Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

CARTO Data Observatory

Que fait CARTO Data Observatory ?

Le CARTO Data Observatory est une marketplace de données géospatiales et un service d'enrichissement intégré à la plateforme CARTO. Les analystes y souscrivent à des jeux de données curatés (démographie, POI, mobilité, météo) et les joignent dans leur entrepôt cloud via SQL.

Présentation du Data Observatory

Le CARTO Data Observatory est un catalogue et une couche de livraison de données géospatiales intégrés à la plateforme CARTO. Les utilisateurs parcourent des centaines de jeux de données curatés (démographie, POI, mobilité, immobilier, météo, limites administratives), souscrivent à ceux qu'ils souhaitent et exécutent des jointures spatiales directement dans leur entrepôt cloud (BigQuery, Snowflake, Redshift, Databricks). Les données circulent côté serveur via les API CARTO sans quitter le périmètre du data warehouse client. C'est donc avant tout un outil analytique back office. Seuls le site marketing et l'UI produit chargent des cookies classiques.

Cookies et données collectés

Sur le site CARTO et l'UI plateforme, des cookies sont posés pour l'authentification (session, CSRF), l'analytics produit (Mixpanel ou Amplitude), le chat support (Intercom) et le marketing du site public (Google Analytics 4, HubSpot, LinkedIn Insight Tag). Au sein du Data Observatory, les données échangées sont en grande partie agrégées (statistiques, géographies) et non personnelles. Les données personnelles n'apparaissent que dans les profils utilisateurs, la facturation, les tickets de support et les journaux d'audit des souscriptions.

Implications RGPD et ePrivacy

Pour les clients payants, la base légale est l'exécution du contrat (article 6(1)(b) RGPD). Les cookies de session strictement nécessaires sont dispensés de consentement (article 5(3) ePrivacy). Les cookies marketing, analytiques et de support sur carto.com ou les dashboards exigent un consentement préalable, libre, spécifique et éclairé. CARTO agit comme sous traitant pour les comptes clients et responsable pour son site marketing. Le client signe le DPA CARTO et examine la liste des sous traitants.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Jeux de données, licences et données personnelles

La majorité des jeux de données du Data Observatory sont agrégés par unité administrative (NUTS, codes postaux, hexagones, blocs INSEE) et ne contiennent pas de données directement identifiantes. Certains datasets de mobilité, télécoms ou géomarketing peuvent dériver de données personnelles et sont couverts par des licences spécifiques. Le client lit chaque licence, identifie les sources personnelles et documente la base légale pour les jointures, surtout avec des identifiants individuels.

Transferts internationaux de données

CARTO opère depuis l'Espagne et les États Unis et utilise AWS et Google Cloud. Les clients européens peuvent demander un déploiement EU pour le tenant plateforme, mais le support et certaines fonctions corporate impliquent des équipes et outils américains. Les transferts s'appuient sur les CCT, le DPF lorsque le partenaire est certifié et des mesures supplémentaires (chiffrement, contrôle d'accès). Une analyse d'impact des transferts est requise pour les métadonnées opérationnelles.

Étapes pratiques de conformité

Signez le DPA CARTO, joignez la documentation CCT et DPF et choisissez la région EU pour les déploiements sensibles. Configurez le SSO, des rôles à moindre privilège et des journaux d'audit. Conditionnez les cookies analytiques et chat sur carto.com et documentez chaque licence du Data Observatory ainsi que la base légale des jointures avec des données personnelles. Alignez les durées de conservation sur vos politiques internes.

Categorie de consentement RGPD

Analytique

Les sites web utilisant CARTO Data Observatory doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(b) GDPR contract performance for paid CARTO subscriptions, Article 6(1)(f) legitimate interest for security logs, and Article 6(1)(a) consent for non essential cookies on the marketing site under Article 5(3) ePrivacy.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, EU US Data Privacy Framework, UK GDPR, LOPDGDD (Spain), Loi Informatique et Libertés, BDSG/TTDSG, Codice Privacy, plus dataset specific terms (e.g. Eurostat, INE, OpenStreetMap licences).

Considerations AIPD

Une AIPD complète n'est généralement pas requise: le Data Observatory livre majoritairement des données agrégées côté serveur. Elle s'impose dès que le client joint ces jeux à des données personnelles de résidents UE à grande échelle, notamment pour la mobilité ou la sociodémographie fine. La CNIL et l'EDPB classent l'analytics géospatial massif comme traitement à risque. Documentez flux, sous traitants, durées et TIA.

Exemple de texte de consentement

Nous utilisons CARTO et le Data Observatory pour enrichir nos analyses avec des données géospatiales curatées. Les cookies strictement nécessaires sécurisent votre session. Les cookies analytiques, marketing et de chat ne sont déposés qu'avec votre consentement, modifiable à tout moment.

Details techniques

Methode de suiviServer-side geospatial data marketplace and enrichment API integrated with cloud data warehouses (BigQuery, Snowflake, Redshift, Databricks). Customer SQL workloads call CARTO endpoints to subscribe to or join curated geospatial datasets. The CARTO website itself loads marketing analytics, support widgets, and product cookies on authenticated dashboards.

Localisation des serveursSpain (Madrid) and the United States (AWS us-east-1, Google Cloud us-central1) operated by CARTO. European customers can opt for an EU region for the platform tenant.

Donnees transferees hors UEAccount metadata, dashboard usage, and dataset subscription logs may be processed in the United States. Geospatial datasets themselves are typically aggregate or anonymous. Transfers rely on Standard Contractual Clauses and the EU US Data Privacy Framework certification of CARTO sub-processors.

Domaines tiers contactes

carto.comapp.carto.comauth.carto.comdata.carto.comgoogleapis.comamazonaws.com

Cookies deposes

Nom	Type	Duree	Finalite
carto_session	first_party	Session	Authenticated session cookie for the CARTO platform UI.
carto_csrf	first_party	Session	Cross site request forgery protection token for the CARTO web application.
_ga	third_party	2 years	Google Analytics 4 measurement on the CARTO marketing website (loaded only after consent).
intercom-id	third_party	9 months	Identifies returning users in the Intercom support widget on the CARTO website.

CARTO Data Observatory collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Le Data Observatory pose t il des cookies chez nos visiteurs?

Non. Le Data Observatory est un service de livraison de données côté serveur qui s'exécute dans votre data warehouse. Les cookies se limitent au site marketing CARTO et à l'UI utilisée par vos analystes.

Le consentement est il requis pour interroger les jeux de données?

Les cookies de session de la plateforme sont strictement nécessaires. Les cookies analytiques, marketing et de support sur le site ou les dashboards nécessitent un consentement préalable au titre de l'article 5(3) ePrivacy.

Quelle base légale RGPD?

Exécution du contrat (article 6(1)(b)) pour l'abonnement, intérêt légitime (6(1)(f)) pour les logs de sécurité, consentement (6(1)(a)) pour les cookies non essentiels du site marketing.

Y a t il des transferts vers les États Unis?

Oui. Les métadonnées de compte et de support peuvent être traitées aux États Unis. Les transferts s'appuient sur les CCT et la certification DPF des sous traitants CARTO. Les déploiements sensibles peuvent être verrouillés sur la région EU.

Faut il une AIPD?

Pas en principe pour les datasets agrégés. Elle devient recommandée lors de jointures avec des données personnelles UE de mobilité, télécoms ou sociodémographiques fines à grande échelle.

Comment déployer CARTO en sécurité?

Activez SSO, MFA, rôles à moindre privilège et journaux d'audit. Choisissez la région EU pour le tenant lorsque c'est possible, chiffrez les credentials warehouse et passez en revue chaque année les certifications SOC 2 / ISO 27001.

Existe t il des alternatives hébergées en UE?

Oui. La plateforme CARTO peut elle même être déployée en région EU. Les alternatives incluent Mapbox (options EU), HERE Technologies ou des stacks open source (Geoserver, PostGIS) hébergés en UE, avec un catalogue plus restreint.

Comment décrire le Data Observatory dans la politique?

Listez CARTO comme sous traitant, décrivez l'UI, le catalogue, le mode de livraison vers le data warehouse, les transferts UE États Unis et les garanties (CCT, DPF, région EU, chiffrement). Liez la politique CARTO et le DPA.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min