Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Segmentify

Que fait Segmentify ?

Segmentify est une plateforme de personnalisation et d'analyse comportementale destinée aux sites de e-commerce. Son SDK JavaScript collecte les vues produits, les actions sur le panier, les recherches et les signaux de session pour construire des profils visiteurs, puis alimente des recommandations produits pilotées par IA, des déclencheurs e-mail, des notifications push et un ciblage comportemental tout au long du parcours client. La plateforme utilise des cookies internes et tiers, avec un traitement principal en UE (Irlande) et un traitement analytique en Turquie, ce qui soulève des problématiques spécifiques de transferts au sens du chapitre V du RGPD.

Rôle de Segmentify

Segmentify est une plateforme de personnalisation et d''analyse comportementale conçue principalement pour les distributeurs en ligne. Les opérateurs intègrent un script JavaScript léger (segmentify.js) sur toutes les pages de leur site, accompagné d''un flux serveur décrivant leur catalogue produits. Le script observe en temps réel le comportement des visiteurs : pages vues, impressions produits, ajouts au panier, étapes du tunnel d''achat, recherches internes, profondeur de défilement et durée de session. Chaque visiteur reçoit un identifiant persistant, stocké dans des cookies internes et dans le localStorage du navigateur, et le profil comportemental obtenu est enrichi d''attributs tels que les affinités produits inférées, l''intention d''achat prédite, le risque d''attrition et la valeur vie client. Ces profils alimentent des recommandations produits générées par IA, le tri personnalisé de catégories, des bannières on site, des e-mails déclenchés, des notifications push et des segments d''audience exportables vers les plateformes publicitaires.

Données collectées et cookies utilisés

Segmentify traite une large palette d''identifiants et de signaux comportementaux. Des cookies internes persistants sur le domaine de l''opérateur, par exemple sgf_uid et sgf_session, stockent les identifiants visiteur et session, généralement pour 13 mois. Des cookies tiers déposés sur segmentify.com (par exemple sgf_cs et sgf_tg) prennent en charge l''analyse cross domain et la syndication d''audiences lorsque l''opérateur exploite plusieurs propriétés. Les autres données capturées comprennent : adresse IP tronquée, agent utilisateur, classe d''appareil, URL référente, références produits consultés, requêtes de recherche, contenu du panier et empreinte d''e-mail (lorsque le visiteur se connecte ou s''inscrit à une newsletter). Lorsque l''opérateur intègre Segmentify à son CRM, l''e-mail haché ou l''identifiant client peut être transmis à Segmentify afin de réconcilier les sessions entre appareils. Tous ces identifiants entrent dans le champ des données à caractère personnel au sens de l''art. 4(1) du RGPD et nécessitent un consentement préalable au titre de l''art. 5(3) ePrivacy avant toute lecture ou écriture sur le terminal.

Transferts UE Turquie et chapitre V du RGPD

Segmentify exploite une infrastructure de collecte principale en UE (AWS Irlande) mais transfère régulièrement les données vers la Turquie pour le traitement analytique, l''entraînement des modèles, le support client et certaines fonctions administratives. La Turquie ne bénéficie pas d''une décision d''adéquation de la Commission européenne au titre de l''art. 45 RGPD, ce qui impose qu''un mécanisme prévu par l''art. 46 encadre chaque transfert. Segmentify s''appuie sur les Clauses Contractuelles Types de 2021 (Décision d''exécution UE 2021/914), module 2 (responsable vers sous traitant) ou module 3 (sous traitant vers sous traitant) selon l''engagement. Les opérateurs sont tenus, au titre des Recommandations 01/2020 du CEPD à la suite de l''arrêt Schrems II, de réaliser une analyse d''impact des transferts qui examine la législation turque de surveillance et de communications électroniques, l''efficacité pratique des mesures supplémentaires (le chiffrement au repos avec des clés gérées par l''opérateur n''est pas proposé par défaut), et la capacité de Segmentify à contester des demandes d''accès illégales émanant des autorités turques.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Profilage, décisions automatisées et article 22

Segmentify produit des prédictions (propension à l''achat, probabilité d''attrition, produits recommandés, horaire d''envoi optimal) à partir de modèles d''apprentissage automatique entraînés sur des données agrégées de ses clients. Dans la plupart des cas e-commerce, la sortie est une suggestion de produits plutôt qu''une décision juridiquement contraignante : l''art. 22(1) du RGPD n''est alors pas déclenché. Toutefois, lorsque Segmentify pilote une tarification dynamique, l''éligibilité à des promotions ou un traitement différencié produisant des effets similairement significatifs pour la personne concernée, l''art. 22(2)(c) impose un consentement explicite et des garanties spécifiques : informations utiles sur la logique sous jacente, l''importance et les conséquences envisagées (art. 13(2)(f) et art. 15(1)(h)), droit d''obtenir une intervention humaine, d''exprimer son point de vue et de contester la décision (art. 22(3)). Les opérateurs doivent également honorer les oppositions au profilage à des fins de prospection au titre de l''art. 21(2), qui imposent l''arrêt immédiat du profilage.

Consentement et intégration CMP

Segmentify étant une technologie de personnalisation et d''analyse non essentielle reposant sur des identifiants persistants, l''opérateur doit recueillir un consentement préalable, libre, spécifique, éclairé et univoque (art. 4(11) RGPD et art. 5(3) ePrivacy) avant le chargement du script segmentify.js. Le refus doit être aussi simple que l''acceptation (Lignes directrices CEPD 05/2020), avec une case granulaire dans la plateforme de gestion du consentement correspondant à la catégorie personnalisation ou recommandations. La CMP doit maintenir le script en pause (script type=text/plain avec attribut data category, ou blocage serveur équivalent) jusqu''au recueil effectif du consentement. Les retraits de consentement doivent être propagés vers Segmentify via son API ou via un gestionnaire d''événements documenté, dans le délai annoncé par la politique de confidentialité de l''opérateur. La base légale ne peut pas être l''intérêt légitime compte tenu de la granularité du profilage, de la persistance des identifiants et du stockage sur le terminal, lequel relève du champ exclusif de l''art. 5(3) ePrivacy.

Droits des personnes et obligations de l''opérateur

Les opérateurs demeurent responsables de traitement pour les données visiteurs transmises à Segmentify et doivent être en mesure d''honorer les droits des personnes de bout en bout. Cela suppose de mentionner Segmentify de manière claire dans la politique de confidentialité (identité du sous traitant, catégories de données, durée de conservation, transfert vers la Turquie, référence des CCT), de proposer un opt out effectif, de supprimer les profils sur demande via l''API Segmentify et de répondre aux demandes d''accès au titre de l''art. 15 en incluant les attributs inférés produits par les modèles Segmentify. Le registre des activités de traitement au titre de l''art. 30 doit indiquer Segmentify comme sous traitant, et le contrat de sous traitance signé avec Segmentify doit refléter les exigences de l''art. 28(3), les droits d''audit, les notifications de sous traitants ultérieurs et des délais de notification de violation compatibles avec les obligations de l''opérateur au titre de l''art. 33.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Segmentify doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent under GDPR art. 6(1)(a) for processing of personal data and ePrivacy Directive 2002/58/EC art. 5(3) for storage of and access to cookies and similar identifiers on the visitor terminal. Profiling for AI driven recommendations relies on explicit, granular consent under GDPR art. 22(2)(c) where decisions produce legal or similarly significant effects.

Niveau de risquehigh

Reglementations applicablesGDPR (Regulation EU 2016/679), ePrivacy Directive 2002/58/EC, UK GDPR and PECR, Turkish KVKK (Law No. 6698), CCPA/CPRA, EDPB Guidelines 8/2020 on targeting of social media users, EDPB Recommendations 01/2020 on supplementary measures for transfers

Considerations AIPD

Une analyse d'impact relative à la protection des données (AIPD) au sens de l'art. 35 RGPD est obligatoire avant le déploiement. Segmentify met en oeuvre un profilage à grande échelle et systématique combiné à des décisions automatisées pour les recommandations, ce qui correspond à plusieurs critères du CEPD déclenchant l'obligation d'AIPD (évaluation/scoring, décision automatisée avec effet significatif, surveillance systématique, technologie innovante d'IA, traitement à grande échelle). L'AIPD doit traiter : (1) la base légale (consentement au titre de l'art. 6(1)(a) et de l'art. 22(2)(c) en cas de profilage) ; (2) la légitimité et la proportionnalité de la construction de profils comportementaux persistants à partir des événements produits, panier, recherche et engagement ; (3) le transfert UE Turquie au titre de l'art. 46(2)(c) avec CCT, y compris une analyse d'impact des transferts (TIA) au regard de la législation turque de surveillance (loi n° 2937 sur l'organisation nationale du renseignement turc, loi n° 5651 sur la régulation d'Internet) ; (4) les droits des personnes concernées, notamment l'opposition au profilage au titre de l'art. 21(2), l'accès au titre de l'art. 15, l'effacement au titre de l'art. 17 et le droit de ne pas faire l'objet d'une décision exclusivement automatisée au titre de l'art. 22 ; (5) les mesures supplémentaires (pseudonymisation, chiffrement, restrictions contractuelles concernant les demandes d'accès des autorités turques) ; (6) la durée de conservation des profils visiteurs (généralement 13 à 24 mois) et sa proportionnalité avec la finalité de personnalisation ; (7) l'analyse responsable conjoint vs. sous traitant au titre des art. 26 et 28, Segmentify agissant souvent en tant que sous traitant mais pouvant déterminer les finalités pour le benchmarking et l'entraînement des modèles ; (8) l'articulation avec la plateforme de gestion du consentement afin d'assurer le blocage des scripts avant recueil du consentement et la propagation des retraits de consentement vers Segmentify dans un délai documenté.

Exemple de texte de consentement

Nous utilisons Segmentify pour personnaliser les recommandations produits et adapter nos communications à vos centres d'intérêt. Avec votre consentement, Segmentify dépose des cookies sur votre terminal et traite des informations sur les produits que vous consultez, vos recherches, votre panier et vos interactions avec notre site afin de construire un profil et d'anticiper ce qui pourrait vous intéresser. Une partie de ces traitements a lieu en Turquie, en dehors de l'Espace économique européen et hors décision d'adéquation de la Commission européenne ; nous nous appuyons sur les Clauses Contractuelles Types et des mesures supplémentaires décrites dans notre Politique de confidentialité. Vous pouvez accepter, refuser ou modifier vos choix à tout moment via le lien Paramètres des cookies. Le refus ne vous empêchera pas d'utiliser le site, mais les recommandations ne seront pas personnalisées.

Details techniques

Methode de suivifirst-party and third-party cookies, JavaScript SDK (segmentify.js), pixel beacons, server-side API calls, browser localStorage and sessionStorage, behavioral event streaming

Localisation des serveursEU (primary processing in Ireland, AWS eu-west-1) with replication and analytical processing in Turkey (Istanbul)

Donnees transferees hors UEPersonal data of EU/EEA visitors is transferred to Turkey, which is not covered by a European Commission adequacy decision under GDPR art. 45. Segmentify relies on Standard Contractual Clauses (SCCs, EU 2021/914) under GDPR art. 46(2)(c) together with supplementary measures (encryption in transit and at rest, pseudonymisation of visitor identifiers, access controls). A Transfer Impact Assessment (TIA) is required by the operator before deployment, taking into account Turkish surveillance laws (Law No. 2937, Law No. 5651) and onward transfers to Segmentify Inc. (US) for limited engineering support.

Domaines tiers contactes

segmentify.comcdn.segmentify.comapi.segmentify.comtr.segmentify.comeu.segmentify.comcollect.segmentify.comrecommend.segmentify.compush.segmentify.com

Cookies deposes

Nom	Type	Duree	Finalite
sgf_uid	first_party	13 months	Persistent visitor identifier stored on the operator domain. Used by Segmentify to recognise returning visitors across sessions, link behavioural events to a single profile and serve personalised recommendations. Treated as personal data under GDPR art. 4(1) and requires prior consent under ePrivacy art. 5(3).
sgf_session	first_party	30 minutes	Session identifier set on the operator domain. Groups events (product views, search queries, cart actions) into a single visit context for behavioural analytics and within session personalisation. Requires consent under ePrivacy art. 5(3).
sgf_recs	first_party	6 months	Records which recommendation slots and items have been shown to the visitor. Used to avoid repeating identical recommendations, to measure click through and to attribute conversions to specific recommendation strategies. Personal data given the link to sgf_uid; requires consent.
sgf_visitor	first_party	13 months	Stores derived visitor segment attributes (e.g., inferred purchase intent, audience tags, lifecycle stage) for fast lookup on subsequent pageviews. Drives audience targeting and segment based campaigns. Requires consent under GDPR art. 6(1)(a) and ePrivacy art. 5(3).
sgf_cs	third_party	13 months	Cross site identifier set on segmentify.com. Used when the operator runs multiple properties or when Segmentify reconciles visitors across separate Segmentify tenants. Constitutes a third-party cookie under EDPB Guidelines 05/2020 and is subject to strict consent.
sgf_tg	third_party	13 months	Targeting cookie set on segmentify.com that supports audience syndication and the export of behavioural segments to advertising platforms. Subject to consent for advertising under ePrivacy art. 5(3) and GDPR art. 6(1)(a).
sgf_consent	first_party	12 months	Stores the visitor consent state communicated by the operator Consent Management Platform to Segmentify (e.g., personalization_granted=true/false, advertising_granted=true/false). Strictly necessary for the operation of the consent mechanism and exempt from prior consent under ePrivacy art. 5(3) recital 17.
sgf_email_hash	first_party	13 months	When the visitor logs in or subscribes to a newsletter, stores a SHA 256 hash of the email address to reconcile the visitor profile across devices via Segmentify Email and Push modules. Constitutes personal data (pseudonymous identifier) under GDPR; requires consent and a documented retention policy.

Segmentify collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Qu'est ce que Segmentify et à quoi sert il ?

Segmentify est une plateforme de personnalisation et d'analyse comportementale destinée aux distributeurs en ligne. Elle déploie un SDK JavaScript sur le site de l'opérateur, qui observe le comportement des visiteurs (vues produits, actions panier, requêtes de recherche, signaux de session) et construit des profils visiteurs persistants. Ces profils alimentent des recommandations produits pilotées par IA, des bannières personnalisées on site, des e-mails déclenchés, des notifications push et des segments d'audience exportables vers les plateformes publicitaires. Segmentify a son siège au Royaume Uni avec des opérations significatives en Turquie et sert des clients principalement en Europe, au Moyen Orient et en Amérique latine.

Segmentify nécessite t il le consentement des visiteurs au titre du RGPD et de la directive ePrivacy ?

Oui. Segmentify n'est pas strictement nécessaire à la fourniture du service et il lit et écrit sur le terminal du visiteur via des cookies persistants et le localStorage. L'art. 5(3) de la directive ePrivacy comme l'art. 6(1)(a) du RGPD imposent un consentement préalable, libre, spécifique, éclairé et univoque avant le chargement du script segmentify.js et avant tout traitement de données personnelles. L'intérêt légitime n'est pas une base légale disponible pour le stockage sur le terminal, et le profilage granulaire effectué par Segmentify ne passerait de toute façon pas le test de mise en balance pour les traitements ultérieurs.

Quels cookies et identifiants Segmentify dépose t il ?

Segmentify dépose plusieurs cookies internes sur le domaine de l'opérateur, dont sgf_uid (identifiant visiteur persistant, généralement 13 mois), sgf_session (identifiant de session, généralement 30 minutes), sgf_recs (journal des impressions de recommandations, généralement 6 mois) et sgf_visitor (attributs de segment visiteur, généralement 13 mois). Il dépose également des cookies tiers sur segmentify.com tels que sgf_cs (identifiant cross site) et sgf_tg (ciblage). La plateforme écrit également les identifiants visiteur dans le localStorage du navigateur, qui n'est pas un cookie mais est traité de manière identique au titre de l'art. 5(3) ePrivacy et nécessite un consentement.

Où les données sont elles traitées et y a t il un transfert vers la Turquie ?

Oui. La collecte principale est exécutée en UE (AWS Irlande, eu-west-1), mais Segmentify transfère régulièrement des données personnelles vers ses opérations en Turquie pour le traitement analytique, l'entraînement des modèles et le support client. La Turquie n'est pas couverte par une décision d'adéquation au titre de l'art. 45 du RGPD, donc chaque transfert doit s'appuyer sur les garanties de l'art. 46. Segmentify utilise les Clauses Contractuelles Types de 2021 (UE 2021/914) et les opérateurs doivent réaliser une Analyse d'Impact des Transferts qui prend en compte les lois turques de surveillance (loi n° 2937 et loi n° 5651) et l'efficacité pratique des mesures supplémentaires telles que la pseudonymisation et le chiffrement du transport.

Segmentify procède t il à des décisions automatisées au sens de l'art. 22 du RGPD ?

Segmentify produit des prédictions et des recommandations grâce à l'apprentissage automatique. Dans la plupart des déploiements e-commerce, la sortie est une suggestion de produit qui ne produit pas d'effets juridiques ou similairement significatifs, et l'art. 22(1) n'est donc pas déclenché. Lorsque Segmentify est utilisé pour la tarification dynamique, l'éligibilité à des promotions ou un service différencié qui produit des effets significatifs, l'art. 22(2)(c) impose un consentement explicite et des garanties : informations utiles sur la logique (art. 13(2)(f), art. 15(1)(h)), intervention humaine, droit d'exprimer son point de vue et de contester la décision (art. 22(3)). Les opérateurs doivent évaluer cela cas par cas.

Quelles sont les durées de conservation des profils et des événements Segmentify ?

Par défaut, Segmentify conserve les événements comportementaux bruts pendant 13 mois, les profils visiteurs dérivés jusqu'à 24 mois à compter de la dernière interaction, et les données de reporting agrégées jusqu'à 38 mois. La durée de conservation est configurable au niveau du compte client et les opérateurs doivent l'aligner sur la durée documentée dans leur politique de confidentialité et leur registre des activités de traitement au titre de l'art. 30 du RGPD. Les opérateurs doivent également s'assurer que les demandes de suppression (art. 17) sont honorées en appelant l'API de suppression de Segmentify, qui supprime le profil et les identifiants pseudonymes dans un niveau de service documenté.

Comment la CMP doit elle bloquer Segmentify jusqu'au recueil du consentement ?

La plateforme de gestion du consentement doit maintenir le tag segmentify.js dans un état non exécutant jusqu'à ce que le consentement pour la catégorie personnalisation ou recommandations soit accordé. Cela se fait généralement en servant le tag avec script type=text/plain et un attribut data category reconnu par la CMP, en utilisant un déclencheur de tag manager qui se déclenche uniquement après consentement, ou en routant l'ensemble des requêtes via un conteneur côté serveur qui filtre les appels sortants. La CMP doit également propager les retraits de consentement vers Segmentify via son API consent ou via un gestionnaire d'événements documenté, dans le délai indiqué dans la politique de confidentialité de l'opérateur.

Quelles sont les obligations de l'opérateur en utilisant Segmentify ?

L'opérateur est responsable de traitement et Segmentify agit en tant que sous traitant au titre d'un contrat de sous traitance conforme à l'art. 28(3) du RGPD. L'opérateur doit : mentionner Segmentify dans le registre des activités de traitement et dans la politique de confidentialité ; réaliser une AIPD au titre de l'art. 35 ; effectuer une Analyse d'Impact des Transferts pour le transfert vers la Turquie ; obtenir un consentement valide avant tout chargement de script ; honorer les droits des personnes (art. 15, 17, 21 et 22) via l'API Segmentify ; configurer la durée de conservation ; documenter l'approbation des sous traitants ultérieurs ; et aligner les délais de notification de violation (art. 33) avec les obligations de Segmentify au titre du contrat.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min