Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Roistat est une plateforme russe d'analytique marketing de bout en bout, éditée par Roistat OOO à Moscou. Elle combine analytique web, call tracking dynamique, suivi de formulaires et intégration CRM pour attribuer chaque lead et chaque commande à une source marketing. Roistat dépose des cookies persistants, remplace dynamiquement les numéros de téléphone selon le visiteur et exporte les données vers des serveurs en Russie. Pour les déploiements européens, ce transfert vers un pays sans décision d'adéquation est à très haut risque et exige un consentement explicite et des mesures supplémentaires.
Roistat est une plateforme d''analytique marketing de bout en bout développée par Roistat OOO, société basée à Moscou. Elle est utilisée par les équipes performance pour attribuer chaque lead formulaire, appel téléphonique et commande à un canal publicitaire, une campagne, un mot clé et une création précis. Roistat combine un tracker JavaScript sur le site, du call tracking dynamique qui change le numéro de téléphone selon le visiteur, des intégrations avec les CRM et les régies, et un tableau de bord central qui calcule retour sur investissement, coût par lead et revenu par canal.
Initialement conçue pour les marchés russe et CEI, la plateforme est encore utilisée par des entreprises européennes opérant sur ces marchés. Du point de vue du RGPD, le fait central est que les données de production sont traitées sur des infrastructures situées en Fédération de Russie, pays sans décision d''adéquation et soumis à de larges pouvoirs de surveillance d''État.
Roistat pose des cookies propriétaires persistants tels que roistat_visit, roistat_first_visit, roistat_visit_cookies_v2 et roistat_visit_id (12 mois en général) pour identifier le visiteur entre les sessions. Il collecte l''adresse IP, l''empreinte navigateur, le referrer, la page d''atterrissage, l''URL complète et ses paramètres (utm, gclid, fbclid, yclid), les événements d''interaction et les soumissions de formulaires. Le module de call tracking dynamique lit le cookie visiteur pour substituer au numéro affiché un numéro attribué à la visite, puis journalise l''identité de l''appelant, la durée d''appel, l''enregistrement éventuel et la campagne source.
Les intégrations CRM poussent identifiants leads, statut deal, chiffre d''affaires et coordonnées dans l''entrepôt Roistat. Des connecteurs côté serveur exportent aussi le coût des campagnes, les click IDs et les conversions. L''ensemble se concentre sur l''infrastructure Roistat en Russie.
Lire et écrire des cookies à des fins d''analyse ou de marketing déclenche l''article 5(3) de la directive ePrivacy : consentement préalable, éclairé et libre, avec des exemptions très étroites auxquelles Roistat ne répond pas. Au delà des cookies, Roistat traite des données personnelles au sens de l''article 4 du RGPD (IP, identifiant persistant, numéro de téléphone, enregistrement vocal, identité CRM) ; le marchand doit donc identifier une base légale valide au sens de l''article 6. La CNIL indique explicitement que le call tracking par insertion dynamique de numéro exige consentement et analyse de proportionnalité.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En pratique, la seule base légale solide pour Roistat sur un site européen est le consentement au sens de l''article 6(1)(a) du RGPD, conjugué au consentement ePrivacy pour les cookies. Compte tenu du pays destinataire (Russie) et de l''ampleur du traitement (analyse, call tracking, enrichissement CRM), un consentement explicite est recommandé. Le script ne doit pas se charger avant l''opt in, le numéro de tracking ne doit pas remplacer le numéro statique avant consentement, et le refus doit être aussi simple que l''acceptation selon les lignes directrices 03/2022 du CEPD.
La Russie ne fait l''objet d''aucune décision d''adéquation de la Commission européenne. Tout transfert de données EEE vers l''infrastructure Roistat repose donc sur les garanties de l''article 46 du RGPD, en pratique les clauses contractuelles types européennes assorties de mesures supplémentaires, et sur une analyse de transfert au sens des Recommandations 01/2020 du CEPD. L''AIT doit tenir compte de la loi fédérale 152 FZ, du régime technique SORM d''interception, des larges pouvoirs d''enquête du FSB et de la suspension de la relation Russie Conseil de l''Europe depuis 2022, qui prive les personnes concernées d''un recours CEDH effectif. La CNIL et le CEPD ont indiqué que des CCT seules, sans mesures supplémentaires fortes, ne sont vraisemblablement pas suffisantes pour la Russie. Les régimes de sanctions peuvent également limiter la capacité à contracter.
Réaliser et documenter l''AIPD. Signer les CCT avec Roistat OOO, formaliser les mesures supplémentaires (chiffrement en transit, pseudonymisation des identifiants, restriction contractuelle de divulgation aux autorités au delà des injonctions contraignantes, minimisation, conservation courte, enregistrement d''appel désactivé par défaut). Bloquer le tag Roistat et la substitution dynamique du numéro tant que le consentement n''est pas enregistré. Mentionner explicitement le transfert vers la Russie dans la politique de confidentialité. Restreindre les formulaires concernés. Évaluer le risque sanctions avec le juridique. Dans la plupart des déploiements UE seuls, envisager le remplacement par des outils de call tracking et d''attribution hébergés en UE.
Les sites web utilisant Roistat doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD au sens de l'article 35 du RGPD est fortement recommandée, et probablement obligatoire, car Roistat combine un suivi comportemental à grande échelle avec du call tracking dynamique, l'enrichissement CRM et un profilage multi appareils, et car il transfère des données personnelles vers la Russie, pays sans décision d'adéquation européenne. L'AIPD doit décrire les catégories de données (IP, URL complète, click ID, cookie visiteur persistant, numéro attribué, enregistrements d'appel le cas échéant, identifiants CRM), les finalités, les durées de conservation, le mécanisme de transfert, les mesures techniques et organisationnelles complémentaires (chiffrement, pseudonymisation, restrictions contractuelles sur l'accès gouvernemental), le risque résiduel et la base légale (le plus souvent consentement explicite). Évaluer si des alternatives hébergées en UE réduisent le risque.
Exemple de texte de consentement
Nous utilisons Roistat, plateforme d'analytique marketing et de call tracking exploitée depuis la Russie par Roistat OOO, pour mesurer la performance de notre publicité (visites, appels, commandes). Avec votre consentement, Roistat dépose des cookies persistants, remplace le numéro de téléphone affiché par un numéro attribué à votre visite, enregistre des métadonnées d'appel et transmet vos interactions vers ses serveurs en Fédération de Russie. La Russie ne bénéficie d'aucune décision d'adéquation européenne ; les transferts reposent sur les clauses contractuelles types et des mesures supplémentaires. Vous pouvez refuser sans perdre l'accès au site.
Domaines tiers contactes
roistat.comcloud.roistat.comcdn.roistat.comapi.roistat.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| roistat_visit | Persistent | 12 months | Persistent first party identifier that ties every page view, form submission and inbound phone call to the same visit and visitor for marketing attribution and ROI calculation in the Roistat warehouse. |
| roistat_visit_id | Persistent | 12 months | Unique numeric identifier of the current visit. Used by the dynamic call tracking module to assign and recall the phone number swapped on the page. |
| roistat_first_visit | Persistent | 12 months | Records the source, medium, campaign, content and term of the first observed visit. Enables first touch attribution alongside last touch. |
| roistat_visit_cookies_v2 | Persistent | 12 months | Stores the click identifiers (gclid, yclid, fbclid) and full set of UTM parameters captured at the start of the visit, used for cross channel attribution. |
| roistat_marker | Local Storage | Until cleared | Local storage marker written by the Roistat JavaScript bundle to detect repeat visitors when cookies are blocked and to coordinate the dynamic phone number swap. |
Roistat collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Roistat dépose des cookies propriétaires persistants tels que roistat_visit, roistat_first_visit, roistat_visit_cookies_v2 et roistat_visit_id, en général sur 12 mois, pour identifier le même visiteur entre sessions et canaux. Il collecte l'adresse IP, l'empreinte navigateur, le referrer, les paramètres complets de l'URL (utm, gclid, fbclid, yclid), les interactions et les soumissions de formulaires. Le module de call tracking dynamique lit le cookie visiteur pour substituer au numéro affiché un numéro attribué à la visite, puis capte l'identité de l'appelant, la durée d'appel, l'enregistrement audio le cas échéant et la campagne attribuée. Les intégrations CRM renvoient identifiants leads, statut deal et chiffre d'affaires dans l'entrepôt Roistat hébergé en Russie.
Oui. Roistat pose des cookies persistants et lit des identifiants sur le terminal pour des finalités d'analyse et de marketing qui ne sont pas strictement nécessaires : l'article 5(3) de la directive ePrivacy et ses transpositions exigent un consentement préalable, éclairé et libre. La substitution dynamique du numéro de téléphone et l'enrichissement CRM ajoutent un traitement comportemental et de contact qui exige aussi le consentement de l'article 6 du RGPD. Le script Roistat ne doit donc pas s'exécuter et le numéro affiché ne doit pas être remplacé avant l'opt in enregistré par la plateforme de gestion du consentement. Le refus doit être aussi simple que l'acceptation (lignes directrices 03/2022 du CEPD).
Sur un site européen la seule base légale solide est le consentement au sens de l'article 6(1)(a) du RGPD, conjugué au consentement ePrivacy pour les cookies et identifiants. L'intérêt légitime de l'article 6(1)(f) n'est pas adapté car le traitement est intrusif (identifiant persistant entre sessions, substitution dynamique de numéro, enregistrement vocal, enrichissement CRM) et qu'il entraîne un transfert vers la Russie, pays sans décision d'adéquation. Compte tenu de ces facteurs, les régulateurs attendent un consentement explicite, spécifique à l'analyse, au call tracking et au transfert international, avec une option de refus granulaire.
Oui, et c'est l'enjeu central de conformité. Roistat OOO exploite son infrastructure de production depuis la Fédération de Russie. La Russie ne bénéficie d'aucune décision d'adéquation de la Commission européenne ; son cadre de surveillance (notamment la loi fédérale 152 FZ, le régime technique d'interception SORM et les larges pouvoirs d'enquête du FSB) et la suspension en 2022 de la relation avec le Conseil de l'Europe privent les personnes concernées de l'UE d'un recours effectif. Les transferts doivent reposer sur les garanties de l'article 46 du RGPD, en pratique les CCT européennes avec des mesures supplémentaires techniques et organisationnelles, et sur une analyse de transfert détaillée selon les Recommandations 01/2020 du CEPD.
Oui. Une AIPD au sens de l'article 35 du RGPD est fortement recommandée et probablement obligatoire car Roistat coche plusieurs critères de risque élevé : suivi comportemental à grande échelle, identifiant persistant entre sessions, call tracking dynamique interceptant un canal vocal en temps réel, enrichissement CRM et transfert vers un pays sans décision d'adéquation. L'AIPD doit décrire les catégories de données, la durée de conservation, le mécanisme de transfert, les mesures supplémentaires appliquées (chiffrement, pseudonymisation, restrictions contractuelles), le risque résiduel après mesures et la base légale, et doit être révisée en cas d'ajout d'enregistrement d'appel ou de formulaires sensibles.
Signer les CCT avec Roistat OOO et documenter les mesures supplémentaires (chiffrement en transit, identifiant visiteur pseudonymisé, restriction contractuelle de divulgation aux autorités au delà des injonctions obligatoires, conservation minimisée, enregistrement désactivé par défaut). Réaliser l'AIPD et en publier un résumé. Bloquer le tag et la substitution dynamique de numéro tant qu'un opt in n'est pas enregistré par un CMP conforme. Mentionner explicitement le transfert vers la Russie dans la politique de confidentialité. Restreindre les modules déployés (call tracking ciblé, sans enregistrement, sans profilage supplémentaire). Ajouter Roistat à la liste fournisseurs du CMP. Évaluer le risque sanctions avec le juridique.
Les plateformes d'attribution et de call tracking hébergées en UE réduisent à la fois le frottement consentement et le risque transfert. À évaluer : Dialogtech, Phonexa, CallRail (avec option de résidence UE), HubSpot ou Salesforce attribution native, Matomo couplé à un fournisseur européen de call tracking (Mediahawk, Infinity, FreeSpee, Magnetic North), Adobe Analytics avec serveurs UE, Piwik PRO, Mixpanel avec résidence UE. Toutes exigent le consentement pour les cookies non essentiels, mais la plupart opèrent depuis l'EEE ou sous décision d'adéquation, ce qui simplifie l'analyse de transfert et la politique de confidentialité.
Dans la bannière, lister nommément les cookies Roistat propriétaires avec leur durée et leur catégorie (analyse, marketing, call tracking), et les rattacher à la finalité Roistat dans le CMP. Dans la politique de confidentialité, désigner Roistat OOO comme importateur de données en Russie et sous traitant, indiquer la base légale (consentement), nommer les catégories de données (IP, identifiant persistant, téléphone, métadonnées d'appel, identité CRM), nommer le pays de destination, renvoyer aux CCT et aux mesures supplémentaires, indiquer la durée de conservation et fournir les canaux pour retirer le consentement et exercer les droits. Réauditer après chaque modification de configuration Roistat.