Matomo Cloud : désactiver le consentement automatique

[studiowa]

Bonjour

D'abord, un grand merci @AmauriC pour ton travail.

Voici le retour suite à un audit RGPD d'un site client :
"Les cookies nécessaires peuvent être activés par défaut mais les cookies Matomo doivent absolument être désactivés par défaut."

J'ai épluché les discussions et pour moi le consentement n'est pas obligatoire lorsque Matomo est configuré selon les recommandations de la CNIL mais je me trompe peut-être ? Le site de la Commission Européenne utilise Matomo et propose effectivement de ne pas les activer.

Dans le doute, est-ce envisageable d'ajouter une fonctionnalité pour désactiver l’autorisation par défaut ?

Si une autre alternative existe, je suis preneur.
Les avis, conseils et expertises sont les bienvenus :)

Merci

[Insky64]

Bonjour @studiowa
Le sujet m'intéresse fortement, aussi je me permets d'intégrer le message plutôt que d'en recréer un qui traite de cette thématique. De mon côté j'ai une version auto-hébergée (et configurée de façon à pouvoir s'exempter du consentement).

Correctement configuré, Matomo permet d'être exempté du consentement de l'utilisateur, le site de la CNIL le confirme.

Par contre, après renseignement auprès d'une spécialiste RGPD, on m'a confirmé que le site doit malgré tout informer de la présence de cette solution respectueuse de la vie privée et donner à la possibilité à l'internaute de refuser le cookie. La bonne configuration - même anonymisée - ne permet donc pas de "pister" quelqu'un qui ne le souhaite pas.

Je suis en train de basculer de GA à Matomo et je me demandais justement comment aller réagir l'extension TAC. Est-ce que l'extension TAC en mode auto est capable de détecter si la configuration Matomo est conforme RGPD ou réagira-t-elle de la même manière peu importe la configuration de Matomo?

J'essaie de trouver une solution pour maximiser l'échantillon de trafic capté. Une solution serait qu'à la première visite apparaisse le bandeau indiquant la présence des cookies et de Matomo mais que la procédure pour refuser les cookies Matomo ne soit pas le clic sur "refuser" de la bannière (qui bloquerait tout en vrac), mais d'aller sur la page de gestion des cookies le décocher manuellement. Cela signifie qu'il faudrait que lorsque la personne clique sur "refuser" sur le premier bandeau, cela ne désactive pas les cookies Matomo.

Néanmoins, je ne sais pas si cela est légalement conforme ni techniquement réalisable ?
Peut-être que cela rejoint votre problématique ?

Edit : je reste étonné du peu d'informations qualifiées partagées à ce sujet. On entend parler de RGPD partout, tout le temps et ses contours opérationnels restent toujours un peu flous.

[studiowa]

Bonjour @Insky64

Je ne sais pas si cela répond à ta question mais tu peux supprimer le bouton "Tout refuser" dans les paramètres :
"DenyAllCta" : false

Cela permet aux utilisateurs de personnaliser leur choix s'ils le souhaitent et les incite simplement à "Tout accepter"

[AmauriC]

C'est une très mauvaise pratique, refuser (tout ou partiellement) doit être aussi facile qu'accepter 🙃

[studiowa]

Ok ! Merci @AmauriC

Je comprends la raison mais dans ce cas, pourquoi l'option existe ?

[AmauriC]

C'est très vieux comme option, ça va être supprimé de la nouvelle version de tac ;)

[studiowa]

Bonne idée ;-) Encore bravo et merci pour ton travail et ta disponibilité.

[AmauriC]

Bonjour @studiowa @Insky64 :)

Matomo est par défaut refusé mais est, en mode manuel, quand même chargé avec la mention "requireConsent" (https://developer.matomo.org/guides/tracking-consent) qui désactive les cookies et le tracking.
En mode auto il est par défaut désactivé et non chargé.

Donc normalement, c'est ok.

Tarteaucitron ne peux pas détecter si la configuration Matomo est conforme mais je part du principe que si tarteaucitron est installé, matomo est logiquement configuré de façon a respecter les règles ;)

[studiowa]

Bonjour @AmauriC @Insky64

Je ne suis pas sûr de bien comprendre.

J'ai installé Matomo en mode auto-hébergé en suivant les recommandations de la CNIL. Je l'intègre via tarteaucitron.js (Matomo Cloud (privacy by design)) et de mon côté, le consentement est "Autorisé" par defaut (voir capture).

Est-ce une mauvaise configuration de ma part ?

Merci

[AmauriC]

C'est Matomo classique, pas la version cloud.
La mise en "non activé" par défaut sur la version cloud est assez récente, vérifiez que les fichiers tarteaucitron sont bien à jour ;)

[studiowa]

Bonjour @AmauriC

J'ai mis à jour la version 1.12.0

Je vois que le service 'matomo' est à nouveau disponible. Celui-ci correspond bien au service Matomo Autohébergé ?

J'ai souhaité l'utiliser cependant, le consentement est Autorisé par defaut.
Comme évoqué dans mon premier post, selon l'auditeur de mon client localisé en Allemagne, cela n'est pas conforme au nouveau RGPD Européen. Il faut dans tous les cas demander le consentement de l'utilisateur et qu'il ne soit pas accepté par défaut.

J'ai pour le moment garder le service 'matomocloud'. Est-ce une erreur d’utilisation de ma part ?
Peux-tu m'éclairer stp ?

Merci d'avance

[AmauriC]

J'ai remis le service parce que certains clients en ont besoin mais il est préférable d'utiliser "Matomo Cloud (privacy by design)" qui demande le consentement systématiquement et fonctionne ensuite de la même manière que ce soit cloud ou autohebergé.

[studiowa]

Merci pour ces précisions !

Peux-tu simplement me confirmer que l’installation de mon JS Path avec Matomo Autohébergé est correcte stp ?

tarteaucitron.user.matomoHost = 'https://urlmatomoautoheberge.com/';
tarteaucitron.user.matomoCustomJSPath = 'https://urlmatomoautoheberge.com/matomo.js';

[AmauriC]

C'est parfait 👌

[studiowa]

Merci pour tout 🙏 Bonne continuation

[Insky64]

Soit je baigne trop dans le sujet et j'y vois de plus en plus flou, soit il me manque quelque chose :

• Si Matomo est configuré sans anonymisation, il faut le consentement
• S'il est bien configuré, il ne faut pas le consentement
• Mais pour que Matomo soit chargé/fonctionnel, l'utilisateur doit cliquer sur "accepter", donc qu'il donne son consentement ?!

-> Donc la configuration RGPD friendly ou PAS de Matomo ne change rien?

[AmauriC]

tarteaucitron ne peux pas vérifier la configuration de Matomo.
Si c'est configuré en mode manuel, il suffit de laisser le tag Matomo sur le site et de ne pas l'inclure sur tarteaucitron.
En mode auto, c'est tout ou rien, pas encore possible d'exclure certains tags.

[Insky64]

ok. Merci pour les précisions.

Si on ne l'inclut pas (comme indiqué), on n'est plus conforme RGPD, puisqu'on doit de toute façon informer l'utilisateur et lui donner le choix de ne pas être tracé... c'est le serpent qui se mord la queue. D'où ma question de savoir si la bonne configuration de Matomo n'est pas simplement une question d'éthique (et de forme) que de fond (pouvoir tracer tout le trafic du site sans nuire / capter des données de l'utilisateur, qui a priori, n'est pas possible)?!

[AmauriC]

C'est possible mais pas avec tarteaucitron.
Vous pouvez en direct sur le site afficher un formulaire pour tout refuser: https://developer.matomo.org/guides/tracking-javascript-guide#optional-creating-a-custom-opt-out-form