Votre site et vos données utilisateur sont en sécurité avec Hotjar. Nous prenons plusieurs mesures pour garantir que vous êtes la seule personne à pouvoir accéder à vos données de site et que la vie privée de vos utilisateurs est respectée.
Stockage des données
Les données utilisateur et d'utilisation collectées par Hotjar via son logiciel sont stockées en Irlande, dans l'Union européenne (UE), sur l'infrastructure Amazon Web Services, dans les centres de données eu-west-1. Nos serveurs d'application et de base de données fonctionnent à l'intérieur d'un Cloud privé virtuel Amazon (VPC). L'accès au VPC est limité aux membres de l'équipe Hotjar sur la base du besoin de savoir. Les données stockées dans le VPC ne sont pas directement exposées à Internet. Seuls les systèmes ayant un besoin technique direct sont exposés (par exemple, les serveurs web frontend, les équilibreurs de charge et autres systèmes qui servent directement le trafic des clients).
Hotjar a désigné des sous-traitants, dont certains sont situés en dehors de l'UE. Ces sous-traitants désignés sont utilisés par Hotjar pour garantir un service fiable à nos utilisateurs. Cela inclut la surveillance de l'infrastructure et des applications ainsi que d'autres opérations de support commercial.
Confidentialité des utilisateurs
- Les utilisateurs du site se voient attribuer un identifiant utilisateur unique, UUID, afin que Hotjar puisse suivre les utilisateurs de retour sans se fier à des informations personnelles telles que l'adresse IP.
- Aucune adresse IP d'utilisateur n'est stockée au repos.
Les adresses IP peuvent éventuellement être transmises à Hotjar en tant qu'attribut utilisateur
Dans le cas des adresses IP transmises à Hotjar via l'API d'identification, les adresses IP seront stockées. Elles sont soumises aux mêmes exigences en matière de confidentialité que toute autre information personnelle transmise à Hotjar. Cela inclut la nécessité du consentement de l'utilisateur et votre acceptation de notre Accord de traitement des données.
- Lors de la collecte de données avec les enregistrements, Hotjar supprime automatiquement les données de frappe sur tous les champs de saisie. Dans tous les cas, les données sont supprimées côté client, dans le navigateur de l'utilisateur, ce qui signifie qu'elles n'atteignent jamais nos serveurs.
Collecte et transmission des données
- Des pare-feu sont en place n'exposant que les ports nécessaires à Internet et entre différents serveurs. Un logiciel de système de protection contre les intrusions (IPS) est en place en tant que deuxième couche de sécurité, qui bloquera l'accès dès qu'une activité de connexion suspecte est détectée.
- Hotjar transmet les données du navigateur de l'utilisateur à notre système en utilisant HTTPS.
- Les protocoles et la suite de chiffrement utilisés pour crypter les données en transit sont disponibles à la fin de cet article.
Accès aux données et authentification
Seuls les ingénieurs Hotjar qui ont besoin d'un tel accès pour effectuer efficacement leur travail ont ce type d'accès. Différents ingénieurs se voient attribuer différents droits d'accès sur différents composants système en fonction de ce que leur travail nécessite. Les ingénieurs qui ont accès disposent de leurs propres identifiants et ceux-ci ne sont valides que lorsqu'ils sont utilisés à partir d'adresses IP spécifiques. L'authentification basée sur des clés SSH est utilisée pour l'accès aux serveurs.
Les données collectées par Hotjar sont exclusivement réservées à l'usage de nos utilisateurs et clients. Hotjar n'utilise pas les données collectées sous quelque forme ou manière que ce soit, sauf si un administrateur du compte Hotjar donne officiellement son consentement, en précisant clairement l'utilisation qui sera faite des données.
Accès aux données et sauvegarde
À Hotjar, nous utilisons la réplication de base de données pour garantir la sécurité de vos données en cas de défaillance du système. Des sauvegardes complètes de la base de données sont effectuées chaque jour, stockées sur Amazon Cloud Storage (AWS S3) et conservées pendant trois jours sous forme de copie électronique. En cas de défaillance simultanée de deux nœuds de base de données ou plus, nous devrions revenir à une sauvegarde.
La sauvegarde des données ne s'applique pas aux enregistrements des utilisateurs
Toutes les données d'enregistrement ne sont actuellement pas sauvegardées. Hotjar utilise Amazon Web Services (AWS) où résident nos données clients. Les certifications et rapports d'audit pour AWS sont les suivants :
Conformité, Certificats et Audits
- Certification ISO-27001 pour AWS : https://aws.amazon.com/compliance/iso-27001-faqs/
- Rapports d'audit de tiers SOC2 pour AWS : https://aws.amazon.com/compliance/soc-faqs/
Hotjar a mené un processus d'auto-évaluation (SAQ-A) qui nous permet d'accepter les paiements sans carte présente en externalisant entièrement toutes les fonctions de données des titulaires de cartes à notre fournisseur tiers conforme à la norme PCI-DSS, Braintree, sans aucun stockage électronique, traitement ou transmission de données de titulaires de cartes sur l'infrastructure de Hotjar.
- Conforme à la norme PCI avec les Champs Hébergés de Braintree : https://www.braintreepayments.com/features/hosted-fields.
- SAQ-A de Hotjar
Architecture et Sécurité de Hotjar
Les données en transit sont cryptées en utilisant les protocoles et chiffrements suivants :
Protocoles SSL
TLSv1.2
Chiffrements SSL
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
Mise à jour de votre Politique de Confidentialité pour une utilisation avec Hotjar
En tant qu'entreprise basée dans l'Union européenne, notre technologie et nos processus respectent les exigences légales de confidentialité les plus strictes. En fait, nous avons fait appel à un cabinet d'avocats spécialisé pour nous aider dans l'élaboration d'une politique adaptée à nous-mêmes, ainsi qu'aux utilisateurs de Hotjar dans le monde entier.
Alors que nous vous recommandons toujours de consulter un conseiller juridique dans votre territoire, nous vous suggérons de passer en revue les dispositions de notre Politique de Confidentialité et de vous assurer que votre propre politique reflète les mêmes principes que nous avons inclus à l'adresse https://www.hotjar.com/legal/policies/privacy.