Découvrez comment Zenovay gère les enregistrements de sessions de manière responsable – du masquage des données à la conformité RGPD en passant par la sécurité du stockage.
Approche axée sur la confidentialité
Notre philosophie
Session Replay a été conçu en mettant la confidentialité en avant :
- Les mots de passe sont masqués par défaut
- Vous contrôlez ce qui est enregistré avec de simples classes CSS
- Conçu pour soutenir vos obligations RGPD et CCPA
- Aucune donnée personnelle n'est vendue ou partagée
Ce que nous masquons toujours
Quels que soient vos paramètres, les champs de mot de passe ne sont jamais enregistrés. Quand l'enregistrement démarre, Zenovay signale automatiquement chaque champ de saisie de mot de passe (y compris les champs marqués avec autocomplete="password", current-password ou new-password) de sorte que leur contenu ne quitte jamais la page.
Masquage des données
Comportement par défaut
Par défaut, Session Replay enregistre la plupart des entrées de formulaire pour que la lecture soit utile pour le support et le débogage. Les mots de passe sont l'exception et sont toujours masqués.
| Élément | Traitement par défaut |
|---|---|
input[type="password"] | Toujours masqué |
input[type="email"] | Enregistré (affiché à la lecture) |
input[type="tel"] | Enregistré (affiché à la lecture) |
input[type="text"] | Enregistré (affiché à la lecture) |
.zenovay-mask-replay | Masqué |
[data-private] | Bloqué de l'enregistrement |
Les adresses e-mail et les numéros de téléphone sont affichés par défaut car ils sont souvent utiles lors de l'examen d'une session de support. Si vous avez besoin de les masquer, masquez ou bloquez les champs pertinents en utilisant les classes CSS ci-dessous.
À quoi ressemble le masquage
Dans les enregistrements, le contenu masqué s'affiche sous la forme ••••••••. Les éléments bloqués sont supprimés de l'enregistrement dans son intégralité et n'apparaissent jamais à la lecture.
Masquage et blocage avec des classes CSS
Le enregistreur de Zenovay lit trois crochets CSS. Ajoutez la classe appropriée (ou l'attribut) à n'importe quel élément de votre site :
<!-- Masquer le texte (affiché comme ****) -->
<span class="zenovay-mask-replay">Informations personnelles</span>
<!-- Bloquer de l'enregistrement (non capturé du tout) -->
<div class="zenovay-block-replay">
Cette section n'apparaîtra pas dans les enregistrements
</div>
<!-- L'attribut data-private bloque également un élément -->
<input type="text" data-private>
| Crochet | Effet |
|---|---|
zenovay-mask-replay (classe) | Le texte est masqué, affiché sous la forme •••••••• |
zenovay-block-replay (classe) | L'élément est complètement supprimé de l'enregistrement |
data-private (attribut) | L'élément est bloqué de l'enregistrement |
Ces crochets fonctionnent n'importe où dans votre balisage – sur les entrées, les formulaires ou les sections entières.
Mode d'enregistrement
Session Replay peut s'exécuter en deux modes de déclenchement, définis par site :
| Mode | Comportement |
|---|---|
| Erreurs uniquement (par défaut) | Les sessions sont enregistrées en arrière-plan et sauvegardées uniquement quand le visiteur déclenche une erreur JavaScript, vous conservez les enregistrements qui comptent |
| Toutes les sessions | Chaque session est enregistrée (échantillonnée automatiquement sur les sites à fort trafic pour maintenir le volume gérable) |
Pour modifier le mode, ouvrez le tableau de bord du site, allez à Paramètres → Avancé, activez Session Replay, puis choisissez le mode d'enregistrement. L'enregistrement reste désactivé jusqu'à ce que vous l'activiez.
L'enregistrement de toutes les sessions capture plus de données. Assurez-vous que votre masquage et vos exclusions sont configurés et que votre avis de confidentialité couvre Session Replay avant de passer à « Toutes les sessions ».
Blocage de l'enregistrement
Bloquer des pages entières
Vous pouvez arrêter l'enregistrement sur des chemins d'URL spécifiques. Dans le tableau de bord du site, allez à Paramètres → Exclusions et ajoutez les chemins que vous souhaitez exclure sous Exclure les chemins d'URL, par exemple :
/admin/*/account/settings/checkout/payment
Les sessions sur les chemins exclus sont ignorées et ne sont jamais stockées.
Bloquer des éléments
Pour supprimer un élément spécifique des enregistrements, ajoutez la classe zenovay-block-replay ou l'attribut data-private :
<!-- Ne pas enregistrer cet élément du tout -->
<div class="zenovay-block-replay">
Cette section n'apparaîtra pas dans les enregistrements
</div>
<!-- Même effet avec l'attribut data-private -->
<div data-private>
Contenu sensible ici
</div>
Consentement de l'utilisateur
Exigences en matière de consentement
Selon votre juridiction :
| Région | Exigence |
|---|---|
| UE (RGPD) | Consentement explicite souvent requis |
| Californie (CCPA) | L'opt-out doit être disponible |
| Autre | Varie selon la loi |
Pause du suivi en cas de retrait du consentement
L'enregistrement est activé par les paramètres de votre site (Paramètres → Avancé), non via une API JavaScript. Pour arrêter tout suivi (y compris l'enregistrement) quand un visiteur retire son consentement, utilisez la file d'attente de commandes du traqueur :
// Désactiver le suivi si le consentement est retiré
if (!userConsented) {
zenovay('disable');
}
// Réactiver le suivi quand le consentement est accordé
if (userConsented) {
zenovay('enable');
}
Intégration du consentement
Fonctionne avec n'importe quel gestionnaire de consentement qui peut déclencher un rappel, y compris OneTrust, Cookiebot et CookieYes, ou votre propre implémentation personnalisée.
Exemple de flux de consentement
// Attendre le signal de consentement
window.addEventListener('consent-given', function() {
zenovay('enable');
});
window.addEventListener('consent-withdrawn', function() {
zenovay('disable');
});
Stockage des données
Où les données sont stockées
Les données de session sont :
- Chiffrées au repos
- Hébergées sur l'infrastructure edge mondiale de Cloudflare
- Stockées avec la base de données de l'UE (Francfort) comme région principale
Périodes de rétention
| Plan | Rétention |
|---|---|
| Pro | 60 jours |
| Scale | 120 jours |
| Enterprise | 180 jours |
Après la rétention
Quand la période de rétention expire :
- Les enregistrements sont automatiquement supprimés
- Ils ne peuvent pas être récupérés
Sécurité des données
Chiffrement
Toutes les données de session sont :
- Chiffrées en transit (TLS)
- Chiffrées au repos
Contrôle d'accès
Les enregistrements ne sont visibles que pour les membres de votre espace de travail, limités par leur rôle. La journalisation d'audit de qui a accédé à quoi est disponible sur le plan Scale.
Posture de sécurité et de conformité
Zenovay est conçu pour la conformité RGPD et s'exécute sur une infrastructure de fournisseurs certifiés :
- Cloudflare (SOC 2 Type II, ISO 27001, ISO 27018)
- Supabase (SOC 2 Type II)
- Stripe gère toutes les données de paiement (PCI DSS Level 1)
Pour les transferts de données internationaux, Zenovay s'appuie sur le Data Privacy Framework UE-États-Unis et les clauses contractuelles type le cas échéant.
Conformité RGPD
Base juridique
Pour l'enregistrement de session en vertu du RGPD :
| Base | Remarques |
|---|---|
| Consentement | Consentement explicite de l'utilisateur |
| Intérêt légitime | Avec une évaluation appropriée |
Droits des personnes
Les utilisateurs peuvent demander :
- L'accès à leurs enregistrements
- La suppression de leurs enregistrements
- L'export de leurs données
Mise en œuvre des droits
Quand vous recevez une demande :
- L'utilisateur soumet la demande
- Trouvez les sessions pertinentes dans votre tableau de bord
- Exportez ou supprimez-les
- Confirmez l'achèvement
Suppression d'enregistrements
Pour supprimer un enregistrement spécifique, ouvrez la vue Sessions du site, trouvez la session et supprimez-la. L'enregistrement et ses événements stockés sont définitivement supprimés et ne peuvent pas être récupérés.
Pour une demande de suppression plus large au niveau du compte, consultez Détails de conformité RGPD.
Contrôles utilisateur
Options de désinscription
Vous pouvez donner aux visiteurs un moyen de désactiver le suivi en utilisant la commande disable du traqueur :
<!-- Opt-out face à l'utilisateur -->
<button onclick="zenovay('disable')">
Ne pas suivre mon activité
</button>
Respecter Do Not Track
Zenovay respecte les signaux Do Not Track (DNT) et Global Privacy Control (GPC) par défaut. Aucun attribut supplémentaire n'est nécessaire. Ajoutez data-ignore-dnt="true" au script de suivi uniquement si vous avez besoin de remplacer ce comportement.
Contenu tiers
Iframes
Les iframes tiers :
- Ne sont pas enregistrées entre les origines (l'enregistrement d'iframe cross-origin est désactivé pour des raisons de sécurité)
- Peuvent afficher un espace réservé à la lecture
Scripts tiers
Le contenu chargé à partir d'autres domaines :
- Peut s'afficher différemment à la lecture
- Des polices de secours sont possibles
- Les images externes peuvent ne pas charger
Secteurs sensibles
Santé
Notez que Zenovay n'est pas certifié HIPAA et nous ne signons pas d'accords de partenaire commercial. Si vous opérez dans le secteur de la santé :
- Masquez ou bloquez tous les champs et sections PHI
- Traitez les enregistrements de session comme étant hors du champ d'application de PHI, ou ne l'enregistrement pas les pages qui les contiennent
Services financiers
Pour les données financières :
- Masquez tous les champs financiers
- Bloquez les pages de paiement avec des exclusions de chemin
- Utilisez la journalisation d'audit (Scale) pour suivre l'accès aux enregistrements
Considérations juridiques
Consultez votre équipe juridique sur :
- Les exigences de l'industrie
- Les lois régionales
- Les accords avec les clients
Audit et conformité
Journalisation d'audit
Scale PlanLes journaux d'audit de l'espace de travail suivent les actions administratives, y compris :
- L'identité du spectateur
- L'horodatage
- L'action entreprise
Bonnes pratiques
Liste de contrôle de confidentialité
Avant d'activer l'enregistrement :
- Avis de confidentialité mis à jour pour mentionner l'enregistrement de session
- Mécanisme de consentement en place (le cas échéant)
- Champs sensibles masqués ou bloqués
- Chemins exclus configurés
- L'équipe consciente des responsabilités en matière de confidentialité
Examens réguliers
Vérifiez régulièrement :
- La configuration du masquage
- Les nouveaux champs sensibles ajoutés à votre site
- La conformité au consentement
- Le mode d'enregistrement et les exclusions
Documentation
Conservez les enregistrements de :
- Ce que vous enregistrez
- Votre base juridique
- Les périodes de rétention
- Qui peut accéder aux enregistrements
Résumé de la configuration
Configurez ceux-ci dans le tableau de bord du site :
- Paramètres → Avancé : activez Session Replay et définissez le mode d'enregistrement (erreurs uniquement / toutes les sessions)
- Paramètres → Exclusions : ajoutez les chemins d'URL à exclure, par exemple
/admin/*
Pour le contrôle au niveau des éléments, ajoutez des crochets CSS dans votre HTML :
<div class="zenovay-mask-replay">Contenu masqué</div>
<form id="payment-form" class="zenovay-block-replay">Bloqué de l'enregistrement</form>
Do Not Track et Global Privacy Control sont respectés par défaut ; ajoutez data-ignore-dnt="true" au script de suivi pour remplacer ce comportement.