Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Heap est une plateforme américaine d'analyse produit (acquise par Contentsquare) connue pour son approche de capture automatique — enregistrant automatiquement chaque interaction utilisateur sans instrumentation manuelle des événements. Cette capacité puissante introduit également un risque RGPD significatif : Heap capture par défaut tous les clics, saisies et vues de pages, y compris potentiellement les données de formulaires sensibles. Le consentement est requis avant le chargement de Heap. Une configuration soigneuse de minimisation des données est essentielle.
Heap est une plateforme d''analyse produit américaine fondée à San Francisco en 2013 et rachetée par le français Contentsquare en 2024. Heap est reconnu pour son moteur d''autocapture : au lieu d''exiger des développeurs qu''ils instrumentent manuellement chaque événement, la bibliothèque heap.js enregistre par défaut tous les clics, saisies de formulaire, vues de page et soumissions, puis permet aux analystes de définir rétroactivement des indicateurs à partir de ce flux brut. Heap est utilisé par les équipes produit, growth et CRO pour analyser les entonnoirs de conversion, les cohortes de rétention et l''adoption des fonctionnalités.
Heap stocke un identifiant utilisateur propriétaire dans le cookie _hp2_id.{appId} pendant 13 mois, ainsi qu''un identifiant de session dans _hp2_ses_props.{appId} et des propriétés utilisateur dans des clés localStorage préfixées _hp2_. L''autocapture collecte : URL et référent, cible du clic (sélecteur DOM, texte, attributs), interactions des champs de formulaire (focus, blur, longueur des saisies, valeurs masquables), taille de la fenêtre, empreinte navigateur et appareil, adresse IP (tronquée côté serveur pour les clients résidence UE), géolocalisation déduite de l''IP, ainsi que toute propriété personnalisée envoyée via heap.identify ou heap.addUserProperties.
Heap lit et écrit sur le terminal de l''utilisateur, ce qui déclenche directement l''article 5(3) de la directive ePrivacy et ses transpositions nationales (article 82 de la Loi Informatique et Libertés en France, section 25 du TDDDG allemand, article 22.2 LSSI en Espagne). Heap traite par ailleurs des données personnelles au sens de l''article 4(1) du RGPD car l''identifiant persistant combiné aux données comportementales permet d''individualiser la personne concernée. L''exemption CNIL pour la mesure d''audience ne s''applique pas : Heap autocapture transmet les données à un responsable américain, autorise le suivi inter sites et n''est pas strictement nécessaire au service demandé. Le consentement est obligatoire.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bloquez heap.js tant que le consentement n''est pas donné. Le script ne doit pas s''exécuter, ne pas déposer de cookies, ne pas écrire dans localStorage et ne pas appeler le réseau avant l''opt in explicite. La CMP doit recueillir un consentement granulaire pour la catégorie analyse, conserver la preuve avec horodatage et finalités, et propager le choix via Google Consent Mode v2 (analytics_storage) ou les API natives de Heap (heap.startTracking et heap.stopTracking). Le refus ou l''absence de choix doit entraîner zéro collecte : cases pré cochées, défilement ou poursuite de la navigation ne valent pas consentement selon les lignes directrices 05/2020 du CEPD.
Par défaut, Heap ingère les données vers AWS us-east-1. Depuis l''arrêt Schrems II (CJUE C-311/18) et l''adoption du Data Privacy Framework UE États Unis en juillet 2023, ces transferts ne sont autorisés que si Heap Inc. est certifié DPF ou si les clauses contractuelles types de la Commission européenne (décision 2021/914) sont signées et complétées par une analyse d''impact des transferts. Heap publie un DPA et propose une option de résidence UE pour les plans Enterprise. Les responsables européens doivent : activer la résidence UE lorsque le plan le permet, signer les CCT (Module 2 responsable vers sous traitant), documenter le TIA, restreindre l''accès du support Heap et activer la troncature IP.
Étapes concrètes pour un déploiement Heap conforme : 1) ne charger heap.js qu''après opt in explicite via votre CMP ; 2) configurer les règles de masquage pour exclure les champs sensibles (mots de passe, données de paiement, données de santé) via l''attribut data-heap-redact-text ou le paramètre redact_text ; 3) activer la troncature IP ; 4) réduire la durée de conservation de la session et de l''identifiant si possible ; 5) inscrire Heap au registre des activités de traitement (article 30) ; 6) mettre à jour la politique de confidentialité (responsable, finalités, durée, destinataires, base légale consentement, droits) ; 7) référencer Heap dans la politique cookies ; 8) tester via l''onglet réseau ou un outil d''audit CMP que Heap est totalement bloqué en cas de refus.
Les sites web utilisant Heap doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD est fortement recommandée. L'autocapture Heap constitue par construction une surveillance systématique à grande échelle de toute interaction utilisateur, ce qui déclenche le critère 7 des lignes directrices WP248 du CEPD. Points d'attention : risque de capture involontaire de données sensibles via les champs de formulaire, absence de véritable mode sans cookies, transfert international vers les États Unis, conservation longue de l'identifiant utilisateur (13 mois), capacité des administrateurs à rejouer des sessions. Documenter les règles de minimisation (sélecteurs de masquage, listes de champs sensibles) et les garanties contractuelles (DPA, CCT, option de résidence UE le cas échéant).
Exemple de texte de consentement
Nous utilisons Heap, service d'analyse produit édité par Heap Inc. (États Unis, société du groupe Contentsquare), pour comprendre l'utilisation de notre site. Heap enregistre automatiquement vos clics, interactions avec les formulaires et navigation, et dépose sur votre terminal un identifiant propriétaire (cookies et localStorage) pendant 13 mois. Les données peuvent être transférées aux États Unis sur la base des clauses contractuelles types de la Commission européenne. Heap ne sera activé qu'après votre accord explicite.
Domaines tiers contactes
heapanalytics.comheap.iocdn.heapanalytics.comheapanalytics.comapi.heap.ioheap-api.comheapanalytics-eu.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _hp2_id | persistent | 13 months | Heap Analytics unique user identifier for autocapture event tracking and behavioural analytics |
| _hp2_id.{appId} | HTTP cookie (first party) | 13 months | Stores the persistent Heap user identifier used to stitch sessions, attribute events to a single visitor and build cross session funnels and retention cohorts. |
| _hp2_ses_props | session | Session | Heap session properties cookie for grouping autocaptured events within a user session |
| _hp2_ses_props.{appId} | HTTP cookie (first party) | Session | Stores session level properties such as session start timestamp, referrer and entry page. Reset on each new session. |
| _hp2_props.{appId} | localStorage | Persistent (until cleared) | Stores custom user properties set via heap.identify and heap.addUserProperties so they can be sent with every event. |
| _hp2_lastts.{appId} | localStorage | Persistent (until cleared) | Stores the timestamp of the last activity so Heap can determine whether the current visit is a new session. |
Heap collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Oui. Heap stocke un cookie d'identifiant utilisateur et capture toutes les interactions utilisateurs. Cela nécessite un consentement selon la directive ePrivacy avant le chargement de Heap. Appelez Heap.stopTracking() lorsque les utilisateurs refusent le consentement.
La capture automatique de Heap enregistre chaque clic, interaction de formulaire et vue de page automatiquement. Sans règles d'exclusion, elle peut capturer les valeurs des champs de formulaire incluant les mots de passe, noms et adresses e-mail. Le RGPD exige la minimisation des données — configurez les exclusions de saisies avant le déploiement.
Utilisez les exclusions heap.addEventProperties(), configurez la rédaction au niveau des éléments dans les paramètres de confidentialité Heap, utilisez des sélecteurs CSS pour exclure les champs de formulaire sensibles et appliquez l'attribut de données heap-redacted à des éléments spécifiques.
Oui. Heap (maintenant partie de Contentsquare) traite les données sur une infrastructure américaine. Des CCT sont requises pour les données personnelles européennes. Signez l'accord de traitement de Contentsquare/Heap avant de déployer sur des produits destinés aux utilisateurs européens.
Recommandé. La capture automatique de toutes les interactions utilisateurs par Heap constitue une surveillance systématique à grande échelle. Documentez toutes les règles d'exclusion et les mesures de minimisation des données dans l'AIPD.
Le consentement (Art. 6(1)(a)) pour le suivi de capture automatique et le stockage de cookies. Heap ne peut pas s'appuyer sur l'intérêt légitime pour le suivi comportemental complet via des cookies côté client.
Utilisez l'API de confidentialité utilisateur Heap pour supprimer les données utilisateurs par ID utilisateur ou e-mail. Heap traite les demandes de suppression et supprime les événements associés et les propriétés utilisateurs. Documentez toutes les suppressions.
PostHog (auto-hébergeable avec option cloud EU) fournit des analytics de capture automatique avec résidence des données en Europe. Amplitude (région EU) et Mixpanel (région EU) offrent un suivi manuel des événements avec stockage des données en Europe.
Heap dépose un identifiant utilisateur propriétaire persistant dans _hp2_id.{appId} pendant 13 mois, un cookie de session _hp2_ses_props.{appId}, et écrit des propriétés utilisateur dans localStorage sous des clés préfixées _hp2_. Le suffixe correspond à l'identifiant de votre projet Heap. Les valeurs sont liées à votre domaine mais elles sont lues par heap.js chargé depuis heapanalytics.com, ce qui en fait un traceur tiers au sens des recommandations CNIL et CEPD.
Oui. Heap lit et écrit sur le terminal de l'utilisateur et traite des données comportementales permettant d'individualiser une personne. L'article 5(3) de la directive ePrivacy s'applique et un consentement libre, spécifique, éclairé et univoque est requis au titre de l'article 6(1)(a) du RGPD. L'intérêt légitime n'est pas une alternative valable. Le script doit être bloqué jusqu'au clic sur Accepter et arrêté en cas de retrait du consentement.
La seule base légale valable pour une analyse non essentielle impliquant un transfert hors UE et un identifiant persistant est le consentement (article 6(1)(a) du RGPD). Heap est sous traitant, l'éditeur du site est responsable de traitement, un contrat de sous traitance signé au titre de l'article 28 du RGPD est obligatoire. Nécessité contractuelle, intérêt légitime et obligation légale ne s'appliquent pas à ce type d'analyse produit.
Oui par défaut. Heap ingère les données vers AWS us-east-1 aux États Unis. Heap Inc. est une société américaine, même après l'acquisition par Contentsquare. Les transferts reposent sur une certification au Data Privacy Framework UE États Unis ou sur les clauses contractuelles types 2021/914 complétées par une analyse d'impact des transferts. Une option de résidence UE existe pour les plans Enterprise et doit être activée dès que possible.
Une analyse d'impact (AIPD) est fortement recommandée et, pour la plupart des sites B2C ou à fort trafic, obligatoire. L'autocapture Heap est une surveillance systématique à grande échelle du comportement des utilisateurs, ce qui correspond au critère 7 de la liste WP248 du CEPD. Documentez les finalités, les catégories de données, les personnes concernées, les destinataires, la durée de conservation, les transferts internationaux, les risques pour les droits et les mesures d'atténuation.
Ne chargez heap.js qu'après opt in explicite. Utilisez une CMP pour conditionner le script, propagez le choix via Google Consent Mode v2 ou les API heap.startTracking et heap.stopTracking, ajoutez des règles de masquage pour exclure les champs sensibles. Activez l'option de résidence UE, signez le DPA et les CCT, documentez le TIA, réduisez la conservation au minimum nécessaire, vérifiez via l'onglet réseau qu'aucune requête Heap ne part lorsque la bannière est fermée ou refusée.
Pour l'analyse produit en autocapture, les alternatives européennes les plus proches sont PostHog Cloud EU (auto hébergeable, Francfort), Plausible (privacy first, Allemagne), Matomo Cloud EU (Allemagne) et Pirsch Analytics (Allemagne). Pour la session replay et l'analyse comportementale, Contentsquare (maison mère de Heap) propose un déploiement 100 % UE, et Mouseflow (Danemark) offre une option de résidence européenne.
Ajoutez une entrée précisant le responsable (Heap Inc., 225 Bush Street, San Francisco, USA), la finalité (analyse produit, autocapture des interactions), la base légale (consentement), les catégories de données (identifiant, comportement, IP, données techniques), les destinataires (Heap Inc., Contentsquare, sous traitant AWS), la durée (jusqu'à 13 mois), les transferts internationaux (États Unis, CCT en place), les droits des personnes y compris le retrait du consentement, et un lien direct vers la politique de confidentialité Heap.