Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Tencent Analytics (TA, ex Mobile Analytics MTA) est une plateforme analytique web et mobile exploitée par Tencent Holdings Ltd depuis la Chine continentale. Elle propose pages vues, sessions, évènements et entonnoirs intégrés à l'écosystème WeChat, QQ et Tencent Cloud. Pour les sites européens, le déploiement est inhabituellement risqué : les données de tracking sont stockées en Chine sous le PIPL et la loi sur la cybersécurité, qui prévoient un large accès gouvernemental, et aucun cadre de transfert UE, Chine n'existe.
Tencent Analytics (TA), héritière du produit Mobile Analytics (MTA), est la plateforme d''analytique web et mobile interne de Tencent Holdings Ltd, l''entreprise basée à Shenzhen qui exploite également WeChat, QQ et Tencent Cloud. Le produit est principalement utilisé par les éditeurs et marques chinois pour mesurer le trafic de leurs sites et mini, programmes, avec une intégration étroite à l''écosystème WeChat (analytics mini, programmes, comptes officiels, suivi Mini Game). Tencent Analytics propose les métriques classiques (pages vues, visiteurs uniques, sessions, évènements, entonnoirs, rétention, analyses de cohortes) plus des dimensions spécifiques à la Chine telles que le canal d''acquisition WeChat et les segments d''utilisateurs QQ. Le traceur est chargé depuis tajs.qq.com ou, en déploiements legacy, hm.cnzz.com.
Tencent Analytics écrit plusieurs cookies first, party sur le domaine de l''éditeur. qccr_fpa est l''identifiant anonyme first, party (typiquement 2 ans), ta_distinct_id est l''identifiant visiteur du SDK TA et qccr_session conserve la session courante. Tencent collecte aussi l''IP du visiteur, l''user, agent, le referrer, l''URL de page, le comportement de scroll, les évènements personnalisés et toute propriété utilisateur transmise au SDK. Lorsque le SDK est utilisé dans un Mini Program WeChat, des identifiants supplémentaires (openid, unionid) peuvent être échangés avec le backend Tencent pour relier l''activité mini, programme aux visites web.
Pour les visiteurs européens, l''embarquement de Tencent Analytics soulève trois problèmes empilés. Premièrement, les cookies qccr_fpa et ta_distinct_id relèvent de l''article 5(3) ePrivacy et requièrent un consentement préalable. Deuxièmement, le transfert de données personnelles vers la Chine continentale relève du chapitre V du RGPD : la Chine ne figure pas sur la liste d''adéquation, le PIPL n''est pas considéré comme essentiellement équivalent au RGPD par le CEPD, et la loi sur la cybersécurité et le DSL accordent de larges pouvoirs d''accès aux autorités chinoises. Troisièmement, la recommandation 01/2020 du CEPD exige des mesures supplémentaires (typiquement chiffrement bout, en, bout avec clés détenues en UE) pour les transferts vers une juridiction de cette portée de surveillance, ce que Tencent Analytics ne supporte pas nativement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Un consentement préalable, libre, éclairé et spécifique est requis avant le chargement du SDK Tencent Analytics. Le bandeau CMP doit indiquer clairement que les données partent en Chine continentale et que les lois locales de surveillance s''appliquent. Le consentement au sens de l''article 49(1)(a) du RGPD peut être invoqué comme dérogation pour les transferts, mais uniquement pour des transferts occasionnels et non répétitifs ; utiliser le consentement pour légitimer un transfert systématique de tout le trafic vers la Chine est en règle générale rejeté par les autorités européennes. La CNIL et le BfDI ont mis en garde contre cette pratique. Le consentement doit donc s''accompagner d''une analyse d''impact des transferts sérieuse.
L''ensemble des données Tencent Analytics est hébergé en Chine continentale par Tencent Holdings Ltd et ses filiales. Aucune option de résidence des données en UE n''existe pour le produit standard. Des CCT peuvent être signées en théorie, mais l''analyse d''impact des transferts devra traiter de la loi sur la cybersécurité (article 35 sur la revue des transferts transfrontaliers), du DSL (catégories de données classifiées, article 21) et du PIPL (article 41, ordre obligatoire de production aux autorités chinoises). Après Schrems II, il est très difficile pour un éditeur européen de démontrer une protection essentiellement équivalente. La conclusion pratique est de réserver Tencent Analytics aux contenus qui ciblent explicitement la Chine continentale.
Si vous devez utiliser Tencent Analytics pour un site qui s''adresse à des audiences chinoises (Chinois d''outre, mer, expansion en Chine continentale, Mini Programs WeChat), isolez le déploiement : ne servez le SDK que sur la version .cn du site ou sur le sous, domaine spécifique à la Chine, conditionnez, le derrière une CMP stricte, ne le chargez jamais pour des visiteurs détectés UE/EEE et documentez une analyse d''impact des transferts complète. Pour le suivi d''audience européenne, remplacez, le par Matomo, Plausible, Umami ou une autre alternative hébergée en UE. Documentez la décision dans le registre des activités de traitement et signalez le risque résiduel au DPO.
Les sites web utilisant Tencent Analytics doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée et conclura généralement à un risque résiduel élevé pour les sites européens. La combinaison de cookies persistants, de transmission d'IP non chiffrée et de stockage en Chine continentale sous le PIPL, le DSL et la loi sur la cybersécurité déclenche plusieurs critères de risque élevé de la liste du CEPD (transfert vers une juridiction sans adéquation, traitement à grande échelle, surveillance systématique). Documentez les garanties techniques et contractuelles envisagées (CCT, chiffrement à clés détenues en UE), les conclusions de l'analyse d'impact des transferts et les alternatives évaluées. Pour des audiences UE grand public, le déploiement est rarement défendable.
Exemple de texte de consentement
Nous utilisons Tencent Analytics pour mesurer le trafic du site. Tencent Analytics est exploité par Tencent Holdings Ltd et stocke toutes les données de tracking sur des serveurs en Chine continentale. Votre adresse IP, un identifiant visiteur unique et les pages que vous consultez sont transférés en Chine où ils peuvent être soumis aux lois locales de surveillance. Acceptez, vous l'utilisation de Tencent Analytics ?
Domaines tiers contactes
tajs.qq.commta.qq.compingjs.qq.comhm.cnzz.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| qccr_fpa | first-party | 2 years | Anonymous first-party identifier set by the Tencent Analytics SDK to recognise returning visitors and aggregate them into unique-visitor metrics. |
| ta_distinct_id | first-party | 1 year | Visitor identifier used by the latest Tencent Analytics SDK to attribute events, sessions and conversions to a single browser. |
| qccr_session | first-party | Session | Session cookie used by Tencent Analytics to group page views and events that belong to the same visit. |
Tencent Analytics collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Tencent Analytics écrit des cookies first, party sur le domaine de l'éditeur, dont qccr_fpa (identifiant first, party anonyme, environ 2 ans), ta_distinct_id (identifiant visiteur du SDK actuel) et qccr_session (identifiant de session). Il collecte aussi l'IP visiteur, l'user, agent, le referrer, l'URL de page, le comportement de scroll, les évènements personnalisés et toute propriété utilisateur transmise par l'éditeur.
Oui. Les cookies requièrent un consentement préalable au titre de l'article 5(3) ePrivacy. Plus important : le consentement seul ne suffit pas à légitimer le transfert systématique de données de visiteurs européens vers la Chine continentale ; le CEPD a constamment rejeté le consentement de l'article 49(1)(a) RGPD pour les transferts systématiques et répétitifs. La plupart des autorités européennes considèrent Tencent Analytics sur un site public comme non conforme pour les audiences UE grand public.
Le consentement (article 6, 1, a du RGPD) est requis, mais il ne résout pas en lui, même la question du transfert au titre du chapitre V vers la Chine. Des CCT peuvent être signées, mais une analyse d'impact des transferts conclura généralement que le PIPL, la loi sur la cybersécurité et la DSL créent un niveau d'accès gouvernemental qui n'est pas essentiellement équivalent à la protection RGPD.
Oui. Toutes les données Tencent Analytics et l'activité du tableau de bord sont traitées sur l'infrastructure Tencent en Chine continentale (Shenzhen, Pékin, Shanghai). La Chine ne figure pas sur la liste d'adéquation UE. Le PIPL, la loi sur la cybersécurité et la DSL prévoient un accès large des autorités chinoises aux données stockées, y compris celles de citoyens étrangers, à des fins de sécurité nationale et d'ordre public.
Oui, une AIPD est fortement recommandée et conclura généralement à un risque résiduel élevé pour les sites européens. La combinaison de cookies identifiants persistants, transmission d'IP complète, stockage dans une juridiction non adéquate à pouvoirs de surveillance étendus et absence de chiffrement bout, en, bout natif avec clés en UE déclenche plusieurs critères de haut risque.
Pour un site visant principalement des audiences européennes, la réponse pratique est de ne pas utiliser Tencent Analytics. Si un déploiement est inévitable pour les parties Chine, focus de votre activité, isolez le SDK sur un sous, domaine .cn ou une application spécifique Chine, conditionnez, le derrière un consentement strict, excluez le trafic UE/EEE par géolocalisation et documentez une analyse d'impact des transferts complète qui conclut que le risque résiduel est accepté uniquement pour des audiences explicitement chinoises.
Pour l'analytique d'audience européenne : Matomo (auto, hébergé ou cloud UE), Plausible (cloud UE), Umami (open source), Pirsch (Allemagne) et Fathom (cloud UE). Pour les audiences chinoises, Baidu Analytics présente des préoccupations de transfert similaires mais est parfois préféré pour le SEO Baidu ; un analytique serveur, side cookieless sur votre propre infrastructure UE/CN reste le schéma le plus sûr.
Si vous conservez Tencent Analytics pour une partie ciblée Chine, listez, le comme sous, traitant avec les cookies qccr_fpa (2 ans), ta_distinct_id et qccr_session, et une mention claire que les données sont transférées et stockées en Chine continentale sous PIPL, loi sur la cybersécurité et DSL. Indiquez l'absence de décision d'adéquation UE et référencez les CCT et l'analyse d'impact des transferts.