Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Cartful est un assistant de shopping IA américain pour boutiques e-commerce. Il se charge comme un widget de chat sur le site, pose au visiteur des questions guidées, ingère le catalogue produits du marchand et construit un profil acheteur pour proposer des recommandations personnalisées. Cartful suit la navigation, les clics, les événements panier et les réponses du chat entre sessions, et les stocke sur une infrastructure cloud aux États Unis. Pour un déploiement européen, cela combine analytique non essentielle, profilage comportemental et transfert Schrems II : consentement RGPD et analyse de transfert requis.
Cartful est un assistant de shopping piloté par l''IA pour les boutiques e-commerce, exploité par Cartful Solutions Inc. depuis les États Unis. Il est livré sous forme d''un widget JavaScript qui se charge sur les pages catégorie, produit et panier et engage le visiteur via une conversation type chat : quelques questions ciblées sur les préférences, puis des suggestions classées issues du catalogue marchand. Cartful est commercialisé auprès des retailers mid market et grands comptes comme un outil de hausse de conversion et de personnalisation, et s''intègre généralement à Shopify, BigCommerce ou plateformes sur mesure via un tag, une clé Storefront API et un flux catalogue.
Du point de vue de la protection des données, Cartful se situe à l''intersection de l''analytique, du profilage comportemental et de l''aide à la décision. Sa valeur centrale repose sur la construction et la réutilisation d''un profil acheteur entre sessions et pages, ce qui en fait sans ambiguïté un service non essentiel soumis à consentement en droit européen.
Cartful pose des cookies propriétaires persistants et des entrées de stockage local pour identifier le même acheteur entre sessions, stocker le profil de recommandation et conserver l''historique du chat. Il collecte l''adresse IP, une empreinte appareil et navigateur, l''URL, le referrer, les paramètres UTM, les événements de clic et de scroll, les produits consultés, le temps passé, les ajouts au panier et le passage en caisse, le catalogue marchand (identifiants produits, attributs, prix) ainsi que les réponses du visiteur à l''assistant. Lorsque le marchand l''active, Cartful peut aussi recevoir un identifiant client connecté ou un e-mail capté via un formulaire d''inscription.
Ce flux est transmis aux API Cartful hébergées sur AWS aux États Unis. Cartful construit un profil de préférences déduit (style, taille, occasion, budget, affinité marque) et le stocke sous un identifiant persistant pour alimenter les recommandations futures. Profils et historiques sont conservés pour toute la durée contractuelle du compte marchand.
Deux couches du droit européen s''appliquent. L''article 5(3) de la directive ePrivacy (transposée par les lignes directrices CNIL, l''article 25 TDDDG, la Guía AEPD) exige un consentement préalable pour lire ou écrire les cookies et le stockage local de Cartful. L''article 6 du RGPD exige une base légale propre au traitement des données personnelles ; compte tenu du profilage, les lignes directrices 03/2022 du CEPD sur les dark patterns et 8/2020 sur le ciblage recommandent un consentement explicite et granulaire. L''article 22 du RGPD peut être pertinent si les recommandations produisent des effets significatifs sans intervention humaine effective.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le script ne doit pas se charger et le widget ne doit pas s''afficher avant l''enregistrement d''un consentement positif par la plateforme de gestion du consentement. Le consentement doit être explicite, éclairé et granulaire, présenté avec la même mise en avant que le bouton d''acceptation, et aussi simple à refuser qu''à accepter. La base légale au titre de l''article 6 est le consentement (Art. 6(1)(a)). L''intérêt légitime résiste mal à la mise en balance, car le traitement implique un profilage persistant à des fins d''influence marketing et un transfert vers un pays sans décision d''adéquation pleine en l''absence de certification DPF de l''importateur.
Cartful Solutions Inc. est établie aux États Unis et héberge les données de production sur des régions AWS américaines. Les transferts depuis l''EEE s''appuient sur le EU US Data Privacy Framework lorsque Cartful ou ses sous traitants sont certifiés, sur les clauses contractuelles types (2021/914) à défaut, et sur une analyse de transfert couvrant la section 702 FISA et l''Executive Order 12333 conformément à l''arrêt Schrems II (CJUE C 311/18). Même avec couverture DPF, la CNIL, le BfDI et l''AEPD attendent du marchand qu''il documente les flux, les catégories transférées, la durée de conservation chez l''importateur et les mesures techniques supplémentaires (chiffrement, pseudonymisation, contrôles d''accès).
Signer le DPA Cartful et vérifier la certification DPF de l''entité importatrice. Réaliser une AIPD couvrant le profilage et le transfert US. Conditionner le widget Cartful à un consentement explicite dans le CMP (entrée vendor TCF v2.2 lorsque possible). Bloquer le script dans la balise head tant que l''état de consentement n''est pas lu. Désactiver les fonctions optionnelles (captation d''e-mail, rapprochement cross device) en cas de retrait. Documenter la conservation des profils et historiques, et demander la suppression via l''API admin Cartful. Mettre à jour la politique de confidentialité et la bannière cookies. Ajouter Cartful à la liste vendeurs et au registre des activités de traitement.
Les sites web utilisant Cartful doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD au sens de l'article 35 du RGPD est recommandée car Cartful réalise un profilage comportemental systématique des acheteurs en ligne, construit un profil de préférences inféré et l'utilise pour influencer les décisions d'achat, tout en transférant des données vers les États Unis. L'AIPD doit décrire les catégories de données (IP, parcours, événements de clic et de scroll, événements panier, réponses du chat, préférences déduites, e-mail si capté), les finalités (personnalisation, recommandations, analytique), la conservation de l'historique et du profil, la base légale (consentement), le mécanisme de transfert (DPF et/ou CCT), les mesures supplémentaires, le risque d'influence décisionnelle sur la personne, le mécanisme de recours et le droit de ne pas faire l'objet d'une décision uniquement automatisée le cas échéant.
Exemple de texte de consentement
Nous utilisons Cartful, un assistant de shopping IA exploité par Cartful Solutions Inc. aux États Unis, pour vous poser quelques questions et vous recommander des produits. Avec votre consentement, Cartful dépose des cookies persistants et un stockage local, enregistre vos réponses, vos clics et vos actions panier, construit un profil acheteur et le conserve sur des serveurs cloud aux États Unis. Le transfert vers les États Unis s'appuie sur le EU US Data Privacy Framework et les clauses contractuelles types européennes. Vous pouvez refuser ; la boutique reste pleinement utilisable sans recommandations personnalisées.
Domaines tiers contactes
cartful.comapp.cartful.comapi.cartful.comcdn.cartful.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| cartful_visitor | Persistent | 12 months | Persistent first party identifier that recognises the same shopper across sessions on the merchant site. Used to associate browsing events, chat answers and the inferred preference profile maintained by Cartful in the United States. |
| cartful_session | Session | Session | First party session cookie that groups page views, click events and chat interactions within a single Cartful conversation, used to deduplicate events and to serve the next recommendation step. |
| cartful_profile | Local Storage | Until cleared | Local storage entry holding the derived preference profile (style, size, occasion, brand affinity, budget) so the assistant can resume the conversation and pre rank product suggestions without a round trip on every page. |
| cartful_consent | Persistent | 6 months | Records the consent state read from the merchant CMP so the Cartful widget knows whether it is allowed to load, send events and persist the visitor identifier on subsequent visits. |
Cartful utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Cartful dépose des cookies propriétaires persistants et des entrées de stockage local pour identifier un acheteur entre sessions, retenir l'historique du chat et stocker le profil de préférences déduit. Il enregistre l'adresse IP, l'empreinte appareil et navigateur, l'URL, le referrer, les paramètres UTM, les événements de clic et de scroll, les produits consultés, le temps passé, les ajouts au panier et la commande, le catalogue marchand (identifiants produits, attributs, prix) et les réponses du visiteur à l'assistant. Avec les options actives, il peut aussi recevoir un identifiant client connecté ou un e-mail capté via un formulaire. Toutes les données sont envoyées aux API Cartful sur AWS US.
Oui. Cartful est un service non essentiel qui pose des cookies persistants et un stockage local à des fins d'analyse et de profilage : l'article 5(3) de la directive ePrivacy et ses transpositions exigent un consentement préalable, libre, spécifique et éclairé. Le traitement implique également un profilage systématique au sens de l'article 4(4) du RGPD, ce qui en fait un cas où, selon les lignes directrices 03/2022 du CEPD, le consentement doit être explicite et granulaire. Le widget ne doit donc pas se charger, et aucun événement ne doit partir vers les API Cartful, avant l'enregistrement d'un consentement positif par la plateforme de gestion du consentement. Le refus doit être aussi simple que l'acceptation.
Le consentement au sens de l'article 6(1)(a) du RGPD est la seule base légale réaliste pour Cartful sur un site européen. L'intérêt légitime est difficile à défendre car le traitement combine profilage persistant entre sessions, influence sur les décisions d'achat via les recommandations et transfert vers les États Unis. L'exécution du contrat ne convient pas, l'acheteur pouvant commander sans le recommandeur. Le consentement doit être couplé au consentement ePrivacy pour les cookies et le stockage local, doit être spécifique à la finalité (recommandations personnalisées), doit être éclairé (responsable, sous traitant, transfert, conservation) et doit être retirable à tout moment.
Oui. Cartful Solutions Inc. est établie aux États Unis et traite les événements sur l'infrastructure AWS US. Les transferts depuis l'EEE s'appuient sur le EU US Data Privacy Framework lorsque l'entité importatrice est certifiée, sur les clauses contractuelles types (2021/914) à défaut, et sur une analyse de transfert couvrant la section 702 FISA et l'Executive Order 12333 conformément à l'arrêt Schrems II. Le marchand doit vérifier le statut DPF de l'importateur, documenter les mesures supplémentaires (chiffrement en transit et au repos, identifiants pseudonymisés, contrôles d'accès, procédure d'accès gouvernemental) et actualiser l'analyse lors des changements de sous traitants.
Une AIPD au sens de l'article 35 du RGPD est recommandée et souvent obligatoire car Cartful réalise un profilage comportemental systématique et à grande échelle des acheteurs en ligne, construit un profil de préférences inféré, l'utilise pour influencer les décisions d'achat et transfère les données vers un pays tiers. L'AIPD doit décrire les catégories de données, la logique de profilage, la base légale, la conservation du profil et de l'historique, les mesures supplémentaires, le risque résiduel, le droit prévu à l'article 22 du RGPD lorsque les recommandations ont des effets significatifs, et les canaux d'exercice des droits d'accès, de rectification, d'effacement et d'opposition.
Signer le DPA Cartful, vérifier la certification DPF de l'entité importatrice, réaliser une AIPD profilage et transfert US, et configurer le CMP pour que le tag Cartful soit bloqué tant qu'un consentement positif n'est pas enregistré. Désactiver les fonctions optionnelles (captation d'e-mail, cross device, enrichissement utilisateur connecté) tant que le consentement n'est pas donné, et les désactiver à nouveau dès qu'il est retiré. Documenter la conservation des profils et historiques, et demander la suppression des profils inactifs via l'API admin Cartful. Mettre à jour la politique de confidentialité (base légale, mécanisme de transfert, conservation) et la bannière de cookies (cookies Cartful nommément).
Plusieurs outils de recommandation et d'assistant en ligne hébergés en UE peuvent être évalués : Nosto (régions UE), Algolia Recommend (résidence UE), Klevu, Crobox, Findologic, Recombee (serveurs UE), Dynamic Yield (option résidence UE), et des approches open source telles que Recommendations API sur stack auto hébergé. Pour les assistants conversationnels, HubSpot ChatSpot ou des instances Rasa ou Botpress auto hébergées en UE réduisent à la fois la friction consentement et le risque transfert. Le bon choix dépend de la taille du catalogue, de la latence, du gain de conversion, des conditions contractuelles (DPA, sous traitants, mécanismes de transfert) et du niveau de profilage que le CMP peut justifier.
Dans la bannière de cookies, lister nommément les cookies Cartful (cartful_session, cartful_visitor, cartful_profile) avec leur durée et leur catégorie, et les rattacher à la finalité Cartful dans le CMP. Dans la politique de confidentialité, désigner Cartful Solutions Inc. comme sous traitant (ou responsable conjoint selon le contrat), lister les catégories de données (IP, données appareil, événements comportementaux, réponses du chat, profil déduit, e-mail optionnel), indiquer le pays de destination (États Unis), citer le EU US Data Privacy Framework et les CCT, indiquer la durée de conservation et les canaux d'exercice des droits. Réauditer après chaque modification de configuration Cartful.