Le cadre juridique : pourquoi une exemption est possible

Le principe de base est posé par l'article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy européenne : tout traceur déposé sur le terminal d'un utilisateur nécessite son consentement préalable, sauf s'il est strictement nécessaire à la fourniture du service.

La CNIL a précisé dans ses lignes directrices de 2020 que cette exception s'applique à la mesure d'audience, à condition que les traceurs respectent un ensemble de critères cumulatifs.

Schéma 1 — Règle générale vs exemption de consentement Règle générale (ePrivacy / Art. 82) Tout traceur sur le terminal d'un utilisateur nécessite son consentement préalable → Bannière cookies obligatoire → Opt-in explicite requis SAUF Exemption de consentement (CNIL) Traceurs strictement nécessaires à la mesure d'audience anonyme sans consentement requis → Pas de bannière nécessaire → Données anonymes uniquement

Les conditions cumulatives pour bénéficier de l'exemption

L'exemption n'est pas automatique. Elle repose sur quatre critères que l'outil et sa configuration doivent respecter simultanément.

Schéma 2 — Les 4 conditions cumulatives fixées par la CNIL 1 Finalité strictement limitée Mesure d'audience uniquement : performances, navigation, ergonomie, capacité serveur, contenus consultés. Pour le compte exclusif de l'éditeur. 2 Données statistiques anonymes Les traceurs doivent produire uniquement des statistiques agrégées et anonymisées. Aucune donnée nominative ou identifiante. 3 Pas de croisement ni de partage Les données ne doivent pas être croisées avec d'autres traitements (CRM, pub…) ni transmises à des tiers. 4 Pas de suivi global inter-sites Les traceurs ne doivent pas permettre de suivre un utilisateur sur différents sites ou applications. Pas de cross-domain tracking. Ces 4 conditions sont cumulatives — toutes doivent être respectées simultanément.

Source : CNIL – Cookies : solutions pour les outils de mesure d'audience

Les recommandations pratiques de la CNIL

Au-delà des conditions techniques, la CNIL formule des recommandations opérationnelles que les éditeurs de sites doivent respecter pour maintenir leur statut d'exemption.

Schéma 3 — Recommandations pratiques (durées et obligations) Information utilisateur Mentionner dans la politique de confidentialité 13 mois max durée de vie du cookie sans renouvellement auto 25 mois max conservation des données brutes Réexamen régulier Vérifier et ajuster périodiquement les durées
⚠️ Point d'attention – transferts de données hors UE Le fait qu'un outil soit exempté de consentement au titre de la directive ePrivacy est sans incidence sur les règles relatives aux transferts de données hors UE au titre du RGPD. Les deux cadres s'appliquent indépendamment.
Source : CNIL – Mesure d'audience et transferts de données

Le programme d'évaluation CNIL et son évolution

En mars 2021, la CNIL a lancé un programme d'évaluation formel : les éditeurs soumettaient un dossier de candidature, que la CNIL auditait manuellement. Les solutions validées apparaissaient sur une liste officielle publiée sur le site de l'autorité.

Depuis juillet 2025, ce dispositif a évolué : la CNIL a remplacé l'audit manuel par un outil d'auto-évaluation à disposition des fournisseurs. Chaque éditeur doit désormais démontrer lui-même que sa solution respecte les critères. La liste des solutions historiquement auditées reste consultable jusqu'au 1er janvier 2026.

Schéma 4 — Évolution du programme d'évaluation CNIL 2020 Lignes directrices CNIL publiées Mars 2021 Lancement du programme d'évaluation (audit manuel CNIL) Liste officielle en croissance continue Juil. 2025 Passage à l'auto-évaluation 1er jan. 2026 Suppression de l'ancienne page

Les outils analytics concernés par l'exemption

Choisir un outil dans cette liste ne suffit pas : il faut appliquer scrupuleusement le guide de configuration publié par l'éditeur sur le site de la CNIL. Sans ce paramétrage, l'outil collecte des données au-delà de ce qu'autorise l'exemption.

Solution Éditeur Paramétrage requis
Piano Analytics (ex AT Internet)AT Internet / PianoGuide CNIL obligatoire
Piwik PRO Analytics SuitePiwik PROGuide CNIL obligatoire
Matomo AnalyticsInnoCraftGuide CNIL obligatoire
Adobe AnalyticsAdobeGuide CNIL obligatoire
Wysistat BusinessWysistatNatif (sans paramétrage)
SmartProfileNet Solution PartnerGuide CNIL obligatoire
Abla AnalyticsAstra PortaGuide CNIL obligatoire
BEYABLE AnalyticsBEYABLEGuide CNIL obligatoire
Alphalyr AnalyticsAlphalyrGuide CNIL obligatoire
Analyse d'Admo.tvAdmo.tvGuide CNIL obligatoire
AdPerformanceRealyticsGuide CNIL obligatoire
NPAW SuiteNPAWGuide CNIL obligatoire
Module Commanders ActCommanders ActGuide CNIL obligatoire

Source : CNIL – Cookies : solutions pour les outils de mesure d'audience

Focus sur les paramètres clés des outils majeurs

Piano Analytics 1ère solution validée CNIL (2021)

En mode exempté, Piano Analytics applique automatiquement plusieurs contraintes décrites dans son guide de configuration officiel :

  • Anonymisation de l'adresse IP par troncature du dernier octet
  • Désactivation des imports de données externes
  • Blocage des exports de données non agrégées
  • Aucune interconnexion avec d'autres solutions par défaut

Source : Guide de configuration Piano Analytics / AT Internet, CNIL

Matomo Analytics Open source

Matomo utilise uniquement des cookies first-party par défaut. Le guide CNIL impose de désactiver :

  • Le cross-domain tracking et les cookies tiers
  • La mesure du User ID (email, login, pseudo)
  • La mesure e-commerce
  • Le journal des visites et les profils visiteurs en temps réel
  • Activer l'anonymisation de l'IP (au moins le dernier octet)

Source : Guide de configuration Matomo Analytics, CNIL

Piwik PRO Analytics Suite CMP intégrée

Piwik PRO peut collecter des données quel que soit le statut de consentement, à condition de configurer :

  • Le masquage d'au moins 1 octet de l'adresse IP
  • L'option "Collecter des données sans utiliser de cookies" pour les non-consentants
  • La désactivation des intégrations externes
  • L'interdiction de croiser les données d'exemption avec d'autres sources

Source : Guide de configuration Piwik PRO, CNIL

Adobe Analytics Validé août 2024

Dernière solution enterprise à avoir intégré la liste CNIL, dans sa version disponible au 26 août 2024. Destinée aux grandes organisations avec des volumes importants. L'exemption repose sur un guide de configuration spécifique à appliquer impérativement.

Source : CNIL – Cookies : solutions pour les outils de mesure d'audience

Ce que l'exemption ne couvre pas

Schéma 5 — Ce qui est autorisé et interdit sous le régime de l'exemption ✓ Autorisé Nombre de visites et pages vues Sources de trafic (référents, campagnes) Type de terminal, navigateur, écran Temps de chargement des pages Parcours de navigation agrégé Localisation (ville/région, anonyme) Taux de rebond, durée de session ✗ Interdit User ID (email, login, pseudo) Suivi e-commerce individuel Cross-domain tracking Croisement avec CRM ou données pub Partage des données avec des tiers Heatmaps et enregistrements sessions Personnalisation et ciblage
Rappel important Toute finalité marketing, publicitaire ou de personnalisation nécessite un consentement explicite de l'utilisateur, même si votre outil analytics est par ailleurs configuré en mode exempté.
En pratique : que faire dès maintenant ? Vérifiez que votre outil figure dans la liste CNIL, appliquez son guide de configuration officiel, documentez vos paramètres (version, durées, métriques activées), et mentionnez l'usage de traceurs dans votre politique de confidentialité. Depuis juillet 2025, utilisez l'outil d'auto-évaluation CNIL pour vérifier votre conformité.
Piano Analytics Matomo Piwik PRO Trust Commander CNIL

À lire aussi

Mesure hybride : collecter plus sans dépendre du consentement Comment combiner le régime d'exemption avec une collecte enrichie pour les visiteurs consentants — sans jamais fusionner les deux flux.

Sources officielles

Besoin d'aide pour configurer votre outil en mode exempté ?

La mise en conformité CNIL demande un paramétrage précis. Échangeons sur votre setup actuel et ce qu'il faut ajuster.

Prendre RDV →