Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Beusable est une plateforme coréenne d'analyse de l'expérience utilisateur qui enregistre les sessions, génère des cartes thermiques et suit les tunnels de conversion. Édité par 4Grit Inc., l'outil dépose des cookies persistants et un script JavaScript qui capturent chaque clic, chaque défilement et chaque interaction de formulaire. Au sens de la directive ePrivacy, Beusable est un traceur non strictement nécessaire qui exige un consentement préalable dans toute l'Union européenne.
Beusable est une plateforme d''analyse comportementale développée par 4Grit Inc. à Séoul, en Corée du Sud, combinant heatmaps (clics, attention, défilement, mouvement de souris), session replay, analyse des entonnoirs de conversion et analyse de formulaires. Le tag est livré sous forme de script JavaScript asynchrone chargé depuis cdn.beusable.com. Il est largement utilisé en Corée, au Japon, au Vietnam et de plus en plus en Europe comme alternative à Hotjar.
Beusable dépose des cookies propriétaires (généralement préfixés _bes_) pour identifier le visiteur et la session active, ainsi que des entrées localStorage pour bufferiser les événements comportementaux. Données capturées : clics (cible, coordonnées), profondeur et vitesse de défilement, mouvements de souris, taille de fenêtre, URL et référent, temps passé sur un élément, interactions complètes avec les formulaires (longueur des saisies, durée, valeurs optionnelles) et rejeux de session reconstruits sous forme vidéo. Par défaut Beusable capture aussi l''IP et l''agent utilisateur.
Beusable relève pleinement de l''article 5(3) de la directive ePrivacy : il lit et écrit sur le terminal de l''utilisateur et les données traitées permettent l''individualisation d''une personne à partir de ses schémas d''interaction. Le session replay est qualifié de traitement à haut risque par la CNIL et par le Garante italien, et le CEPD a régulièrement rappelé que ces outils nécessitent un consentement explicite, préalable et granulaire. L''intérêt légitime ne peut être invoqué pour une analyse comportementale non essentielle.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bloquez le loader Beusable tant que le consentement n''est pas donné. Le script ne doit ni s''exécuter, ni déposer de cookies, ni écrire dans localStorage avant l''opt in via la CMP. Dans la console Beusable, configurez des règles de masquage : masquez tous les champs de saisie par défaut, ne démasquez explicitement que les champs sans données personnelles, ajoutez des listes de blocage par sélecteur CSS pour les zones sensibles (paiement, profil, espace client). Activez la troncature IP et réduisez la durée de conservation des replays au minimum nécessaire.
4Grit Inc. est établie à Séoul, en Corée du Sud. La Commission européenne a adopté une décision d''adéquation pour la République de Corée le 17 décembre 2021 (décision d''exécution (UE) 2022/254) : les données personnelles peuvent circuler de l''EEE vers des opérateurs commerciaux coréens sans CCT, à condition de respecter la PIPA. La décision est réexaminée tous les quatre ans. Les responsables doivent néanmoins signer un DPA avec 4Grit, documenter ce mécanisme de transfert au registre article 30 et suivre l''évolution du statut d''adéquation.
Étapes concrètes : 1) conditionner le tag Beusable à la CMP et ne le charger qu''après acceptation analytique ; 2) configurer le masquage par défaut de tous les champs dans la console Beusable ; 3) exclure par sélecteur CSS les pages paiement, compte et santé ; 4) activer la troncature IP ; 5) plafonner la conservation des replays à 30 à 60 jours ; 6) signer le DPA 4Grit ; 7) documenter la décision d''adéquation coréenne comme mécanisme de transfert ; 8) inscrire Beusable au registre article 30 ; 9) mettre à jour la politique de confidentialité avec responsable, sous traitant (4Grit Inc.), finalités, base légale (consentement), conservation et droits.
Les sites web utilisant Beusable doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD au titre de l'article 35 du RGPD est recommandée. Le session replay est par nature une surveillance systématique et à grande échelle du comportement (critère 7 du WP248). Centrez l'AIPD sur : risque de capture de champs sensibles (mots de passe, paiement, santé), risque de réidentification à partir d'attributs rares (sélecteurs personnalisés, parcours), conservation des replays (90 jours par défaut), contrôles d'accès dans la console Beusable, propagation du retrait du consentement et transfert vers la Corée du Sud. Documentez les règles de masquage (sélecteurs CSS, masquage des mots de passe, expurgation des inputs) et les garanties contractuelles (DPA, décision d'adéquation coréenne).
Exemple de texte de consentement
Nous utilisons Beusable, un service d'analyse comportementale édité par 4Grit Inc. (Corée du Sud), pour enregistrer des heatmaps et des rejeux de session illustrant l'interaction des visiteurs avec nos pages. Beusable dépose des cookies sur votre terminal, capture les clics, défilements et interactions de formulaire et transfère les données vers la Corée du Sud sur la base de la décision d'adéquation de la Commission européenne. Beusable ne sera activé qu'après votre consentement à la catégorie analyse.
Domaines tiers contactes
beusable.netbeusable.netcdn.beusable.comcdn.beusable.netin.beusable.netapi.beusable.com4grit.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _bes_uid | HTTP cookie (first party) | 1 year | Stores the Beusable persistent visitor identifier used to link multiple sessions to the same visitor in heatmap and replay reports. |
| _bsa.uid | first_party | 2 years | Stores the unique visitor identifier used to link sessions, heatmaps and replays to the same user across visits. |
| _bes_sid | HTTP cookie (first party) | Session (30 minutes inactivity) | Marks the active Beusable recording session. Expires after 30 minutes of inactivity. |
| _bsa.sid | first_party | Session | Stores the active session identifier so that page views and events recorded during a single visit are correlated. |
| _bsa.bid | first_party | 30 days | Stores the recording bucket reference used by Beusable to associate the visitor with a specific session replay. |
| _bes_buf | localStorage | Persistent (until cleared) | Buffers behavioural events (clicks, scrolls, mouse paths) before they are flushed to the Beusable backend. |
| _bes_ref | HTTP cookie (first party) | 30 days | Stores the referrer and campaign that brought the visitor to the site, used for replay segmentation by entry source. |
Beusable collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Beusable écrit en règle générale trois cookies first party. _bsa.uid contient l'identifiant visiteur unique pendant une durée pouvant atteindre deux ans, _bsa.sid contient l'identifiant de session pour la durée de la navigation et _bsa.bid stocke la référence du bucket d'enregistrement. Le script collecte également des métadonnées techniques comme l'agent utilisateur, la résolution d'écran et l'adresse IP.
Beusable dépose des cookies propriétaires (généralement préfixés _bes_) pour identifier le visiteur et la session active, ainsi que des entrées localStorage pour bufferiser les événements comportementaux. Les noms exacts dépendent de la configuration de la console Beusable. Aucun cookie tiers n'est posé, mais le script est chargé depuis cdn.beusable.com, ce qui en fait un traceur tiers au sens du CEPD et de la CNIL.
Oui. Beusable est un traceur d'analyse comportementale qui ne relève pas de l'exemption pour les cookies strictement nécessaires de l'article 5(3) de la directive ePrivacy. Vous devez recueillir un consentement libre, spécifique, éclairé et univoque via votre plateforme de gestion du consentement avant le chargement du script.
Oui. Beusable lit et écrit sur le terminal et enregistre des rejeux de session d'interactions comportementales, traitements qualifiés à haut risque par la CNIL, le Garante italien et le CEPD, nécessitant un consentement préalable, explicite et granulaire au titre de l'article 6(1)(a) du RGPD et de l'article 5(3) ePrivacy. L'intérêt légitime n'est pas disponible.
La seule base juridique valable au sens de l'article 6 du RGPD est le consentement de l'utilisateur recueilli conformément à l'article 7. L'intérêt légitime n'est pas mobilisable car la directive ePrivacy impose le consentement pour tout accès non strictement nécessaire au terminal, position confirmée par les lignes directrices 03/2022 de l'EDPB.
Le consentement (article 6(1)(a) du RGPD) pour les catégories de données collectées, complété par un contrat de sous traitance article 28 avec 4Grit Inc. Le DPA doit couvrir la décision d'adéquation coréenne comme mécanisme de transfert, les catégories de données, la durée de conservation, les sous traitants ultérieurs et les mesures de sécurité.
Beusable traite les données en Corée du Sud sur AWS Séoul. La Commission européenne a adopté une décision d'adéquation pour la République de Corée le 17 décembre 2021, ce qui permet de fonder le transfert sur cette adéquation. Il n'existe pas de transfert régulier vers les États Unis, mais vous devez vérifier auprès de 4Grit Inc. si un sous traitant est localisé hors de Corée.
Oui. 4Grit Inc. est basée à Séoul. Depuis le 17 décembre 2021, la décision d'adéquation de la Commission européenne pour la République de Corée (décision d'exécution (UE) 2022/254) permet aux données personnelles de circuler de l'EEE vers des opérateurs commerciaux coréens sans CCT, à condition qu'ils respectent la PIPA. Surveillez l'évolution de la décision, réexaminée tous les quatre ans.
Une AIPD est fortement recommandée et souvent obligatoire car le replay de session implique une surveillance systématique du comportement à grande échelle et peut capturer des données sensibles. Les listes de la CNIL, de l'AEPD espagnole et de la DSK allemande incluent ce type de scénario parmi les traitements imposant une analyse d'impact.
Une AIPD est fortement recommandée. Le session replay constitue une surveillance systématique et à grande échelle du comportement (critère 7 du WP248 du CEPD). Centrez l'AIPD sur : risque de capture de champs sensibles, identification à partir d'attributs de rejeu, rétention des replays, propagation du retrait du consentement, contrôles d'accès internes et transfert vers la Corée sous adéquation.
Bloquez le script Beusable via votre plateforme de gestion du consentement tant que la catégorie analyse ou marketing n'est pas acceptée. Activez le masquage des champs de saisie par défaut, excluez les pages comportant des données sensibles, restreignez les accès aux utilisateurs habilités, documentez la durée de conservation et mentionnez Beusable dans votre politique de confidentialité et votre registre des traitements.
Conditionnez le loader à votre CMP, activez le masquage par défaut de tous les champs, excluez les pages sensibles par sélecteur CSS, activez la troncature IP, plafonnez la conservation des replays, signez le DPA 4Grit, inscrivez Beusable au registre article 30, mettez à jour la politique de confidentialité avec la base de transfert (adéquation coréenne) et les droits des personnes, et vérifiez par capture réseau que Beusable est bloqué quand le consentement est refusé.
Outils européens de session replay et heatmap : Mouseflow (Danemark, option de résidence UE), Contentsquare (France), VWO Insights (centres aux Pays Bas), Smartlook (République tchèque). Options auto hébergeables : PostHog (open source, hébergeable dans n'importe quelle région UE) et OpenReplay (open source, 100 % auto hébergé). Pour heatmap exempté : Plerdy (Ukraine) configuré avec anonymisation.
Vous pouvez envisager Matomo Heatmaps and Session Recording hébergé en Europe, Plausible Insights pour une mesure sans cookies, ou Microsoft Clarity gratuit mais nécessitant un consentement et des garanties de transfert vers les États Unis. Chaque outil dispose de fonctionnalités différentes, cartographiez votre cas d'usage avant de migrer.
Ajoutez une entrée dédiée à Beusable listant les noms de cookies, la finalité, la durée de conservation et le pays de stockage. Mettez à jour votre information sur la vie privée pour citer 4Grit Inc. en tant que sous traitant, créez un lien vers la politique de confidentialité de Beusable et documentez les modalités de consentement et de retrait offertes aux utilisateurs.
Ajoutez une entrée précisant 4Grit Inc. (Séoul, Corée du Sud) comme sous traitant, la finalité (analyse comportementale, heatmaps, session replay), la base légale (consentement), les catégories de données (identifiant, événements comportementaux, replays, IP, données techniques), la conservation, le transfert international vers la Corée du Sud au titre de la décision d'adéquation européenne, les destinataires et un lien direct vers la politique de confidentialité Beusable.