Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Exponea

Que fait Exponea ?

Plateforme de données client (CDP) et automatisation marketing, désormais commercialisée sous le nom de Bloomreach Engagement. Suit les événements visiteurs, construit des profils unifiés et exécute personnalisation, email, SMS et push. Suivi lourd avec hébergement UE et États Unis.

Qu'est ce qu'Exponea

Exponea était une plateforme de données client slovaque lancée en 2015. Elle a été rachetée par Bloomreach en 2021 et renommée Bloomreach Engagement. La plateforme combine en un seul produit une CDP, des analytics web et mobile, l'automatisation marketing, l'envoi d'emails et SMS, le messaging in app, la personnalisation web et le scoring prédictif. Elle sert principalement la distribution, la mode, les services financiers et le voyage en Europe et en Amérique du Nord.

Données et cookies collectés

Le SDK JavaScript Exponea dépose un cookie first party longue durée (__exponea_etc__) qui stocke l'identifiant anonyme du visiteur et un cookie par session (__exponea_time2__) pour mesurer les temps. Chaque page vue, clic, scroll, interaction de formulaire, vue produit, événement panier et achat est envoyé à l'API Exponea. Le SDK peut aussi collecter données device (navigateur, OS, écran, langue, géolocalisation approximative depuis l'IP) et fusionner l'activité anonyme avec le profil client dès que le visiteur se connecte ou fournit un email. Les événements server side importés depuis un CRM ou un backend e commerce sont rattachés au même profil.

Implications RGPD et ePrivacy

Exponea pose des cookies non essentiels et réalise un profilage cross device : l'article 5(3) de la directive ePrivacy impose un opt in informé préalable au chargement du SDK. Le traitement comportemental aval et le profilage relèvent des articles 6(1)(a) et 22 RGPD ; ils requièrent le consentement pour la personnalisation marketing et imposent transparence, droit d'opposition et intervention humaine. Les autorités comme la CNIL française, l'Autoriteit Persoonsgegevens néerlandaise et le Garante italien ont sanctionné des déploiements CDP chargeant les scripts avant consentement ou s'appuyant sur l'intérêt légitime pour du marketing.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement et contrôles

Le SDK Exponea doit être conditionné à un bandeau cookies couvrant les catégories analytics et marketing. Bloomreach fournit un framework de gestion du consentement qui permet de mapper les finalités (fonctionnel, analytics, personnalisation, automatisation marketing) et d'alimenter le SDK avec l'état choisi, afin que les événements soient stockés anonymement ou rattachés au profil complet. Les visiteurs doivent pouvoir refuser aussi simplement qu'accepter, retirer leur consentement et demander accès, rectification, suppression et portabilité via le centre données client Bloomreach.

Transferts et hébergement

Bloomreach Engagement fonctionne sur AWS avec des régions principales à Francfort, Dublin et Virginie. Les clients choisissent la région de stockage des données de production, mais le support, la R&D et certains systèmes administratifs sont opérés depuis la Slovaquie, les Pays Bas et les États Unis. Les transferts vers les États Unis reposent sur le Data Privacy Framework UE États Unis et sur des clauses contractuelles types ; mesures supplémentaires : chiffrement en transit, pseudonymisation des identifiants cookies et conservation limitée des événements bruts.

Étapes pratiques de conformité

Signez l'addendum de sous traitance et les CCT avec Bloomreach, choisissez la région UE quand c'est possible, inscrivez Exponea dans votre registre comme sous traitant avec sous traitants ultérieurs divulgués, déployez une CMP qui signale les finalités au SDK, configurez le mode anonyme sans consentement pour les refus, documentez les durées de conservation des événements et profils, réalisez une AIPD avant d'ajouter des modèles prédictifs ou la synchronisation d'audiences avec des plateformes publicitaires et révisez le déploiement tous les douze mois.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Exponea doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent (Article 6(1)(a) GDPR and Article 5(3) ePrivacy Directive) for analytics cookies, profiling, marketing automation and personalisation. Legitimate interest (Article 6(1)(f) GDPR) may apply to internal analytics on aggregated data only.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive (Cookie Law), TTDSG in Germany, French Data Protection Act, UK GDPR and PECR, plus sector rules for financial services and telecom CDPs.

Considerations AIPD

Une AIPD au sens de l'article 35 RGPD est fortement recommandée. Exponea construit des profils clients unifiés à partir de données web, mobile et CRM, les enrichit par scoring prédictif et déclenche des actions marketing automatisées. L'échelle, le profilage et la surveillance systématique des visiteurs en font un traitement à risque élevé. Documentez les identifiants et événements ingérés, les attributs inférés et modèles prédictifs, les durées de conservation, les destinataires des audiences synchronisées et les garanties pour les transferts vers les États Unis.

Exemple de texte de consentement

Nous utilisons Exponea (désormais Bloomreach Engagement) pour vous reconnaître sur notre site, notre application et nos emails et pour personnaliser nos communications. Cela dépose des cookies analytics et marketing et partage vos interactions avec Bloomreach dans l'Union européenne et aux États Unis. Nous avons besoin de votre consentement avant d'activer ces cookies. Vous pouvez accepter, refuser ou retirer votre consentement à tout moment.

Details techniques

Methode de suiviJavaScript SDK with first party and third party cookies, server side events API

Localisation des serveursEuropean Union (Frankfurt, Dublin) and United States (Virginia), customer chosen region

Donnees transferees hors UEYes. Exponea (now Bloomreach Engagement) runs on AWS in the EU and the US. Customers select a primary region but support, R&D and some backups may involve transfers to the United States and to Slovakia and the Netherlands. Transfers rely on the EU US Data Privacy Framework and on standard contractual clauses.

Domaines tiers contactes

exponea.combloomreach.cominfinario.comexponea.io

Cookies deposes

Nom	Type	Duree	Finalite
__exponea_etc__	first party analytics	3 years	Long lived first party identifier used by the Exponea SDK to recognise the visitor across sessions and link events to the customer profile.
__exponea_time2__	first party session	Session	Per session cookie used by the Exponea SDK to measure event timings and synchronise the device clock with the server.
__exponea_consent__	first party preference	13 months	Optional consent state cookie storing the visitor cookie banner choices for the Exponea SDK (analytics, personalisation, marketing).
xnpe_*	third party (web push)	13 months	Web push notification cookie set when the visitor subscribes to push notifications via the Exponea web push channel.
ba_id	first party marketing	13 months	Identifier used to link advertising audiences synchronised from Exponea with retargeting platforms.

Exponea collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Exponea dépose t il ?

Le SDK JavaScript Exponea dépose un cookie first party longue durée (__exponea_etc__) qui stocke l'identifiant anonyme du visiteur, un cookie par session (__exponea_time2__) utilisé pour les mesures de temps et un cookie optionnel d'état de consentement (__exponea_consent__) qui mémorise les choix. Les événements server side importés via l'API n'ajoutent pas de cookies mais enrichissent le même profil.

Le consentement est il obligatoire pour charger Exponea ?

Oui. Le SDK pose des cookies non essentiels et collecte des données comportementales dès son chargement. L'article 5(3) de la directive ePrivacy impose un opt in informé préalable. Le SDK doit être bloqué par défaut dans le tag manager ou la CMP et activé uniquement après acceptation dans les catégories analytics et marketing du bandeau.

Quelle est la base légale du traitement ?

Consentement (article 6(1)(a) RGPD et article 5(3) ePrivacy) pour les cookies, le profilage et la personnalisation marketing. L'intérêt légitime (article 6(1)(f) RGPD) peut couvrir des analytics internes purement agrégées, mais n'est pas accepté par les autorités UE pour l'automatisation marketing ou la personnalisation cross channel.

Exponea transfère t il des données vers les États Unis ?

Oui. Bloomreach Engagement opère depuis des régions UE (Francfort, Dublin) et US (Virginie), et les équipes support et R&D sont basées en Slovaquie, aux Pays Bas et aux États Unis. Les transferts vers les États Unis reposent sur le Data Privacy Framework UE États Unis et sur des clauses contractuelles types, complétés par chiffrement en transit, pseudonymisation et conservation limitée.

Faut il une AIPD pour Exponea ?

Oui, en pratique. L'ampleur de la collecte, le profilage cross device, le scoring prédictif et la surveillance systématique correspondent aux critères de l'article 35 RGPD. L'AIPD doit documenter les catégories de données, les attributs inférés, les durées de conservation, les destinataires des audiences synchronisées et les garanties pour les transferts vers les États Unis.

Comment mettre en place Exponea de manière conforme ?

Signez l'addendum DPA Bloomreach et les CCT, choisissez la région UE, déployez une CMP qui signale les finalités au SDK, configurez un mode anonyme pour les visiteurs qui refusent, restreignez l'accès back office par une authentification forte, documentez les règles de conservation des événements et profils, réalisez l'AIPD avant d'activer modèles prédictifs ou synchronisation publicitaire et révisez tous les douze mois.

Quelles alternatives à Exponea ?

Parmi les CDP et plateformes de marketing automation : Tealium AudienceStream, mParticle, Twilio Segment, Salesforce Data Cloud, RudderStack, Adobe Real Time CDP et Klaviyo. Côté UE : Commanders Act et Piwik PRO CDP. Chaque option requiert son propre DPA, son bandeau de consentement et son évaluation des transferts.

Comment mettre à jour la politique cookies pour Exponea ?

Listez Exponea (Bloomreach Engagement) comme sous traitant avec les cookies déposés (__exponea_etc__, __exponea_time2__, cookie consent optionnel), leurs finalités, durées et catégories. Mentionnez la région d'hébergement et le Data Privacy Framework UE États Unis. Renvoyez vers la politique de confidentialité Bloomreach et vers le centre de préférences. Révisez tous les douze mois.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min