Rejeux de session : la CNIL veut encadrer ces outils discrets de suivi sur le Web

Rejeux de session : la CNIL veut encadrer ces outils discrets de suivi sur le Web
Maurine Briantais

La plupart des internautes ignorent que tous leurs gestes sont enregistrés et analysés quand ils naviguent sur un site Web grâce aux rejeux de session. La CNIL a décidé de lancer une consultation publique sur ces outils de suivi méconnus.

On le sait, lorsque nous surfons sur Internet, les géants de la tech et les entreprises collectent le plus de données possibles à notre sujet, même si nous avons du mal à réellement nous rendre compte jusqu'à quel point. Mais il existe un autre type de collecte qui s'est progressivement installé dans l'arsenal des éditeurs de sites et d'applications mobiles, et qui est encore trop peu connu du grand public : le rejeu de session.

Ces outils permettent de reconstituer entièrement le parcours des internautes sous forme de vidéo, et ce, sans que ces derniers ne s'en rendent forcément compte. Aussi, la Commission nationale de l'informatique et des libertés (CNIL) a décidé de lancer une consultation publique afin de clarifier les obligations juridiques et techniques liées à ces dispositifs de suivi comportemental, et ainsi mettre au point un projet de recommandation pour encadrer leur usage.

Consultation de la CNIL : un projet de recommandation sur les rejeux de session

Les outils de rejeu de session sont des logiciels intégrés dans de nombreux sites Web et applications mobiles afin d'enregistrer toutes les interactions des internautes en temps réel : mouvements de souris, clics, défilements, saisis dans des formulaires, etc. Une fois ces informations capturées, elles sont ensuite reconstituées sous forme de vidéo pour reproduire le parcours de l'utilisateur comme s'il avait été filmé.

L'utilisation d'une telle technologie peut être tout à fait légitime. Elle peut par exemple permettre de détecter un bug, de comprendre pourquoi des utilisateurs abandonnent un formulaire ou encore d'améliorer l'ergonomie d'un site. Mais elle permet aussi de dresser des portraits très précis du comportement des internautes, sans que ceux-ci aient donné son accord. Aussi, la CNIL reconnaît que ces outils "peuvent potentiellement être intrusifs et porter atteinte à la vie privée des personnes".

Aussi, le gendarme du numérique a publié un projet de recommandation visant à clarifier les obligations auxquelles doivent se conformer les acteurs impliqués dans l'usage de ces technologies, comme l'application du principe de minimisation des données – qui impose de collecter uniquement les informations utiles à l'objectif poursuivi.

Il s'adresse à deux catégories d'interlocuteurs : les fournisseurs d'outils de rejeu de session, qui conçoivent et paramètrent ces solutions techniques, et les éditeurs de sites Web ou d'applications mobiles qui choisissent d'intégrer cette technologie dans leurs services. Le texte propose des orientations sur la manière d'informer les utilisateurs, sur la façon de recueillir leur consentement explicite, et sur les modalités de transparence qui doivent être mises en place, comme l'utilisation de plateformes de consentement (CMP) et l'emplacement des informations affichées aux internautes.

La CNIL a ouvert une période de consultation publique pour recueillir les réactions, commentaires et suggestions de tous les acteurs concernés, qu'il s'agisse de professionnels du numérique, d'associations de défense des droits ou de simples internautes. Elle durera jusqu'au 22 avril 2026, après quoi le gendarme du numérique examinera les contributions reçues avant de finaliser et d'adopter la version définitive de sa recommandation.