Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Woopra est une plateforme américaine d'analytique du parcours client qui combine analytique web, analytique produit et profils clients en un seul outil. Elle suit le comportement individuel des utilisateurs sur web, mobile et SaaS pour construire des profils clients identifiés en temps réel. Comme les données sont transférées vers Woopra Inc. aux États-Unis et que la plateforme suit des individus identifiés, son déploiement sur du trafic UE nécessite un consentement explicite au titre du RGPD et de la directive ePrivacy, ainsi qu'une évaluation de transfert Schrems II.
Woopra est une plateforme d'analytique du parcours client opérée par Woopra Inc., basée à San Francisco. Elle combine analytique web, analytique mobile et analytique produit, en rattachant chaque événement à un profil client identifié plutôt qu'à une session anonyme. Les équipes marketing, vente et produit utilisent Woopra pour comprendre le parcours individuel des utilisateurs, de la première visite à l'achat et à la rétention.
Le suivi est mis en place via un snippet JavaScript (tracker woopra.com), des SDK mobiles et des appels API REST directs depuis les backends. Chaque utilisateur est identifié par une adresse e-mail ou un autre identifiant stable, étiqueté de propriétés personnalisées, puis enrichi de tous les événements comportementaux suivants.
Côté client, Woopra traite l'adresse IP (géolocalisation, lutte contre les abus), l'User Agent, la taille d'écran, l'URL de provenance, l'URL courante, le titre de la page et le payload complet des événements (clics, soumissions de formulaire, appels track personnalisés). Côté serveur, il reçoit toutes les données envoyées via l'API REST : adresses e-mail, noms, identifiants de compte, plans, traits personnalisés.
Ces identifiants sont corrélés grâce au cookie wooTracker (1 an) et à la fonction Woopra Connect, qui associe les sessions anonymes au profil identifié dès la connexion de l'utilisateur.
Woopra est responsable de traitement aux États-Unis pour ses propres finalités et sous-traitant pour les données clients. Le transfert de données UE vers les États-Unis est encadré par des CCT. Après Schrems II (CJUE C-311/18), les CCT seules ne suffisent pas : une analyse d''impact des transferts (TIA) est obligatoire, en tenant compte de l''accès des autorités américaines au titre de FISA Section 702 et de l''Executive Order 12333.
Côté cookies, wooTracker n'est pas strictement nécessaire et relève pleinement de l'art. 5(3) ePrivacy : un consentement préalable est requis. Comme Woopra traite des données personnelles identifiées, le consentement est aussi la base art. 6 la plus sûre. L'intérêt légitime est risqué : l'EDPB et plusieurs CNIL européennes ont écarté cette base pour le suivi comportemental transfrontalier.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Différez le script Woopra jusqu'à ce que le visiteur ait accepté la catégorie Analytique ou Marketing dans votre CMP. Assurez-vous que le bandeau cite Woopra par son nom, mentionne le transfert aux États-Unis et lie sa politique de confidentialité.
Pour le tracking server side, n'envoyez pas d'événements identifiés pour les utilisateurs UE qui ont refusé : utilisez l'API Woopra uniquement pour les utilisateurs ayant explicitement accepté. Propagez le signal de consentement entre votre CMP, votre backend applicatif et l'API REST.
Signez le Data Processing Addendum Woopra ainsi que les CCT UE (Modules 2 et 3, responsable vers sous-traitant). Documentez le transfert dans votre registre des traitements et réalisez une TIA. Mettez en place des mesures supplémentaires : pseudonymisez les e-mails lorsque possible, restreignez les propriétés transmises, activez la troncature IP.
Listez tous les sous-traitants ultérieurs de Woopra (notamment AWS US) dans votre politique de confidentialité. Définissez explicitement une politique de conservation : par défaut, Woopra conserve les profils indéfiniment.
Mettez en place un consentement granulaire pour Woopra (catégorie Analytique ou Marketing). Différez woopra.js jusqu'au consentement. Configurez l'anonymisation IP dans le compte Woopra. Documentez la base légale (consentement) et le transfert hors UE dans votre politique. Formez vos équipes produit et marketing à ne pas pousser de données sensibles (santé, religion, orientation sexuelle, biométrie) dans les traits Woopra.
Pour les sites à fort trafic ou les secteurs sensibles, envisagez des alternatives UE : Matomo, Piwik PRO, Plausible, Fathom ou Mixpanel avec résidence UE. Documentez votre décision dans l'AIPD, en particulier si Woopra produit du profilage relevant de l'art. 22 RGPD.
Les sites web utilisant Woopra doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Woopra est conçu pour construire des profils identifiés, en associant un identifiant visiteur persistant (cookie wooTracker) à des adresses e-mail, identifiants de compte et événements produit. Points clés pour l'AIPD : (1) le suivi comportemental systématique inter-sessions, web et produit, avec stitching cross-device, relève des lignes directrices de l'EDPB sur la prise de décision automatisée et le profilage ; (2) le transfert des données vers les États-Unis déclenche les exigences Schrems II : les CCT seules ne suffisent pas, une analyse d'impact des transferts et des mesures supplémentaires (chiffrement, pseudonymisation) sont nécessaires ; (3) la plateforme conserve par défaut des identifiants personnels (e-mail, téléphone) et des payloads d'événements complets pendant plusieurs années ; la durée doit être réévaluée au regard de l'art. 5(1)(e) RGPD ; (4) Woopra s'intègre à des outils marketing (HubSpot, Marketo, Salesforce) qui repartagent ces identifiants ; (5) la plateforme peut collecter des données sensibles (art. 9 RGPD) en santé ou finance, exigeant une base supplémentaire art. 9(2) ; (6) le cookie wooTracker (1 an) est partagé sur tout le site et permet une réidentification de long terme.
Exemple de texte de consentement
Nous utilisons Woopra (Woopra Inc., États-Unis) pour l'analytique du parcours client. Avec votre consentement, Woopra dépose des cookies et collecte des données comportementales (pages, événements, clics, informations de compte) pour construire un profil client, transféré et traité sur les serveurs de Woopra aux États-Unis sous CCT. Vous pouvez refuser ce suivi à tout moment sans perdre l'accès à nos services.
Domaines tiers contactes
woopra.comwww.woopra.comstatic.woopra.comapi.woopra.comapp.woopra.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| wooTracker | Analytics | 1 year | Persistent visitor identifier. Used to recognise returning visitors and stitch sessions to a single customer profile in Woopra. |
| wooSession | Analytics | Session | Identifies the current browsing session and ties it to the persistent visitor ID. |
| wooLabel | Analytics | 1 year | Stores the user provided identifier (typically an email address) after sign in, so Woopra can link anonymous and authenticated sessions. |
| wooId | Analytics | 1 year | Backup identifier used when wooTracker is blocked or cleared. |
Woopra collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Le cookie principal est wooTracker (identifiant visiteur, 1 an), utilisé pour reconnaître les visiteurs et associer les sessions à un même profil. D'autres cookies auxiliaires peuvent apparaître (wooSession, wooLabel, wooId), ainsi que des entrées localStorage stockant l'identifiant et les événements en attente. Aucun n'est strictement nécessaire au site lui-même.
Oui, pour tout déploiement ciblant du trafic UE. Le cookie wooTracker et le tracker JavaScript ne sont pas strictement nécessaires au sens de l'art. 5(3) ePrivacy et des lignes directrices EDPB 5/2020. Un consentement préalable, éclairé et granulaire est requis avant tout dépôt de cookie ou envoi d'événement identifié. Les appels server side doivent également être conditionnés au consentement pour les utilisateurs UE identifiés.
Le consentement (art. 6(1)(a) RGPD) est la seule base sûre, compte tenu de l'ampleur des données comportementales, de la création de profils identifiés et du transfert systématique vers les États-Unis. L'intérêt légitime a été rejeté par plusieurs autorités européennes dans des cas comparables (décisions Google Analytics de l'autorité autrichienne et de la CNIL française en 2022) pour le suivi comportemental transfrontalier.
Oui. Toutes les données sont traitées sur l'infrastructure Woopra aux États-Unis (AWS). Les transferts reposent sur les CCT UE (Modules 2 et 3) et un Data Processing Addendum. Une analyse d'impact des transferts (TIA) au sens de Schrems II est obligatoire, et des mesures supplémentaires (chiffrement, pseudonymisation, restriction des propriétés transmises) sont fortement recommandées.
Très souvent oui. Woopra effectue une surveillance systématique d'individus à grande échelle, combinée à des transferts transfrontaliers vers un pays tiers sans adéquation pour les outils analytiques, ce qui remplit les critères EDPB d'AIPD obligatoire. L'AIPD doit documenter la base légale, la TIA, la conservation, le contenu du profil et les droits des personnes.
Signez le DPA. Ajoutez Woopra à votre liste de sous-traitants. Différez le script jusqu'au consentement. Activez l'anonymisation IP et désactivez les champs inutiles. Documentez le transfert hors UE et la base légale. Proposez un opt out clair et respectez les signaux Do Not Track et Global Privacy Control. Pour le tracking server side, propagez l'état du consentement avant tout appel à l'API.
Pour de l'analytique client UE friendly : Matomo (auto hébergé ou cloud UE), Piwik PRO (Allemagne), Mixpanel avec résidence UE, Heap avec stockage UE, Posthog (auto hébergé, cloud UE), Segment avec cluster UE. Pour de l'analytique web pure : Plausible, Fathom, Simple Analytics. Mixpanel avec résidence UE est l'équivalent le plus proche pour l'analytique produit.
Listez le cookie wooTracker avec nom, fournisseur (Woopra Inc., États-Unis), finalité (identification visiteur et analytique du parcours client), durée (1 an) et catégorie (Analytique ou Marketing). Mentionnez le transfert US, l'usage des CCT et liez la politique de confidentialité Woopra. Ajoutez un bouton d'opt out qui stoppe immédiatement le suivi et déclenche une demande de suppression de profil si l'utilisateur la sollicite.