Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Glassbox est une plateforme entreprise d'analytique de l'expérience digitale qui capture chaque interaction utilisateur sur web et applications mobiles, rejoue les sessions entières et révèle les frictions et problèmes de conversion. Très utilisée par les banques, assureurs, telcos et compagnies aériennes pour l'optimisation de l'expérience client et l'investigation de réclamations. Comme Glassbox enregistre systématiquement des parcours clients sensibles, son déploiement en UE requiert un consentement explicite au titre du RGPD et de la directive ePrivacy, une AIPD et un masquage strict des champs.
Glassbox est une plateforme d'analytique d'expérience digitale destinée aux grandes entreprises. Fondée en 2010 à Petach Tikva (Israël), avec des bureaux à Londres, New York et Singapour, elle capture chaque interaction sur web et applications mobiles pour le replay, l'analyse de friction et l'investigation de réclamations. Très utilisée dans les secteurs régulés : banques, assureurs, telcos, santé, compagnies aériennes.
Le suivi repose sur un SDK JavaScript pour le web et des SDK natifs iOS et Android. Le SDK capture le DOM complet, toutes les interactions souris et clavier, les requêtes réseau et les erreurs JavaScript, puis les transmet à un tenant cloud Glassbox.
Par défaut, Glassbox capture tout ce qui est visible et interactif : IP, caractéristiques de l'appareil, géolocalisation, URL, referrer, profondeur de défilement, positions de clic, frappes clavier (si configuré), saisies de formulaires, métadonnées d'upload et de requêtes réseau. Sans masquage explicite, des données sensibles (santé, finance, identifiants officiels) peuvent finir dans les enregistrements.
Glassbox propose trois couches de masquage : masquage automatique de tous les champs de saisie, masquage manuel par attributs CSS (gb-mask, data-gb-sensitive) et redaction côté serveur après capture. Les trois doivent être combinées pour respecter la minimisation des données du RGPD.
Glassbox agit en sous-traitant au sens de l'art. 28 RGPD. Les clients UE doivent sélectionner la région Irlande à l'onboarding. Israël bénéficie d'une décision d'adéquation renouvelée (2024), mais des sous-traitants US (AWS US, outillage support) peuvent apparaître dans la chaîne et exiger CCT et TIA.
Cookies et SDK n'étant pas strictement nécessaires, l'art. 5(3) ePrivacy et le §25 TTDSG exigent un consentement préalable et éclairé. L'intérêt légitime n'est pas défendable pour le replay complet sur des utilisateurs UE.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Une AIPD au sens de l'art. 35 RGPD est de facto obligatoire pour tout déploiement Glassbox sur du trafic UE. Elle doit couvrir la stratégie de masquage, la conservation, les sous-traitants, la résidence, les effets sur la surveillance des employés et les risques art. 22 lorsque des décisions automatisées (scoring, antifraude) sont alimentées par Glassbox.
Les déploiements financiers impliquent en plus DORA (résilience opérationnelle numérique), DSP2 et PCI DSS. Les enregistrements de flux d''authentification doivent masquer les credentials, les codes OTP et les numéros de carte ; le tenant Glassbox doit être inclus dans les tests de résilience.
Différez le SDK Glassbox jusqu'à acceptation de la catégorie Analytique ou Marketing dans votre CMP. Le bandeau doit citer Glassbox, décrire la finalité de session replay et lier sa politique de confidentialité. Si votre CMP supporte TCF v2.2, enregistrez Glassbox sous la finalité IAB appropriée.
Pour les portails B2B où l'intérêt légitime se défend avec un masquage strict, l'utilisateur doit toujours être clairement informé et disposer d'un opt out. Documentez la mise en balance et les mesures de protection dans l'AIPD.
Choisissez le tenant Irlande pour le trafic UE. Signez le DPA et passez en revue les CCT pour Israël et les sous-traitants US. Activez le masquage automatique global puis ajoutez gb-mask aux éléments porteurs de données personnelles. Fixez une rétention minimale utile (souvent 30 jours pour le replay, plus pour les agrégats).
Menez une AIPD, inscrivez-la au registre, formez les équipes produit et engineering à utiliser les helpers de masquage et revoyez le taux d''adhésion au consentement chaque trimestre. Pour les marques multi-pays, documentez chaque déploiement régional et alignez-vous sur les obligations de comité d''entreprise lorsque des agents support peuvent être surveillés.
Les sites web utilisant Glassbox doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Glassbox est un sous-traitant à fort impact. Points clés pour l'AIPD : (1) la plateforme capture l'intégralité du DOM, les interactions souris et clavier, les saisies de formulaires ; sans masquage à tous les niveaux, des données sensibles (art. 9 RGPD) en santé, finance et identification peuvent être enregistrées ; (2) les usages en services financiers impliquent DORA, PSD2 (authentification forte) et PCI DSS au-delà du RGPD ; (3) Glassbox est basé en Israël avec du personnel support mondial : transferts à analyser au regard de l'adéquation Israël et des CCT pour les juridictions non adéquates ; (4) la plateforme est conçue pour la reconstruction multi-appareils de parcours, créant des profils comportementaux qui doivent être évalués au sens de l'art. 22 RGPD si utilisés pour du scoring de friction ou détection de fraude ; (5) les durées de conservation par défaut (90 jours ou plus) doivent être revues ; (6) la surveillance des employés (portails support) déclenche des obligations de comité d'entreprise en Allemagne, France et Italie.
Exemple de texte de consentement
Nous utilisons Glassbox pour enregistrer et rejouer des sessions anonymisées sur notre site afin de détecter les problèmes techniques et améliorer l'expérience utilisateur. Avec votre consentement, Glassbox dépose des cookies et capture vos interactions avec la page (clics, défilement, transitions, interactions de formulaire avec masquage automatique des champs sensibles). Les enregistrements sont stockés sur les serveurs Glassbox dans l'Union européenne sous DPA. Vous pouvez refuser cet enregistrement à tout moment.
Domaines tiers contactes
glassbox.comglassboxdigital.iocdn.glassboxdigital.ioapi.glassboxdigital.iosdk.glassbox.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _gbsession | Analytics | Session | Identifies the current Glassbox session and links subsequent events to the same replay sequence. |
| _gbvisitor | Analytics | 1 year | Persistent visitor identifier. Used to stitch sessions to the same Glassbox profile across visits. |
| _gbconfig | Functional | 1 year | Stores the SDK configuration (sampling rate, masking flags) so it can be applied consistently across page views. |
| _gbts | Functional | Session | Timestamp helper used to synchronise client and server clocks for event ordering in replays. |
Glassbox collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Glassbox dépose des cookies first party sur votre domaine, principalement _gbsession (identifiant de session, session), _gbvisitor (identifiant visiteur persistant, ~1 an) et plusieurs cookies de configuration. Le SDK écrit également dans localStorage et IndexedDB pour mettre en queue les événements. Aucun n'est strictement nécessaire, tous exigent un consentement.
Oui, pour tout déploiement UE. Le SDK et les cookies ne sont pas strictement nécessaires au sens de l'art. 5(3) ePrivacy et du §25 TTDSG, un consentement préalable et éclairé est requis. Comme Glassbox capture des données personnelles détaillées (y compris potentiellement sensibles), le consentement est aussi la base art. 6 RGPD la plus sûre. L'intérêt légitime n'est pas défendable pour un replay complet sur du trafic consommateur UE.
Le consentement (art. 6(1)(a) RGPD) est la base sûre par défaut. Pour les portails internes ou applications B2B, l'intérêt légitime (art. 6(1)(f)) peut s'envisager avec un masquage exhaustif, une rétention limitée et un test de mise en balance documenté. La base choisie doit figurer dans la politique de confidentialité et l'AIPD.
Les clients UE peuvent choisir l'Irlande pour le stockage. Cependant, Glassbox est basé en Israël avec du support mondial ; Israël bénéficie d'une adéquation UE renouvelée (2024), mais des sous-traitants US peuvent apparaître (AWS US, outillage support). CCT et TIA sont requis pour toute destination non adéquate.
Oui, en pratique toujours. Glassbox effectue une surveillance systématique et à grande échelle d'individus sur des services régulés (souvent financiers ou de santé), ce qui remplit les critères Art. 35 RGPD. L'AIPD doit documenter le masquage, la conservation, les sous-traitants, la résidence, la surveillance des employés et les décisions automatisées alimentées par Glassbox.
Sélectionnez le tenant UE (Irlande). Signez le DPA et revue des CCT. Activez le masquage automatique puis ajoutez gb-mask et data-gb-sensitive à tous les éléments avec données personnelles ou financières. Différez le SDK jusqu'au consentement. Fixez une rétention courte (30 jours pour le replay). Formez les équipes produit à tester le masquage à chaque release.
Alternatives entreprises : Contentsquare (France), Quantum Metric (US avec régions UE), FullStory (US avec résidence UE), Dynatrace Real User Monitoring. Open source / auto hébergé : OpenReplay, PostHog. Le différenciant de Glassbox est la profondeur de capture adaptée à la finance et l'assurance, avec des fonctions forensiques et de gestion des réclamations.
Listez les cookies Glassbox (_gbsession, _gbvisitor) avec fournisseur (Glassbox Digital Ltd, Israël ; Glassbox Digital UK Ltd), finalité (capture de session pour analytique d'expérience), durée et catégorie (Analytique). Décrivez la fonction de session replay, la configuration de masquage, la durée de conservation et la résidence. Liez la politique Glassbox et proposez un opt out clair.