La CNIL ouvre une consultation publique sur son projet de recommandation encadrant les outils de rejeu de session. Pour clarifier les obligations juridiques et techniques liées à ces dispositifs de suivi comportemental, à la fois puissants et potentiellement intrusifs. Les contributions sont attendues jusqu’au 22 avril 2026.
Les outils de rejeu de session se sont progressivement installés dans l’arsenal des éditeurs de sites web et d’applications mobiles : reconstituer le parcours complet de navigation d’un internaute afin d’identifier des dysfonctionnements, corriger des bugs ou optimiser l’ergonomie d’un service en ligne.
Concrètement, ces solutions enregistrent l’ensemble des interactions réalisées par un utilisateur : mouvements de souris, interactions tactiles, clics, défilement des pages et, dans certains cas, saisies de formulaires. Les données collectées permettent ensuite de visualiser la navigation sous forme de vidéos, offrant une vue détaillée du comportement en ligne.
Mais cette visibilité fine sur les actions des personnes peut aussi devenir un angle mort en matière de protection des données. Parce qu’ils captent des interactions parfois très précises, ces outils sont susceptibles d’être intrusifs et de porter atteinte à la vie privée.
Un encadrement attendu des fournisseurs et des éditeurs
La CNIL publie un projet de recommandation et lance une consultation publique. Le texte s’adresse à deux catégories d’acteurs : les fournisseurs d’outils de rejeu de session, qui conçoivent les solutions techniques et en définissent les paramétrages et fonctionnalités, et les éditeurs de sites web ou d’applications mobiles qui les déploient.
L’élaboration du projet s’appuie sur des échanges menés avec des professionnels et des associations de la société civile. Ces discussions ont permis de mieux comprendre les usages et d’identifier les implications juridiques et techniques liées à ces dispositifs.
La recommandation entend apporter des réponses concrètes sur l’application de la réglementation, en particulier autour du principe de minimisation des données. Ce principe implique de ne collecter que les informations strictement nécessaires à l’objectif poursuivi. Le texte vise ainsi à permettre aux acteurs concernés de mieux appréhender leurs obligations.
Consentement, information : des exigences précisées
Au-delà de la question de la collecte, la CNIL détaille les exigences relatives à l’information des personnes et au recueil du consentement. Le projet précise notamment les modalités d’utilisation d’une plateforme de gestion du consentement (CMP), le niveau auquel l’information doit être affichée, ainsi que des formules susceptibles d’être utilisées pour recueillir ce consentement.
Tous les acteurs concernés peuvent participer, qu’il s’agisse des professionnels visés par le texte, des internautes et utilisateurs d’applications mobiles ou encore des représentants de la société civile. L’autorité invite les organisations d’un même secteur à regrouper, si possible, leurs commentaires au sein d’une contribution unique, en coordination avec leurs fédérations, associations ou têtes de réseau.
