Publication de la CNIL sur son site.
La CNIL a publié un projet de recommandation relatif aux outils de « rejeu de session » (session replay) et ouvert une consultation publique sur ce texte jusqu’au 22 avril 2026. L’objectif affiché est d’accompagner les acteurs qui conçoivent ces solutions et ceux qui les déploient, dans un contexte où ces technologies se diffusent rapidement et offrent une visibilité particulièrement fine sur le comportement en ligne des utilisateurs.
Des outils puissants, par nature intrusifs
Les outils de rejeu de session permettent de reconstituer le parcours complet de navigation d’un utilisateur sur un site web ou une application mobile : mouvements de souris, clics, défilement, interactions tactiles, et, dans certains cas, saisies de formulaires. Les données ainsi recueillies sont ensuite restituées sous la forme de sessions « rejouées », comparables à des enregistrements vidéo de la navigation.
La CNIL rappelle que ces outils peuvent conduire à un suivi particulièrement poussé, susceptible de révéler des informations précises sur la vie privée des personnes (habitudes, centres d’intérêts, voire données sensibles selon le contexte), avec un risque structurel de collecte excessive au regard de la finalité poursuivie.
Un double cadre juridique : article 82 et RGPD
Le projet repose sur une articulation classique mais essentielle.
D’une part, les outils de rejeu de sessions impliquent des opérations de lecture/écriture sur le terminal de l’utilisateur via des traceurs (cookies ou technologies équivalentes). En conséquence, elles sont soumises à l’article 82 de la loi « informatique et libertés », qui transpose les dispositions « cookies » de la directive européennes ePrivacy.
D’autre part, le rejeu de session reconstitue des sessions individuelles et entraîne nécessairement un traitement de données à caractère personnel (directement ou indirectement identifiantes), quels que soient les paramétrages. Ces traitements, « subséquents » à l’opération technique de lecture/écriture, doivent donc respecter le RGPD.
Qualification des acteurs
Le projet précise la qualification des acteurs concernés.
L’éditeur (site ou application) est en principe responsable de traitement pour l’ensemble des opérations (lecture/écriture et traitements subséquents) : il décide de recourir à l’outil, fixe les finalités et participe à la détermination des moyens essentiels via son paramétrage.
Le fournisseur de la solution de rejeu est, selon les cas :
- sous-traitant lorsqu’il fournit l’outil sans réutiliser les données pour ses propres finalités ;
- responsable de traitement distinct pour ses propres finalités s’il réutilise les données (par exemple, pour améliorer son service) ;
- responsable conjoint avec l’éditeur pour les opérations de lecture/écriture lorsque ces opérations servent les finalités des deux parties (article 26 du RGPD).
Finalités : la CNIL encadre les usages « admissibles » du rejeu de session
Le projet insiste sur un point structurant : les finalités doivent être déterminées, explicites et légitimes, et surtout définies en amont du déploiement. Elles ne peuvent pas être “découvertes” ou ajustées a posteriori, au gré de ce que l’outil donne à voir.
Surtout, la CNIL identifie les cas d’usage pour lesquels le rejeu de session est présenté comme acceptable (et pour lesquels elle décline ensuite des recommandations de paramétrage et de minimisation) :
- Détection et compréhension des erreurs ou problèmes techniques, lorsque la visualisation de sessions permet d’identifier et résoudre des bugs ou anomalies non détectables via des mesures d’audience classiques ;
- Amélioration de l’expérience utilisateur (UX), afin d’identifier des zones de friction (rage clicks, faux clics, etc.) et d’améliorer l’ergonomie ;
- Support et assistance client, lorsque la reproduction de la session d’un utilisateur ayant rencontré un problème permet de répondre à une demande (ex. : difficulté à finaliser une commande).
Le texte ajoute que si l’éditeur entend utiliser un outil de rejeu de session pour d’autres finalités, il lui appartient de s’assurer de la conformité d’un tel usage. L’autorité va plus loin en donnant un exemple très clair : au regard de la minimisation et des risques inhérents à ces outils, elle indique qu’un outil de rejeu de session ne devrait pas être utilisé à des fins de reciblage publicitaire, compte tenu de l’existence de solutions alternatives moins intrusives (ex. cookies de relance « panier ») .
La CNIL ferme donc clairement la porte aux usages marketing de type reciblage, en positionnant le rejeu de session comme un outil destiné à des finalités techniques, d’UX ou de support, mais difficilement conciliable avec des logiques publicitaires.
Consentement et information : un prérequis systématique
Dans son projet, la CNIL considère que les finalités liées au rejeu de session sont soumises au consentement préalable, en application des règles sur les cookies et autres traceurs. En effet, elle considère que ces opérations ne sont ni strictement nécessaires à la fourniture du service, ni exclusivement destinées à permettre ou faciliter la communication électronique. En conséquence, elles ne peuvent bénéficier de l’exemption de consentement prévu par l’article 82 de la loi informatique et libertés.
Le projet détaille ensuite les modalités de recueil : recours aux CMP existantes en mettant à jour des supports d’information pour y intégrer les nouvelles finalités liées au rejeu de session. L’autorité rappelle ici l’exigence de présenter chaque finalité de manière compréhensible (intitulé court + bref descriptif).
La CNIL encourage par ailleurs, à titre de bonne pratique, à intégrer une information spécifique présentant les outils de rejeu de session et la manière dont ils fonctionnent dès le premier niveau de la CMP, compte tenu de la faible connaissance de ces outils par le grand public et de leur caractère potentiellement intrusif.
Minimisation, conservation, sécurité : une approche très opérationnelle
Le projet consacre enfin une série de recommandations techniques et organisationnelles visant à permettre le respect des principes de protection des données, et insiste sur le fait que les éditeurs doivent choisir des fournisseurs dont les outils permettent effectivement de respecter ces exigences.
Ces recommandations traitent notamment :
- des mesures de minimisation (ex : échantillonnage, déclencheurs, suppression rapide des sessions non pertinentes, masquage systématique et options de démasquage encadrées) ;
- de la durée de conservation (ex : paramétrage des durées par finalité, suppression de sessions individuelles) ;
- de la sécurité (ex : blocage de la collecte de mots de passe/données bancaires, habilitations et contrôles, paramétrages protecteurs par défaut au titre du privacy by default).
Le projet de recommandation intègre un tableau en annexe reliant, pour chacune des finalités « admises », les combinaisons de mesures techniques recommandées (masquage, identifiants, limitation des collectes, durées de conservation, etc.), renforçant ainsi le caractère opérationnel de la future recommandation.
Ce projet traduit une approche assez nette : le rejeu de session ne doit pas être conçu comme un outil généraliste d’observation des comportements, mais comme une technologie à réserver à des finalités limitées (technique/UX/support), sous réserve d’un consentement explicite et de garanties de minimisation particulièrement robustes. La consultation publique est ouverte jusqu’au 22 avril 2026.
