Prestation de mise en conformité Matomo dans le cadre du RGPD
J’ai eu cette semaine à effectuer un audit d’une installation de Matomo afin de m’assurer que celle-ci était conforme aux directives de la CNIL quand à une exemption de consentement. Je me suis dit qu’il pourrait être intéressant de vous partager ici ma méthode de travail.
Pourquoi s’intéresser à Matomo?
Matomo, au même titre que beaucoup d’autres solution analytics a fait l’objet d’un dossier remis à la CNIL pour pouvoir bénéficier d’une exemption de consentement de la part des visiteurs arrivant sur votre site. Pour faire simple, avec Matomo vous pouvez collecter et analyser le comportement de vos visiteurs là ou pour d’autres il faut l’accord explicite des visiteurs (chose qu’ils font assez rarement).
Ce dossier a été constitué par l’équipe de Matomo pour répondre à des exigences que vous pouvez consulter sur ce lien: https://www.cnil.fr/sites/default/files/atoms/files/formulaire_programme_daccompagnement.odt (il est très intéressant de s’attarder sur le point 1 qui montre que des solutions type Google Analytics ne pourront jamais être exemptes de consentement… à moins de devenir des associations à but non lucratif).
Une fois ce dossier étudié, la CNIL envoie ses remarques à l’éditeur et une partie de tennis de table s’effectue jusqu’à ce que le dossier soit validé et fasse l’objet du guide de mise en conformité que vous retrouverez ici: https://www.cnil.fr/sites/default/files/atoms/files/matomo_analytics_-exemption-_guide_de_configuration.pdf (on est donc sur un document analysé à un instant t et non évolutif).
A ma connaissance, Matomo est le seul logiciel libre qui est exempt de consentement. Mon point de vue personnel, est qu’il répond bien plus que toutes les autres solutions analytics aux besoins du moment qui sont la transparence et la gouvernance numérique (mais bon toutes les organisations ne sont pas encore à ce stade de maturité).
En quoi consiste un audit de mise en conformité Matomo dans le cadre du RGPD?
Tout simplement, à suivre à la lettre les directives qui sont dans ce fameux guide de mise en conformité https://www.cnil.fr/sites/default/files/atoms/files/matomo_analytics_-exemption-_guide_de_configuration.pdf. Exit toutes les interprétations d’articles de blog, je me concentre sur une seule chose, ce que dit la CNIL, je vérifie chacun des points et m’entretiens avec le client pour m’assurer que chaque critère est bien compris et respecté. Bref, rien de compliqué, vous lisez, vous appliquez et honnêtement, le plus difficile, ce n’est pas Matomo, c’est la page de confidentialité des données à produire… qui est une obligation depuis l’entrée du RGPD soit mai 2018.