Hotjar et Microsoft Clarity et RGPD en 2026 : heatmaps et session replay sans risque

Hotjar et Microsoft Clarity sont les deux outils les plus utilisés pour analyser le comportement des visiteurs : heatmaps, scrollmaps, session replay, sondages. Mais ils enregistrent beaucoup de données utilisateur — souvent plus que ce que les éditeurs imaginent. Voici comment les utiliser sans transformer votre site en bombe RGPD.

Qu'enregistrent réellement ces outils ?

• Heatmaps : agrégat des clics, mouvements souris, scroll par page.
• Session replays : reconstitution vidéo de la navigation d'un utilisateur réel : mouvements souris, scroll, clics, saisies clavier (masquables).
• Formulaires : interactions champ par champ, abandon, complétion.
• Sondages / feedback widgets : réponses textuelles.

Le session replay est le plus sensible : sans précaution, vous enregistrez potentiellement des données personnelles tapées dans des formulaires (nom, email, mots de passe, numéro de CB).

Les obligations RGPD spécifiques

1. Consentement explicite obligatoire (CNIL 2024)

La CNIL a clarifié en 2024 : le session replay est un traitement nécessitant consentement préalable (au même titre que la pub ou les analytics non exemptés). Donc :

• Le script Hotjar / Clarity ne doit pas se charger avant clic explicite sur "Accepter" dans la bannière cookie.
• Pas de "accept by scroll", pas de cookie wall (voir cookie wall RGPD).

Notre guide bannière cookie conforme 2026 détaille la mécanique technique.

2. Masquage des champs sensibles

Par défaut, certains champs sont enregistrés en clair dans le session replay. Vous devez masquer manuellement :

• Tout champ contenant des données identifiantes (nom, email, téléphone, adresse).
• Tout champ de mot de passe, carte bancaire, numéro fiscal.
• Toute info de santé, opinion politique, etc. (données dites "sensibles" article 9 RGPD).

Hotjar : balises data-hj-suppress sur les champs/blocs HTML sensibles. Clarity : balise data-clarity-mask="True" ou config dans le projet Clarity.

⚠️ Par défaut, ces outils ne masquent QUE les types <input type="password">. Tout le reste est visible. Vous devez expliciter le masquage sur tout formulaire sensible.

3. Hébergement et transferts hors UE

| Outil | Hébergement | Statut RGPD | |---|---|---| | Hotjar | Contentsquare (France/UE) depuis l'acquisition 2023 | Hébergement EU possible ✓ | | Microsoft Clarity | Microsoft (États-Unis) | Transfert hors UE, encadré par DPF |

Hotjar est désormais filiale Contentsquare (groupe français), avec option hosting EU. Clarity reste américain — il faut le mentionner dans votre politique de confidentialité au titre des transferts hors UE.

4. DPA obligatoire

Les deux sont des sous-traitants : DPA obligatoire (intégré aux CGU pro pour les deux). Vérifiez-le dans votre compte. Détails dans notre guide DPA sous-traitant.

Hotjar vs Microsoft Clarity : comparatif RGPD

| Critère | Hotjar | Microsoft Clarity | |---|---|---| | Prix | Freemium puis ~40€/mo | Gratuit illimité | | Hébergement | EU possible (Contentsquare) | États-Unis | | Masquage par défaut | Champs password uniquement | Champs password + numériques (CB) | | Granularité masquage | data-hj-suppress | data-clarity-mask + projet config | | DPA | Standard intégré | Standard intégré (CGU Microsoft pro) | | Transfert hors UE | Évitable | Inévitable (à mentionner) | | Consent Mode | Intégration native | Intégration native | | Plus simple RGPD | ✅ (hosting EU) | Plus de mention obligatoire |

Verdict : Hotjar (post-acquisition Contentsquare) est plus simple côté RGPD grâce à l'hébergement EU. Microsoft Clarity reste valable mais nécessite plus de mentions et accepte le DPF.

Section type pour votre politique de confidentialité

"Nous utilisons [Hotjar / Microsoft Clarity] pour analyser le comportement de navigation sur notre site (heatmaps, enregistrements de session anonymisés). Les données collectées sont : pages visitées, clics, mouvements souris, scroll, durée. Les champs sensibles des formulaires sont masqués et ne sont jamais enregistrés. Base légale : consentement (article 6.1.a RGPD), recueilli via notre bannière cookie. Durée de conservation : 365 jours. [Pour Clarity, ajouter :] Microsoft Clarity est un service Microsoft Corporation (États-Unis), certifié au Data Privacy Framework. [Pour Hotjar, ajouter :] Hotjar est filiale du groupe français Contentsquare, données hébergées en UE."

Checklist conformité Hotjar / Clarity

• [ ] Script conditionné au consentement (bloqué jusqu'à clic "Accepter")
• [ ] Tous les champs identifiants/sensibles masqués via balises ou config projet
• [ ] DPA accepté (Hotjar / Microsoft)
• [ ] Outil mentionné dans la politique de confidentialité (avec finalité + durée)
• [ ] Transfert hors UE mentionné si Microsoft Clarity (DPF)
• [ ] Durée de conservation respectée (365 jours max recommandé, paramétrable)
• [ ] Outil dans votre registre des traitements
• [ ] Test : en mode navigation privée sans accepter cookies, le script ne doit pas se charger

Scannez votre site gratuitement pour détecter si Hotjar ou Clarity se chargent avant consentement utilisateur — c'est la cause #1 de non-conformité sur ces outils.