Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Inspectlet est un outil américain de relecture de session et de heatmaps qui enregistre les interactions des visiteurs : mouvements de souris, clics, défilement, frappes clavier et saisies dans les formulaires. Parce qu'il capture des données comportementales détaillées et peut enregistrer des informations personnelles tapées dans les formulaires, il nécessite un consentement préalable explicite au sens du RGPD et de la directive ePrivacy.
Inspectlet est un service américain de relecture de session et de heatmaps édité par Spectrum Group Holdings LLC. Il enregistre des sessions détaillées : mouvements de souris, clics, défilement, frappes clavier et interactions avec les formulaires, et présente les données sous forme de replays vidéo, heatmaps, scroll maps et entonnoirs de conversion.
Inspectlet charge un script JavaScript qui capture le DOM et les interactions utilisateur en quasi temps réel, les envoie à la plateforme Inspectlet et les rejoue dans une interface vidéo. Il génère également des heatmaps, entonnoirs de conversion et un analyseur d''A/B test. Les enregistrements peuvent être filtrés par URL, referrer, pays, appareil, événement personnalisé ou identifiant utilisateur envoyé par l''API JavaScript.
Inspectlet dépose les cookies première partie __insp_uid, __insp_sid, __insp_targetref et similaires (un an). Il collecte l''adresse IP, le user agent, la version du navigateur, la taille d''écran, l''URL de la page, le referrer, chaque événement souris et clavier, chaque modification de champ et un instantané sérialisé du DOM. Sans masquage explicite, il peut enregistrer ce qui est tapé dans les formulaires : noms, emails, zones de texte libre. Les numéros de carte bancaire et mots de passe sont masqués par défaut.
Le session replay est qualifié de traceur à risque élevé par la CNIL et par le CEPD. L''article 82 de la loi Informatique et Libertés et l''article 5.3 de la directive ePrivacy exigent un consentement préalable avant qu''Inspectlet ne dépose ses cookies ou ne lise le DOM. La seule base légale réaliste pour le traitement est le consentement explicite. Les lignes directrices CEPD 03/2022 sur les dark patterns interdisent toute acceptation pré cochée.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Tous les enregistrements sont transférés et stockés aux États Unis sur AWS (région us east 1, Virginie). Le transfert nécessite un mécanisme de garanties au sens du chapitre V du RGPD : clauses contractuelles types accompagnées de mesures supplémentaires techniques et contractuelles, ou recours au cadre Data Privacy Framework UE États Unis si Inspectlet y est certifié. Une analyse d''impact des transferts (TIA) doit être documentée dans tous les cas.
Bloquez Inspectlet derrière la catégorie marketing ou statistiques de votre CMP. Masquez tout champ susceptible de contenir des données personnelles via l''attribut data inspectlet sensitive ou les règles de masquage du tableau de bord. Désactivez la capture des frappes clavier sauf nécessité absolue. Signez l''accord de sous traitance Inspectlet. Inscrivez Inspectlet dans votre registre des traitements et votre politique de confidentialité avec le transfert US et la durée de conservation. Réalisez une AIPD avant la mise en production.
Les sites web utilisant Inspectlet doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données est obligatoire pour Inspectlet : le session replay constitue un suivi systématique de personnes physiques au sens de l'article 35.3.c du RGPD. L'AIPD doit couvrir le périmètre d'enregistrement, la stratégie de masquage des champs sensibles, la base légale (consentement), le transfert vers les États Unis et la durée de conservation.
Exemple de texte de consentement
Ce site utilise Inspectlet pour enregistrer des sessions anonymisées afin d'améliorer l'expérience utilisateur. Inspectlet peut collecter les mouvements de souris, clics, défilements et interactions avec les formulaires, et transférer ces informations vers des serveurs aux États Unis. Avec votre consentement, Inspectlet dépose le cookie __insp_uid et des identifiants similaires.
Domaines tiers contactes
inspectlet.comcdn.inspectlet.comhn.inspectlet.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| __insp_uid | first_party | 1 year | Unique visitor identifier used to link recordings to the same person across sessions. |
| __insp_sid | first_party | Session | Session identifier that groups the events of a single browsing session. |
| __insp_targetref | first_party | Session | Stores the referring URL that brought the visitor to the site. |
| __insp_norec_sess | first_party | Session | Flag that disables recording for the current session when the script is paused. |
| __insp_slim | first_party | Session | Timestamp of the last activity used to compute the session duration. |
Inspectlet collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Inspectlet dépose des cookies première partie sur votre domaine, notamment __insp_uid (identifiant visiteur, un an), __insp_sid (session), __insp_targetref (referrer), __insp_norec_sess (état d'enregistrement) et quelques indicateurs internes. Aucun n'est strictement nécessaire et tous requièrent un consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.
Oui. Inspectlet capture des données comportementales et peut enregistrer des données personnelles saisies dans les formulaires. Il exige un consentement explicite, préalable, granulaire et libre au sens de l'article 6.1.a du RGPD et de l'article 5.3 ePrivacy. Le script doit rester bloqué tant que le visiteur n'a pas accepté la catégorie statistiques ou marketing.
La seule base légale réaliste est le consentement (article 6.1.a RGPD). L'intérêt légitime ne convient pas : l'enregistrement est intrusif, il peut capturer des informations sensibles et le visiteur ne peut raisonnablement s'y attendre. La CNIL et le CEPD ont confirmé à plusieurs reprises que les outils de session replay requièrent un consentement.
Oui. L'ensemble des enregistrements, heatmaps et journaux d'événements est stocké aux États Unis sur AWS. Le transfert doit reposer sur des clauses contractuelles types accompagnées de mesures supplémentaires, ou sur le cadre Data Privacy Framework UE États Unis si Inspectlet est auto certifié. Une analyse d'impact des transferts (TIA) est obligatoire.
Oui. Le session replay constitue un suivi systématique de personnes physiques au sens de l'article 35.3.c RGPD et figure sur la liste CNIL des traitements imposant une AIPD. L'analyse doit couvrir le périmètre d'enregistrement, la stratégie de masquage, la conservation, le transfert US, la base légale et les droits des personnes concernées.
Bloquez le script tant que le consentement n'est pas obtenu. Ajoutez l'attribut data inspectlet sensitive à tout champ susceptible de collecter des données personnelles. Désactivez par défaut la capture des frappes clavier sur tous les champs. Réduisez la durée de conservation au strict minimum. Signez l'accord de sous traitance Inspectlet. Mettez à jour votre politique de confidentialité avec l'enregistrement, le transfert US et les droits des personnes.
Alternatives européennes : Contentsquare (France), Mouseflow (Danemark), Smartlook (République tchèque). Alternatives américaines : Hotjar (devenu Contentsquare), FullStory, LogRocket, Microsoft Clarity. Options open source auto hébergées : OpenReplay et PostHog session replay.
À chaque modification des règles de masquage, de la durée de conservation ou du périmètre d'enregistrement, mettez à jour la fiche Inspectlet dans votre tableau de cookies et votre politique de confidentialité, consignez le changement dans le registre des traitements, et envisagez d'invalider les consentements antérieurs en augmentant la version de la bannière.