FAQ sur les données personnelles
Les données personnelles : qu'est-ce que c'est ?
Les données personnelles sont toute représentation d'informations permettant de déduire raisonnablement l'identité d'une personne à laquelle elles s'appliquent, que ce soit par des moyens directs ou indirects.
Exemples de données personnelles :
- nom et prénom ;
- adresse personnelle
- adresse électronique telle que nom.prénom@entreprise.com ;
- numéro de carte d'identité ;
- données de localisation (par exemple la fonction de données de localisation d'un téléphone mobile)* ;
- adresse de Protocole Internet (IP) ;
- identifiant de cookie* ;
- identifiant publicitaire de votre téléphone ;
- données détenues par un hôpital ou un médecin, qui peuvent être un symbole permettant d'identifier une personne en particulier.
Quelles sont les normes du Règlement Général sur la Protection des Données (RGPD) de l'UE en matière de collecte de données personnelles ?
La réglementation RGPD interdit la collecte et le stockage de données personnelles. Cela vous oblige à masquer toute donnée de ce type sur votre site comme condition préalable à l'utilisation de la fonctionnalité Session Replay de Contentsquare.
Quelles sont les données personnelles que le tag CS filtre automatiquement ?
Le tag de suivi web de CS est livré prêt à l'emploi avec des caractéristiques de sécurité clés pour empêcher la collecte d'informations personnelles :
- il ne capture pas les valeurs des champs de formulaire pré-remplis (saisie ou zone de texte).
- il n'enregistre pas ce que l'utilisateur tape (l'événement keyUp est suivi, mais le keyCode lui-même n'est pas enregistré).
- il ne stocke pas l'adresse IP (celle-ci est supprimée après le traitement).
- il supprime toute chaîne de caractères formatée de type email, qu'elles apparaissent dans le code HTML, l'URL ou une variable personnalisée ou dynamique, avant qu'elle ne soit envoyée à nos serveurs.
Retrouvez toute notre documentation technique sur le traitement des données personnelles ici.
Quelles données personnelles pourraient encore potentiellement fuiter malgré le filtrage automatique du tag CS ?
Le module Session Replay de Contentsquare repose sur la capture et le téléchargement du contenu HTML complet de la page sur laquelle l'utilisateur navigue. Cela peut conduire par inadvertance à la collecte de données personnelles si celles-ci apparaissent en dehors des paramètres de filtrage automatique décrits ci-dessus.
La situation la plus courante qui n'est pas couverte par les dispositifs de sécurité par défaut est celle des données personnelles qui apparaissent sous forme de texte sur la page (nœuds de texte). Bien que cela soit moins courant, les données personnelles peuvent également apparaître dans les valeurs des attributs de certains éléments. Ces deux scénarios sont propres à chaque page et à chaque site et, en tant que tels, ne permettent pas d'appliquer un masquage automatique universel.
Qu'est-ce que le masquage des données ?
Le masquage des données permet d'éviter les fuites de données et garantit que toutes les données collectées par Session Replay ne contiennent aucune donnée personnelle telle que définie ci-dessus. Le masquage intervient généralement au cours de la phase d'implémentation de Contentsquare. Les différentes méthodes de masquage automatique du contenu textuel et de masquage d'éléments spécifiques du site sont décrites ci-dessous.
Masquage automatique du texte pouvant contenir des données personnelles
Contentsquare offre la possibilité de masquer automatiquement le contenu textuel de toute page de votre site en remplaçant tout le texte par la lettre "A" afin d'éviter les fuites de données. Le masquage automatique n'a pas besoin d'être universel. Lorsque vous implémentez Contentsquare, il est recommandé d'appliquer le masquage à l'ensemble de votre site, puis de le désactiver pour les pages ou les éléments spécifiques que vous souhaitez voir non masqués. Vous pouvez également choisir de ne masquer que les pages sur lesquelles des données personnelles apparaissent (par exemple, le checkout avec ses pages de paiement et de livraison) et de laisser les autres pages entièrement visibles.
Comment ça marche ?
Pendant l'enregistrement de la session par Session Replay :
- le contenu textuel est masqué, chaque caractère individuel est remplacé par "AAA".
- les caractères des champs de saisie et des champs de mot de passe sont remplacés par "•".
- les caractères des champs numériques sont remplacés par "0".
- les espaces sont conservés.
- les images et les ressources statiques sont conservées.
- la majorité des valeurs d'attributs HTML sont vidées, mis à part "id", "class", "style", "src", "srcset", "href", "rel" et "type".
Avant le masquage automatique | Après le masquage automatique |
Activer le masquage automatique
Contactez votre CSM pour activer le masquage automatique à l'aide de l'une ou l'autre des deux méthodes suivantes :
-
la mise sur liste noire de pages
- Cette méthode s'applique si vous souhaitez activer le masquage automatique d'une seule page ou d'un groupe de pages. Il vous faudra indiquer les URL spécifiques que vous souhaitez masquer.
-
la mise sur liste blanche de pages
- Utilisez cette méthode si vous souhaitez activer le masquage automatique sur l'ensemble de votre site web et n'exclure qu'une page ou un groupe de pages spécifique du masquage. Il vous faudra énumérer les URL que vous souhaitez laisser visible.
Activer/désactiver l'automatisation au niveau de la page
Si la session entière de votre site est masquée, vous pouvez désactiver le masquage automatique complet d'une page ou d'un groupe de pages, en définissant les URLs à démasquer. De la même manière, vous pouvez l'activer sur une page ou un groupe de pages seulement, en définissant les URL à masquer. Pour masquer/démasquer des pages, vous avez deux possibilités :
- Définir des regex (contactez votre CSM si vous avez besoin d'aide avec cette méthode)
- Définir des opérateurs (vous pouvez utiliser cette méthode dans l'onglet "Masquage automatique" de la Console - contactez votre CSM en cas de besoin)
Définir des regex
- Définissez une regex pour les URL qui doivent être démasquées.
- Rendez-vous dans les Paramètres "⚙️" > Console.
- Rendez-vous dans l'onglet "Modules & fonctionnalités".
- Sur la ligne de Session Replay, cliquez sur "Collecte".
- Activez le masquage automatique des sessions (s'il ne l'est pas déjà).
- Sélectionnez l'option "Masquer automatiquement toutes les pages sauf".
- Sélectionnez l'onglet RegEx et cliquez sur "Appliquer".
- Cliquez sur "Nouvelle règle" et créez votre RegEx.
- Testez et enregistrez votre RegEx.
Facultatif : Si elle n'est pas déjà activée par défaut, vous pouvez sélectionner l'option "Ignorer la sensibilité au caractère".
Définir des opérateurs
-
- Rendez-vous dans les Paramètres "⚙️" > Console.
- Rendez-vous dans l'onglet "Masquage automatique".
- Activez le masquage automatique des sessions (s'il ne l'est pas déjà).
- Sélectionnez l'option "Masquer automatiquement toutes les pages sauf" ou "Démasquer automatiquement toutes les pages sauf".
- Sélectionnez l'onglet "Opérateur" et cliquez sur "Appliquer".
- Cliquez sur "Nouvelle règle".
- Créez votre liste de règle en définissant les opérateurs.
Comment exclure des sections de pages du masquage automatique ?
Si vous choisissez d'utiliser le masquage automatique, il vous est toutefois possible d'en exclure des sections ou des éléments spécifiques de certaines pages.
Contentsquare propose deux méthodes pour y parvenir :
1. Ajouter l'attribut "data-cs-capture" à l'élément parent de la section de la page en question. L'attribut data-cs-capture doit être ajouté comme dans l'exemple ci-dessous.
<divclass="product"data-cs-capture>
<h2> Title that should not be masked </h2>
<div> Content that should not be masked </div>
</div>
2. Utiliser une commande JavaScript
Chaque élément répertorié doit être identifié par son sélecteur CSS et être ensuite ajouté à la commande setCapturedElementsSelector.
Par exemple, si le HTML que vous souhaitez démasquer ressemble à ceci :
<div class="product" id="captureMe">
<h2> Title that should not be masked </h2>
<div> Content that should not be masked </div>
</div>
le code suivant le démasquera (l'exemple ci-dessous n'utilise qu'un seul sélecteur CSS, mais vous pouvez en ajouter autant que nécessaire en les séparant par des virgules) :
window._uxa = window._uxa|| ;
window._uxa.push(["setCapturedElementsSelector", ".capture-me, #captureMe"]} ;
Masquage d'éléments spécifiques du site susceptibles de contenir des données à caractère personnel
Outre l'utilisation du masquage automatique (avec ou sans démasquage sélectif de sections spécifiques ou de pages entières), Contentsquare propose une méthode de masquage des données personnelles qui ne nécessite pas de masquage automatique. Cette méthode fonctionne de manière similaire à la méthode de démasquage sélectif décrite ci-dessus, mais elle supprime tous les nœuds de texte et de HTML contenus dans le ou les éléments ciblés, tout en laissant tout le reste visible.
Pour commencer
1. Demandez aux développeurs de votre équipe de vous aider à choisir la méthode de masquage qui convient le mieux à votre site et effectuez le processus de masquage technique décrit dans cet article.
2. Parcourez chaque page qui est suivie par le tag de suivi principal de CS et identifiez et répertoriez chaque élément susceptible de contenir des données personnelles.
3. Choisissez l'une des deux méthodes de masquage des éléments :
-
Implémenter une seule ligne de code qui appelle tous les éléments précédemment marqués à des fins de masquage et supprime toute donnée personnelle de vos enregistrements Session Replay.
- Recommandé pour les sites sur lesquels des éléments individuels ont déjà été taggés comme nécessitant un masquage des données personnelles avec un fournisseur différent, car la ligne unique peut facilement appeler tous les tags existants.
-
Marquer individuellement chaque élément contenant des données personnelles avec un attribut "specific-data". Cela supprimera également les données personnelles de vos enregistrements de session.
- Recommandé pour les sites qui n'ont jamais taggé les éléments contenant des données personnelles.
Comment activer le masquage des éléments ?
Méthode de la ligne de code unique
Voici la ligne de code que votre développeur devra exécuter avant le tag principal de suivi CS.
window._uxa = window._uxa ||[];
window._uxa.push (['setPIISelectors', {PII Object});
Exemple :
Voici un exemple, en contexte (code d'un site web), du fonctionnement de la ligne de code appelant tous les éléments précédemment taggés pour le masquage :
- Ci-dessous, vous pouvez voir que les éléments taggés pour le masquage sont appelés (par la ligne de code présentée ci-dessus) à l'aide de ses sélecteurs CSS, à supprimer les attributs définis (données personnelles) de l'élément.
PIISelectors: [".css-selector, #css-selector"], // DOM elements to be masked
Attributes: [
{
selector: "select#month option, select#year option", // CSS selector
attrName: 'id' // Attribute name to mask
},
{
selector: ".link-page-7", // CSS selectors
attrName: ['href', 'name' ] // Array of attribute names to mask
}
]
Note : Cette ligne de code masque à la fois le HTML initial et les modifications dynamiques qui peuvent être détectées par Change Monitor et peut être combinée avec la méthode de masquage automatique de texte de Session Replay.
Méthode de taggage des éléments
Pour cette méthode, chaque élément sera taggé individuellement avec l'attribut data spécifique : data-cs-mask, directement sur le markup DOM dans votre base de code. Cet attribut supprimera l'élément de votre enregistrement Session Replay.
Exemple :
Markup DOM :
<div class="name" data-cs-mask>
John Doe
<a href= "logout.html">Lougout</a>
</div>
Enregistrement Session Replay :
<div class="name" data-cs-mask></div>
Note : Pour utiliser cette méthode, vous ou vos développeurs devrez être en mesure d'apporter des modifications au DOM de votre site.
Méthode de taggage :
Type d'attribut DOM | Attribut de données |
Valeur de l'attribut DOM | data-cs-mask |
La valeur peut-elle être modifiée ? | non |
Ce qui est supprimé |
HTML interne : le contenu textuel + tous les nœuds à l'intérieur de l'élément taggé seront supprimés du HTML. Événements sur le HTML supprimé - Les événements (clic, survol, etc.) seront toujours collectés et envoyés à nos serveurs même s'ils visent des éléments HTML supprimés. Ils seront visibles dans l'application en utilisant l'arrière-plan en direct. |
Quand est-il supprimé ? | Avant l'envoi de l'enregistrement aux serveurs |
Exemple :
Voici un exemple de ce à quoi ressemblera votre enregistrement de session dans Session Replay si le masquage automatique du texte est activé ('aaaaa' comme décrit ci-dessus) en même temps que le processus de masquage des éléments (comme décrit ci-dessous). Les éléments masqués apparaîtront comme des "zones cachées" grisées.