Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Microsoft Clarity est un outil gratuit d'analyse comportementale de Microsoft qui combine cartes de chaleur, cartes de scroll et enregistrements complets de sessions pour visualiser la maniere dont les utilisateurs interagissent avec un site. Comme il capture un comportement utilisateur tres granulaire et partage des identifiants avec la regie publicitaire Microsoft, il s'agit d'un traitement a risque eleve au sens du RGPD.
Microsoft Clarity est un produit gratuit d''analyse comportementale lance par Microsoft en 2020 et heberge sur les domaines clarity.ms et c.clarity.ms. Il est exploite par Microsoft Corporation depuis ses centres de donnees Azure aux Etats Unis, avec un stockage europeen optionnel disponible pour certaines charges. Clarity se positionne comme une alternative gratuite a des outils commerciaux de heatmap et de session replay comme Hotjar, FullStory ou Mouseflow.
Le produit est charge via un petit snippet JavaScript qui transmet a Microsoft les evenements d''interaction : mouvements de souris, clics, profondeur de scroll, rage clicks, dead clicks, erreurs JavaScript, transitions de pages et le DOM necessaire au rejeu de chaque session. Trois sorties principales sont fournies a l''editeur : heatmaps, scroll maps et enregistrements individuels. Le slug clarity utilise dans les bases de cookies renvoie au produit Microsoft, et non aux projets sans rapport edites par Adobe ou la fondation Apache qui partagent ce mot.
Clarity depose plusieurs cookies first party sur le domaine de l''editeur ainsi que des identifiants partages sur les domaines Microsoft. Les principaux sont : _clck (identifiant utilisateur Clarity persistant, conservation un an), _clsk (identifiant de session reliant les evenements d''une meme visite, expiration apres une journee), CLID (identifiant unique Clarity depose sur c.clarity.ms, conservation un an), MUID (Microsoft User Identifier partage avec Bing, Bing Ads et les autres proprietes Microsoft, conservation un an et 24 jours) et ANONCHK (validation du MUID, conservation 10 minutes).
Le cookie MUID est le plus sensible du point de vue de la vie privee car il est partage dans tout l''ecosysteme publicitaire Microsoft. Lorsqu''un visiteur consulte ensuite un site utilisant Microsoft Advertising ou Bing, Microsoft peut correler les deux visites. Cet identifiant unique transforme Clarity d''une analytique en circuit ferme en noeud d''un graphe publicitaire plus large, ce qui pese directement sur l''analyse de la base legale.
L''article 5(3) de la directive ePrivacy n''autorise la lecture ou l''ecriture d''informations sur le terminal de l''utilisateur qu''avec consentement prealable, sauf cookie strictement necessaire a un service explicitement demande. Les cookies de Clarity ne sont pas strictement necessaires : ils servent a l''analyse comportementale, a l''optimisation produit et a la correlation publicitaire. Le consentement doit donc etre obtenu avant toute execution du script Clarity.
Le RGPD amplifie l''enjeu, car le session replay reconstitue ce que le visiteur a vu et fait, y compris tout texte saisi non masque. Les autorites de controle europeennes, notamment la CNIL francaise et le Garante italien, ont a plusieurs reprises souligne le risque eleve du session replay et l''opportunite frequente d''une analyse d''impact AIPD au titre de l''article 35. La combinaison d''une telemetrie comportementale fine, de transferts aux Etats Unis et d''identifiants publicitaires impose un consentement explicite au sens de l''article 6(1)(a) et exclut l''interet legitime.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les donnees Clarity sont traitees par Microsoft Corporation aux Etats Unis. Depuis juillet 2023, Microsoft est auto certifie au titre du Data Privacy Framework UE Etats Unis, reconnu par la Commission europeenne comme offrant un niveau adequat de protection au sens de l''article 45 du RGPD. Les transferts vers les entites Microsoft certifiees n''exigent donc plus, par defaut, de clauses contractuelles types ni de mesures supplementaires.
Le responsable de traitement doit neanmoins documenter le transfert dans son registre article 30, suivre l''etat du DPF (un recours pendant devant la CJUE pourrait remettre en cause l''adequation) et activer la residence des donnees en UE quand elle est proposee par Clarity pour reduire l''exposition. L''analyse Schrems II reste plus simple qu''en 2022, mais elle ne disparait pas, notamment pour les responsables britanniques et suisses dont les extensions du DPF dependent de decisions d''adequation paralleles.
Clarity propose trois modes de masquage : Strict (tout texte masque par defaut), Equilibre (par defaut, masque les champs de formulaire et zones manifestement sensibles) et Relache (aucun masquage, deconseille pour le trafic europeen). Le mode Strict est vivement recommande pour les sites traitant des donnees de sante, financieres, d''authentification ou de categories particulieres. L''editeur peut aussi marquer des elements precis avec les attributs data clarity mask ou data clarity unmask pour un controle fin, et exclure des pages entieres du replay.
Une AIPD doit etre envisagee chaque fois que Clarity est deploye sur des espaces authentifies, des tunnels de paiement, des portails de sante, des outils RH ou tout site traitant des donnees d''enfants. Elle doit decrire le volume des enregistrements, la duree de conservation par defaut (jusqu''a 13 mois), la configuration du masquage, les outils complementaires partageant le MUID et le risque residuel pour les personnes, y compris la possibilite de reconstituer des donnees personnelles a partir du rejeu.
Un deploiement Clarity conforme en UE suit un schema clair : bloquer le script Clarity tant que le consentement explicite n''a pas ete collecte via une CMP conforme aux lignes directrices du CEPD sur les dark patterns ; rattacher Clarity a la finalite analytique ou marketing selon que le MUID alimente ou non des flux publicitaires ; activer le masquage Strict ; restreindre l''enregistrement aux pages non sensibles ; signer ou accepter l''Addendum de protection des donnees Microsoft et documenter le recours au DPF dans le registre des transferts.
Les politiques de confidentialite doivent nommer explicitement Microsoft Clarity, decrire les fonctionnalites de heatmap et de session replay, lister les cookies deposes, mentionner les transferts vers les Etats Unis sous DPF et renvoyer vers la declaration de confidentialite Microsoft et l''opt out utilisateur. Si le risque lie au session replay ne peut etre maitrise a un niveau acceptable, des alternatives comme Plausible, de simples heatmaps Matomo sans replay, ou Hotjar avec hebergement UE offrent des flux de donnees plus etroits que Clarity.
Les sites web utilisant Microsoft Clarity doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Microsoft Clarity capture des enregistrements de session, mouvements de souris, clics, defilements et interactions avec les formulaires. Ce niveau de detail constitue un suivi systematique du comportement et peut declencher l'obligation d'AIPD au titre de l'article 35 du RGPD selon le contexte (volume d'utilisateurs, pages sensibles, exposition de donnees particulieres). Facteurs de risque a evaluer : (1) rejeu de formulaires ou d'espaces authentifies ou des donnees personnelles, de paiement ou des categories particulieres pourraient etre reconstituees ; (2) combinaison avec Microsoft Advertising via l'identifiant MUID, permettant un profilage cross site ; (3) transferts vers les Etats Unis malgre le DPF ; (4) duree de conservation par defaut (jusqu'a 13 mois). La maitrise du risque passe par un masquage strict du texte, l'exclusion des champs sensibles, l'anonymisation IP, la residence des donnees en UE quand elle est disponible et une documentation claire dans le registre article 30.
Exemple de texte de consentement
Nous utilisons Microsoft Clarity, un outil d'analyse comportementale de Microsoft, pour comprendre comment les visiteurs interagissent avec notre site grace a des cartes de chaleur et des enregistrements de session anonymises. Clarity depose des cookies (_clck, _clsk, MUID) et transfere des donnees vers les serveurs Microsoft aux Etats Unis dans le cadre du Data Privacy Framework UE Etats Unis. Les champs sensibles sont masques. Vous pouvez accepter ou refuser a tout moment dans les preferences cookies.
Domaines tiers contactes
clarity.msc.clarity.mswww.clarity.msbing.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _clck | analytics | 1 year | Clarity user ID, persists across sessions to recognize returning visitors |
| _clsk | analytics | 1 day | Clarity session ID, ties events within a single session for session replay tracking |
| MUID | marketing | 1 year and 24 days | Microsoft User Identifier, shared with Bing and Microsoft Advertising for cross site identification |
| CLID | analytics | 1 year | Clarity unique identifier set on c.clarity.ms to deduplicate users across publisher sites |
| ANONCHK | analytics | 10 minutes | Validates the MUID and synchronizes telemetry with Microsoft endpoints |
Microsoft Clarity collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Clarity depose des cookies first party sur votre propre domaine (_clck, identifiant utilisateur Clarity persistant sur un an, _clsk, identifiant de session expirant apres une journee) et des identifiants partages sur les domaines Microsoft (CLID sur c.clarity.ms pour un an, MUID sur bing.com et clarity.ms pour un an et 24 jours, ANONCHK pour 10 minutes). Le MUID est le meme cookie que celui utilise par Microsoft Advertising et Bing, ce qui permet de correler les donnees Clarity au graphe publicitaire plus large de Microsoft.
Oui. En vertu de l'article 5(3) de la directive ePrivacy, les cookies de Clarity ne sont pas strictement necessaires et exigent un consentement prealable, libre, specifique, eclaire et univoque. Comme Clarity realise aussi du session replay et partage le MUID avec Microsoft Advertising, les autorites europeennes le considerent comme une analytique a finalite marketing, ce qui impose un consentement explicite opt in. Le script ne doit pas se charger avant le recueil du consentement.
La seule base legale realiste est le consentement de l'article 6(1)(a) du RGPD. L'interet legitime de l'article 6(1)(f) n'est pas approprie, car Clarity collecte des donnees comportementales tres detaillees, enregistre des sessions et partage des identifiants avec l'ecosysteme publicitaire de Microsoft, ce qu'un utilisateur raisonnable n'anticipe pas. Le consentement enregistre par votre CMP doit couvrir a la fois le depot du cookie (ePrivacy) et le traitement ulterieur des donnees personnelles (RGPD).
Oui, sous conditions. Microsoft Corporation est auto certifiee au titre du Data Privacy Framework UE Etats Unis depuis juillet 2023 et la Commission europeenne a adopte une decision d'adequation reconnaissant le DPF au titre de l'article 45 du RGPD. Les transferts vers les entites Microsoft certifiees ne necessitent plus, par defaut, de clauses contractuelles types. Le transfert doit neanmoins etre documente dans le registre article 30, le DPF surveille (un recours est pendant devant la CJUE) et la residence UE de Clarity activee quand elle existe.
Souvent oui, car Clarity realise du session replay, considere comme un traitement a risque eleve par les autorites, dont la CNIL et le Garante italien. Une AIPD au titre de l'article 35 du RGPD est recommandee des que Clarity est deploye sur des espaces authentifies, des tunnels de paiement, des portails de sante, des outils RH ou des sites traitant des donnees d'enfants. Elle doit documenter le masquage, la conservation (par defaut jusqu'a 13 mois), le role du MUID et le risque residuel de reconstitution de donnees personnelles a partir des rejeux.
Bloquer le script Clarity tant que le consentement explicite opt in n'est pas recueilli via une CMP respectant les lignes directrices du CEPD sur les dark patterns. Activer le masquage Strict pour que tout le texte soit masque par defaut, marquer les champs sensibles avec data clarity mask, exclure les pages authentifiees et de paiement, anonymiser les IP, accepter l'Addendum Microsoft de protection des donnees, documenter le DPF dans le registre des transferts et nommer Clarity dans la politique de confidentialite avec un lien vers la declaration Microsoft et l'opt out.
Pour les sites qui n'ont pas besoin de session replay, Plausible Analytics et des configurations simples de Matomo (sans heatmaps ni replay) sont des options sans cookies ou a faible consentement, hebergees en UE. Si vous avez besoin de heatmaps, Matomo Heatmaps et Hotjar avec hebergement UE offrent des flux de donnees plus etroits que Clarity car ils ne partagent pas d'identifiants publicitaires. Des outils server side comme Fathom, Pirsch ou Umami auto heberge sont aussi pertinents quand le replay n'est pas necessaire.
Ajouter une entree dediee nommant Microsoft Clarity comme outil d'analyse comportementale exploite par Microsoft Corporation. Lister les cookies deposes (_clck, _clsk, CLID, MUID, ANONCHK) avec leur duree et finalite. Mentionner le session replay et le mode de masquage retenu. Indiquer que les donnees sont transferees vers les Etats Unis sous le Data Privacy Framework UE Etats Unis. Renvoyer vers la declaration de confidentialite Microsoft et l'opt out utilisateur, et expliquer comment retirer le consentement a tout moment.