RGPD et Microsoft Clarity (heatmaps & session replay)
Comment utiliser Microsoft Clarity en conformité avec le RGPD ?
Microsoft Clarity, outil gratuit de heatmaps et d'enregistrement de sessions, nécessite un consentement préalable avant le dépôt de ses cookies, comme Hotjar : ses traceurs ne sont pas exemptés au sens de la CNIL. Il faut aussi masquer les données saisies dans les formulaires, déclarer Microsoft comme sous-traitant et mentionner le transfert des données vers les États-Unis dans la politique de confidentialité.
Les 6 étapes pour mettre Microsoft Clarity en conformité RGPD :
- Bloquer le script Clarity via une CMP tant que le consentement n'est pas donné
- Choisir le niveau de masquage le plus protecteur et masquer manuellement tout champ de saisie à risque
- Tester les enregistrements pour vérifier qu'aucune donnée personnelle n'apparaît à l'écran
- Accepter les conditions de traitement des données de Microsoft (article 28 RGPD)
- Mentionner Clarity, sa finalité et le transfert vers les États-Unis dans la politique de confidentialité
- Limiter la conservation des enregistrements à la durée strictement nécessaire à l'analyse
Microsoft Clarity est un outil gratuit de heatmaps et d'enregistrement de sessions qui séduit de nombreux éditeurs de sites par son absence de coût et de limite de trafic. Sur le plan du RGPD, sa gratuité ne change rien : Clarity collecte des données comportementales détaillées (clics, mouvements de souris, défilement, sessions rejouables) qui imposent les mêmes précautions qu'un outil payant comme Hotjar.
Deux points de vigilance dominent : le consentement préalable, obligatoire avant le dépôt des traceurs Clarity, et le masquage des données saisies à l'écran, sans lequel les enregistrements de session peuvent capturer des informations personnelles tapées par vos visiteurs dans les formulaires. S'y ajoute la question des transferts vers les États-Unis, Clarity étant édité par Microsoft.
Un consentement préalable obligatoire, comme pour Hotjar
Microsoft Clarity dépose des cookies (_clck, _clsk) et collecte des données comportementales individuelles : chaque session d'un visiteur peut être rejouée en vidéo. Ces finalités dépassent largement la mesure d'audience strictement nécessaire : les traceurs Clarity ne bénéficient d'aucune exemption au sens de l'article 82 de la loi Informatique et Libertés, et leur dépôt exige un consentement préalable, libre, éclairé et univoque.
La gratuité de l'outil ne crée aucun régime de faveur : Clarity doit être traité avec la même rigueur que les solutions payantes de session replay. Votre CMP doit bloquer le chargement du script Clarity tant que l'utilisateur n'a pas accepté la catégorie correspondante, et la collecte doit cesser en cas de retrait du consentement, qui doit rester aussi simple à exercer que l'acceptation initiale.
Examinez également les conditions d'utilisation de Clarity pour déterminer dans quelle mesure Microsoft réutilise les données collectées pour ses propres finalités (amélioration de ses produits et services, notamment). Si Microsoft agit pour partie en responsable de traitement et non en simple sous-traitant, votre politique de confidentialité doit le refléter.
Session replay : masquer les données saisies est impératif
L'enregistrement de sessions est la fonctionnalité la plus risquée de Clarity : sans masquage correctement configuré, l'outil peut capturer ce que vos visiteurs saisissent dans les formulaires — identité, coordonnées, voire données de santé ou de paiement selon votre activité. Une telle capture contreviendrait aux principes de minimisation et de sécurité du RGPD (articles 5 et 32) et pourrait constituer une violation de données à notifier.
Clarity propose plusieurs niveaux de masquage du contenu, du plus strict au plus permissif. Choisissez le niveau le plus protecteur compatible avec vos besoins d'analyse, puis complétez par un masquage manuel des zones à risque : formulaires, champs de recherche, espaces connectés, pages de paiement. Testez régulièrement vos enregistrements ; si une donnée personnelle apparaît à l'écran, corrigez la configuration et supprimez les enregistrements concernés.
Microsoft sous-traitant : DPA, transferts et politique de confidentialité
Clarity est édité par Microsoft Corporation, société américaine certifiée au Data Privacy Framework (DPF). Les données collectées peuvent être traitées aux États-Unis : votre politique de confidentialité doit mentionner ce transfert et le mécanisme d'encadrement applicable (DPF, complété le cas échéant par les Clauses Contractuelles Types pour les flux non couverts).
Déclarez Clarity dans votre politique de confidentialité : finalité (analyse ergonomique, heatmaps, enregistrements de session), base légale (consentement), données collectées (interactions, données de navigation), durée de conservation et identité du sous-traitant. Acceptez les conditions de traitement des données de Microsoft, qui tiennent lieu de contrat de sous-traitance au sens de l'article 28 du RGPD, et créez une fiche dédiée dans votre registre des traitements.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD Microsoft ClarityQuestions fréquentes
Microsoft Clarity étant gratuit, est-il dispensé d'obligations RGPD ?
Non. La gratuité est un modèle commercial, pas un statut juridique. Dès lors que Clarity collecte des données de comportement individuelles via des traceurs, le consentement préalable, l'information des personnes, le contrat de sous-traitance et l'encadrement des transferts s'appliquent exactement comme pour un outil payant.
Quelle différence entre Hotjar et Microsoft Clarity sur le plan RGPD ?
Les obligations sont identiques : consentement préalable, masquage des données saisies, déclaration dans la politique de confidentialité, DPA. La différence principale tient aux transferts : Hotjar Limited est établi à Malte (UE), tandis que Clarity est opéré par Microsoft, société américaine — le transfert vers les États-Unis doit donc être documenté pour Clarity.
Le masquage automatique de Clarity suffit-il à protéger les données saisies ?
Non, ne vous reposez pas uniquement sur le masquage automatique. Tout champ de texte libre peut contenir des données personnelles que l'outil ne reconnaît pas comme sensibles. Configurez le niveau de masquage le plus strict possible, ajoutez des règles manuelles sur vos formulaires et zones de saisie, et vérifiez le résultat en visionnant vos propres enregistrements.
Faut-il une analyse d'impact (AIPD) pour utiliser Microsoft Clarity ?
Pas systématiquement. L'AIPD est requise pour les traitements susceptibles d'engendrer un risque élevé pour les droits des personnes (article 35 du RGPD). Un usage standard de Clarity sur un site vitrine ne la déclenche pas automatiquement, mais elle est recommandée si votre site traite des données sensibles (santé, mineurs) ou enregistre des parcours impliquant de telles données.