Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Grasp

Que fait Grasp ?

Grasp Technologies est une plateforme de gestion des données de voyage et de notes de frais utilisée par les grandes entreprises, les agences de voyage d'affaires et les TMC pour consolider en une seule source de vérité des données fragmentées issues des réservations, cartes corporate et ERP. Le site marketing Grasp utilise des cookies analytiques. Pour les clients européens, Grasp traite les données de voyage sur une infrastructure américaine, ce qui soulève des questions de consentement RGPD et de transfert international.

Qu''est ce que Grasp et comment ça marche

Grasp Technologies est une plateforme américaine de gestion des données de voyage et de notes de frais. Elle consolide les données de réservation, de dépenses et de paiement issues des TMC, des programmes de carte corporate, des outils de réservation en ligne et des ERP, puis expose l''ensemble dans des tableaux de bord, des rapports planifiés et des API. Le site marketing Grasp utilise par ailleurs des cookies analytiques classiques. Les grandes entreprises et TMC européennes déploient Grasp pour obtenir une vision unique des dépenses voyage.

Quelles données Grasp collecte

Sur le site public Grasp, les cookies analytiques enregistrent adresse IP, user agent, OS, navigateur, résolution d''écran et plugins. Dans la plateforme, le périmètre inclut PNR voyageur, itinéraires, numéros de billets, transactions sur carte corporate, identifiants fournisseurs, codes projet et centres de coût. Les données de voyage peuvent être sensibles car elles révèlent la présence, les déplacements et parfois un contexte de santé (visa, évacuation médicale).

Implications RGPD et ePrivacy

Deux couches de conformité s''appliquent. D''abord, les cookies analytiques du site marketing requièrent un consentement préalable au titre de l''article 82 de la loi Informatique et Libertés. Ensuite, les données voyageurs téléversées dans Grasp sont traitées par Grasp en qualité de sous traitant pour des responsables de traitement européens au sens de l''article 28 du RGPD. Un contrat de sous traitance signé, une liste à jour des sous traitants ultérieurs et une durée de conservation claire sont indispensables.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement

Le consentement n''est requis que pour les cookies analytiques du site public. Au sein d''un déploiement corporate, les données de voyage des salariés sont traitées sur la base du contrat de travail, de l''intérêt légitime ou d''une obligation légale, pas du consentement. Les salariés doivent néanmoins recevoir une information transparente au titre des articles 13 et 14 RGPD sur l''utilisation de Grasp, les catégories de données traitées, la conservation et les destinataires.

Transferts internationaux

L''infrastructure par défaut de Grasp est hébergée aux États Unis. Les clients européens doivent s''appuyer sur les Clauses Contractuelles Types, sur le cadre EU US Data Privacy Framework lorsque Grasp y est certifié, et sur des mesures supplémentaires : chiffrement en transit et au repos, contrôles d''accès granulaires, pseudonymisation lorsque possible. Une évaluation d''impact du transfert est attendue avant de s''appuyer sur ces transferts, en particulier depuis l''arrêt Schrems II.

Étapes pratiques de conformité

Signez un contrat de sous traitance conforme avec Grasp, CCT et liste des sous traitants comprises. Réalisez une analyse de transfert pour le flux vers les États Unis. Conduisez une AIPD couvrant le suivi des déplacements. Mettez à jour la note d''information interne aux salariés. Configurez une plateforme de gestion du consentement qui bloque les cookies analytiques Grasp tant que l''accord n''est pas donné. Limitez les accès au portail Grasp, activez le MFA et définissez une durée de conservation explicite pour les données voyageur.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Grasp doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleFor analytics cookies on the Grasp website, the legal basis is the visitor's prior consent under article 5(3) ePrivacy. For traveller and expense data processed on behalf of EU corporate clients, Grasp acts as a processor and the controller relies on its own legal basis, typically performance of the employment contract or legitimate interest in managing corporate travel.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, national cookie laws (CNIL in France, BfDI guidance in Germany, AEPD in Spain), EU US Data Privacy Framework. Sensitivity is moderate because traveller data can reveal whereabouts and health context.

Considerations AIPD

Une AIPD est généralement requise dès lors que Grasp traite les données de voyage de salariés européens sur une infrastructure américaine, compte tenu du suivi systématique des déplacements, du volume de données et du transfert vers un pays tiers. Évaluez la proportionnalité, la minimisation, la durée de conservation, les contrôles d'accès et l'efficacité des mesures supplémentaires comme le chiffrement et les CCT.

Exemple de texte de consentement

Nous utilisons Grasp Technologies pour consolider les données de voyage et de notes de frais. Les données de réservation et de carte corporate sont transférées vers les serveurs Grasp aux États Unis dans le cadre des Clauses Contractuelles Types. Le site Grasp utilise également des cookies analytiques que nous n'activons qu'après votre consentement.

Details techniques

Methode de suiviCloud based travel and expense data analytics. Grasp aggregates booking, expense and payment data from multiple sources (TMCs, corporate card programs, ERP) and renders dashboards and reports. Tracking on the Grasp marketing site uses standard analytics cookies, IP address, user agent, screen resolution and Flash plugin presence to measure visitor activity.

Localisation des serveursGrasp Technologies is a United States company with primary processing infrastructure in the United States. Some EU customer deployments may use regional cloud regions, but the default data location is the US.

Donnees transferees hors UEPersonal data, including IP addresses of EU website visitors and traveller data submitted by EU corporate clients, is transferred to the United States. Transfers rely on Standard Contractual Clauses and on the EU US Data Privacy Framework where Grasp is certified. A transfer impact assessment is recommended for any EU corporate client.

Domaines tiers contactes

grasptech.comapp.grasptech.comwww.google-analytics.com

Cookies deposes

Nom	Type	Duree	Finalite
_ga	persistent	2 years	Google Analytics first party cookie used on the Grasp marketing website to distinguish unique visitors and measure traffic. Requires consent under article 5(3) ePrivacy.
_gid	persistent	24 hours	Google Analytics short term cookie used on the Grasp marketing website to track session level activity. Requires consent.
grasp_session	session	session	Authentication session cookie set when a user logs into the Grasp travel and expense platform. Strictly necessary for authenticated access.

Grasp collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Grasp Technologies dépose t il ?

Le site marketing Grasp dépose des cookies analytiques qui enregistrent adresse IP, user agent, système d'exploitation, navigateur, résolution d'écran et plugins. Dans la plateforme Grasp elle même, les sessions reposent sur des cookies d'authentification strictement nécessaires à l'utilisateur connecté. D'éventuels cookies tiers dépendent du déploiement Grasp spécifique.

Le consentement est il requis pour Grasp ?

Le consentement n'est exigé que pour les cookies analytiques du site marketing Grasp, au titre de l'article 82 de la loi Informatique et Libertés. Dans un déploiement corporate, les données voyageurs sont traitées sur la base de l'exécution du contrat de travail ou de l'intérêt légitime, pas du consentement. Les salariés doivent être informés de manière transparente.

Quelle base légale pour les traitements Grasp ?

Pour les cookies analytiques, la base est le consentement. Pour les données voyage et notes de frais, le responsable de traitement (le client corporate) s'appuie en général sur l'exécution du contrat de travail au titre de l'article 6.1.b du RGPD, l'intérêt légitime au titre de l'article 6.1.f pour le contrôle des coûts et la prévention des fraudes, ou une obligation légale pour la fiscalité et la comptabilité.

Grasp transfère t il des données vers les États Unis ?

Oui. Grasp Technologies est une société américaine et son infrastructure par défaut se situe aux États Unis. Les données voyageurs et notes de frais des clients, y compris celles relatives aux voyageurs basés en UE, sont transférées vers des serveurs américains. Les transferts doivent s'appuyer sur les Clauses Contractuelles Types, sur le EU US Data Privacy Framework si Grasp y est certifié, et sur des mesures supplémentaires.

Faut il une AIPD pour Grasp ?

Une AIPD est en général requise car Grasp traite à grande échelle les données de voyage de salariés sur une infrastructure située dans un pays tiers, avec un suivi systématique des déplacements. L'AIPD doit évaluer nécessité, proportionnalité, durée de conservation, contrôles d'accès, chiffrement et efficacité des CCT et des mesures supplémentaires.

Comment déployer Grasp en conformité ?

Signez un contrat de sous traitance avec CCT, inscrivez Grasp au registre des activités de traitement, conduisez une analyse de transfert, complétez une AIPD, restreignez l'accès via SSO et MFA, fixez des durées de conservation alignées sur les obligations fiscales et comptables, informez les salariés et mettez à jour la note d'information. Acheminez les analytics du site public Grasp via une plateforme de gestion du consentement.

Quelles alternatives à Grasp pour des clients européens ?

Parmi les alternatives orientées UE figurent SAP Concur avec hébergement européen, Mobilexpense, Cytric Travel by Amadeus, Egencia et Notilus. Pour de la pure analytique sur les données de voyage, des entrepôts de données internes basés sur Looker, Power BI ou Tableau hébergés en Europe peuvent reproduire la couche de reporting tout en gardant les données dans l'EEE.

Comment mettre à jour la politique cookies avec Grasp ?

Ajoutez une entrée distincte pour les cookies analytiques marketing Grasp dans la politique cookies publique, avec fournisseur, finalité, durée et catégorie de consentement. Documentez le déploiement interne de Grasp dans la note d'information aux salariés plutôt que dans la politique cookies publique. Révisez la politique à chaque évolution des sous traitants ou des régions d'hébergement de Grasp.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min