Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Snowplow est une plateforme open source de données comportementales utilisée par les équipes data qui veulent garder le contrôle complet de la collecte. Les trackers envoient des événements de première partie vers un collecteur contrôlé par l'éditeur, qui écrit les données brutes dans S3, Snowflake, BigQuery ou Databricks. L'auto hébergement sur infrastructure UE en fait une alternative RGPD solide à Google Analytics, en particulier pour le secteur public et les industries régulées.
Snowplow est une plateforme open source de données comportementales sortie en 2012 et désormais développée par Snowplow Analytics Ltd à Londres. C''est la référence pour les équipes data qui veulent posséder l''ensemble de la chaîne d''événements : trackers, collecteur, enricher, registre de schémas et chargeur entrepôt. L''auto hébergement sur infrastructure UE est largement recommandé par la CNIL, l''AEPD et la DSK allemande comme alternative légitime à Google Analytics pour les organisations qui ne peuvent pas s''appuyer sur le cadre d''adéquation US.
Un tracker JavaScript ou mobile est chargé sur le domaine de l''éditeur et envoie les événements à un collecteur Snowplow contrôlé par l''éditeur (endpoint HTTPS hébergé sur AWS, GCP, Azure ou Kubernetes). Les événements sont validés contre un registre de schémas JSON, enrichis (parsing referrer, lookup IP, parsing user agent, enrichments personnalisés), puis chargés en brut dans S3, Snowflake, BigQuery, Databricks ou PostgreSQL. L''offre managée Snowplow BDP automatise le déploiement avec des régions UE à Francfort et Dublin.
Snowplow dépose par défaut deux cookies de première partie : _sp_id (identifiant visiteur, 13 mois) et _sp_ses (identifiant de session, 30 minutes). Les deux sont sur le domaine de l''éditeur. Snowplow peut aussi fonctionner en mode sans cookies, où l''agrégation visiteur est remplacée par une empreinte mémoire réinitialisée à chaque visite. Sont collectés : adresse IP (troncature configurable), user agent, URL, referrer, résolution d''écran et tout événement personnalisé envoyé via l''API JavaScript.
Comme Snowplow est auto hébergé sur l''infrastructure de l''éditeur, ce dernier est seul responsable de traitement et il n''y a pas de sous traitant tiers pour les données brutes. La posture RGPD s''en trouve drastiquement simplifiée et la difficulté Schrems II disparaît. Configuré en mode sans cookies avec troncature d''IP et sans fingerprinting, Snowplow peut s''appuyer sur l''intérêt légitime selon l''exemption CNIL R32 et le guide AEPD 2023. En mode cookies de première partie, le consentement préalable au titre de l''Art. 5(3) ePrivacy est requis.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Deux configurations sont fréquentes : (a) mode cookies derrière une CMP, où Snowplow ne se charge qu''après acceptation de la catégorie analyse ; (b) mode sans cookies aligné sur la recommandation CNIL R32 (IP tronquée, sans fingerprinting, sans suivi inter sites, opt out exposé). Les deux sont documentés dans la bibliothèque privacy de Snowplow. Pensez à fixer trackerVersion, appId et enrichmentVersion pour pouvoir rejouer la décision dans votre entrepôt.
Snowplow auto hébergé sur AWS Francfort ou Dublin garde tous les événements en UE et supprime totalement le transfert hors UE. Les clients Snowplow BDP managed peuvent choisir Francfort ou Dublin comme région. La seule dépendance US par défaut dans la stack open source est le registre de schémas iglucentral hébergé sur Cloudfront, qui ne sert que des schémas JSON (aucune donnée personnelle).
Déployez le collecteur dans une région UE. Activez la troncature IP en /24 (IPv4) ou /48 (IPv6) et désactivez le fingerprinting si vous visez l''exemption CNIL R32. Reliez le tracker JavaScript à votre CMP et ne l''initialisez qu''après consentement si vous restez en mode cookies. Inscrivez Snowplow au registre article 30, conservez les événements bruts le minimum requis et utilisez le versioning de schéma pour tracer chaque changement du contrat de données.
Les sites web utilisant Snowplow Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est recommandée que lorsque Snowplow est utilisé pour combiner clickstream et identifiants personnels (utilisateurs connectés, enrichissement CRM) à grande échelle. La collecte purement comportementale sans cookies avec troncature IP ne nécessite généralement pas d'AIPD. Documentez clairement la base légale, la conservation et les destinataires.
Exemple de texte de consentement
Nous utilisons Snowplow pour collecter des événements comportementaux anonymisés sur nos propres serveurs. Les événements nécessaires sont toujours actifs. Les événements marketing et personnalisation nécessitent votre consentement. Vous pouvez modifier votre choix à tout moment via le lien Préférences cookies en pied de page.
Domaines tiers contactes
snowplowanalytics.comsnowplow.iosnplow.netiglucentral.comcollector.example.com (customer controlled)(publisher controlled collector domain)Cookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _sp_id | first_party | 2 years | Stores the Snowplow visitor identifier used to recognise returning users. |
| _sp_id | first_party | 13 months | Pseudonymous visitor identifier used to stitch sessions across visits. |
| _sp_ses | first_party | 30 minutes | Stores the Snowplow session identifier. |
| _sp_ses | first_party | 30 minutes | Session identifier used to group events into a single visit. |
Snowplow Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Snowplow dépose _sp_id (visiteur) et _sp_ses (session) en first party, plus tout cookie personnalisé déclaré dans votre schéma.
Snowplow pose deux cookies de première partie sur le domaine de l'éditeur : _sp_id (identifiant visiteur, 13 mois) et _sp_ses (identifiant de session, 30 minutes). En mode sans cookies aucun cookie n'est posé ; l'agrégation visiteur est remplacée par une empreinte en mémoire réinitialisée à chaque visite.
Oui par défaut, à cause de l'identifiant persistant. La mesure anonyme server side sans _sp_id peut relever de l'intérêt légitime.
Oui lorsque Snowplow stocke _sp_id ou _sp_ses sur le terminal du visiteur : consentement préalable au titre de l'Art. 5(3) ePrivacy. En mode sans cookies aligné sur l'exemption CNIL R32 (troncature IP, pas de fingerprinting, pas de suivi inter sites, opt out exposé), Snowplow peut être déployé sans consentement sur le fondement de l'intérêt légitime.
Consentement pour le tracking comportemental. Intérêt légitime pour des analytics agrégés anonymes avec garanties.
Consentement (Art. 6(1)(a) RGPD) en mode cookies. Intérêt légitime (Art. 6(1)(f)) en mode sans cookies exempté. Dans les deux cas, l'éditeur est seul responsable de traitement car Snowplow est auto hébergé.
Non pour la pipeline si vous déployez en région UE. Le support Snowplow BDP au Royaume Uni ou aux États Unis peut accéder à l'infrastructure sous CCT.
Non, en auto hébergement sur AWS Francfort ou Dublin, ou sur Snowplow BDP managed avec résidence UE. Le déploiement open source par défaut dépend du registre de schémas iglucentral hébergé sur Cloudfront, qui ne sert que des schémas JSON (aucune donnée personnelle) et ne constitue donc pas un transfert.
Recommandée car Snowplow peut enregistrer un comportement très granulaire et est souvent intégré à d'autres données personnelles.
Une AIPD est recommandée uniquement si Snowplow combine clickstream et identifiants personnels (utilisateurs connectés, enrichissement CRM) à grande échelle. La collecte purement comportementale sans cookies avec IP tronquée ne déclenche habituellement pas les critères de l'Art. 35.
Déployez en régions UE, définissez un schéma clair, anonymisez les IP, utilisez un mode cookieless, conditionnez à une CMP et transmettez le drapeau de consentement comme contexte personnalisé.
Déployez le collecteur dans une région UE, activez la troncature IP, désactivez le fingerprinting dans le tracker JavaScript, reliez le tracker à votre CMP si vous restez en mode cookies, inscrivez Snowplow au registre article 30 et utilisez le versioning de schéma pour tracer chaque évolution du contrat de données.
Autres outils analytiques privacy first : Matomo (PHP, hébergé UE), Plausible Analytics (UE, sans cookies), Fathom (sans cookies), Umami (open source), Pirsch (Allemagne) et Simple Analytics (Pays Bas). Pour les données warehouse native à fort volume, RudderStack et Segment sont les concurrents commerciaux les plus proches.
Matomo, PostHog, Plausible, Adobe Analytics, Google Analytics 4, mParticle. Les options open source réduisent le risque fournisseur.
Documentez _sp_id, _sp_ses et tout cookie personnalisé, leur finalité et leur durée, et versionnez la politique à chaque évolution de schéma.
Listez _sp_id et _sp_ses avec leur durée et finalité si vous opérez en mode cookies. Précisez que les données sont collectées sur infrastructure de première partie (aucun transfert hors UE). Mettez à jour la politique en cas de changement du niveau de troncature IP, d'échantillonnage, de conservation ou de versioning de schéma.