Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
Marketing Digital

Hotjar et RGPD : guide de conformité 2026

Hotjar et RGPD : pourquoi les heatmaps et enregistrements de session exigent un consentement, comment gérer transferts, sous-traitance et masquage des données.

Hotjar enregistre la navigation de vos visiteurs : mouvements de souris, clics, défilement, parfois ce qu’ils saisissent dans vos formulaires. C’est précisément cette richesse qui en fait un excellent outil d’analyse comportementale — et une source de risque RGPD bien supérieure à celle d’un simple outil de statistiques. Contrairement à une idée répandue, Hotjar ne bénéficie pas de l’exemption de consentement réservée à la mesure d’audience. Voici pourquoi, et comment l’utiliser sans vous exposer.

Ce que fait Hotjar, et pourquoi c’est juridiquement différent d’un outil de statistiques

Hotjar n’est pas un outil de mesure d’audience comme Matomo ou Google Analytics 4. C’est une solution d’analyse comportementale (behaviour analytics) qui produit trois grandes familles de données : des cartes de chaleur (heatmaps) agrégeant les zones de clics et de défilement, des enregistrements de session (session recordings) qui rejouent la navigation individuelle d’un visiteur, et des outils de sondage et de feedback affichés sur la page.

Cette distinction n’est pas un détail de vocabulaire. La doctrine de la CNIL réserve l’exemption de consentement aux traceurs dont la finalité se limite strictement à la mesure d’audience pour le compte exclusif de l’éditeur, produisant des statistiques anonymes. Or l’enregistrement de session ne produit pas une statistique anonyme : il reconstitue le parcours d’une personne déterminée, image par image. Cette finalité dépasse la simple mesure d’audience. Conséquence directe : Hotjar, dans son usage principal, ne peut pas bénéficier de l’exemption et requiert le recueil du consentement prévu à l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy).

Le rachat de Hotjar par le groupe français Contentsquare en 2023 entretient parfois la confusion. Contentsquare propose effectivement une configuration de sa solution de mesure d’audience éligible à l’exemption, documentée dans un guide validé par la CNIL. Mais cette exemption vise un périmètre restreint et configuré spécifiquement ; elle ne s’étend pas aux enregistrements de session et heatmaps comportementales tels que Hotjar les déploie par défaut.

Le consentement préalable : l’obligation centrale

Puisque Hotjar dépose des traceurs allant au-delà de la mesure d’audience, son chargement doit être subordonné au consentement du visiteur. Concrètement, cela signifie trois choses.

D’abord, le script Hotjar ne doit se déclencher qu’après un consentement actif. Un consentement valable au sens de l’article 6 du RGPD et de l’article 82 LIL suppose un acte positif clair : ni cases pré-cochées, ni poursuite de la navigation, ni bandeau purement informatif. Le simple fait d’afficher Hotjar avant l’acceptation constitue une infraction, indépendamment du contenu de la bannière.

Ensuite, ce consentement se gère via une plateforme de gestion du consentement (CMP). C’est elle qui conditionne le déclenchement du tag Hotjar à la catégorie « analyse comportementale » ou « expérience utilisateur », et qui conserve la preuve du consentement — preuve dont la charge pèse sur vous en tant que responsable de traitement.

Enfin, le consentement doit être renouvelé. La CNIL recommande de ne pas conserver le choix de l’utilisateur au-delà de 6 mois et de plafonner la durée de vie des traceurs à 13 mois. Au terme de cette période, le consentement doit être à nouveau sollicité. Le refus, lui, doit être aussi simple à exprimer que l’acceptation.

Enregistrements de session : le piège des données sensibles

L’enregistrement de session est la fonctionnalité la plus délicate de Hotjar. En rejouant la navigation d’un visiteur, il peut capturer, parfois à l’insu de l’éditeur, le contenu saisi dans les champs de formulaire : adresse e-mail, numéro de téléphone, message libre, voire — sur un site de santé, d’assurance ou bancaire — des informations relevant des catégories particulières de l’article 9 du RGPD (santé, opinions, orientation sexuelle…).

Hotjar applique par défaut une suppression automatique des saisies clavier dans les champs (keystroke suppression) et masque les champs sensibles. Mais ce paramétrage par défaut ne suffit pas toujours : les champs personnalisés, les éléments dynamiques ou les pages affichant des données déjà saisies peuvent échapper au masquage automatique. Dans mon expérience d’accompagnement, c’est la première chose à auditer : il faut vérifier page par page ce qui apparaît réellement dans les enregistrements et appliquer un masquage manuel (attribut data-hj-suppress ou règles équivalentes) sur tout élément susceptible d’afficher une donnée personnelle.

Le principe de minimisation des données impose de ne collecter que ce qui est strictement nécessaire à votre finalité d’analyse. Un enregistrement de session qui capture le contenu d’un panier nominatif, un numéro de carte ou un message de contact va au-delà de ce besoin et expose à un risque disproportionné. Le bon réflexe : masquer par défaut, n’afficher que l’exception justifiée.

Sous-traitance et transferts hors UE

Hotjar agit comme sous-traitant au sens de l’article 28 du RGPD : il traite des données personnelles pour votre compte, selon vos instructions. La signature d’un contrat de sous-traitance (DPA) conforme à l’article 28 est donc obligatoire avant tout déploiement. Hotjar met un DPA standard à disposition de ses clients ; il faut le conserver dans votre documentation de conformité.

S’agissant de l’hébergement, les données collectées par Hotjar sont stockées en Irlande, au sein de l’Union européenne, sur l’infrastructure Amazon Web Services (région eu-west-1). L’absence de stockage primaire hors UE est un point favorable. Deux réserves subsistent néanmoins. D’une part, certains sous-traitants ultérieurs de Hotjar (supervision applicative, support) sont situés hors de l’Union, ce qui peut générer des transferts de données hors UE à encadrer par des clauses contractuelles types (CCT). D’autre part, AWS étant une société de droit américain, la question de l’accès des autorités américaines au titre du CLOUD Act n’est pas neutralisée par la seule localisation européenne des serveurs. Il convient donc de vérifier la liste à jour des sous-traitants de Hotjar et de documenter l’analyse des transferts éventuels.

Vos obligations RGPD au-delà du consentement

Recueillir le consentement ePrivacy ne suffit pas : le RGPD s’applique pleinement dès lors que des données personnelles sont traitées. En tant que responsable de traitement, vous devez :

  • Identifier la base légale au sens de l’article 6. Pour Hotjar, c’est le consentement (Art. 6(1)(a)) qui sert généralement de base, en cohérence avec l’exigence ePrivacy — et non l’intérêt légitime, peu défendable pour un enregistrement de navigation individuelle.
  • Informer les visiteurs conformément à l’article 13 du RGPD : présence de Hotjar, finalité d’analyse comportementale, enregistrement de session, durées de conservation et droits, à expliciter dans la politique de confidentialité.
  • Inscrire le traitement au registre des activités prévu à l’article 30 : finalité, catégories de données, sous-traitant (Hotjar/Contentsquare), hébergeur, durées de conservation et mesures de sécurité.
  • Garantir la sécurité du traitement au titre de l’article 32.
  • Évaluer la nécessité d’une analyse d’impact (AIPD). Le suivi comportemental systématique de visiteurs figure parmi les traitements que la CNIL considère comme potentiellement à risque ; une AIPD peut être requise, notamment sur un site traitant des données sensibles ou un volume important de visiteurs.

C’est précisément ce travail de qualification — base légale, registre, durées, analyse des transferts — que Legiscope automatise pour les responsables de traitement qui gèrent un parc d’outils numériques croissant.

Configurer Hotjar pour réduire le risque

Quelques réglages permettent de limiter l’exposition. Activez et vérifiez le masquage des saisies (suppression clavier) et étendez-le manuellement aux champs personnalisés. Excluez des enregistrements les pages sensibles (paiement, espace client, formulaires de santé). Plafonnez la durée de conservation des enregistrements et heatmaps au strict nécessaire à votre analyse — Hotjar permet de définir une rétention courte, à privilégier. Conditionnez systématiquement le chargement du script au consentement via votre CMP. Et conservez la documentation : DPA signé, capture de la configuration de masquage, paramétrage de la CMP, durées retenues. C’est cet ensemble que la CNIL examinera en cas de contrôle.

Ce qu’il faut retenir

  • Hotjar fait de l’analyse comportementale (heatmaps, enregistrements de session), pas de la simple mesure d’audience : il ne bénéficie pas de l’exemption de consentement de la CNIL.
  • Son chargement doit être subordonné au consentement (Art. 82 LIL), géré via une CMP et renouvelé (choix ≤ 6 mois, traceur ≤ 13 mois).
  • Les enregistrements de session peuvent capturer des données sensibles (Art. 9) : le masquage par défaut doit être vérifié et étendu manuellement.
  • Hotjar est sous-traitant (Art. 28) : DPA obligatoire. Données hébergées en Irlande, mais sous-traitants hors UE et CLOUD Act à analyser.
  • Base légale = consentement (Art. 6(1)(a)), information (Art. 13), registre (Art. 30), sécurité (Art. 32) et éventuelle AIPD restent dus.

FAQ

Hotjar nécessite-t-il une bannière de consentement ?

Oui. Parce qu’il dépasse la mesure d’audience en enregistrant la navigation individuelle, Hotjar ne bénéficie pas de l’exemption de consentement de la CNIL. Son script ne doit se déclencher qu’après un consentement actif recueilli via une plateforme de gestion du consentement, et ce consentement doit pouvoir être refusé aussi facilement qu’accepté.

Les enregistrements de session Hotjar sont-ils conformes au RGPD ?

Ils peuvent l’être, à condition d’être correctement encadrés : consentement préalable, masquage des champs susceptibles de contenir des données personnelles ou sensibles, exclusion des pages de paiement et espaces clients, durée de conservation limitée et information claire dans la politique de confidentialité. Le paramétrage de masquage par défaut doit être audité, car il ne couvre pas tous les champs personnalisés.

Où sont hébergées les données collectées par Hotjar ?

Les données sont stockées en Irlande, dans l’Union européenne, sur l’infrastructure AWS (région eu-west-1). Certains sous-traitants ultérieurs de Hotjar sont toutefois situés hors UE, et l’appartenance d’AWS à une société américaine soulève la question du CLOUD Act. Une analyse des transferts et un DPA conforme à l’article 28 restent nécessaires.

Hotjar impose-t-il une analyse d’impact (AIPD) ?

Pas systématiquement, mais le suivi comportemental régulier des visiteurs relève des traitements potentiellement à risque selon la CNIL. Une AIPD est recommandée, voire requise, dès lors que le site traite un volume important de visiteurs ou des données sensibles, par exemple dans les secteurs de la santé, de l’assurance ou de la finance.

Vous voulez suivre les évolutions de la doctrine CNIL et du RGPD sans y passer vos journées ? Recevez nos analyses conformité chaque semaine.