Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Kartris est une plateforme e-commerce ASP.NET open source développée par CACTUSOFT (Suisse) et auto hébergée par le marchand sur un serveur Microsoft IIS. Elle pilote la boutique, le catalogue, le panier et le compte client. En configuration de base Kartris pose uniquement des cookies strictement nécessaires (session, panier, authentification) ; l'obligation de consentement de l'article 5(3) ePrivacy ne concerne que les modules optionnels d'analyse ou de marketing ajoutés par le marchand. Les données personnelles restent sur l'infrastructure propre du marchand.
Kartris est une plateforme e-commerce ASP.NET open source maintenue par CACTUSOFT, éditeur suisse. Distribuée sous licence GPL, elle est livrée en code source que le marchand compile et déploie sur un serveur web Microsoft IIS avec une base de données Microsoft SQL Server. Kartris fournit boutique, catalogue, navigation par catégorie, panier, inscription client, paiement sécurisé, gestion des commandes et back office. La plateforme est largement utilisée par les petites et moyennes enseignes au Royaume Uni et en Europe continentale qui privilégient une stack .NET auto hébergée.
Comme Kartris est auto hébergé, le marchand est responsable de traitement pour tout ce qui se passe sur le serveur. CACTUSOFT n''est pas sous traitant des données client du marchand, sauf si le marchand souscrit un support ou un hébergement payant chez eux.
En configuration par défaut Kartris pose uniquement des cookies propriétaires strictement nécessaires : un cookie de session ASP.NET (ASP.NET_SessionId), un cookie d''authentification compte client (typiquement .ASPXAUTH ou ticket forms authentication), un jeton anti CSRF, un cookie de culture ou langue et un identifiant panier pour les visiteurs non connectés. Ces cookies ne pistent pas le comportement, sont cantonnés au domaine du marchand et n''existent que pour faire fonctionner l''expérience d''achat demandée.
Côté base de données, Kartris stocke commandes, comptes clients, adresses, opt in newsletter optionnel et références de paiement. Les données de carte ne sont en principe pas stockées par Kartris : la plateforme s''intègre à des passerelles PCI conformes (SagePay, Stripe, Worldpay, Authorize.Net) qui reçoivent les données carte directement depuis le navigateur via des champs hébergés tokenisés.
Les cookies strictement nécessaires sont exemptés de consentement préalable au titre de l''article 5(3) de la directive ePrivacy, comme l''ont reconnu la CNIL, le BfDI, l''AEPD et l''Avis 4/2012 du G29. Les cookies de session, de panier et d''authentification de Kartris relèvent clairement de cette exemption. Le traitement des commandes, la gestion de compte et la prévention de la fraude reposent sur l''article 6(1)(b) du RGPD (contrat) et l''article 6(1)(f) du RGPD (intérêt légitime à détecter la fraude). Les e-mails marketing et l''analyse comportementale ajoutés à la plateforme ne relèvent pas de cette exemption et exigent un consentement propre.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La plupart des marchands enrichissent Kartris de tags tiers : Google Analytics, Meta Pixel, Hotjar, Microsoft Clarity, outils de relance panier, moteurs de recommandation ou widgets de chat. Chacun de ces ajouts est non essentiel et déclenche le consentement de l''article 5(3) ePrivacy ainsi qu''un examen au titre de l''article 6 du RGPD. Le marchand doit intégrer une plateforme de gestion du consentement, bloquer tous les tags optionnels jusqu''à l''opt in, et garantir un refus aussi simple que l''acceptation selon les lignes directrices 03/2022 du CEPD. La couche Kartris elle même continue de fonctionner sans aucun de ces tags.
Kartris étant auto hébergé, la localisation des données est exactement celle du serveur IIS choisi par le marchand, à laquelle s''ajoute la localisation de la passerelle de paiement et de toute intégration optionnelle. Un marchand EEE qui héberge sur des infrastructures européennes (OVH, Hetzner, Scaleway, Azure West Europe, IONOS) maintient les données de production dans l''EEE. Si le marchand utilise une passerelle US ou un analyseur US, ces flux spécifiques posent des questions Schrems II pour le prestataire concerné, pas pour Kartris. La résidence suisse de CACTUSOFT ne pose pas de difficulté car la Suisse bénéficie d''une décision d''adéquation de la Commission européenne.
Inscrire la plateforme au registre des activités de traitement. Chiffrer la base SQL Server au repos et les connexions client en transit (TLS 1.2 ou 1.3). Restreindre les accès admin par IP et exiger la MFA. Configurer une politique de conservation des commandes, adresses et comptes alignée sur le droit fiscal et de la consommation national. Maintenir Kartris et IIS à jour, suivre les avis de sécurité du projet et sauvegarder la base avec des restaurations testées. Intégrer un CMP dès qu''un module analytique, publicitaire, de recommandation ou de chat est ajouté. Mettre à jour la politique de confidentialité avec le responsable de traitement, les bases légales, les durées de conservation, le mécanisme d''exercice des droits et la liste des intégrations tierces.
Les sites web utilisant Kartris doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD formelle au sens de l'article 35 du RGPD n'est en principe pas requise pour une installation Kartris standard, car la plateforme ne traite que les données client nécessaires à l'exécution de la commande sur le serveur du marchand. Une AIPD devient pertinente lorsque le marchand ajoute profilage, programme de fidélité à grande échelle, analyse comportementale, automation marketing ou prestataires de paiement en pays tiers, ou lorsque le catalogue inclut des biens à catégorie particulière. L'AIPD doit décrire les catégories de données client, la conservation dans la base SQL Server, les contrôles d'accès sur l'hôte IIS, le chiffrement au repos et en transit, les processus de sauvegarde et de détection d'incident, et les modules tiers activés.
Exemple de texte de consentement
Cette boutique fonctionne avec Kartris, une plateforme e-commerce open source que nous hébergeons sur notre propre serveur. Pour faire fonctionner le panier, le compte client et le paiement sécurisé, Kartris dépose des cookies strictement nécessaires qui ne requièrent pas votre consentement. Aucun cookie d'analyse ou de marketing n'est posé par défaut. Si vous acceptez les cookies optionnels, nous pourrons activer des modules d'analyse ou de marketing ; vous pouvez les refuser à tout moment sans affecter votre capacité à naviguer, à vous inscrire ou à commander.
Domaines tiers contactes
kartris.comforum.kartris.comgithub.com/Kartriscactusoft.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ASP.NET_SessionId | Session | Session | Strictly necessary first party session cookie set by Microsoft IIS to maintain server side session state for the Kartris storefront, including the contents of an unauthenticated basket. |
| .ASPXAUTH | Persistent | Until logout or expiry | Strictly necessary first party authentication ticket issued by ASP.NET Forms Authentication after the customer signs into the Kartris account. Used to keep the customer signed in across pages. |
| KartrisBasketID | Persistent | 30 days | Strictly necessary first party identifier that allows Kartris to associate basket contents and order in progress to the same visitor across pages and short return visits before checkout. |
| KartrisCulture | Persistent | 1 year | Strictly necessary preference cookie that remembers the language and currency selected by the visitor so the Kartris storefront displays the right localisation on the next visit. |
| __RequestVerificationToken | Session | Session | Strictly necessary anti CSRF token issued by ASP.NET to protect Kartris forms (checkout, account, admin) against cross site request forgery attacks. |
Kartris utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
En installation standard, Kartris pose uniquement des cookies propriétaires strictement nécessaires : un cookie de session ASP.NET (ASP.NET_SessionId), un cookie d'authentification lorsque le client se connecte (typiquement .ASPXAUTH), un jeton anti CSRF, un cookie de culture ou langue, et un identifiant panier pour les invités. La base SQL Server stocke commandes, comptes clients, adresses de facturation et livraison, opt in newsletter optionnel et références de paiement. Les numéros de carte ne sont en principe pas stockés dans Kartris : la plateforme délègue la saisie à des passerelles PCI conformes (SagePay, Stripe, Worldpay, Authorize.Net) via des champs hébergés tokenisés. Aucune analyse comportementale ou donnée marketing n'est collectée tant que le marchand n'ajoute pas un module tiers.
Non, pas pour la plateforme cœur. Les cookies déposés par Kartris en standard sont strictement nécessaires à la fourniture du service demandé par le visiteur (parcourir la boutique, ajouter au panier, se connecter, commander), donc ils relèvent de l'exemption de l'article 5(3) de la directive ePrivacy. La CNIL, le BfDI et l'AEPD reconnaissent cette exemption pour les cookies de session, de panier et d'authentification. Le consentement n'est requis que pour les modules optionnels que le marchand choisit d'installer en plus, par exemple un tag d'analyse web, un pixel publicitaire, un widget de chat ou un moteur de recommandation. Ces modules doivent rester bloqués tant que l'utilisateur n'a pas donné son opt in.
Le traitement Kartris cœur se répartit sur deux bases légales. Le traitement des commandes, la gestion de compte et les cookies associés reposent sur l'exécution du contrat de l'article 6(1)(b) du RGPD, car la commande ne peut aboutir sans persistance du panier, authentification et stockage des données de livraison. La détection de fraude, la prévention d'abus, les logs serveur et la collecte d'événements de sécurité reposent sur l'intérêt légitime de l'article 6(1)(f) du RGPD. Les e-mails marketing envoyés via la fonctionnalité newsletter intégrée à Kartris exigent le consentement de l'article 6(1)(a) du RGPD ainsi que la conformité à la directive ePrivacy nationale. L'analytique et la publicité optionnelles ajoutées au dessus de Kartris exigent également un consentement.
Pas en lui même. Kartris est un logiciel open source que le marchand compile et exécute sur son propre serveur Microsoft IIS. Les flux de données partent vers l'hébergeur, la passerelle de paiement et le service e-mail que le marchand a choisis. CACTUSOFT, éditeur basé en Suisse, ne reçoit pas de données client sauf si le marchand souscrit un support ou un hébergement payant. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, donc un transfert vers une équipe de support suisse ne constituerait de toute façon pas un transfert vers un pays tiers requérant des CCT. Si le marchand connecte Kartris à un analyseur ou un service e-mail américain, ces flux spécifiques posent des questions Schrems II pour ces prestataires, pas pour Kartris.
Pour une boutique Kartris standard avec cookies strictement nécessaires, hébergement UE et passerelles de paiement classiques, une AIPD formelle au sens de l'article 35 du RGPD n'est en général pas requise. Le traitement est contractuel, limité et soutenu par une base légale claire. L'AIPD devient pertinente lorsque le marchand ajoute du profilage, des programmes de fidélité à grande échelle, de l'analyse comportementale, de l'automation marketing, des prestataires de paiement en pays tiers, ou lorsque le catalogue contient des produits permettant des inférences potentiellement sensibles (santé, opinion politique, origine ethnique). L'AIPD doit décrire les catégories de données, la conservation, la sécurité de la base, les contrôles d'accès et les modules tiers ajoutés.
Inscrire Kartris au registre des activités de traitement. Chiffrer la base SQL Server au repos et le trafic client en transit (TLS 1.2 ou 1.3). Restreindre l'accès admin par liste IP autorisée et exiger une authentification multifacteur sur le back office. Définir une politique de conservation des commandes, adresses et comptes alignée sur le droit fiscal et de la consommation national. Patcher Kartris et IIS régulièrement et suivre les avis de sécurité du projet. Sauvegarder la base et tester la restauration. À l'ajout de tout module d'analyse, de publicité ou de chat, intégrer un CMP qui bloque ces tags jusqu'au consentement et mettre à jour la politique de confidentialité et la bannière de cookies en conséquence.
Pour les marchands qui ne souhaitent pas maintenir une stack Microsoft IIS, les alternatives e-commerce favorables à l'EEE incluent WooCommerce sur hébergement européen géré, PrestaShop (open source français), Magento Adobe Commerce (avec l'option de résidence de données UE), Shopware (allemand), Sylius (français), OpenCart, Drupal Commerce et Saleor. Les plateformes SaaS comme Shopify, BigCommerce ou Wix s'exécutent majoritairement sur infrastructure américaine et exigent une analyse Schrems II. Le bon choix dépend de la stack technique interne, de la taille du catalogue, de l'écosystème d'intégrations et de la capacité du marchand à héberger lui même ou à externaliser.
Dans la politique de confidentialité, identifier votre société comme responsable de traitement, indiquer que la boutique fonctionne sur Kartris (logiciel open source édité par CACTUSOFT) auto hébergé sur votre infrastructure, lister les catégories de données client (identité, contact, livraison, commande, référence de paiement), indiquer les bases légales (contrat, intérêt légitime, consentement pour le marketing), la durée de conservation, le mécanisme d'exercice des droits et le contact protection des données. Dans la bannière de cookies, lister chaque cookie Kartris nommément (ASP.NET_SessionId, .ASPXAUTH, identifiant panier, anti CSRF, culture) marqué comme strictement nécessaire, et lister séparément tout cookie optionnel posé par des modules tiers avec sa finalité, sa durée et son état de consentement.