Comment ajouter une analyse à votre site sans bandeau cookie

La plupart des outils d'analyse déclenchent l'obligation de consentement du RGPD — mais ce n'est pas une fatalité. Voici ce qui provoque le bandeau, et comment suivre votre site sans en avoir besoin.

Pourquoi la plupart des outils d'analyse nécessitent un bandeau cookie

L'obligation du bandeau cookie du RGPD ne concerne pas l'analyse en général. Elle porte sur les identifiants persistants et les données personnelles. Quand un outil installe un cookie qui suit un utilisateur d'une session à l'autre — ou utilise des techniques d'empreinte digitale qui peuvent ré-identifier quelqu'un — cela constitue un traitement de données personnelles, et nécessite un consentement explicite au titre du RGPD et du PECR britannique.

Google Analytics installe un cookie (_ga) qui persiste deux ans et identifie le même navigateur d'une visite à l'autre. C'est pourquoi il nécessite un bandeau. Hotjar, Mixpanel et la plupart des outils de suivi font de même, de différentes manières.

Le bandeau n'est pas une formalité légale. C'est une conséquence directe des données que l'outil collecte.

Ce que « données personnelles » signifie pour l'analyse

Le RGPD définit les données personnelles comme toute information permettant d'identifier une personne physique — directement ou indirectement. Une adresse IP seule peut être qualifiée comme telle. Un identifiant utilisateur l'est certainement. Un cookie persistant qui suit le même navigateur dans le temps également.

Mais voici la distinction clé que fait le règlement : les données agrégées et anonymisées ne sont pas des données personnelles. Savoir que 347 personnes ont visité votre page de tarification mardi n'est pas une donnée personnelle. Savoir que ce navigateur spécifique a visité votre page de tarification mardi, et à 12 autres occasions au cours du mois dernier, l'est.

La différence est la persistance et la possibilité de liaison. Si vous pouvez relier un point de données à un individu spécifique, même de manière probabiliste, vous entrez dans le domaine des données personnelles.

Comment fonctionne l'analyse orientée vie privée

Les outils d'analyse orientés vie privée sont construits autour d'un principe simple : collecter ce dont vous avez besoin pour comprendre les schémas de trafic, supprimer tout ce qui pourrait identifier une personne.

En pratique, cela signifie :

• Pas de cookies — pas d'identifiant persistant stocké sur l'appareil de l'utilisateur
• Pas de stockage IP — l'IP est uniquement utilisée pour dériver le pays, puis immédiatement supprimée
• Pas de suivi inter-sessions — chaque visite est indépendante ; il n'y a pas de « visiteur récurrent » lié à une personne réelle
• Pas d'empreinte digitale — aucune empreinte de navigateur n'est stockée ou traitée au-delà de la requête courante

Ce que vous conservez : la page visitée, le référent, le pays, le type d'appareil, le temps passé. Des comptages agrégés qui répondent aux vraies questions — combien de personnes ont visité, d'où elles venaient, ce qu'elles ont consulté — sans aucune des données qui créent une obligation de consentement.

Comment installer Logly (deux minutes)

Logly est construit sur ce modèle. Pas de cookies, pas de stockage IP, pas d'identifiants inter-sessions. Une balise script, aucune configuration requise.

Ajoutez ceci avant la balise </body> fermante sur chaque page :

<script src="https://logly.uk/p.js?s=YOUR-SITE-ID"
        data-site="YOUR-SITE-ID" async></script>

Remplacez YOUR-SITE-ID par l'ID affiché dans Paramètres après avoir ajouté votre site. C'est toute l'installation. Pas de bandeau de consentement, pas de mise à jour de politique de confidentialité requise pour l'analyse elle-même, pas de déclaration de cookies.

Le script fait moins de 1 Ko. Il se charge de manière asynchrone et n'a aucun impact sur vos Core Web Vitals ou votre score Lighthouse.

Ce que vous pouvez encore suivre

Sans cookies ni identifiants personnels, vous pouvez toujours répondre à toutes les questions qui comptent pour gérer un site de contenu ou un produit :

• Combien de personnes ont visité aujourd'hui, cette semaine, ce mois-ci
• Quelles pages reçoivent le plus de trafic
• D'où viennent les visiteurs (référents, recherche, direct)
• Dans quels pays se trouve votre audience
• Quels appareils et navigateurs ils utilisent
• Combien de temps ils passent réellement sur une page (temps actif, pas temps d'ouverture de l'onglet)
• Événements personnalisés : clics sur des boutons, soumissions de formulaires, conversions

Ce que vous perdez : la capacité de suivre le même individu sur plusieurs sessions. Si « visiteurs récurrents vs nouveaux visiteurs » est une métrique centrale pour votre cas d'usage, vous devrez faire un choix sur le consentement. Pour la plupart des sites de contenu et des produits SaaS, les données au niveau des sessions sont plus que suffisantes.

Est-ce que cela fonctionne au Royaume-Uni après le Brexit ?

Oui. Le Royaume-Uni a conservé le RGPD via le UK GDPR et le Data Protection Act 2018. Les règles de consentement et de données personnelles sont essentiellement identiques au RGPD de l'UE. Les analyses orientées vie privée qui ne nécessitent pas de consentement au titre du RGPD de l'UE n'en nécessitent pas non plus au titre du UK GDPR.

Les lignes directrices de l'ICO britannique sur les cookies et technologies similaires s'alignent sur ceci — l'obligation de consentement est déclenchée par le suivi persistant, pas par l'analyse en tant que catégorie.