La CNIL lance une consultation publique sur les outils de rejeu de session, ces technologies capables d'enregistrer chaque clic, chaque mouvement de souris et chaque défilement d'un internaute sur un site web. Les professionnels du secteur ont jusqu'au 22 avril 2026 pour contribuer.

La CNIL s'attaque à une collecte de données que presque personne ne remarque
La CNIL s'attaque à une collecte de données que presque personne ne remarque

Vous naviguez sur un site web, vous hésitez, vous scrollez, vous revenez en arrière. Tout cela peut être enregistré et rejoué comme une vidéo - sans que vous en soyez informé. C'est précisément ce que la CNIL veut encadrer avec ce nouveau projet de recommandation.

Le rejeu de session, qu'est-ce que c'est ?

Un outil de rejeu de session, c'est un logiciel intégré à un site web ou une application mobile qui capture les interactions des visiteurs en temps réel. Mouvements de souris, clics, défilement, interactions tactiles, saisies dans des formulaires - tout est enregistré, puis reconstitué sous forme de vidéo que l'éditeur du site peut ensuite visionner.

L'usage légitime existe : détecter un bug, comprendre pourquoi des utilisateurs abandonnent un formulaire, optimiser l'ergonomie d'un site. Mais la même technologie permet aussi de dresser un portrait très précis du comportement d'un internaute, sans qu'il ait donné son accord.

C'est ce double usage qui pose problème. La CNIL reconnaît que ces outils "peuvent potentiellement être intrusifs et porter atteinte à la vie privée des personnes". Le projet de recommandation cherche notamment à répondre aux questions liées à l'application du principe de minimisation des données - qui impose de ne collecter que les informations utiles à l'objectif poursuivi.

Des obligations précises pour les éditeurs et les fournisseurs

Le projet de recommandation s'adresse à deux types d'acteurs : les fournisseurs qui conçoivent ces outils et définissent leurs paramétrages, et les éditeurs de sites ou d'applications qui les déploient. La CNIL précise que chacun a ses propres obligations dans la chaîne de traitement des données.

Sur le fond, le texte détaille les exigences en matière d'information des utilisateurs et les modalités pour recueillir leur consentement. Cela inclut l'utilisation d'une plateforme de consentement (CMP), le niveau auquel l'information doit apparaître, et les formulations acceptables pour recueillir ce consentement.

La consultation est ouverte à tous : professionnels, associations, mais aussi simples internautes. À l'issue de cette période, la CNIL examinera les contributions avant d'adopter une version définitive de la recommandation. Pour en savoir plus, rendez-vous sur cette page.