Tracking des internautes : la CNIL se penche sur les relectures de session de navigation

CNIL Recall ?

Saviez-vous que, parfois, le moindre de vos mouvements sur un site ou une application pouvait être enregistré et « rejoué » sous la forme d’une vidéo ? On parle de relecture de session de navigation, une catégorie d’outil que la CNIL va analyser de près (il est temps).

Sébastien Gavois

Le 14 avril à 11h47

4 min

Internet

Sur le Net, nous sommes tous traqués. Ce n'est pas une supposition ou une question, c’est une constatation. Pour mettre des chiffres derrière cette affirmation, nous avons effectué des relevés avec environ 50 000 requêtes externes pendant une seule journée de navigation.

Si vous voulez voir l’état des dégâts, nous avons mis en ligne une extension maison baptisée DTC (pour Domaines Tiers Contactés). À utiliser sans modération. Aucune donnée n’est transmise, vous seul accédez à vos statistiques (le code source est sur GitHub).

[Outils Next] Une extension pour traquer toutes les requêtes externes des sites

Marquage à la culotte des utilisateurs et RGPD

Mais il n’y a pas que cela, il existe aussi des outils permettant de suivre à la trace les utilisateurs… et c’est peu de le dire. On parle d’enregistrement ou de relecture (rejeu, replay…) de session, permettant de reconstituer le parcours complet d’un utilisateur, « sous forme de vidéos », explique la CNIL. Elle vient en effet de lancer une concertation « sur les outils d'enregistrement et de relecture de session de navigation ».

« Ces outils offrent à l’éditeur d’un site ou d’une application mobile la possibilité d’enregistrer l’ensemble des interactions des utilisateurs telles que les mouvements de souris, les interactions tactiles, les clics, le défilement des pages et, dans certains cas, les saisies de formulaires », précise la CNIL.

Et cela concerne aussi bien les sites web que les applications mobiles. On s’en doute, mais la Commission le formalise : cela « pose des défis importants en matière de respect du RGPD », à la fois aux éditeurs de ces outils, et à leurs clients.

Comme souvent en pareille situation, c’est l’occasion de remettre en avant un excellent dessin de CommitStrip sur le sujet :

Drôle de bots https://t.co/j7drtuLixU pic.twitter.com/gYkursxI9C
— CommitStrip FR (@CommitStrip_fr) October 21, 2020

Données personnelles (sensibles) et vie privée

Ces outils sont en effet « susceptibles d’entrainer des risques élevés pour les droits et libertés des internautes ». La CNIL met notamment en avant deux points : « la collecte d’un volume important de données de navigation incluant des données personnelles parfois sensibles, sans que les utilisateurs en aient conscience », et « la déduction d’informations sur la vie privée d’un grand nombre d’utilisateurs telles que leurs habitudes, croyances, centres d’intérêts, etc. ».

Lorsque l’on navigue un peu sur des sites de sociétés proposant ce genre de service, on se rend compte de l’ampleur de la tâche. « Normalement, les principaux outils de relecture de session sont conformes au RGPD et anonymisent leurs enregistrements de visiteur, ce qui rend difficile l’identification de qui est le visiteur », explique l’une d’elles. On apprécie le « normalement » et « rend difficile », donc pas impossible. Un exemple parmi d’autres.

Le registre est différent, mais la problématique est identique à la fonction Recall de Microsoft. Elle est depuis peu en cours de déploiement dans les préversions de Windows 11.

Microsoft retente sa chance avec sa fonction Recall, cette fois pour de bon

Des ateliers, et la question de l’usage transversal de ces outils

En lançant cette concertation, la CNIL cible large avec la volonté d’appréhender les « enjeux juridiques, techniques mais également éthiques et sociétaux associés à ces outils ». Le but est de proposer, au cours du second semestre, des recommandations pratiques aussi bien aux développeurs des outils de rejeu qu’aux éditeurs de sites et d’applications mobiles.

Avant cela, des ateliers sont prévus d’ici fin juin afin de dresser un état des lieux des applications existantes, « d’étudier les aspects pratiques des modalités d’information et, le cas échéant, de recueil du consentement des personnes concernées », et d’aborder la question de l’usage transversal de ces outils. En effet, ils permettraient « d’accéder au parcours de navigation d’un internaute sur l’ensemble des sites web des éditeurs utilisant l’outil d’un même fournisseur ».

Commentaires (18)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Tanyuu Abonné

Le 14/04/2025 à 12h12

Décidément, le tracking a toujours 3, 4, 5... coups d'avance sur les autorités de régulation

killruana Abonné

Le 14/04/2025 à 12h41

Saviez-vous que Next.ink utilise des outils permettant justement de faire du replay de session ?

Intégration de Matomo dans Next.ink: https://next.ink/lolomoj

Description des fonctionnalités de Matomo par son éditeur :

Session Recordings lets you record all activities on a page of a real visitor such as clicks, mouse movements, scrolls, window resizes, page changes, and form interactions. You can then replay these interactions in a video to see exactly how a visitor interacted with your website.

fdorin Abonné

Le 14/04/2025 à 12h50

Attention, Matomo permet effectivement de le faire, mais ce n'est pas configuré par défaut.

Qui plus est, le session recording est détectable par le trafic réseau généré en permanence à destination du serveur. Ce qui n'est pas le cas pour Next.

killruana Abonné

Le 14/04/2025 à 12h57

mais ce n'est pas configuré par défaut.

d'après la doc Matomo :

In this guide you will learn how to customize the tracking of Heatmaps & Session Recordings. By default, you do not need to change your tracking code and Matomo (formerly Piwik) takes care of everything. (…) If you have already embedded the Matomo JavaScript Tracking Code into your website, the Heatmap & Session Recording will automatically start tracking user activities.

https://developer.matomo.org/guides/heatmap-session-recording/setup

fdorin Abonné

Modifié le 14/04/2025 à 13h02

Ca dit juste qu'il n'y a pas besoin de changer le code Javascript qui est inclus côté client quand on utilise Matomo pour les stats.

Pour qu'il y ait session recording, il faut explicitement l'activer dans l'interface d'administration, et le configurer sur les pages que l'on souhaite suivre.

edit : pour les infos : https://matomo.org/faq/reports/create-and-manage-session-recordings/

Before your users sessions will be recorded, you need to create a session recording.

killruana Abonné

Le 14/04/2025 à 13h02

je prends note, merci.

gg40 Abonné

Le 14/04/2025 à 15h21

Plus qu'une activation c'est un plugin payant plutôt cher (750$ /an).

wild Abonné

Le 14/04/2025 à 14h52

Je pourrais comprendre l'utilisation de Matomo et ses enregistrements de session pour comprendre la durée / ce qui a été vu sur un article de presse.
De cette façon, des statistiques pourraient être générées plus finement sur ce que l'utilisateur regarde, etc.
Ça pourrait aider les devs à voir des portions de page inutiles / mal utilisées ?
Mais si par exemple, on « lit » son article avec Read Aloud sans mouvement, ça ne fonctionne plus :P

StephaneGames Abonné

Le 14/04/2025 à 12h52

"Privacy Badger has replaced this X (Twitter) widget"

Pourquoi mettre un lien vers X pour la planche CommitStrip alors que les planches sont toutes accessibles sur commitstrip.com ?

X ne fait pas de tracking utilisateur ?

kamui57 Abonné

Modifié le 15/04/2025 à 10h13

pour la même raison j'ai recherché le lien original au lieu d'aller sur t.co : Drôle de bots sur Commitstrip

Idiogène

Le 14/04/2025 à 13h44

Le film qui plâne sur l'article est sorti en 1975, et non en 1990.
J'en conclus qu'après le "Girone della merda" c'est le "Girone del sangue".

Timanu69

Le 14/04/2025 à 14h29

Est-que Youporn gère les points chauds avec le pointeur ?

Idiogène

Le 14/04/2025 à 15h19

Je ne sais pas, mais il y a des coccolithophores mutants qui chient dans l'ancienne rue de la Madeleine. (pas besoin de plat-porn pour s'en rendre compte, l'odeur se propage jusqu'à Southampton)

Jarodd Abonné

Modifié le 14/04/2025 à 17h34

Pour résumer l'actu : quand la CNIL se penche sur quelque chose, c'est quand même les utilisateurs qui se font #@&*$!

SebGF Abonné

Le 14/04/2025 à 19h56

Quand je commençais à voir passer des solutions d'APM (application performance management) capables d'enregistrer un parcours client pour l'analyser, mon premier réflexe a été de dire au projet : "parlez-en aux DPO, svp".

MisterDams Abonné

Le 15/04/2025 à 10h14

Je dois faire partie des gens qui sont super identifiables pendant qu'ils lisent un article, en tout cas sur desktop. Je m'amuse toujours à sélectionner des bouts de texte avec la souris en même temps que je lis, j'utilise le "clic milieu" pour défiler lentement...

Avec une IA qui rapprocherait les comportements entre deux sites sur la typologie des mouvements, on peut donc savoir avec une forte probabilité si un visiteur qui a accepté de fournir ses infos persos sur le site Z est aussi celui qui visite le site X sur lequel il a refusé de le faire.

Pour autant, une fois anonymisée je comprends l'intérêt de la valeur pour les équipes UX.

fred42 Abonné

Le 15/04/2025 à 10h19

Je fais pareil, on peut donc nous confondre.

MisterDams Abonné

Le 15/04/2025 à 10h24

Faut dire qu'avec des données personnelles comme ton avatar et ton pseudo, tu es toujours une réponse possible.