Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

PostHog

Que fait PostHog ?

PostHog est une plateforme open source d'analyse produit, de session replay et de feature flags. Les clients européens peuvent choisir le Cloud UE (Francfort) ou l'auto hébergement pour garder les données dans l'UE.

Présentation de PostHog

PostHog est une plateforme open source d''analyse produit et d''expérimentation éditée par PostHog Inc., basée à San Francisco. Elle combine tracking d''événements, session replay, feature flags, sondages et expérimentations. Les éditeurs européens peuvent choisir Cloud UE (AWS Francfort) ou s''auto héberger pour garder les données dans l''UE.

Données et cookies déposés

PostHog dépose des cookies first party ph_phc_*_posthog qui identifient l''utilisateur entre les sessions, ainsi qu''un identifiant unique (distinct_id). Le session replay capture les mutations du DOM et les interactions, y compris le texte saisi dans les formulaires si non masqué.

Implications RGPD et ePrivacy

L''analyse produit et le session replay sont en général qualifiés de non essentiels par la CNIL, les autorités allemandes et l''AEPD : un consentement est requis avant activation. La mesure anonyme server side, sans identifiant persistant, peut relever de l''intérêt légitime dans des cas étroits.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement

Vous devez obtenir un consentement préalable, libre, spécifique et éclairé pour le tracking, le session replay et la personnalisation par feature flag. Utilisez l''option opt_out_capturing_by_default et appelez posthog.opt_in_capturing() uniquement après consentement.

Transferts hors EEE

Le Cloud US par défaut transfère les données aux États Unis. Le Cloud UE garde les données dans AWS Francfort. PostHog Inc. signe CCT et DPA. Menez une analyse d''impact des transferts si vous gardez le Cloud US, ou passez au Cloud UE ou à l''auto hébergement.

Mise en conformité pratique

Choisissez le Cloud UE ou auto hébergez, masquez les éléments sensibles en session replay, désactivez l''autocapture sur les formulaires avec données personnelles, conditionnez le tracking à une CMP, documentez DPA et CCT et menez une AIPD pour le session replay.

Categorie de consentement RGPD

Analytique

Les sites web utilisant PostHog doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent (Article 6(1)(a) GDPR and Article 5(3) ePrivacy) for product analytics, session recordings and feature flags. Legitimate interest may apply if all analytics are anonymous, properly truncated and not used for advertising.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, French CNIL guidelines, German TDDDG, Spanish LSSI

Considerations AIPD

Une AIPD est recommandée car PostHog peut enregistrer des replays de session et les relier à des identifiants utilisateurs. Masquez les champs sensibles, limitez les replays aux zones authentifiées et préférez le Cloud UE pour réduire les transferts.

Exemple de texte de consentement

Notre site utilise PostHog, plateforme d'analyse produit qui peut enregistrer vos interactions et des replays de session. PostHog Inc. est établie aux États Unis. Choisissez le Cloud UE ou n'activez les analytics qu'après votre consentement préalable pour rester conforme au RGPD.

Details techniques

Methode de suivijavascript_tag

Localisation des serveursUnited States or European Union (Frankfurt) depending on plan

Suivi sans cookie disponibleOui

Donnees transferees hors UEPostHog Inc. is a US company, but customers can choose between US Cloud and EU Cloud (Frankfurt). Self hosting in the EU is also supported. SCCs and the EU US Data Privacy Framework apply when US Cloud is used.

Domaines tiers contactes

us.i.posthog.comapp.posthog.comeu.i.posthog.comeu.posthog.comus.i.posthog.comapp.posthog.comeu.posthog.com

Cookies deposes

Nom	Type	Duree	Finalite
ph_<project_id>_posthog	first-party	1 year	Stores the pseudonymous distinct_id, session id and feature flag overrides used by the PostHog SDK to stitch events together.
ph_{token}_posthog	first_party	12 months	Stores the visitor distinct_id and feature flag values for product analytics and personalisation.

PostHog collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies PostHog dépose-t-il ?

PostHog dépose un cookie propriétaire nommé ph_<project_id>_posthog contenant un distinct_id pseudonyme servant à recoller les événements. Il peut aussi utiliser localStorage et sessionStorage pour la configuration et le tampon de replay. Aucun cookie tiers n'est posé par défaut.

Quels cookies PostHog dépose t il ?

PostHog dépose un cookie first party ph_<votre_jeton>_posthog qui stocke distinct_id et les valeurs des feature flags. Sans cookies, le SDK peut utiliser localStorage.

Faut-il un consentement pour utiliser PostHog ?

Oui, en configuration par défaut. Le SDK PostHog stocke et lit des identifiants sur le terminal et traite IP et données comportementales, ce qui engage l'article 5(3) de la directive ePrivacy et l'article 6(1)(a) du RGPD. Utilisez les API d'opt out PostHog pour retarder le chargement jusqu'à l'acceptation du consentement analytique.

Le consentement est il requis ?

Oui pour l'analyse produit, le session replay et les feature flags personnalisés. La mesure anonyme server side sans identifiant persistant peut relever de l'intérêt légitime dans des cas étroits.

Quelle est la base légale du traitement via PostHog ?

La base légale standard est l'article 6(1)(a) du RGPD (consentement). L'intérêt légitime (article 6(1)(f)) ne peut être invoqué que si le SDK est configuré pour un comptage anonyme minimal, IP masquée, sans replay ni empreinte, et après un test de proportionnalité documenté.

Quelle est la base légale ?

Consentement au titre de l'article 6(1)(a) du RGPD et de l'article 5(3) ePrivacy. L'intérêt légitime n'est envisageable que pour des analytics strictement anonymes sans identifiant persistant.

PostHog transfère-t-il des données aux États-Unis ?

PostHog Cloud US est hébergé aux États-Unis : oui pour cette région. PostHog Cloud EU est hébergé sur AWS Francfort, sans transfert systématique. PostHog auto hébergé reste sur l'infrastructure de l'opérateur ; privilégiez la région UE ou l'auto hébergement pour conserver les données dans l'EEE.

Y a t il des transferts vers les États Unis ?

Oui par défaut sur le Cloud US. Le Cloud UE (Francfort) garde les données dans l'UE. L'auto hébergement en UE supprime tout transfert.

Faut-il une AIPD avant d'utiliser PostHog ?

Une AIPD est recommandée dès que session replay ou heatmaps sont activés, en cas de PostHog Cloud US pour des utilisateurs européens, en secteur sensible (santé, finance) ou pour du profilage comportemental à grande échelle. Un simple comptage d'événements anonymes sur PostHog Cloud EU passe en général sous le seuil.

Une AIPD est elle nécessaire ?

Recommandée, surtout pour le session replay et les feature flags personnalisés susceptibles de profiler les utilisateurs.

Comment intégrer PostHog en conformité RGPD ?

Choisissez PostHog Cloud EU ou l'auto hébergement, signez le DPA PostHog, intégrez le SDK derrière votre CMP, masquez les éléments sensibles dans le session replay, fixez une rétention courte, routez le SDK via un reverse proxy sur votre domaine pour limiter les cookies cross site et documentez le tout dans le registre.

Comment être conforme en pratique ?

Choisissez le Cloud UE, activez opt_out_capturing_by_default, conditionnez posthog.opt_in_capturing() à votre CMP, masquez les champs sensibles en replay et signez le DPA.

Quelles sont les alternatives ?

Matomo, Plausible, Fathom, Mixpanel, Amplitude, Heap, Snowplow. Les options européennes simplifient la conformité.

Existe-t-il des alternatives à PostHog ?

Parmi les alternatives analytics et product analytics : Plausible, Matomo, Pirsch, Snowplow, Amplitude, Mixpanel, Heap et Statsig. Les options européennes ou auto hébergées (Matomo, Plausible, Pirsch, Snowplow auto hébergé, PostHog auto hébergé) sont les plus adaptées à une audience européenne.

Comment mettre à jour la politique cookies pour PostHog ?

Listez le cookie PostHog, l'identifiant pseudonyme, la durée et la finalité. Précisez si vous utilisez PostHog Cloud US, Cloud EU ou auto hébergé, le mécanisme de transfert le cas échéant et l'activation ou non du session replay. Renvoyez à la politique de confidentialité PostHog et au centre de préférences de votre CMP.

Comment mettre à jour la politique cookies ?

Documentez le cookie ph_*_posthog, sa finalité et sa durée, ainsi que l'usage de localStorage le cas échéant.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min