Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
ScapBot est un widget de chatbot JavaScript tiers intégré aux sites web pour la capture de leads, l'analyse conversationnelle de base et l'engagement visiteur. Il collecte l'adresse IP, l'agent utilisateur, le contenu des messages, les adresses email et des données de session comportementales, avec un traitement principalement hébergé aux États Unis.
ScapBot est un widget tiers d''IA conversationnelle chargé en JavaScript sur le site éditeur. Il engage les visiteurs, capte des leads (principalement des emails) et restitue une analyse conversationnelle basique. Compte tenu de sa documentation publique limitée, il doit être traité comme un sous traitant opaque appelant un niveau renforcé de diligence.
ScapBot collecte l''adresse IP, l''agent utilisateur, les métadonnées du terminal et du navigateur, les identifiants de session, le contenu complet des messages et tout email ou coordonnée saisi par le visiteur. Le chat étant libre, les contenus peuvent contenir des informations relevant de l''article 9 RGPD (santé, opinions, croyances, finances). Des signaux comportementaux sont également journalisés.
Au titre de l''article 6 RGPD, le consentement (6(1)(a)) est la base recommandée pour les fonctions d''analyse et de captation de leads. La fonction conversationnelle stricte peut reposer sur l''intérêt légitime (6(1)(f)) lorsqu''elle est strictement nécessaire à un service explicitement demandé, sous réserve d''un test de mise en balance. L''article 5(3) de la directive ePrivacy impose un consentement préalable pour tout dépôt ou lecture de cookie non strictement nécessaire.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
L''infrastructure ScapBot est hébergée aux États Unis. Les transferts depuis l''EEE et le Royaume Uni exigent des CCT, une analyse d''impact des transferts et des mesures supplémentaires techniques et organisationnelles conformes à Schrems II. Si ScapBot s''appuie sur le Data Privacy Framework UE US, vérifier sa certification active sur la liste officielle DPF avant de s''en prévaloir.
Le texte libre est une surface à risque élevé : un visiteur peut coller des identifiants, des symptômes médicaux ou des informations sensibles. Mettre en place une rédaction ou un filtrage à la soumission, limiter la conservation et documenter une procédure claire pour traiter les déclarations relevant de l''article 9 et les demandes de suppression visant des conversations spécifiques.
Bloquer le script ScapBot tant que le consentement n''a pas été recueilli via votre CMP, signer un contrat de sous traitance, mener et documenter une AIPD, configurer des durées de conservation courtes, restreindre les accès admin, mettre à jour la politique de confidentialité avec ScapBot et la base de transfert US, ré auditer annuellement ou à chaque changement de version.
Les sites web utilisant ScapBot doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée avant le déploiement de ScapBot car le widget peut capturer du contenu libre incluant potentiellement des données sensibles (article 9 RGPD), des emails et de l'analyse comportementale. Risques clés : saisies non filtrées pouvant contenir des informations de santé, financières ou politiques, transferts vers les États Unis exigeant CCT et analyse d'impact selon Schrems II, identifiants persistants à des fins analytiques nécessitant un consentement préalable au titre de l'article 5(3) ePrivacy, et risque de profilage par l'historique conversationnel.
Exemple de texte de consentement
Nous utilisons ScapBot, un service de chatbot, pour répondre à vos questions, capter des leads et analyser les conversations. ScapBot dépose des cookies sur votre appareil et traite votre adresse IP, vos données navigateur, le contenu de vos messages et tout email fourni. Certaines données peuvent être transférées aux États Unis sous garanties appropriées. En cliquant sur 'Accepter', vous consentez à ce traitement. Vous pouvez retirer votre consentement à tout moment via le bandeau cookies.
Domaines tiers contactes
scapbot.comcdn.scapbot.comapi.scapbot.comws.scapbot.comanalytics.scapbot.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _scapbot_sid | http_cookie | session | Session identifier used to maintain conversation state across page navigations during a visit. Strictly necessary when the chat is actively engaged but should be blocked until consent if loaded proactively. |
| _scapbot_vid | http_cookie | 12 months | Persistent visitor identifier used to recognise returning visitors, link chat sessions, and feed conversational analytics. Requires prior consent under ePrivacy Article 5(3). |
| _scapbot_consent | http_cookie | 6 months | Stores the visitor consent state for the ScapBot widget so the choice persists across sessions. Considered strictly necessary as it records the consent decision. |
| _scapbot_lead | http_cookie | 90 days | Records lead capture status (for example whether the visitor has already provided an email) to avoid duplicate prompts. Marketing purpose, requires consent. |
| scapbot_analytics | local_storage | 13 months | Local storage entry holding aggregated analytics signals: page context, conversation outcome, response timings. Analytics purpose, requires consent. |
| scapbot_chat_history | local_storage | until cleared | Client side cache of recent chat messages used to restore the conversation if the visitor reloads the page. Should be cleared on consent withdrawal and on session end where possible. |
| _scapbot_ab | http_cookie | 30 days | A/B testing identifier used by ScapBot to evaluate conversation flows and prompts. Optimisation purpose, requires consent. |
ScapBot collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Oui. ScapBot utilise des cookies et stockages similaires (typiquement un identifiant de session et un cookie persistant) pour maintenir la continuité conversationnelle, reconnaître les visiteurs récurrents et alimenter l'analyse. Comme ils ne sont pas strictement nécessaires à un service expressément demandé, l'article 5(3) de la directive ePrivacy impose un consentement préalable et granulaire avant toute lecture ou écriture.
Oui pour les identifiants d'analyse et de captation de leads et, dans la plupart des cas, pour la fonction chat elle même lorsqu'elle est déclenchée proactivement ou repose sur des identifiants persistants. Le script doit être bloqué via votre CMP jusqu'au consentement. Un chat strictement initié par le visiteur avec uniquement du stockage indispensable peut reposer sur l'intérêt légitime, sous réserve d'un test de mise en balance documenté.
Pour l'analyse, le profilage comportemental et la captation de leads marketing, la base appropriée est le consentement (article 6(1)(a)). Pour la fonction chat strictement nécessaire, l'intérêt légitime (article 6(1)(f)) peut s'appliquer après mise en balance. Si le chat capte des données sensibles relevant de l'article 9, une condition additionnelle telle que le consentement explicite est requise.
ScapBot est hébergé aux États Unis : les données personnelles de l'EEE et du Royaume Uni font l'objet de transferts internationaux. Ces transferts exigent des CCT, une analyse d'impact des transferts au sens de Schrems II et des mesures supplémentaires (chiffrement, contrôle d'accès). Si l'éditeur s'auto certifie sous le Data Privacy Framework UE US, vérifier sa certification active sur la liste officielle avant de s'en prévaloir.
Elle est fortement recommandée et souvent obligatoire. Critères déclencheurs : traitement à grande échelle de texte libre pouvant contenir des données sensibles (article 9), surveillance systématique des comportements visiteurs, profilage et transferts vers un pays tiers sans décision d'adéquation. Documenter risques, mesures d'atténuation et décision sur le risque résiduel avant mise en production.
Bloquer le script jusqu'au consentement, signer un contrat de sous traitance désignant ScapBot, mener une AIPD, fixer des durées de conservation courtes, restreindre les accès admin au strict nécessaire, rédiger ou filtrer le contenu sensible des transcripts lorsque possible, mentionner ScapBot et sa base de transfert US dans la politique de confidentialité, et ré auditer annuellement ou à chaque changement de version.
Des fournisseurs de chatbot et de captation de leads hébergés en UE réduisent le risque de transfert et la charge de gouvernance. Des solutions open source auto hébergées (Rasa, Botpress) déployées dans une région EEE offrent la meilleure souveraineté. Lors de l'évaluation, comparer garanties contractuelles, région d'hébergement, chaîne de sous traitants, contrôles de conservation et traitement de l'article 9.
Ajouter une entrée dédiée pour chaque cookie ou identifiant ScapBot avec nom, finalité, durée et catégorie (fonctionnel, analytique, marketing). Dans la politique de confidentialité, lister ScapBot comme sous traitant, décrire les catégories de données (y compris contenu potentiel article 9 du chat), expliquer le mécanisme de transfert US et les droits des visiteurs, et renvoyer à la politique et au DPA de ScapBot.