Générer des leadsE-commerceSEA Local
Échanger sur votre stratégie
AccueilGoogle AdsSession replays : enregistrement, usage et conformité RGPD

Session replays : enregistrement, usage et conformité RGPD

En bref

Le session replay enregistre et rejoue les interactions réelles d’un visiteur : mouvements, clics, hésitations, allers-retours. Il répond au « pourquoi » que la heatmap ne peut pas expliquer. Son usage efficace est filtré : on regarde les sessions d’un symptôme précis (abandon de formulaire, rage clicks) pour trouver une cause, pas au hasard. Et c’est une donnée personnelle sous RGPD : consentement préalable et masquage des champs sensibles sont obligatoires.

Par Vincent Duquesne · Consultant Google Ads, Google Partner Premier · Mis à jour le 13 juin 2026

Ce que le replay apporte que rien d’autre ne donne

La heatmap montre où le comportement se concentre, en agrégat. Le session replay montre comment une personne réelle a vécu sa visite, hésitation par hésitation, clic par clic, retour en arrière par retour en arrière.

C’est l’outil du pourquoi : pourquoi cette personne a abandonné au champ téléphone (on la voit hésiter, le survoler, remonter lire quelque chose, puis fermer), pourquoi elle a cliqué trois fois sur un élément (il avait l’air cliquable, il ne l’était pas).

Là où la heatmap pose une question, le replay donne souvent le début d’une explication : la matière qualitative la plus riche de tout l’arsenal d’analyse comportementale.

Mais cette richesse est un piège si on l’utilise mal. Il y a deux manières de mal l’utiliser : une de méthode, une de droit.

Le piège de méthode : filtrer, ne pas regarder au hasard

L’erreur que je vois le plus
Ouvrir l’outil et visionner des sessions les unes après les autres, fasciné. La plupart des sessions sont banales. Noyé dans le banal, vous ne verrez rien d’exploitable. Un replay au hasard, c’est de la télé-réalité coûteuse.

La valeur est dans le filtrage. On part d’un symptôme identifié par les données quantitatives : c’est souvent l’analyse de l’entonnoir et du formulaire qui chiffre où ça décroche et qui indique quoi filtrer. On sélectionne uniquement les sessions qui ont abandonné le formulaire, celles avec des rage clicks, celles qui ont bouclé sur une page ou quitté à une étape clé. Puis on en regarde une poignée en cherchant la cause récurrente : le moment qui revient, le geste de friction partagé.

Dix replays filtrés sur un abandon précis apprennent plus que cent sessions au hasard. Le replay n’est pas un outil d’exploration tous azimuts : c’est un outil de diagnostic ciblé. On l’ouvre avec une question, pas par curiosité.

  1. Identifier le symptôme. Entonnoir, heatmap ou analytics : repérer l’étape qui décroche avant de lancer le filtre.
  2. Filtrer les replays sur ce symptôme. Abandon de formulaire, rage click, sortie sur une page clé. Pas de session générique.
  3. Regarder une poignée. Cinq à dix sessions suffisent pour voir si une cause revient.
  4. Formuler la cause candidate. Un champ qui semble obligatoire et ne l’est pas, un bouton sans feedback, un texte ambigu.
  5. Valider par un test. Le replay identifie la cause hypothétique ; un test A/B sur la bonne variable confirme ou infirme.

Le piège de droit : c’est une donnée personnelle, le consentement n’est pas optionnel

Voici le front que beaucoup négligent, et qui peut coûter cher. Un session replay capture des données personnelles : il enregistre ce qu’une personne identifiable fait sur votre site, parfois ce qu’elle saisit.

À ce titre, il relève pleinement du RGPD, et c’est l’une des catégories d’outils les plus sensibles côté conformité. Trois exigences en découlent.

Le consentement préalable (opt-in). L’enregistrement de session nécessite le consentement de la personne. Il ne va pas de soi du seul fait qu’elle visite votre site.

Le masquage des données sensibles. Mots de passe, coordonnées bancaires, données personnelles saisies dans les formulaires doivent être masqués à la capture. Un replay ne doit jamais rejouer un numéro de carte ou une adresse mail complète.

Le piège technique majeur. Beaucoup d’outils, par défaut, démarrent l’enregistrement dès le chargement de leur script, donc avant que le visiteur ait consenti. C’est précisément là que se crée l’exposition : vous croyez être en règle parce que vous avez une bannière de consentement, mais l’outil enregistrait déjà avant le clic. Il faut vérifier que rien ne se capture avant le consentement, point de configuration souvent ignoré.

Le cadre juridique exact relève de votre conseil (DPO, juriste), pas de cette page. Et il bouge : la CNIL a ouvert en 2026 une consultation publique spécifiquement sur les outils de session-replay, ce qui annonce un encadrement possiblement plus strict.

La limite honnête de cette page : nommer le risque et les bonnes pratiques de base (consentement, masquage, pas d’enregistrement avant accord). La conformité de votre implémentation doit être validée par quelqu’un dont c’est le métier.

Un outil de CRO ne vaut rien s’il vous met en infraction.

À retenir
  • Le session replay répond au « pourquoi » : session réelle, hésitation par hésitation, là où la heatmap ne montre qu’un agrégat.
  • Son usage efficace est filtré : un symptôme précis (abandon, rage click, boucle), une poignée de sessions, une cause récurrente cherchée.
  • Un replay au hasard est une perte de temps. La valeur est dans la question qu’on pose avant d’ouvrir l’outil.
  • C’est une donnée personnelle sous RGPD : consentement opt-in préalable, masquage des champs sensibles, et vérification que l’outil n’enregistre pas avant le consentement.
  • Le cadre se durcit : consultation CNIL 2026 en cours, faites valider par votre conseil.

Questions fréquentes

Quelle est la différence entre une heatmap et un session replay ?
La heatmap agrège le comportement de tous les visiteurs sur une page (clics, scrolls, survols) pour montrer les zones d’attention ou de friction. Le session replay rejoue la session d’un visiteur individuel, avec ses hésitations et ses allers-retours. Les deux sont complémentaires : la heatmap repère le symptôme sur l’ensemble, le replay explique pourquoi sur un cas réel.
Combien de sessions faut-il regarder pour tirer une conclusion ?
Pas des centaines. Cinq à dix replays filtrés sur le même symptôme suffisent souvent pour voir si une cause revient. Si vous ne distinguez pas de pattern après dix sessions bien filtrées, le filtre lui-même mérite d’être recadré.
Pourquoi mon outil de session replay peut-il poser un problème RGPD même avec une bannière de consentement ?
Parce que beaucoup d’outils démarrent l’enregistrement dès le chargement de leur script, avant que le visiteur ait cliqué « accepter ». La bannière est bien là, mais l’outil enregistrait déjà. Il faut configurer l’initialisation pour qu’elle ne se déclenche qu’après consentement explicite, et vérifier ce point dans la documentation de l’outil utilisé.
Le session replay suffit-il pour décider d’un changement sur une page ?
Non. Il identifie une cause hypothétique (ce geste de friction qui revient dans plusieurs sessions filtrées). La décision de changer, elle, se valide par un test A/B : c’est ce qui distingue un diagnostic d’une opinion.
VD
Vincent Duquesne
Consultant Google Ads / SEA freelance depuis 2011 · +100 comptes · +20 M€ gérés
Google Partner Premier 2026
Publié le 13 juin 2026 · Mis à jour le 13 juin 2026

Vous regardez des replays au hasard ?

Filtrage, consentement, masquage PII : on remet l’outil dans les rails.

Réserver un appelParlons de vos objectifs