Hotjar et RGPD : cookies, enregistrements de sessions et conformité

TL;DR

Hotjar est un outil d'analyse comportementale qui dépose des cookies de suivi sur les sites qui l'intègrent. Ces cookies ne sont pas strictement nécessaires au fonctionnement du site et nécessitent le consentement préalable des visiteurs au sens du RGPD. Sans blocage préalable du script Hotjar, le site est en infraction.

Qu'est-ce que Hotjar et quels cookies dépose-t-il ?

Hotjar est une plateforme d'analyse comportementale qui propose des heatmaps (cartes de chaleur), des enregistrements de sessions, des sondages et des entonnoirs de conversion. Pour fonctionner, Hotjar injecte un script JavaScript qui dépose des cookies de suivi et collecte des données comportementales sur les visiteurs.

Les cookies Hotjar et leur finalité

• _hjSessionUser_[siteId] : identifiant unique de l'utilisateur pour la session Hotjar (365 jours)
• _hjSession_[siteId] : données de session Hotjar en cours (30 minutes)
• _hjFirstSeen : marque la première session d'un utilisateur (session)
• _hjAbsoluteSessionInProgress : détecte la première session de page (30 minutes)
• _hjIncludedInPageviewSample : détermine si l'utilisateur est inclus dans l'échantillon de pages vues (2 minutes)
• _hjIncludedInSessionSample : détermine si l'utilisateur est inclus dans l'enregistrement de session (2 minutes)

Ces cookies collectent des données comportementales identifiables (mouvements de souris, clics, scrolls, enregistrements vidéo). Ils relèvent de la catégorie analytique/comportementale et nécessitent un consentement préalable selon la CNIL.

Hotjar nécessite-t-il un consentement RGPD ?

Oui. La CNIL classe les outils d'analyse comportementale comme Hotjar parmi les traceurs soumis à consentement obligatoire. Contrairement aux outils d'analyse statistique exemptés (comme Matomo en mode cookieless), Hotjar ne bénéficie d'aucune exemption : il collecte des données individuelles et génère des enregistrements de sessions qui peuvent identifier indirectement les visiteurs.

La position de la CNIL est claire : toute collecte de données comportementales détaillées au niveau individuel, même pour des finalités analytiques internes, est soumise à l'obligation de consentement préalable. L'ICO au Royaume-Uni et le BfDI en Allemagne partagent cette position.

Ce que Hotjar collecte concrètement

• Enregistrements de sessions (vidéos des interactions utilisateur)
• Heatmaps (zones de clic, de scroll, de déplacement de souris)
• Formulaires (champs saisis, abandons)
• Sondages et feedbacks
• Entonnoirs de conversion et tunnels d'abandon

Certaines de ces données (enregistrements de formulaires, données de saisie) peuvent contenir des données personnelles sensibles si Hotjar n'est pas correctement configuré pour les masquer.

Comment configurer Hotjar pour rester conforme au RGPD

Étape 1 : bloquer le script Hotjar avant consentement

La mesure prioritaire est de bloquer le script Hotjar tant que l'utilisateur n'a pas consenti à la catégorie analytique/comportementale. Avec une CMP comme FlowConsent, ce blocage est automatique : le script ne se charge pas lors du premier affichage de la bannière.

Consultez notre guide sur la preuve de consentement cookies pour comprendre comment enregistrer correctement les consentements Hotjar.

Étape 2 : activer les options de confidentialité dans Hotjar

Hotjar propose plusieurs paramètres de confidentialité à activer dans les réglages du site :

• Masquer automatiquement tout le contenu des formulaires (champs texte, mots de passe)
• Masquer les données de paiement et les numéros de carte
• Supprimer les données d'adresse IP (anonymisation)
• Activer le mode de suppression des données après la période de rétention définie

Étape 3 : configurer la durée de rétention des données

Dans les paramètres Hotjar, limiter la durée de conservation des enregistrements et des heatmaps à ce qui est strictement nécessaire. La CNIL recommande de ne pas conserver les données analytiques comportementales plus de 13 mois.

Étape 4 : mettre à jour la politique de confidentialité

La politique de confidentialité du site doit mentionner Hotjar comme sous-traitant de données, décrire les données collectées, leur finalité, la durée de conservation et les droits de l'utilisateur (accès, effacement, opposition).

Erreurs fréquentes

Hotjar actif dès le chargement de la page. L'installation par défaut charge Hotjar immédiatement. Sans blocage, les enregistrements démarrent avant toute interaction de l'utilisateur avec la bannière. Toujours conditionner le chargement au consentement.

Placer Hotjar dans la catégorie 'statistiques' sans la distinguer. Hotjar dépasse les statistiques simples : il enregistre des sessions individuelles. Le regrouper dans une catégorie générique sans mention explicite de l'enregistrement de sessions manque à l'obligation d'information.

Oublier de masquer les champs de formulaire. Par défaut, Hotjar peut enregistrer les saisies dans les champs texte. Des données personnelles (nom, adresse, numéro de carte) peuvent apparaître dans les enregistrements. Activer le masquage automatique dans les paramètres Hotjar.

Conserver les enregistrements indéfiniment. Hotjar conserve les enregistrements jusqu'à 365 jours par défaut. Définir une période de rétention plus courte alignée sur la politique de conservation des données de l'entreprise.

Ne pas mentionner Hotjar comme sous-traitant. Hotjar Ltd. est un sous-traitant au sens du RGPD. Un DPA (accord de traitement des données) doit être signé avec Hotjar et la politique de confidentialité doit en faire mention.

Pour comprendre les obligations liées aux taux de consentement et leur impact sur vos données analytiques, consultez notre guide dédié.

Checklist conformité Hotjar RGPD

1. Le script Hotjar est bloqué par défaut jusqu'au consentement de l'utilisateur.
2. La catégorie analytique/comportementale est explicitement présentée dans la bannière.
3. La description de Hotjar dans la bannière mentionne les enregistrements de sessions.
4. Les options de masquage des formulaires sont activées dans Hotjar.
5. La durée de rétention des données Hotjar est limitée (maximum 13 mois).
6. Un DPA est signé avec Hotjar et référencé dans la politique de confidentialité.
7. La politique de confidentialité décrit les données Hotjar, leur finalité et les droits.
8. L'anonymisation des adresses IP est activée dans les paramètres Hotjar.
9. Les preuves de consentement sont enregistrées avec horodatage et version de bannière.
10. La configuration est vérifiée après chaque mise à jour majeure de Hotjar.

Conclusion

Hotjar est un outil d'analyse comportementale précieux, mais son intégration par défaut viole le RGPD. La mise en conformité combine deux actions : bloquer le script via une CMP avant le consentement, et activer les paramètres de confidentialité dans Hotjar pour minimiser les données collectées.

Vérifiez si Hotjar et d'autres scripts analytiques sont correctement bloqués sur votre site avec le scanner de cookies FlowConsent.