Rejeu de session : Hotjar, Clarity et les autres exigent un consentement

Illustration de l'article : Rejeu de session : Hotjar, Clarity et les autres exigent un consentement

Un outil de rejeu de session enregistre le parcours complet d'un visiteur : mouvements de souris, clics, défilement, et parfois jusqu'aux saisies dans les formulaires. Le tout rejouable sous forme de vidéo. Ces solutions sont installées sur une part considérable des sites français, souvent en quelques minutes, et presque toujours sans que leur statut juridique ait été examiné. La CNIL vient de s'en saisir.

De quoi parle-t-on

Le rejeu de session — session replay — désigne des outils comme Hotjar, Microsoft Clarity, Contentsquare ou les fonctions équivalentes intégrées à certaines suites analytiques. Ils ne comptent pas des visites : ils reconstituent des parcours individuels.

C'est cette granularité qui pose problème. Un compteur d'audience produit des agrégats ; un rejeu de session produit l'enregistrement du comportement d'une personne, potentiellement associé à ce qu'elle a tapé avant de se raviser. La différence de nature justifie une différence de traitement.

Ce que prévoit le projet de la CNIL

La CNIL a ouvert le 25 février 2026 une consultation publique sur un projet de recommandation consacré à ces outils, close le 22 avril. Le texte s'adresse aux deux bouts de la chaîne : les éditeurs de solutions et les sites qui les déploient.

L'orientation est claire. Le rejeu de session n'est pas conçu comme un outil généraliste d'observation des comportements, mais comme une technologie réservée à des finalités limitées — correction de bugs, ergonomie, support utilisateur — soumise au consentement préalable et assortie de garanties de minimisation renforcées.

Le projet précise aussi les modalités pratiques : le niveau d'information à afficher, les formulations utilisables pour recueillir le consentement, et le recours aux plateformes de gestion du consentement pour l'obtenir. Autrement dit, la CMP est explicitement désignée comme le véhicule attendu.

À la date de publication de cet article, la version finale n'est pas encore parue. Les principes ci-dessus proviennent du projet soumis à consultation ; ils peuvent évoluer à la marge, mais l'exigence de consentement, elle, ne fait guère de doute.

Pourquoi l'exemption « mesure d'audience » ne s'applique pas

Beaucoup d'éditeurs classent le rejeu de session dans la même catégorie que leur outil de statistiques, en s'appuyant sur l'exemption dont bénéficie la mesure d'audience strictement nécessaire. C'est une erreur de raisonnement.

Cette exemption est étroite : elle suppose une finalité limitée à la production de statistiques anonymes, sans recoupement, sans suivi individuel, sans transmission à des tiers. Un enregistrement rejouable d'un parcours individuel ne remplit aucune de ces conditions. Le fait que l'outil serve à améliorer le site ne le rend pas nécessaire au service demandé par l'internaute.

Le risque concret : les saisies de formulaire

C'est le point le plus souvent sous-estimé. Selon leur configuration, ces outils peuvent capturer le contenu des champs remplis par le visiteur — y compris ce qu'il a saisi puis effacé. Sur un formulaire de contact, cela reste gênant. Sur un tunnel de commande, un espace de santé ou un formulaire de candidature, on entre dans une autre catégorie de données.

Les solutions sérieuses proposent un masquage des champs sensibles, mais il est rarement activé au-delà des réglages par défaut, et jamais audité. Trois vérifications valent d'être faites dès aujourd'hui :

  • Le masquage des saisies est-il actif sur l'ensemble des formulaires, et pas seulement sur les champs de mot de passe ?
  • Les pages sensibles — paiement, compte client, espace patient — sont-elles exclues de l'enregistrement ?
  • La durée de conservation des enregistrements est-elle configurée, ou laissée au maximum proposé par l'éditeur ?

Ce qu'il faut faire

La marche à suivre tient en quatre points :

  1. Inventorier. Vérifiez si un outil de rejeu tourne sur votre site — il a souvent été posé par une équipe marketing ou un prestataire, sans trace dans la documentation technique. Un scan de cookies le révèle immédiatement.
  2. Le sortir de la catégorie « mesure d'audience » de votre bannière pour le rattacher à une catégorie soumise au consentement, décrite explicitement.
  3. Le bloquer avant consentement. Le script ne doit pas se charger tant que le visiteur n'a pas accepté : c'est le rôle de l'auto-blocage de votre CMP.
  4. Documenter le choix, via le journal des consentements, pour disposer de la preuve exigée par l'article 7 du RGPD.

En pratique avec Consenteer

Le scanner identifie les outils de rejeu présents sur vos pages et vous les présente avec leur éditeur et leur finalité probable. L'auto-blocage empêche leur chargement tant que le consentement n'est pas donné, sans modification de votre code. Et si le visiteur émet un signal GPC, le refus est appliqué sans même qu'il ait à interagir avec la bannière.

Le rejeu de session est un bon outil. Il mérite simplement d'être traité pour ce qu'il est : un suivi individuel du comportement, qui se demande.

Consenteer bloque les outils de rejeu de session tant que le visiteur n'a pas consenti, et les détecte automatiquement lors du scan de votre site. Créer un compte gratuit.