Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Hotjar Incoming Feedback est un widget de notation par smiley ou emoji qui permet aux visiteurs d'evaluer une page et de laisser un commentaire libre. Il s'appuie sur les identifiants Hotjar partages avec les autres outils de la suite, ce qui en fait un traceur non essentiel soumis au consentement prealable dans l'UE.
Hotjar Incoming Feedback est le widget toujours actif de la suite Hotjar Insights, integree au groupe Contentsquare. Il propose au visiteur une echelle de smileys ou d'emojis pour noter une page, puis un champ de commentaire, une capture facultative et un email optionnel. Le script JavaScript est charge depuis les domaines Hotjar et la reponse est enregistree dans votre espace de travail. Bien qu'il soit presente comme un outil leger, le widget partage le meme identifiant Hotjar que Heatmaps, Recordings ou Surveys lorsqu'ils sont actifs, ce qui relie l'avis a un profil visiteur.
Une fois charge, le widget depose plusieurs cookies premiere partie dans le navigateur, notamment _hjSessionUser_* (un an), _hjSession_* (30 minutes), _hjFirstSeen, _hjIncludedInSessionSample_* et _hjAbsoluteSessionInProgress. Ces identifiants, ainsi que l'agent utilisateur, l'adresse IP et l'URL de la page, sont envoyes a in.hotjar.com et static.hotjar.com. Meme si le visiteur n'ouvre jamais le widget, le script Hotjar s'execute generalement a chaque chargement et fixe ces identifiants, ce qui declenche les obligations RGPD et ePrivacy.
L'identifiant Hotjar est une donnee personnelle car il individualise un appareil entre les sessions, et l'email facultatif comme la reponse libre relevent souvent de la donnee personnelle. L'article 5(3) de la directive ePrivacy impose un consentement prealable et eclaire avant tout depot ou lecture sur le terminal, et l'article 6(1)(a) du RGPD constitue la base legale naturelle. La CNIL et plusieurs autorites europeennes considerent que ce type d'outil ne peut pas s'appuyer sur l'interet legitime.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Dans l'EEE et au Royaume Uni, vous devez bloquer le script Hotjar tant que le consentement n'a pas ete recueilli. Reliez le widget a la finalite mesure d'audience ou retours utilisateurs dans votre CMP, masquez les champs sensibles avec la classe de suppression, anonymisez l'IP et desactivez les attributs utilisateur qui transporteraient des identifiants CRM. Fournissez un moyen simple de retirer le consentement, qui supprime les cookies en temps reel. Evitez de croiser les avis avec le profil identifie sans consentement specifique.
Le trafic europeen est traite a Dublin, mais Contentsquare et ses sous traitants peuvent acceder aux donnees depuis les Etats Unis et d'autres pays. Verifiez dans votre registre que les clauses contractuelles types sont en place, que le destinataire americain est certifie au DPF si possible, et que l'analyse d'impact des transferts a ete realisee. Documentez les mesures supplementaires telles que la pseudonymisation des identifiants et une retention courte des captures.
Listez _hjSessionUser_*, _hjSession_*, _hjFirstSeen et les autres identifiants dans votre politique cookies avec leur finalite et leur duree, citez Hotjar et Contentsquare comme destinataires dans la politique de confidentialite et alignez la duree sur le parametre de l'espace (365 jours par defaut). Formez les equipes produit a la classe de suppression, controlez avec les outils navigateur que le script ne se declenche pas avant le consentement et redemandez l'accord si la duree ou les sous traitants changent.
Les sites web utilisant Hotjar Incoming Feedback doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandee des que Incoming Feedback est combine avec Heatmaps, Recordings ou Surveys, car l'identifiant Hotjar partage permet un profilage comportemental. Documentez les flux vers Contentsquare et ses sous traitants americains, la duree de conservation des retours et des captures, la base de transfert et les mesures supplementaires. Les recommandations de la CNIL sur les cookies et les lignes directrices du CEPD doivent etre citees.
Exemple de texte de consentement
Nous utilisons Hotjar Incoming Feedback pour recueillir vos avis facultatifs sur cette page. Avec votre accord, Hotjar depose des cookies et des identifiants susceptibles d'etre transferes aux Etats Unis. Vous pouvez accepter, refuser ou modifier votre choix a tout moment dans les preferences cookies.
Domaines tiers contactes
static.hotjar.comscript.hotjar.comin.hotjar.comvars.hotjar.cominsights.hotjar.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _hjSessionUser_* | first_party | 1 year | Persistent Hotjar user identifier shared across the Hotjar suite, used to recognise the visitor between sessions and to associate feedback with a device. |
| _hjSession_* | first_party | 30 minutes | Short lived Hotjar session identifier used to group feedback events within a single browsing session. |
| _hjFirstSeen | first_party | Session | Marks the first session of a visitor on the site so the widget can distinguish new users from returning ones. |
| _hjIncludedInSessionSample_* | first_party | 2 minutes | Indicates whether the visitor is included in the daily session quota for the workspace, used by the widget to throttle data collection. |
| _hjAbsoluteSessionInProgress | first_party | 30 minutes | Tracks whether the unique page view session is in progress, used by Hotjar internal counters. |
Hotjar Incoming Feedback collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Oui. Le widget partage la liste de cookies Hotjar standard: _hjSessionUser_* d'un an, _hjSession_* de 30 minutes, _hjFirstSeen, _hjIncludedInSessionSample_* et _hjAbsoluteSessionInProgress. Ils sont premiere partie sur votre domaine mais les donnees sont transmises aux serveurs Hotjar.
Oui. Le script ecrit des identifiants sur le terminal et les transmet a un tiers, donc l'article 5(3) de la directive ePrivacy et l'article 6(1)(a) du RGPD s'appliquent. Le widget doit rester bloque tant que la finalite mesure ou retour n'a pas ete acceptee.
Non. La CNIL et le CEPD considerent que les outils partageant un identifiant inter sites et collectant du texte libre ne peuvent pas reposer sur l'interet legitime. Le consentement de l'article 6(1)(a) RGPD est requis, conformement aussi a ePrivacy.
Le trafic UE est heberge a Dublin mais Contentsquare et ses sous traitants peuvent acceder aux donnees depuis les Etats Unis et d'autres pays. Les clauses contractuelles types et le DPF sont les principaux outils, completes par la pseudonymisation et le controle d'acces.
Une AIPD est conseillee si Incoming Feedback est combine a Recordings ou Heatmaps, si vous collectez des retours sur des parcours sensibles (sante, finance) ou si les captures peuvent contenir des donnees personnelles. Documentez les finalites, le volume, la conservation et l'analyse de transfert.
Bloquez le tag par categorie dans votre TMS, conditionnez le au consentement, ajoutez la classe de suppression sur les champs sensibles, anonymisez l'IP, reduisez la conservation et desactivez les attributs utilisateurs non essentiels.
Des outils europeens comme Mopinion, Survicate UE, Userback UE ou des scripts auto heberges reduisent ou suppriment les transferts. Un simple formulaire statique relie a votre analytics existant peut suffire pour de la notation par smiley.
Listez le widget dans la categorie mesure d'audience ou retours, citez Contentsquare et Hotjar, decrivez les cookies et leur duree, indiquez les Etats Unis comme pays destinataire possible et renvoyez vers la politique de confidentialite Hotjar.