EN FR

Tag : Analytics

Tous les articles du blog avec ce tag.

Session Replay (Hotjar, Clarity) : la CNIL ouvre la boîte de Pandore

Session Replay (Hotjar, Clarity) : la CNIL ouvre la boîte de Pandore

Vous utilisez peut-être Hotjar, Microsoft Clarity ou Fullstory pour comprendre comment vos visiteurs naviguent sur votre site. Ces outils de « session replay » vous montrent leurs clics, leurs mouvements de souris, leurs hésitations. C'est pratique pour corriger des bugs ou améliorer l'expérience utilisateur. Le problème ? Vous enregistrez peut-être bien plus que ce que vous croyez. Et la CNIL vient de mettre le sujet sur la table. Le 25 février 2026, l'autorité française de protection des données a ouvert une consultation publique sur les outils de session replay. Une première en Europe. La consultation court jusqu'au 22 avril 2026, et la recommandation finale sera adoptée ensuite. Pour les éditeurs de sites web, les agences et les fournisseurs de ces solutions, c'est un signal clair : la récréation est terminée. Les chiffres parlent d'eux-mêmes. En 2025, la CNIL a prononcé 487 millions d'euros d'amendes, dont 21 sanctions spécifiquement liées aux cookies et traceurs. Google a écopé de 325 millions d'euros, Shein de 150 millions. Le session replay, bien plus intrusif qu'un simple cookie de mesure d'audience, est désormais dans le viseur. Cette consultation n'est pas un exercice théorique : c'est le prélude à des contrôles et potentiellement à des sanctions. Dans cet article, vous allez comprendre ce qu'est réellement le session replay, pourquoi c'est plus risqué qu'un outil d'analytics classique, ce que dit la CNIL dans son projet de recommandation, et comment vous mettre en conformité avant que le texte ne devienne contraignant. Parce qu'attendre la version finale pour agir, c'est prendre le risque de devoir tout refaire dans l'urgence. Qu'est-ce que le session replay et pourquoi c'est différent de Google Analytics La différence entre mesure d'audience et enregistrement intégral Quand vous installez Google Analytics, Matomo ou un outil d'analytics frugal, vous collectez des métriques agrégées : nombre de visites, pages vues, taux de rebond, sources de trafic. Vous savez que 1 000 personnes ont visité votre page produit, mais vous ne voyez pas comment chaque personne a navigué, pixel par pixel. Le session replay, c'est tout le contraire. Il enregistre l'intégralité du parcours de navigation d'un utilisateur, comme si vous filmiez son écran. Mouvements de souris, clics, défilements, interactions tactiles sur mobile, et parfois même les saisies dans les formulaires. Ces données sont ensuite rejouées sous forme de vidéo. Vous voyez l'utilisateur hésiter, revenir en arrière, cliquer trois fois sur un bouton qui ne fonctionne pas. C'est extrêmement utile pour identifier des bugs invisibles dans les statistiques classiques. Un formulaire qui plante sur Safari iOS 14, un bouton de paiement mal positionné, un message d'erreur incompréhensible : tout devient visible. Mais cette granularité a un prix : vous collectez des données personnelles à un niveau de détail bien supérieur à ce que permet un outil d'analytics standard. Ce que ces outils enregistrent vraiment La plupart des solutions de session replay capturent par défaut :Les mouvements et positions du curseur (ou du doigt sur mobile). Tous les clics et double-clics. Le défilement des pages (scroll). Les « rage clicks » (clics répétés au même endroit, signe d'irritation). Les survols prolongés sur certains éléments. Les changements d'onglets ou de fenêtres (parfois). Les saisies dans les formulaires, sauf si explicitement masquées.Ce dernier point est critique. Par défaut, certains outils enregistrent ce que les utilisateurs tapent dans les champs de formulaire. Nom, prénom, email, adresse, numéro de téléphone, et même des données sensibles comme les coordonnées bancaires ou les informations de santé si votre site en collecte. La plupart des solutions proposent un masquage automatique, mais encore faut-il l'activer correctement. Résultat : vous pouvez vous retrouver avec des enregistrements qui montrent un utilisateur en train de remplir un formulaire médical, de corriger une faute de frappe dans son numéro de carte bleue, ou de supprimer et réécrire un message dans un champ « motif de résiliation ». Vous voyez le problème ? Les outils concernés Les trois leaders du marché sont :Hotjar : la solution la plus connue des PME et agences. Interface simple, heatmaps intégrées, gratuit jusqu'à 35 sessions/jour. Microsoft Clarity : entièrement gratuit, intégration facile avec Azure et Google Tag Manager, très utilisé depuis 2023. Fullstory : orienté entreprise, avec analyse automatique des comportements et détection d'anomalies par IA.Mais il en existe des dizaines d'autres : Lucky Orange, Smartlook, Mouseflow, SessionCam, Inspectlet, etc. La CNIL ne cible pas une solution en particulier : elle encadre toute la catégorie d'outils. Ce que dit la CNIL dans son projet de recommandation Les usages acceptables selon l'autorité La CNIL ne dit pas que le session replay doit être interdit. Elle fixe un cadre strict. Selon le projet de recommandation publié le 25 février 2026, trois usages sont considérés comme légitimes :Détection et compréhension des erreurs techniques : identifier des bugs, des plantages, des formulaires cassés, des éléments qui ne s'affichent pas correctement sur certains navigateurs ou appareils.Amélioration de l'expérience utilisateur (UX) : repérer des points de friction, des parcours confus, des éléments mal placés. Par exemple, constater que 80 % des utilisateurs cliquent trois fois sur un bouton « Valider » avant de comprendre qu'il faut d'abord cocher une case.Assistance client et support : rejouer la session d'un utilisateur qui rencontre un problème pour mieux comprendre son cas et l'aider à le résoudre.Ces trois usages ont un point commun : ils sont techniques ou orientés support. Ce ne sont pas des usages marketing. Ce qui est exclu : marketing et retargeting La CNIL est très claire sur ce point. Le session replay ne doit pas être utilisé pour :Du retargeting publicitaire (afficher des pubs ciblées à un utilisateur qui a hésité sur une page produit). De la segmentation marketing avancée (créer des audiences selon leur comportement fin). De l'optimisation commerciale agressive (identifier les « acheteurs hésitants » pour leur envoyer une promo).Pourquoi cette exclusion ? Parce que ces usages violent le principe de minimisation des données. Si votre objectif est de vendre, vous n'avez pas besoin de voir chaque mouvement de souris. Des statistiques agrégées suffisent. Le session replay est disproportionné pour ces finalités. Si vous utilisez Hotjar ou Clarity pour « mieux comprendre vos clients » dans une logique de conversion marketing, vous êtes hors-cadre. Et en cas de contrôle CNIL, ça passera mal. Consentement obligatoire : pas d'exemption possible Le projet de recommandation est sans ambiguïté : le session replay nécessite un consentement préalable et explicite de l'utilisateur. Il ne peut pas bénéficier de l'exemption de consentement pour la mesure d'audience. Pourquoi ? Parce que l'exemption, encadrée par l'article 82 de la loi Informatique et Libertés, ne concerne que les traceurs strictement nécessaires à la fourniture du service ou exclusivement dédiés à la mesure d'audience dans un cadre très limité. Le session replay ne rentre dans aucune de ces cases. C'est un outil d'analyse comportementale fine, pas une mesure statistique anonymisée. Concrètement, cela signifie :Vous devez afficher une bannière de consentement (via une CMP, plateforme de gestion du consentement). Le session replay doit apparaître comme un choix distinct dans la bannière, avec une description claire. L'utilisateur doit pouvoir refuser sans que cela n'affecte l'accès au site. Si l'utilisateur refuse ou retire son consentement, les enregistrements doivent cesser immédiatement et les données déjà collectées doivent être supprimées (ou anonymisées de manière irréversible).Minimisation et masquage : des exigences techniques précises La CNIL insiste sur le principe de minimisation. Vous ne devez collecter que ce qui est strictement nécessaire à votre objectif. En pratique, cela implique :Masquage automatique de tous les champs de formulaire sensibles : mots de passe, coordonnées bancaires, données de santé, numéros de sécurité sociale, etc. Masquage par défaut des champs de saisie, sauf si vous pouvez justifier que l'enregistrement est indispensable (par exemple, pour reproduire un bug qui ne se produit que sur une saisie spécifique). Échantillonnage : enregistrer seulement un pourcentage des sessions, pas 100 %. Si vous avez 10 000 visites par jour, enregistrer les 10 000 sessions est disproportionné. Échantillonner 5 % ou 10 % suffit largement pour identifier des bugs. Durée de conservation courte : les sessions doivent être supprimées dès que l'objectif est atteint. Une session enregistrée pour corriger un bug n'a pas vocation à être conservée 12 mois « au cas où ».La CNIL recommande également de documenter vos paramétrages. En cas de contrôle, il faudra prouver que vous avez activé les masquages, configuré l'échantillonnage et limité la durée de conservation. Responsabilités : qui doit faire quoi ? Fournisseur vs éditeur de site La recommandation CNIL distingue deux acteurs :Le fournisseur de la solution (Hotjar, Microsoft, Fullstory, etc.) : il conçoit l'outil, définit les paramétrages par défaut, propose (ou non) des options de masquage et de minimisation. Il peut être considéré comme responsable de traitement pour ses propres usages (améliorer son produit, par exemple) ou comme sous-traitant s'il ne fait qu'héberger les données pour le compte de l'éditeur du site.L'éditeur du site web ou de l'application mobile : c'est vous, si vous installez Hotjar sur votre site. Vous êtes responsable de traitement pour l'usage que vous faites du session replay. C'est à vous de recueillir le consentement, de configurer le masquage, de définir les durées de conservation.Dans certains cas, la CNIL évoque une responsabilité conjointe (article 26 du RGPD) : si le fournisseur et l'éditeur poursuivent des finalités communes (par exemple, si Hotjar utilise vos données pour améliorer son algorithme de détection d'anomalies), ils doivent signer un accord de co-responsabilité. Agences web : attention au piège contractuel Si vous êtes une agence web et que vous installez Hotjar ou Clarity pour vos clients, la question de la responsabilité se complique. Qui doit recueillir le consentement ? Qui configure le masquage ? Qui est sanctionné en cas de manquement ? Par défaut, c'est le client (l'éditeur du site) qui reste responsable. Mais si vous ne l'avez pas informé des obligations, si vous n'avez pas configuré correctement l'outil, ou si vous n'avez pas documenté les paramétrages, vous pouvez être mis en cause. La CNIL a déjà sanctionné des prestataires techniques pour non-respect de leurs obligations en tant que sous-traitants. Notre conseil : ajoutez dès maintenant une clause dans vos contrats qui précise :Qui est responsable de la conformité RGPD du session replay. Qui configure les masquages et l'échantillonnage. Qui met à jour la bannière de consentement. Qui conserve la documentation de conformité.Et facturez la mise en conformité. Ce n'est pas inclus dans un forfait « installation de Hotjar ». Les alternatives et bonnes pratiques pour rester conforme Option 1 : Configurer strictement le session replay Si vous voulez continuer à utiliser Hotjar, Clarity ou équivalent, voici les étapes :Activez le masquage automatique de tous les champs de formulaire. La plupart des outils proposent un mode « strict » qui masque tout par défaut.Réduisez l'échantillonnage à 5-10 % des sessions. Vous n'avez pas besoin d'enregistrer 100 % du trafic pour détecter des bugs.Limitez la durée de conservation à 30 jours maximum. Si vous n'avez pas corrigé le bug en 30 jours, c'est que ce n'était pas urgent.Mettez à jour votre CMP (OneTrust, Axeptio, Cookiebot, Didomi, etc.) pour ajouter une case spécifique « Analyse comportementale » ou « Session replay », distincte de la case « Mesure d'audience ».Documentez tout : captures d'écran des paramètres, fichier Excel listant les champs masqués, justification de la finalité.Option 2 : Remplacer par des heatmaps ou des analytics frugaux Le session replay est souvent utilisé pour des besoins qui ne nécessitent pas un enregistrement intégral. Quelques alternatives :Heatmaps (cartes de chaleur) : elles montrent où les utilisateurs cliquent le plus, sans enregistrer le parcours individuel. C'est beaucoup moins intrusif. Analytics orientée événements : configurez des événements spécifiques dans Google Analytics, Matomo ou un outil frugal pour mesurer les clics sur certains boutons, les erreurs de formulaire, les abandons de panier. A/B testing : testez deux versions d'une page plutôt que de chercher à « comprendre » pourquoi la version actuelle ne fonctionne pas.Ces approches vous donnent 80 % de l'information utile, avec 10 % du risque juridique. Option 3 : Session replay strictement sur demande utilisateur Une pratique émergente consiste à n'activer le session replay que lorsque l'utilisateur le demande explicitement. Par exemple :Un utilisateur contacte le support en disant « j'ai un problème avec le formulaire ». Le support lui envoie un lien unique qui active temporairement l'enregistrement de sa session, avec son consentement explicite. La session est enregistrée, analysée, puis supprimée immédiatement après résolution du problème.C'est la méthode la plus conforme, mais elle nécessite une infrastructure technique un peu plus complexe. Ce qui va se passer après la consultation Calendrier et prochaines étapes La consultation publique se termine le 22 avril 2026. Ensuite, la CNIL va :Analyser les contributions reçues (professionnels, fédérations, associations de consommateurs, ONG). Réviser le projet de recommandation si nécessaire. Adopter la version finale, probablement au cours du second semestre 2026. Publier la recommandation sur son site, avec une période de transition (généralement 6 à 12 mois).Pendant la période de transition, la CNIL ne sanctionnera pas immédiatement, mais elle attend une mise en conformité progressive. Passé ce délai, les contrôles commenceront. Risques en cas de non-conformité Si vous continuez à utiliser le session replay sans consentement ou avec des paramétrages non conformes, vous vous exposez à :Une mise en demeure de la CNIL (première étape, publique ou non). Une sanction pécuniaire pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 du RGPD). Une publicité de la sanction, avec impact réputationnel.En 2025, 67 sanctions sur 83 ont été prononcées via la procédure simplifiée, avec des amendes plafonnées à 20 000 euros pour les « petits » manquements. Mais pour les cas graves (collecte massive, absence totale de consentement, données sensibles exposées), les montants peuvent être bien plus élevés. Shein a pris 150 millions d'euros pour des cookies, et le session replay est objectivement plus intrusif qu'un cookie. Effet domino en Europe La France n'est pas seule. D'autres autorités européennes surveillent ce dossier de près. Si la CNIL adopte une recommandation stricte, il est probable que :L'EDPB (Comité européen de la protection des données) s'en inspire pour un avis ou des lignes directrices au niveau européen. Les autorités allemande (DSB), italienne (Garante), espagnole (AEPD) ou irlandaise (DPC) suivent avec leurs propres textes.Autrement dit, si vous opérez en Europe, respecter les règles CNIL sera de toute façon nécessaire à court terme, même si vous n'avez pas de trafic français. Conclusion : agir maintenant, pas en avril 2027 La consultation CNIL sur le session replay est un signal d'alerte, pas une surprise. Les outils qui enregistrent l'intégralité des parcours utilisateurs sont dans le viseur des régulateurs depuis plusieurs années. Ce qui change en 2026, c'est que la CNIL passe de la sensibilisation à l'encadrement formel. Si vous utilisez Hotjar, Clarity ou tout autre outil de session replay, vous avez deux options. Soit vous configurez strictement l'outil dès maintenant : masquage, échantillonnage, consentement, documentation. Soit vous envisagez des alternatives moins intrusives : heatmaps, analytics frugaux, tests A/B. L'inaction n'est plus une stratégie viable. Les PME et les agences web ont jusqu'à fin 2026 pour se mettre en conformité sans risque immédiat. Mais plus vous attendez, plus la mise en conformité sera coûteuse et précipitée. Et vu les montants d'amendes prononcés en 2025 (487 millions d'euros au total), le risque n'est plus théorique. Pour ceux qui cherchent une approche plus simple, il existe des solutions de mesure d'audience qui respectent par conception les principes de minimisation et de transparence. Si cette démarche vous parle, vous pouvez rejoindre la liste d'attente de Pomelo pour être informé du lancement. FAQ Est-ce que je peux continuer à utiliser Hotjar ou Clarity après la recommandation CNIL ? Oui, à condition de respecter les exigences : recueillir le consentement explicite via une bannière CMP, activer le masquage de tous les champs sensibles, limiter l'échantillonnage (5-10 % des sessions maximum), réduire la durée de conservation à 30 jours, et documenter tous vos paramétrages. Si vous remplissez ces conditions, vous pouvez continuer à utiliser ces outils pour des finalités techniques (détection de bugs, amélioration UX, support client). En revanche, les usages marketing (retargeting, segmentation avancée) sont exclus. Le session replay est-il concerné par l'exemption de consentement pour la mesure d'audience ? Non. L'exemption de consentement prévue à l'article 82 de la loi Informatique et Libertés ne s'applique qu'aux outils de mesure d'audience strictement limités à des statistiques agrégées et anonymes. Le session replay, qui enregistre des parcours individuels détaillés, ne peut pas en bénéficier. Vous devez donc obligatoirement recueillir le consentement des utilisateurs avant d'activer l'enregistrement, même si votre objectif est purement technique. Si je suis une agence web, qui est responsable de la conformité : moi ou mon client ? Par défaut, c'est l'éditeur du site (votre client) qui est responsable de traitement pour les données collectées via le session replay. Mais vous, en tant qu'agence, êtes responsable en tant que sous-traitant de la bonne configuration technique de l'outil. Si vous installez Hotjar sans activer le masquage, sans configurer l'échantillonnage, ou sans ajouter une case dans la bannière de consentement, vous pouvez être mis en cause. Il est donc essentiel de clarifier cette répartition des responsabilités dans un contrat écrit et de facturer la mise en conformité RGPD comme une prestation distincte. Quelles sont les sanctions prévues si je n'applique pas la recommandation CNIL ? La recommandation CNIL n'a pas force de loi, mais elle précise comment appliquer le RGPD et la loi Informatique et Libertés. Ne pas la respecter expose à une mise en demeure, puis à une sanction pécuniaire pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon l'article 83 du RGPD. En pratique, pour les PME, les amendes via la procédure simplifiée sont plafonnées à 20 000 euros pour les manquements moins graves. Mais en cas de collecte massive sans consentement ou de données sensibles exposées, les montants peuvent être bien plus élevés, comme l'illustrent les sanctions de 2025 (Google 325 M€, Shein 150 M€). Existe-t-il des alternatives moins risquées au session replay pour améliorer l'UX ? Oui, plusieurs alternatives permettent d'obtenir des insights UX sans enregistrer des parcours individuels complets. Les heatmaps (cartes de chaleur) montrent les zones les plus cliquées sans identifier les utilisateurs. Les analytics orientées événements permettent de mesurer des actions spécifiques (clics sur un bouton, erreurs de formulaire) avec des outils comme Google Analytics, Matomo ou des solutions frugales. Les tests A/B comparent deux versions d'une page pour identifier la plus performante. Enfin, les enquêtes utilisateurs (post-achat ou exit-intent) donnent des retours qualitatifs directs. Ces approches fournissent 80 % de l'information utile avec beaucoup moins de risques juridiques. SourcesCNIL, "Rejeu de session : la CNIL lance une consultation publique sur son projet de recommandation", 25 février 2026 (https://www.cnil.fr/fr/rejeu-de-session-la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation) CNIL, "Sanctions et mesures correctrices : la CNIL présente le bilan 2025", 9 février 2026 (https://www.cnil.fr/fr/thematique/cnil/sanctions) CNIL, "Cookies et publicités insérées entre les courriels : la CNIL sanctionne GOOGLE d'une amende de 325 millions d'euros", 1er septembre 2025 (https://www.cnil.fr/en/cookies-and-advertisements-inserted-between-emails-google-fined-325-million-euros-cnil) Nomos, "Session replay: the CNIL's draft recommendation", 27 février 2026 (https://www.nomosparis.com/en/session-replay-the-cnils-draft-recommendation/) PPC Land, "France's CNIL puts session replay tools under the privacy microscope", 26 février 2026 (https://ppc.land/frances-cnil-puts-session-replay-tools-under-the-privacy-microscope/) Solutions Numériques, "Rejeu de session : la CNIL ouvre une consultation publique pour encadrer ces outils de suivi", 25 février 2026 (https://www.solutions-numeriques.com/rejeu-de-session-la-cnil-ouvre-une-consultation-publique-pour-encadrer-ces-outils-de-suivi/) August Debouzy, "Cookies et autres traceurs, une action de régulation ciblée au niveau national", février 2026 (https://www.august-debouzy.com/fr/blog/2281-cookies-et-autres-traceurs-une-action-de-regulation-ciblee-au-niveau-national)