Configurer Matomo pour un site de mairie : guide étape par étape conforme CNIL
Mesurer la fréquentation de votre site municipal sans bandeau de consentement, c'est possible — à condition de respecter les cinq conditions de la délibération CNIL n°2020-091. Voici comment installer et configurer Matomo proprement pour bénéficier de l'exemption.
Pourquoi Matomo plutôt que Google Analytics pour une mairie
Pour une collectivité française, le choix de l'outil de mesure d'audience est encadré par deux contraintes spécifiques : la protection des données des administrés dans le cadre d'une mission de service public, et la recommandation explicite de la CNIL d'utiliser des solutions hébergées dans l'Union Européenne.
Google Analytics, dans sa configuration standard, transfère les données vers des serveurs aux États-Unis soumis au Cloud Act. Les autorités de protection des données autrichienne, néerlandaise et italienne ont déjà jugé cette configuration non conforme. La CNIL n'a pas interdit GA4, mais elle recommande Matomo self-hosted pour les organismes publics.
L'avantage décisif de Matomo bien configuré : l'exemption de consentement. Pas de bandeau cookies à afficher, pas de scripts à bloquer en attente d'acceptation, et une expérience utilisateur plus fluide pour vos administrés. À condition de respecter les cinq conditions cumulatives ci-dessous.
Avant de commencer : self-hosted ou cloud ?
Deux modes d'installation possibles. Matomo self-hosted est gratuit et offre le contrôle total : vous installez le logiciel sur l'infrastructure de la collectivité ou chez un hébergeur français. C'est l'option recommandée par la CNIL et c'est ce que choisissent la majorité des collectivités qui ont une DSI ou un prestataire web. Matomo Cloud EU est payant (à partir de 23€/mois) mais ne demande aucune compétence technique : vous obtenez une instance déjà configurée, hébergée en Europe.
Pour une mairie sans ressources techniques internes, Matomo Cloud EU peut être une option pragmatique. Pour une collectivité qui a déjà une DSI ou un prestataire qui gère le site, le self-hosted est plus économique sur le long terme et plus aligné sur la recommandation CNIL.
Délibération CNIL n°2020-091
C'est cette délibération qui définit l'exemption de consentement pour les outils de mesure d'audience. Les cinq conditions doivent être satisfaites simultanément — il suffit qu'une seule manque pour basculer dans le régime de consentement obligatoire.
Les 5 étapes de configuration Matomo conforme CNIL
Le parcours ci-dessous reprend les cinq conditions cumulatives de l'exemption, traduites en actions concrètes dans l'admin Matomo et dans la documentation de votre site municipal.
1
Choisir un hébergement dans l'Union Européenne
L'exemption CNIL n°2020-091 exige que les données ne quittent pas l'UE. Trois options solides pour une mairie : auto-hébergement sur l'infrastructure existante de la collectivité (si DSI mutualisée), hébergeur mutualisé français comme OVH, Infomaniak ou o2switch (5 à 15€/mois), ou Matomo Cloud version Europe. Évitez impérativement tout hébergeur dont les serveurs ou la maison-mère sont aux États-Unis.
2
Installer Matomo en version self-hosted ou cloud
Pour le self-hosted : téléchargez Matomo sur matomo.org, uploadez via FTP, suivez l'assistant d'installation (compte 30-45 minutes en tout). Pour Matomo Cloud EU : créez un compte sur fr.matomo.org et choisissez explicitement un hébergement européen lors de la création de l'instance. Pour les sites WordPress courants en mairie, le plugin officiel « Matomo for WordPress » simplifie l'installation à quelques clics.
3
Anonymiser les adresses IP (2 octets)
Administration → Vie privée → Anonymisation. Activez « Anonymiser l'adresse IP » avec la valeur recommandée de 2 octets (par exemple 192.168.x.x devient 192.168.0.0). Cette anonymisation doit avoir lieu AVANT tout traitement, ce qui est le cas par défaut dans Matomo si l'option est activée. C'est la première condition stricte de l'exemption CNIL.
4
Désactiver le fingerprinting et configurer la durée de conservation
Toujours dans Administration → Vie privée : désactivez la création d'identifiants utilisateurs à partir des empreintes de navigateur. Configurez ensuite la durée de conservation maximale à 390 jours (13 mois) ou 25 mois selon votre politique. Les enregistrements bruts plus anciens sont automatiquement purgés, seules les statistiques agrégées sont conservées. Cette purge automatique est ce qui rend votre conformité durable sans intervention manuelle.
5
Mettre à jour la politique de confidentialité de la mairie
Ajoutez une section explicite mentionnant : l'utilisation de Matomo pour la mesure d'audience, le fait que vous bénéficiez de l'exemption de consentement prévue par la délibération CNIL n°2020-091, la durée de conservation choisie, et le lien vers le formulaire d'opposition (Matomo intègre nativement un bouton de désactivation à insérer dans la politique). Cette mention est la cinquième condition cumulative — sans elle, les quatre autres ne suffisent pas.
Vérifiez la conformité de votre site municipal en 30 secondes
Scanality détecte automatiquement les cookies, traceurs et scripts actifs sur votre site — y compris ceux déposés avant consentement. Idéal pour vérifier qu'après installation Matomo, aucun traceur Google Analytics ne traîne dans une page oubliée. Gratuit, sans carte bancaire.
Une fois les cinq étapes réalisées, quatre vérifications permettent de confirmer que votre mairie est effectivement en conformité — et de disposer des preuves utiles en cas de contrôle.
Dans l'admin Matomo
Administration → Vie privée → toutes les options d'anonymisation sont actives (IP, géolocalisation grossière, durée de conservation paramétrée).
Dans votre navigateur
Ouvrez les outils développeur (F12), onglet Réseau, rechargez votre site municipal. Vous devez voir des requêtes vers votre propre domaine Matomo (matomo.mavilles.fr par exemple) — jamais vers matomo.cloud ou un domaine américain.
Dans la politique de confidentialité
Mention explicite de Matomo, de l'exemption CNIL, de la durée de conservation, et lien vers le formulaire d'opposition. C'est le document qui sera demandé en cas de contrôle.
Dans le registre des traitements
Ajoutez une fiche « Mesure d'audience du site web » avec la base légale (intérêt légitime pour mission de service public), les données collectées, la durée de conservation, et le destinataire (Matomo / DSI interne).
Et les rapports de fréquentation pour le conseil municipal ?
Une fois Matomo installé, reste la question des rapports : produire chaque mois un tableau de bord lisible pour les élus prend du temps si c'est fait manuellement. Connecter votre instance Matomo à un outil de reporting automatique permet de recevoir un PDF ou un PowerPoint prêt à être présenté en séance, sans manipulation.
C'est exactement ce que Scanality propose pour les collectivités : un rapport automatique généré depuis votre Matomo, avec les KPI utiles aux élus (visites, pages les plus consultées, sources de trafic, évolution mensuelle), sans nécessiter d'expertise technique.
Automatisez vos rapports de fréquentation municipal
Connectez votre Matomo à Scanality et recevez vos rapports PDF automatiquement chaque mois — prêts à être présentés en conseil municipal.
Beaucoup de sites de mairie ont été configurés il y a quelques années avec Google Tag Manager. Même après avoir retiré le tag GA4, il arrive que GTM reste actif et continue de charger des scripts non identifiés. Vérifiez dans le code source de votre site qu'aucune balise gtm.js ne subsiste, et qu'aucun cookie de la famille _ga ou _gid n'est plus déposé.
Le sous-domaine matomo.mavilles.fr et les cookies tiers
Si vous hébergez Matomo sur un sous-domaine de la mairie (ex. matomo.ville-exemple.fr), les cookies déposés par Matomo restent considérés comme « first-party » par les navigateurs récents ce qui préserve la qualité du tracking. Évitez d'utiliser un domaine tiers complètement distinct, qui basculerait dans le régime des cookies tiers et fragiliserait votre setup.
Les services en sous-traitance qui ré-injectent du tracking
Les solutions de chat en ligne, de prise de rendez-vous citoyen, de paiement de cantines ou de réservation de salles communales intègrent souvent leurs propres trackers. Une fois Matomo configuré côté site, relancez un audit complet pour identifier ces traceurs cachés — sinon l'exemption tombe.
Une seule condition manquante = bandeau obligatoire
Les cinq conditions de la délibération CNIL n°2020-091 sont cumulatives. Si votre hébergeur bascule un serveur hors UE, si vous activez accidentellement le fingerprinting, ou si la politique de confidentialité ne mentionne plus Matomo après une refonte du site, l'exemption tombe — et un bandeau de consentement redevient obligatoire avant tout dépôt de cookie analytics.
Questions fréquentes
Une mairie peut-elle utiliser Matomo sans bandeau de consentement ?
Oui, à condition de satisfaire les cinq conditions cumulatives de la délibération CNIL n°2020-091 : anonymisation IP, absence de fingerprinting, hébergement UE, absence de partage avec des tiers, et information dans la politique de confidentialité. Si une seule condition manque, le bandeau redevient obligatoire.
Quel hébergement choisir pour Matomo dans une mairie ?
Trois options conformes : auto-hébergement sur l'infrastructure de la collectivité, hébergeur français mutualisé (OVH, Infomaniak, o2switch à partir de 5€/mois), ou Matomo Cloud EU. Évitez tout hébergeur dont les serveurs ou la maison-mère sont aux États-Unis.
Combien de temps Matomo peut-il conserver les données pour une mairie ?
La CNIL recommande 25 mois maximum pour les données analytics. Beaucoup de collectivités configurent 13 mois (390 jours) pour rester conservateur et aligner la durée sur celle du consentement, ce qui simplifie la gestion documentaire.
Faut-il déclarer Matomo à la CNIL pour une mairie ?
Non. Depuis le RGPD en 2018, les déclarations préalables à la CNIL sont supprimées. En revanche, vous devez tenir un registre des traitements interne et y inscrire l'utilisation de Matomo, et mentionner l'outil dans la politique de confidentialité du site municipal.
Comment vérifier que Matomo est bien configuré en mode exemption ?
Trois vérifications : (1) dans Matomo Administration → Vie privée, toutes les options d'anonymisation actives ; (2) F12 → Réseau, les requêtes partent vers votre domaine Matomo, jamais vers matomo.cloud ; (3) politique de confidentialité à jour avec mention explicite et formulaire d'opposition. Un audit RGPD automatique permet de vérifier ces trois points en quelques secondes.
Une mairie outillée en quelques clics
Audit RGPD, rapports de fréquentation automatiques et surveillance de disponibilité — testez Scanality gratuitement pour votre site municipal, sans carte bancaire.