Pourquoi je ne mets pas de bandeau RGPD sur les sites de mes clients
Le bandeau cookies n'est pas une obligation : c'est la conséquence du tracking. Voici comment je sors du jeu en supprimant les traceurs, et comment j'installe Matomo en self-hosted quand la mesure d'audience est vraiment nécessaire.
Quand on visite un site français en 2026, on est accueilli par un pop-up. Trois colonnes, des cases pré-cochées, un bouton « Tout accepter » mis en avant et un lien « Personnaliser » planqué en bas en gris clair. C'est devenu si banal qu'on l'accepte machinalement, ce qui est exactement le but. Mais cette friction n'est pas une obligation légale — c'est la conséquence directe d'un choix technique : poser des traceurs.
Sur les sites que je conçois pour mes clients, je n'en mets pas. Pas par fainéantise réglementaire, pas par insouciance — au contraire, par conformité maximale. Voici la logique, et la stack qui permet de rester strictement RGPD sans jamais embêter le visiteur avec un consentement.
Le bandeau, c'est la sanction d'un choix technique
L'article 82 de la loi Informatique et Libertés, transposition de la directive ePrivacy, dit deux choses simples : (1) tout dépôt ou lecture d'information sur le terminal de l'utilisateur (cookie, localStorage, fingerprint) nécessite un consentement préalable, libre et éclairé ; (2) sauf exception explicite — cookies strictement nécessaires au fonctionnement du service, mesure d'audience exemptée par la CNIL.
Conclusion mécanique : si vous ne posez aucun cookie soumis à consentement, vous n'avez rien à demander. Pas de bandeau, pas de débat sur la formulation du « refuser tout », pas de Cookiebot facturé 9 € par mois. La conformité s'obtient en amont, dans le code, pas en surcouche dans un widget.
Quatre choix techniques qui suppriment le besoin de bandeau
Sur un site vitrine ou e-commerce léger pour TPE-PME, on peut atteindre zéro cookie soumis à consentement avec quatre décisions :
- Pas de Google Analytics, pas de GTM, pas de Meta Pixel, pas de TikTok Pixel, pas de LinkedIn Insight, pas de Hotjar. Tous ces outils déposent des cookies de profilage soumis à consentement, point.
- Pas de Google Fonts servies par fonts.googleapis.com (qui leak l'IP du visiteur à Google) — on télécharge les polices au build et on les sert depuis le domaine du site (next/font fait ça nativement).
- Pas de Google Maps en iframe ni en script chargé sur la home — on remplace par OpenRouteService ou MapLibre + tuiles MapTiler/IGN si une carte est vraiment nécessaire.
- Pas de YouTube embeds standards (qui posent des cookies dès l'arrivée sur la page) — on utilise youtube-nocookie.com avec lazy-load au clic, ou on bascule sur une vidéo auto-hébergée.
À ce stade, il reste éventuellement un cookie technique strictement nécessaire — celui de Cloudflare Turnstile pendant la durée d'un challenge anti-spam, par exemple, ou un cookie de session si vous avez vraiment besoin de paniers e-commerce. Ces cookies sont exemptés de consentement par la CNIL (délibération 2020-091). Aucun bandeau requis.
« Mais comment je sais combien de visiteurs j'ai ? »
C'est la vraie question. Pour 70 % des TPE que je croise, la réponse honnête est : « pas besoin de le savoir au visiteur près ». Vous savez déjà combien de leads passent par le formulaire de contact (mail). Vous voyez les positions Search Console. Vous avez les ventes. Le vanity metric « 1 247 visiteurs uniques cette semaine » ne change rien à votre business — surtout si la moitié sont des bots.
Pour les 30 % restants — sites e-commerce, sites avec funnel de conversion à optimiser, sites éditoriaux — on installe Matomo en self-hosted. Et on le configure pour rester exempté de bandeau.
Matomo self-hosted, le seul setup que je recommande
Matomo, c'est l'alternative open source à Google Analytics. Mais attention : il existe deux versions — Matomo Cloud (SaaS, hébergé chez Matomo en Europe ou aux US selon le plan) et Matomo self-hosted (vous l'installez sur votre serveur). Seul le second permet la conformité maximale, et c'est ce que j'installe pour mes clients.
Le déploiement type est un conteneur Docker sur le même serveur que le site, avec une base PostgreSQL ou MariaDB, derrière un sous-domaine type stats.client.fr. Sauvegardes automatiques chiffrées, mises à jour mensuelles. Coût d'hébergement marginal : quelques euros par mois sur un VPS qui héberge déjà d'autres choses.
Le réglage RGPD qui supprime le bandeau, étape par étape
Pour rester dans l'exemption CNIL « mesure d'audience strictement nécessaire », Matomo doit être configuré comme suit :
- Anonymisation IP : tronquer les 2 derniers octets (IPv4) ou les 80 derniers bits (IPv6) avant tout traitement.
- Désactiver la création de cookies traceurs : Matomo propose un mode « cookieless » qui utilise un fingerprint serveur basé sur IP anonymisée + UA pour reconstituer une session sans poser de cookie.
- Limiter la durée de conservation des données détaillées à 13 mois maximum, agrégation au-delà.
- Désactiver le User ID, le tracking cross-site, l'enrichissement des données par des tiers.
- Pas d'export vers BigQuery, Google Ads, Meta Ads. Si vous voulez du retargeting, c'est avec consentement et donc avec bandeau, on a quitté l'exemption.
Une fois configuré ainsi, Matomo entre dans l'exemption de la délibération CNIL n° 2020-091 sur la « mesure d'audience exemptée de consentement ». Vous mesurez pages vues, sessions, sources de trafic, parcours, conversions — sans bandeau, sans cookie de tracking, sans transmission à un tiers.
Et Plausible, Umami, GoatCounter ?
Plausible et Umami sont d'excellentes alternatives à Google Analytics, plus légères que Matomo et nativement « cookieless ». Plausible est hébergé en Allemagne (Hetzner Helsinki par défaut), Umami est plus souvent self-hosted. Pour un site très simple, je préconise parfois Umami self-hosted en remplacement de Matomo — c'est plus léger côté performance et plus rapide à provisionner.
GoatCounter mérite une mention : extrêmement minimaliste, gratuit pour les petits sites, hébergé par son auteur indépendant. Bon choix pour un blog perso ou un site associatif.
Le critère de sélection : self-hosted dès que possible. SaaS européen sinon. Jamais Google Analytics.
Combien ça coûte vraiment de ne pas tracker
Sur un site sans bandeau ni traceur, vous économisez : la licence Cookiebot ou Axeptio (200 à 600 € par an), le temps passé à debugger les variations de consentement entre Chrome et Safari, les conversions perdues à cause des visiteurs qui cliquent « refuser » et ne reviennent pas. Vous gagnez : un score Lighthouse 95+ sans effort, une PdC qui tient sur une page, et des visiteurs qui ne vous prennent pas pour une régie publicitaire.
Le coût pour ajouter Matomo self-hosted : ~30 minutes de provisioning sur l'infra existante, plus la maintenance mensuelle (mises à jour de sécurité). Sur les sites que je gère, c'est inclus dans la prestation d'hébergement managé. Pour un client qui héberge ailleurs, je le facture à l'unité.
Le résumé en deux lignes
Le bandeau cookies n'est pas une obligation : c'est la conséquence d'un choix de tracking. Si vous supprimez les traceurs, vous supprimez le bandeau. Et si vous avez vraiment besoin de mesurer, Matomo self-hosted bien configuré couvre 95 % des cas — le tout en restant strictement conforme au RGPD et à la doctrine CNIL, sans jamais déranger un visiteur.
Si vous voulez auditer votre site actuel pour identifier ce qui justifie votre bandeau et voir ce qu'on peut supprimer, c'est généralement la première étape d'une prestation de mise en conformité — comptez deux à quatre heures pour la passe complète, recommandations à la clé.
Articles liés
Un système de réservation taxi sans cookie, sans backend, sans GAFAM
Étude de cas Taxi Ghis : comment j'ai remplacé une usine à gaz SaaS américaine par une stack Next.js auto-hébergée, 100 % européenne, zéro cookie de tracking et zéro base de données.
InfrastructureConvertir un Template Proxmox OVH de LVM vers ZFS
Guide complet pour activer la réplication et la haute disponibilité sur vos serveurs Proxmox. Migration pas-à-pas de LVM vers ZFS.