Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Gumstack

Que fait Gumstack ?

Gumstack est une application Shopify américaine qui intègre un widget de live video shopping sur les pages produit. Fondée en 2020 à Beaverton, dans l'Oregon, elle permet aux marchands d'organiser des appels vidéo individuels et des lives collectifs pour booster les conversions. Le widget dépose des cookies internes de session, de consentement et d'analytique, et achemine les interactions vers les serveurs Gumstack aux États-Unis. Intégrer Gumstack sur un site européen constitue donc un transfert hors UE encadré par le DPF ou par les clauses contractuelles types et exige un consentement éclairé pour les cookies non essentiels.

Présentation de Gumstack et fonctionnement du widget

Gumstack est une application Shopify qui apporte le live video shopping sur les boutiques marchandes. La société a été fondée en 2020 à Beaverton, dans l''Oregon, et propose aussi bien des appels vidéo en tête à tête que des diffusions en direct destinées à un public plus large pour les lancements de produits et les événements d''influenceurs. Les marchands installent l''application depuis le Shopify App Store, configurent les plages de disponibilité et intègrent un bouton ou une fenêtre modale sur leurs fiches produits. À chaque clic, le widget initialise une session WebRTC qui relie l''acheteur à l''équipe marchande, puis enregistre l''interaction pour l''analytique et le suivi.

Données et cookies du widget

Le widget Gumstack dépose des cookies internes fonctionnels pour la session du visiteur, un identifiant qui permet de retrouver un appel en cours, un cookie d''enregistrement du consentement et des cookies analytiques optionnels qui mesurent la durée des sessions et la conversion. Pendant un appel en direct, le service traite le flux audio vidéo WebRTC, les messages éventuels du chat, l''adresse IP, le User-Agent, l''URL referer et un identifiant de visiteur qui relie la conversation au CRM marchand. Le compte hébergé chez Gumstack contient en outre les profils d''agents, la planification et les tableaux de bord agrégés.

Cadre RGPD et ePrivacy

Le marchand Shopify est responsable de traitement des données collectées via Gumstack sur sa boutique. Shopify intervient comme sous-traitant pour le socle plateforme et Gumstack comme sous-traitant (ou sous-traitant ultérieur selon la chaîne contractuelle) pour la fonctionnalité de live shopping. Les cookies strictement nécessaires à la prestation expressément demandée par le visiteur relèvent de l''exemption de l''article 5.3 ePrivacy. Les cookies analytiques, de suivi de conversion ou de replay exigent un consentement préalable et éclairé, recueilli via un bandeau conforme avant le chargement du script Gumstack.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts vers les États-Unis

Gumstack héberge son environnement de production aux États-Unis et achemine les sessions WebRTC par des serveurs TURN américains lorsque des relais sont nécessaires. Chaque appel en direct entraîne donc un transfert de données personnelles vers un pays tiers. Les marchands européens doivent s''appuyer sur la décision d''adéquatité Data Privacy Framework UE États-Unis lorsque Gumstack Inc. est certifié, avec les clauses contractuelles types nouveau modèle en filet contractuel et des mesures supplémentaires (chiffrement TLS, cloisonnement des tenants, durée de conservation des enregistrements maîtrisée) décrites dans le DPA.

Consentement et AIPD

Le live shopping est plus intrusif qu''un bandeau cookies classique car il implique un flux audio et vidéo en temps réel. Une AIPD est recommandée dès que le marchand active l''enregistrement, la transcription ou l''analyse par IA des appels, lorsque le public inclut des mineurs ou lorsque le catalogue couvre des secteurs sensibles. Le bandeau doit distinguer les cookies strictement nécessaires (session) des cookies optionnels (analytique, attribution, replay) et renvoyer à une politique de confidentialité claire mentionnant le transfert vers les États-Unis.

Mise en conformité pratique et alternatives

Signez le DPA Gumstack, vérifiez la certification DPF sur dataprivacyframework.gov, configurez le bandeau pour conditionner les cookies Gumstack non essentiels, limitez la conservation des enregistrements à un minimum justifié et fournissez une information claire dans l''application avant le début de l''appel. Parmi les alternatives européennes figurent Bambuser (Suède), Livescale (Canada avec régions UE) et Phygital Plus (France), qui offrent des fonctionnalités comparables avec un hébergement localisé et une couverture contractuelle adaptée au marché européen.

Categorie de consentement RGPD

Preferences

Les sites web utilisant Gumstack doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance (Article 6(1)(b) GDPR) for the live video shopping service itself when ordered by the merchant. Consent (Article 6(1)(a) plus Article 5(3) ePrivacy) on the storefront for any non essential Gumstack cookie (analytics, conversion tracking, replay). Functional cookies needed to deliver the video session requested by the visitor fall under the strictly necessary exemption.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, EU US Data Privacy Framework, Schrems II case law (CJEU C-311/18), California Consumer Privacy Act (CCPA/CPRA), Shopify Partner Program Agreement

Considerations AIPD

Une AIPD est recommandée pour les marchands qui intègrent Gumstack, car le service combine flux vidéo, analytique comportementale et suivi de conversion sur des clients européens. L'analyse doit couvrir les catégories de données échangées (IP, identifiants, flux audio vidéo, chat, intention d'achat), la conservation des enregistrements, les risques d'hébergement aux États-Unis sous Schrems II, le rôle de Shopify et de Gumstack comme sous-traitants, les mesures complémentaires et les droits des personnes, en particulier le droit d'opposition et le droit à l'effacement des enregistrements.

Exemple de texte de consentement

Cette boutique utilise Gumstack, une application de live video shopping opérée depuis les États-Unis, pour proposer des sessions vidéo en direct avec notre équipe. Des cookies strictement nécessaires permettent à la session vidéo de fonctionner. Avec votre consentement, des cookies Gumstack supplémentaires mesurent les statistiques de session et l'attribution. En acceptant, vous autorisez le transfert de votre adresse IP, de votre User-Agent et de vos données d'interaction à Gumstack Inc., dans le cadre du Data Privacy Framework UE États-Unis ou des clauses contractuelles types.

Details techniques

Methode de suiviJavaScript widget embedded on Shopify storefront pages that initialises a live video shopping session. Sets first-party functional cookies for session, consent record and basic analytics. Relies on WebRTC for the audio video stream and on HTTPS API calls to Gumstack backend for scheduling, recording and conversion tracking.

Localisation des serveursUnited States. Gumstack is operated by Gumstack Inc. from Beaverton, Oregon, with production infrastructure hosted on US cloud regions (primarily Amazon Web Services).

Donnees transferees hors UECustomer interactions with the widget, including IP address, User-Agent, viewer identifier, chat content and any video stream metadata, are routed to Gumstack servers in the United States. Gumstack relies on the EU US Data Privacy Framework certification when listed, with the new Standard Contractual Clauses (Module 3 processor to processor when chained through Shopify, or Module 2 controller to processor for direct merchant contracts) as fallback. Supplementary measures include TLS in transit, encryption at rest and segregated tenant data.

Domaines tiers contactes

gumstack.comapp.gumstack.comapi.gumstack.comcdn.gumstack.comlive.gumstack.com

Cookies deposes

Nom	Type	Duree	Finalite
gumstack_session	first_party	Session	Identifies the live video shopping session and links the visitor to the active WebRTC connection. Strictly necessary functional cookie.
gumstack_viewer_id	first_party	12 months	Persistent viewer identifier used to resume an interrupted call and to display the visitor history to the agent.
gumstack_consent	first_party	12 months	Stores the cookie consent choice made by the visitor for the Gumstack widget, including analytics opt in or opt out.
gumstack_analytics	first_party	13 months	Aggregated session analytics (duration, drop off, conversion). Loaded only after the visitor accepts analytics cookies.
gumstack_attribution	first_party	90 days	Conversion attribution token that links a purchase back to a Gumstack live session. Marketing category, requires consent.

Gumstack utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Gumstack dépose-t-il sur une boutique Shopify ?

Gumstack dépose des cookies internes fonctionnels pour la session vidéo, un identifiant visiteur persistant, l'enregistrement du consentement et des cookies analytiques et d'attribution optionnels. Les cookies strictement nécessaires sont chargés dès l'ouverture du widget. Les cookies analytiques et d'attribution ne doivent se charger qu'après acceptation par le visiteur dans le bandeau de consentement.

Faut-il un consentement avant de charger Gumstack sur ma boutique ?

Oui pour tout cookie ou traitement non essentiel (analytique, attribution, replay, analyse par IA). Le cookie strictement nécessaire à la session vidéo demandée par le visiteur relève de l'exemption de l'article 5.3 ePrivacy, mais le visiteur doit être informé avant le démarrage de l'appel que la session est opérée depuis les États-Unis.

Quelle base légale pour traiter des données via Gumstack ?

La relation entre le marchand et Gumstack repose sur l'exécution du contrat au sens de l'article 6.1.b RGPD, formalisée par l'abonnement à l'application et par le DPA. Sur la boutique, les cookies strictement nécessaires s'appuient sur la même logique, tandis que les cookies analytiques, d'attribution et de replay exigent un consentement au titre de l'article 6.1.a et de l'article 5.3 ePrivacy. L'enregistrement des appels exige en outre une information explicite et une finalité documentée.

Gumstack transfère-t-il des données hors UE ?

Oui. Gumstack Inc. est basée à Beaverton, dans l'Oregon, et exploite son infrastructure sur des régions cloud américaines. Les sessions WebRTC, les identifiants, les enregistrements et les données analytiques atteignent donc les États-Unis. Le transfert s'appuie sur le Data Privacy Framework UE États-Unis lorsque Gumstack y est certifié, ou sur les nouvelles clauses contractuelles types combinées à des mesures techniques supplémentaires.

Une AIPD est-elle nécessaire pour Gumstack ?

Oui dès que le marchand active l'enregistrement, la transcription, l'analyse par IA ou l'attribution marketing, lorsque l'audience comprend des mineurs ou lorsque le catalogue concerne des secteurs sensibles. L'AIPD couvre les catégories de données (audio, vidéo, chat, identifiants), la conservation, les risques de transfert vers les États-Unis, le rôle de Shopify et de Gumstack et le risque résiduel après mesures techniques et contractuelles.

Comment déployer Gumstack de manière conforme ?

Signez le DPA Gumstack, configurez le bandeau Shopify ou une CMP tierce pour conditionner les cookies Gumstack non essentiels, personnalisez le message pré-appel avec la mention de l'hébergement aux États-Unis, limitez la durée de conservation des enregistrements au strict nécessaire, formez les agents aux droits des personnes et ajoutez Gumstack à votre registre des activités de traitement et à votre liste de sous-traitants.

Quelles alternatives à Gumstack pour le live shopping ?

Parmi les alternatives européennes figurent Bambuser (Suède), Phygital Plus (France) et Caast.tv (France), qui proposent toutes du live et du one to one vidéo avec options d'hébergement dans l'UE. Livescale (Canada avec régions UE) et Vimeo Studio méritent également d'être étudiés. Le choix dépend de la compatibilité Shopify, des fonctions d'enregistrement, de la qualité du replay et du cadre contractuel proposé.

Comment mettre à jour ma politique cookies avec Gumstack ?

Ajoutez une section dédiée listant chaque cookie Gumstack (nom, finalité, durée, catégorie), mentionnez Gumstack Inc. comme sous-traitant, l'hébergement aux États-Unis et le mécanisme de transfert (DPF ou clauses contractuelles types). Indiquez tout enregistrement des appels, sa durée de conservation et la base légale retenue. Mettez la mention à jour à chaque changement de paramétrage analytique ou d'attribution, à l'activation de l'analyse par IA ou lorsque le statut DPF de Gumstack évolue.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min