c'est l'un de ses points forts. Fathom inclut jusqu'à 50 sites dans chaque plan, avec des dashboards séparés. La rétention illimitée des données et les rapports email automatisés en font un outil bien adapté à la gestion multi-clients. En revanche, Fathom ne propose pas de white-label ni de gestion de permissions par utilisateur sur le plan standard. Quelle est la différence entre Plausible Cloud et Plausible Community Edition ? Plausible Cloud est le service hébergé et géré par l'équipe Plausible (à partir de 9 $/mois). Plausible Community Edition (CE) est la version open source, auto-hébergeable gratuitement. Mais la CE ne contient pas toutes les fonctionnalités du cloud : les funnels marketing, le suivi des revenus e-commerce et l'API Sites en sont absents. La CE convient aux développeurs qui veulent un analytics basique sur leur propre serveur. Existe-t-il des solutions encore moins chères que ces trois-là ? Oui. Umami est entièrement gratuit en auto-hébergement (open source, licence MIT). Pirsch démarre à 6 $/mois. Et pour les très petits sites, Simple Analytics propose un plan gratuit avec 30 jours de rétention. Au-delà de ces options, il faut aussi considérer que le « moins cher » n'est pas toujours le plus économique : la simplicité d'installation, la fiabilité de l'infrastructure et la durabilité de l'entreprise ont une valeur. Un outil qui disparaît ou qui bloque votre dashboard en cas de dépassement vous coûte plus cher qu'un abonnement légèrement supérieur.Dernière mise à jour : février 2026. Les prix et fonctionnalités sont vérifiés sur les sites officiels des solutions. Cet article sera mis à jour au minimum tous les six mois.
- 07 Dec, 2025
Mesure d'audience et RGPD : comment suivre vos visiteurs sans bandeau cookies (légalement)
C'est devenu le rituel le plus agaçant du web. Vous arrivez sur un site et, avant même de lire le titre, une fenêtre surgit : « Nous tenons à votre vie privée… Acceptez-vous nos 85 partenaires ? ». Pour l'utilisateur, c'est une nuisance (la fameuse fatigue du consentement). Pour le propriétaire du site, c'est un dilemme : afficher ce bandeau et perdre une partie de ses données, ou ne pas le mettre et risquer une amende de la CNIL. Pourtant, une troisième voie existe. Une voie méconnue, 100 % légale et beaucoup plus respectueuse : l'exemption de consentement. En résumé :Le bandeau n'est pas automatique : il est obligatoire seulement si vous tracez vos visiteurs à des fins publicitaires ou de profilage. L'exemption CNIL : il est possible de mesurer son audience sans demander le consentement, à condition de respecter des règles strictes de frugalité des données. Le double gain : en supprimant le bandeau, vous améliorez l'expérience utilisateur et vous récupérez les statistiques des visiteurs qui refusaient le suivi.1. Pourquoi les bandeaux cookies font perdre de la donnée Pourquoi voyons-nous ces bandeaux partout ? Parce que la majorité des outils d'analytics traditionnels (comme la configuration par défaut de Google Analytics) collectent des données personnelles et les partagent souvent avec d'autres services publicitaires. Le RGPD est clair : pour cela, il faut un consentement explicite. Le problème, c'est que les internautes en ont assez. Selon le dernier Eurobaromètre, 72 % des citoyens européens se disent inquiets de la façon dont leurs données sont traitées sur le web. → Source : Eurobaromètre – Digital Rights and Principles La conséquence est immédiate : quand on leur donne le choix, beaucoup refusent. D'après le bilan de la CNIL, les taux de refus de cookies ont significativement augmenté depuis la mise en œuvre de son plan d'action : on estime aujourd'hui qu'un site utilisant un bandeau cookie classique perd entre 30 % et 50 % de ses données réelles. → Source : CNIL – Évaluation de l'impact du plan d'action cookies Votre tableau de bord vous ment : il ne vous montre qu'une fraction de votre audience. Comme nous l'expliquons dans notre article sur la data obésité, c'est un paradoxe : plus on collecte, moins on voit.2. Comprendre l'exemption de consentement Le principe La CNIL (le régulateur français) est l'une des institutions les plus pragmatiques d'Europe sur ce sujet. Elle a établi une doctrine claire : la mesure d'audience est essentielle au bon fonctionnement d'un service. Par conséquent, certains outils de mesure peuvent être exemptés de consentement. Autrement dit : vous avez le droit de déposer un cookie de mesure d'audience ou d'utiliser un traceur sans demander l'avis de l'utilisateur, et donc sans afficher de bandeau. Mais attention, ce n'est pas un laissez-passer pour tout faire. C'est un cadre strict qui favorise ce qu'on appelle l'analytics frugale. Checklist : les critères CNIL pour être exempté Pour bénéficier de cette exemption, votre outil et votre configuration doivent respecter ces conditions. La liste ci-dessous est une synthèse des lignes directrices officielles de la CNIL :Finalité strictement limitée : la donnée ne doit servir qu'à la mesure d'audience pour le compte exclusif de l'éditeur du site. Pas de retargeting, pas de profilage publicitaire, pas de revente de données.Pas de recoupement de données : les données collectées ne doivent pas être croisées avec d'autres fichiers (CRM, base clients) ni recoupées avec des données issues d'autres sites ou applications.Anonymisation ou pseudonymisation de l'IP : l'adresse IP ne doit pas permettre de géolocaliser l'internaute plus précisément que sa ville. En pratique, les derniers octets de l'adresse IP doivent être supprimés ou hachés avant tout stockage.Durée de vie limitée du traceur : si un cookie est utilisé, sa durée de vie ne doit pas excéder 13 mois. Les données brutes collectées ne doivent pas être conservées au-delà de 25 mois.Information de l'utilisateur : même sans consentement, l'utilisateur doit être informé de l'existence du traceur et de la possibilité de s'y opposer. Cette information figure généralement dans la politique de confidentialité du site.Pas de transfert hors UE non encadré : les données ne doivent pas être transférées vers des pays tiers sans les garanties prévues par le RGPD (clauses contractuelles types, décision d'adéquation, etc.).→ Source officielle : CNIL – Solutions pour les outils de mesure d'audience Quels outils sont éligibles ? La CNIL a évalué plusieurs solutions et publié une liste (non exhaustive) d'outils de mesure d'audience susceptibles de bénéficier de l'exemption lorsqu'ils sont correctement configurés. Cette liste inclut des solutions comme Matomo (dans une configuration spécifique), ainsi que plusieurs outils de la nouvelle vague frugale. Pour savoir si votre outil actuel est éligible, vérifiez chaque point de la checklist ci-dessus avec la documentation de l'éditeur. En cas de doute, la page officielle de la CNIL fait référence.3. Pourquoi passer à une mesure « Privacy-First » ? Adopter une solution d'analytics exemptée de consentement n'est pas seulement une astuce juridique. C'est un avantage concurrentiel sur trois fronts. 3.1 Vous récupérez 100 % de votre visibilité Puisque vous n'avez plus besoin d'attendre que l'utilisateur clique sur « Accepter », le script de mesure se charge dès l'arrivée sur le site. Vous passez d'une vision partielle (les 50 à 60 % qui acceptent) à une vision quasi-totale de votre trafic. Pour une PME qui prend des décisions sur la base de ses statistiques quelle page marche, quel canal investir la différence entre "voir 60 %" et "voir 100 %" est considérable. Les 5 KPIs essentiels deviennent enfin fiables. 3.2 Vous soignez votre image de marque Un site sans pop-up agressive est un site qui inspire confiance. Vous envoyez un signal fort à vos visiteurs : « Ici, on ne vous espionne pas, on regarde juste les statistiques globales pour améliorer le service. » C'est particulièrement puissant si vous êtes dans un secteur où la confiance est un enjeu (santé, finance, juridique, éducation). Mais même pour un artisan ou un e-commerçant, un site sans bannière intrusive offre une meilleure première impression. 3.3 Vous simplifiez votre conformité Plus besoin de mettre à jour des CMP (Consent Management Platforms) complexes ou de craindre une mise en demeure parce qu'un bouton est mal placé ou que la hiérarchie visuelle du bandeau favorise l'acceptation. En collectant moins de données (data minimisation), vous réduisez mécaniquement vos risques juridiques. Moins de données à protéger, moins de flux à documenter, moins de questions embarrassantes en cas de contrôle. 3.4 Vous améliorez les performances de votre site Les outils exemptés sont généralement beaucoup plus légers que leurs équivalents traditionnels. Nous détaillons l'impact sur les Core Web Vitals dans notre article sur le SEO sans Google Analytics : passer d'un script de 45 KB à un script de 1-6 KB a un effet direct sur la vitesse de chargement et donc potentiellement sur le référencement.4. Les limites à connaître L'exemption n'est pas une solution magique. Voici les nuances importantes. Ce que vous perdezLe suivi "user-level" : les parcours individuels, les profils utilisateurs, le retargeting. Si vous avez besoin de savoir que "l'utilisateur X est revenu 3 fois cette semaine et a consulté la page prix", l'analytics frugale ne répondra pas à ce besoin (et c'est un choix de conception, pas une limitation technique). Les données démographiques : âge, sexe, centres d'intérêt. Ces données nécessitent un profilage incompatible avec l'exemption. L'intégration publicitaire : le lien avec Google Ads, Meta Ads, etc. L'exemption est réservée à la mesure d'audience, pas à l'optimisation publicitaire.Ce que vous gardez Tout ce dont une PME a réellement besoin pour piloter son activité, comme le détaille notre comparatif des solutions : visiteurs, pages, sources, campagnes UTM, conversions, tendances. Les données agrégées sont non seulement suffisantes, mais souvent plus lisibles et plus actionnables que le suivi individuel. L'exemption n'est pas automatique C'est un point essentiel : l'exemption dépend de la configuration de l'outil, pas seulement de son nom. Un outil peut être éligible à l'exemption dans une configuration précise et ne plus l'être si on active certaines options (recoupement de données, finalités secondaires, transferts non encadrés).5. Comment vérifier si votre site est éligible Voici un diagnostic rapide en 4 questions :Votre outil de mesure collecte-t-il des données personnelles au-delà de l'IP (tronquée) ?Si oui → consentement requis. Si non → suite.Les données sont-elles croisées avec d'autres sources (CRM, fichiers clients, autres sites) ?Si oui → consentement requis. Si non → suite.Les données servent-elles à autre chose que la mesure d'audience pour votre propre site ? (publicité, revente, profilage)Si oui → consentement requis. Si non → suite.Les données sont-elles transférées hors UE sans garanties RGPD ?Si oui → consentement requis. Si non → exemption possible.Si votre configuration passe ces 4 tests, consultez les lignes directrices CNIL pour confirmer votre éligibilité et mentionnez l'outil dans votre politique de confidentialité.Conclusion : la conformité par la simplicité Pendant longtemps, on a cru que le RGPD allait tuer la mesure de la performance web. En réalité, il a juste tué la « mauvaise » mesure : celle qui surveille les gens individuellement pour servir la publicité ciblée. Pour les TPE, PME et agences, l'avenir est aux outils sobres, qui respectent nativement ces critères d'exemption. C'est la garantie de dormir tranquille tout en ayant des chiffres fiables pour piloter votre activité. L'équation est simple : moins de collecte + plus de respect = de meilleures données + moins de risques.FAQ : Analytics et consentement Est-ce que Google Analytics 4 (GA4) est exempté de consentement ? Par défaut, non. GA4 collecte des données personnelles et les transfère souvent hors de l'Union Européenne. La CNIL a précisé que pour rendre GA4 exempté, il faut une « proxyfication » complexe et coûteuse qui requiert une infrastructure serveur dédiée. C'est hors de portée de la plupart des PME. Pour la majorité des cas, il est plus simple de choisir un outil nativement éligible. Si je n'ai pas de bandeau cookie, est-ce que je suis dans l'illégalité ? Pas forcément. Si vous n'utilisez aucun traceur publicitaire (type Pixel Facebook, Google Ads, scripts de retargeting) et que votre outil d'analytics respecte strictement les critères d'exemption de la CNIL, vous êtes parfaitement dans la légalité sans bandeau. Vous devez simplement mentionner l'outil dans votre politique de confidentialité et informer les utilisateurs de la possibilité de s'opposer au suivi. Qu'est-ce que l'anonymisation de l'adresse IP ? C'est une technique qui consiste à supprimer la dernière partie de l'adresse IP d'un visiteur avant de l'enregistrer. Cela empêche de remonter jusqu'à la personne ou son foyer, tout en permettant de savoir, par exemple, que la visite vient de la région « Île-de-France ». C'est une condition sine qua non de l'exemption. La durée de conservation de 13 mois est-elle obligatoire ? La CNIL recommande que le cookie (ou le traceur) ait une durée de vie maximale de 13 mois. Les données brutes peuvent être conservées jusqu'à 25 mois. Au-delà, seuls les agrégats statistiques (non personnels) peuvent être conservés pour l'analyse de tendances. Ces durées sont des plafonds : conserver moins longtemps est toujours préférable dans une logique de minimisation. Dois-je quand même avoir une politique de confidentialité ? Oui, toujours. L'exemption de consentement ne dispense pas de l'obligation d'information. Votre politique de confidentialité doit mentionner l'outil de mesure utilisé, les données collectées, les finalités (mesure d'audience), la durée de conservation, et le droit d'opposition. C'est une obligation RGPD indépendante de la question du consentement cookies.
- 06 Dec, 2025
Pourquoi l'ère de la « Data Obésité » paralyse les petites entreprises (et comment s'en sortir)
On nous a vendu un rêve. Celui du "Big Data". Depuis dix ans, la promesse faite aux dirigeants de PME, aux freelances et aux responsables marketing est la même : « Plus vous collecterez de données sur vos visiteurs, mieux vous vendrez. » Le résultat en 2025 ? C'est souvent l'inverse. Les outils sont devenus des usines à gaz, les données s'accumulent sans être lues, et les décisions sont plus lentes qu'avant. C'est ce qu'on appelle la data obésité : l'accumulation de données qui ne servent pas à décider, mais qui coûtent en temps, en argent, en conformité et en performance. En résumé :Trop de données tue la décision : l'excès d'information surcharge les tableaux de bord et paralyse l'action. Le piège des "Vanity Metrics" : on suit des courbes flatteuses au lieu de se concentrer sur ce qui génère réellement du chiffre d'affaires. Un coût triple : technique (site lent), juridique (RGPD), et confiance (visiteurs qui refusent le suivi). La solution existe : l'analytics frugale mesurer moins, décider mieux.1. Le syndrome du « tableau de bord qu'on ne regarde plus » Ouvrez votre outil d'analytics actuel. En moins de 10 secondes, pouvez-vous dire :si votre semaine a été bonne ? quelle page a généré le plus de prospects ? quelle source de trafic performe le mieux ?Si la réponse est non, vous n'êtes pas seul. Vous êtes même dans l'écrasante majorité. Le Big Data ne concerne pas les PME Selon Eurostat, seulement 8 % des entreprises de l'UE analysent du Big Data. Ce chiffre tombe encore plus bas pour les petites structures. La promesse "Big Data pour tous" n'a pas tenu : les PME n'ont ni les équipes, ni les budgets, ni le temps pour exploiter des masses de données complexes. → Source : Eurostat – Big Data analysis by enterprises Pourtant, ces mêmes PME se retrouvent avec des outils conçus pour des équipes data de 20 personnes. GA4 propose des centaines de rapports, des dizaines de dimensions, des explorations personnalisables. Pour une équipe marketing de 2 personnes (ou un dirigeant seul), c'est comme recevoir le tableau de bord d'un Airbus quand on a besoin de celui d'une voiture. Le choix qui paralyse L'abondance d'options, de rapports et de dimensions finit par fatiguer les utilisateurs. C'est un phénomène bien documenté en sciences comportementales : le choice overload (surcharge de choix). Plus on a d'options, moins on est capable de choisir et plus on est insatisfait de son choix quand on en fait un. → Source : The Decision Lab – Choice Overload Bias Appliqué à l'analytics : plus d'informations ≠ meilleure décision. Au contraire, trop de données entraîne l'inaction. On ferme l'onglet, et on pilote à l'aveugle.2. La course aux « Vanity Metrics » Dans de nombreuses petites structures, les métriques qui occupent le haut des dashboards sont aussi celles qui aident le moins à décider :pages vues (sans savoir lesquelles convertissent), nombre total de sessions (sans distinction entre prospects et robots), taux de rebond (métrique ambiguë, souvent mal interprétée), visiteurs par pays (rarement actionnable pour une TPE locale).Ces indicateurs flattent l'ego "on a eu 10 000 visites ce mois !" mais ils ne disent rien sur la performance réelle d'un site. Le test des 3 questions Pour une TPE/PME, un tableau de bord utile devrait tenir en trois questions :Combien de personnes découvrent mon site ? (acquisition) Quelles pages génèrent le plus de demandes ou ventes ? (performance) Combien cela représente-t-il chaque semaine ? (résultat)Si votre outil ne permet pas d'y répondre immédiatement, il vous éloigne de votre objectif principal : comprendre ce qui fonctionne pour développer votre activité. Nous avons détaillé les indicateurs à retenir (et ceux à ignorer) dans notre guide La méthode "5 KPIs".3. Le coût caché de la complexité La data obésité ne coûte pas seulement du temps. Elle a trois coûts concrets que la plupart des entreprises sous-estiment. 3.1 Le coût technique : un site plus lent Les outils d'analytics traditionnels embarquent souvent des scripts lourds qui dégradent les Core Web Vitals les métriques de performance web que Google utilise comme critère de classement. Un audit indépendant de Bejamas montre que les scripts tiers (analytics, chat, pixels marketing…) peuvent fortement ralentir le chargement, avec le script d'analytics souvent en tête des contributeurs au temps de blocage du thread principal. → Source : Bejamas – How Popular Scripts Slow Down Your Website Le script de GA4 pèse environ 45 KB compressé. Les alternatives frugales pèsent entre 1 et 6 KB soit 7 à 45 fois moins. Comme nous l'expliquons dans notre article sur le SEO sans Google Analytics, cette différence a un impact direct sur les Core Web Vitals et donc potentiellement sur le référencement. Moins de vitesse = moins de conversions = moins de chiffre d'affaires. 3.2 Le coût juridique : le risque RGPD Plus on collecte de signaux géolocalisation fine, navigation inter-pages, identité technique, durée de session par page plus le risque juridique augmente. Chaque donnée collectée est une donnée à protéger, à documenter dans le registre de traitement, à justifier devant un contrôle. Pour rappel, la CNIL prévoit explicitement une exemption de consentement pour les outils de mesure d'audience respectueux de certaines conditions strictes de frugalité. Les outils qui collectent le strict minimum peuvent fonctionner sans bandeau cookies, sans consentement préalable, et avec une charge de conformité réduite. → Source officielle : CNIL – Cookies et outils de mesure d'audience Nous avons détaillé les conditions de cette exemption dans notre guide dédié. C'est probablement l'argument le plus sous-estimé en faveur de l'analytics frugale : en collectant moins, vous simplifiez mécaniquement votre conformité. 3.3 Le coût de confiance : les visiteurs qui refusent Un autre effet pervers de l'analytics classique : les bannières cookies. D'après le bilan 2023 de la CNIL, les pratiques de refus de cookies se sont considérablement développées depuis la mise en œuvre de son plan d'action : près de 40 % des visiteurs refusent le dépôt de cookies sur les sites ayant mis en conformité leurs bannières. → Source : CNIL – Évaluation de l'impact du plan d'action cookies Dans certains secteurs, une partie des visiteurs utilise aussi un bloqueur de publicités ou de scripts, ce qui amplifie encore la perte. Résultat : votre tableau de bord vous ment. Il ne vous montre qu'une fraction de votre audience réelle parfois seulement 50 à 60 %. Un outil cookieless, par conception, ne dépend pas du consentement. Il mesure 100 % des visites dès l'arrivée sur le site. C'est un argument business, pas seulement juridique.4. La solution : l'analytics frugale L'analytics frugale ne consiste pas à mesurer moins par manque d'ambition ou par idéologie. Elle consiste à mesurer mieux, en se concentrant sur ce qui :aide concrètement à décider, respecte la vie privée des visiteurs, ne ralentit pas le site, n'introduit pas de friction juridique.Ce que ça change concrètementAvant (Data Obésité) Après (Analytics Frugale)200+ métriques disponibles 5-7 KPIs actionnablesDashboard ouvert 1x/mois (et refermé aussitôt) Dashboard consulté chaque semaine, compris en 30 secondesBandeau cookies obligatoire, 40 % de perte Cookieless, 100 % des visites mesuréesScript de 45 KB, impact sur les Core Web Vitals Script de 1-6 KB, impact négligeableConformité RGPD complexe (CMP, registre, proxyfication) Exemption de consentement, conformité simplifiéeReporting mensuel de 40 pages Reporting de 10 lignes orienté résultatsL'analytics frugale, c'est l'équivalent de la cuisine de saison : moins d'ingrédients, mieux choisis, mieux préparés. Le résultat est meilleur que l'accumulation. Les principes fondamentauxCollecter uniquement ce qui sert à décider. Si une donnée ne change pas votre façon d'agir, ne la collectez pas. Simplifier pour démocratiser. Un dashboard que le dirigeant comprend a plus de valeur qu'un rapport que seul le data analyst peut interpréter. Respecter par conception. La conformité ne doit pas être un ajout ("on proxyfie GA4 pour se mettre en règle") mais un prérequis ("on choisit un outil qui est conforme nativement"). Mesurer la performance, pas les personnes. Les tendances agrégées (pages populaires, sources de trafic, taux de conversion) sont plus utiles et moins risquées que le suivi individuel.5. Par où commencer ? Si vous êtes convaincu que votre analytics actuel est trop complexe, voici les trois premières étapes. Étape 1 : Identifiez vos 5 KPIs. Utilisez la méthode des 5 KPIs pour définir les seuls indicateurs qui comptent pour votre activité. Si un indicateur ne passe pas le test "est-ce que je changerais ma façon de travailler si ce chiffre bougeait ?", supprimez-le. Étape 2 : Évaluez votre outil actuel. Comparez-le honnêtement aux alternatives. Notre comparatif des solutions d'analytics détaille les forces, faiblesses et prix de chaque famille (GA4, Matomo, frugal). Étape 3 : Testez. La plupart des solutions frugales s'installent en 2 minutes (un script à coller) et offrent un essai gratuit. Faites tourner les deux outils en parallèle pendant un mois. Comparez : lequel vous donne une réponse plus vite ?Conclusion : mettez votre analytics au régime L'époque où l'on collectait des données "juste au cas où" est derrière nous. La réglementation, les performances web et le bon sens convergent vers le même constat : moins de données, mieux choisies, c'est mieux pour tout le monde pour l'entreprise, pour les visiteurs, et pour le web. Pour 2026, la meilleure stratégie pour une PME n'est pas d'ajouter des dashboards, mais d'en retirer. Moins de bruit. Moins de friction. Plus de décisions concrètes. L'analytics frugale, c'est remettre la donnée au service du business, pas l'inverse.FAQ : comprendre l'analytics frugale Qu'est-ce que l'analytics frugale ? Une approche de la mesure d'audience qui limite la collecte au strict nécessaire pour prendre une décision business. Elle repose sur trois principes : collecter uniquement ce qui sert à décider, privilégier les données agrégées aux profils individuels, et choisir des outils conformes par conception (sans cookies, sans profils utilisateurs). Quels indicateurs garder absolument ? Visiteurs uniques, sources de trafic, top pages, événements clés (clics CTA, formulaires), et conversions. Ces 5 métriques suffisent pour piloter la performance d'un site vitrine, d'un blog ou d'un petit e-commerce. Tout le reste est du bonus ou du bruit. Peut-on faire de l'analytics frugale avec GA4 ? Techniquement oui, mais cela nécessite une expertise avancée : désactiver la collecte granulaire, configurer le consentement, proxyfier les données pour la conformité RGPD, et créer des rapports personnalisés limités aux KPIs essentiels. Pour la majorité des PME, c'est plus simple et moins risqué de choisir un outil nativement frugal. L'analytics frugale est-elle suffisante pour un e-commerce ? Pour un petit e-commerce (moins de 1 000 commandes/mois), oui. Les 5 KPIs essentiels couvrent l'acquisition, l'engagement et la conversion. Pour un e-commerce avec des besoins d'attribution multi-canal, de retargeting, ou de segmentation avancée, un outil plus complet (Matomo, GA4) sera nécessaire mais le principe de frugalité reste applicable : commencez par les KPIs essentiels, et n'ajoutez de la complexité que si elle est justifiée. Combien d'entreprises utilisent réellement le Big Data ? Selon Eurostat, seulement 8 % des entreprises de l'Union Européenne analysent du Big Data. Pour les PME, le chiffre est encore plus bas. La grande majorité des petites structures n'a ni les équipes, ni les outils, ni le besoin de collecter massivement des données. L'analytics frugale est l'approche adaptée à cette réalité.