Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Spryker est une plateforme de commerce headless allemande pour le B2B, le B2C et les marketplaces, proposée en Cloud Commerce OS sur AWS ou en PaaS+, avec une architecture composable et un hébergement intégralement européen.
Spryker est une plateforme allemande de commerce headless et composable opérée par Spryker Systems GmbH (Berlin). Elle cible les marketplaces B2B, B2C et grand compte comme ALDI Sourcing, Toyota, Hilti, ZF Friedrichshafen et de nombreux retailers DACH. Elle est disponible en Spryker Cloud Commerce OS (PaaS AWS) ou auto hébergée. Spryker fournit une couche d''API (Spryker Glue REST et GraphQL) qui permet de construire n''importe quel frontend (Next.js, Nuxt, app mobile, voix) au dessus des capacités commerce.
Le storefront Yves par défaut dépose des cookies first party sur le domaine de l''éditeur: PHPSESSID (session navigateur), spryker_csrf (protection CSRF, 1 heure), spryker_cart (panier anonyme, 30 jours) et spryker_customer (flag client connecté, session). Ces cookies entrent dans la catégorie strictement nécessaires et sont exemptés de consentement au titre de l''article 5(3) ePrivacy et des lignes directrices CEPD 2/2023. Lorsque l''éditeur active des intégrations marketing (Google Tag Manager, Klaviyo, Adobe Experience Platform), des cookies tiers sont chargés par ces vendeurs et requièrent un consentement.
Le flux commercial repose sur l''exécution du contrat (art. 6 1 b RGPD), l''obligation légale de comptabilité et de douane (art. 6 1 c) et l''intérêt légitime pour la prévention de la fraude et la gestion des stocks. Les e mails de relance de panier abandonné et les recommandations personnalisées sont non essentiels et exigent un consentement ou, pour la clientèle existante, le soft opt in de l''article 13 2 ePrivacy. La SCA DSP2 s''applique aux paiements supérieurs à 30 EUR.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Spryker Cloud Commerce OS pour les clients UE tourne sur AWS Francfort et Dublin. Les données commerciales restent dans l''EEE. Le DPA Spryker est conforme au droit allemand et liste les sous traitants (AWS, Datadog, Sentry, entités support Spryker SaaS). Les clients en auto hébergement gardent un contrôle total sur la localisation. Les fonctions Spryker Composable AI utilisent Azure OpenAI Service en région européenne; l''éditeur doit accepter l''addendum IA complémentaire.
Signez le DPA Spryker et choisissez la région Cloud Commerce UE. Désactivez les fonctions analytiques requérant consentement (Customer Insights, Recommender) tant que le CMP ne les autorise pas. Documentez Spryker Systems GmbH dans le registre des traitements (art. 30 RGPD) et la politique de confidentialité. Implémentez les droits d''effacement et d''accès via la Customer API Spryker. Pour le B2C, paramétrez le droit de rétractation de 14 jours imposé par la directive consommateurs. Réalisez une AIPD si les fonctions Composable AI décident d''offres ou de prix pour les clients.
Les concurrents directs incluent commercetools (Allemagne), SAP Commerce Cloud (Allemagne et US), Salesforce Commerce Cloud (US), Adobe Commerce ex Magento (US, hébergement UE en option), Shopify Plus (Canada, hébergement UE en Irlande) et BigCommerce (US). Pour le B2B, Sana Commerce (Pays Bas) et OroCommerce (US et France) sont aussi pertinents.
Les sites web utilisant Spryker doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée pour les déploiements B2C à grande échelle : Spryker traite comptes, commandes et données comportementales. Documentez les balises de storefront séparément.
Exemple de texte de consentement
Ce site repose sur Spryker, une plateforme de commerce headless allemande opérée par Spryker Systems GmbH à Berlin. Le storefront Spryker dépose des cookies strictement nécessaires (id de session, id de panier, jeton CSRF) qui ne requièrent pas de consentement. Nous traitons votre nom, vos adresses de facturation et de livraison, l'historique des commandes et les métadonnées de paiement pour exécuter votre commande au titre de l'article 6 1 b RGPD et de l'obligation légale de tenir une comptabilité. Spryker Cloud Commerce OS héberge vos données sur AWS Francfort et Dublin; aucun transfert hors EEE n'intervient sauf si nous activons explicitement une intégration non UE.
Domaines tiers contactes
spryker.comspryker.comcloud.spryker.comspryker.cloudstatic.spryker.comglue.mysprykershop.comyves.mysprykershop.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| PHPSESSID | http_cookie | Session | Strictly necessary session cookie set by the Yves storefront to identify the visitor across requests and maintain the cart and login state. |
| yves_session | First party (Spryker) | Session | Maintains the customer session on the Yves storefront. |
| spryker_customer | http_cookie | 90 days | Persistent first party cookie that stores a customer reference for returning authenticated buyers so the storefront can restore preferences and personalised pricing. |
| PHPSESSID | First party (Spryker) | Session | Default PHP session cookie used by the Spryker storefront. |
| spryker_csrf | First party (Spryker) | Session | CSRF protection token used during form submissions. |
| csrf_token_* | http_cookie | Session | Strictly necessary CSRF token rotated per form submission to prevent cross site request forgery against checkout and account endpoints. |
| cart_reference | http_cookie | 30 days | Functional cookie that stores the cart reference so the basket can be restored when the buyer returns within the validity window. |
Spryker utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Le storefront Yves dépose en standard PHPSESSID pour la session, un cookie d'identifiant client pour les utilisateurs connectés, un jeton CSRF (csrf_token_*) et un cookie de référence panier. Ces cookies sont strictement nécessaires. Tous les autres proviennent de modules Spryker optionnels (tracking, recommandations) ou d'intégrations tierces activées par le marchand.
Les storefronts Spryker déposent des cookies techniques (yves_session, PHPSESSID, spryker_csrf) strictement nécessaires au panier et à la session. Les cookies analytics ou marketing tiers sont ajoutés par vous, pas par Spryker.
Non. Les cookies par défaut sont strictement nécessaires au sens de l'article 5(3) ePrivacy car ils maintiennent le panier, la connexion et la protection CSRF. Le consentement devient obligatoire dès que le marchand active le module Spryker Tracking, des moteurs de recommandation ou des intégrations tierces qui stockent des informations à des fins analytiques ou marketing.
Aucun consentement n'est requis pour les cookies strictement nécessaires du storefront. Le consentement est requis pour toute balise analytics, publicité ou personnalisation que vous ajoutez (Google Analytics, Meta Pixel, etc.).
La création de compte, le traitement des commandes, le paiement et la livraison reposent sur l'article 6(1)(b) RGPD (exécution du contrat). La conservation comptable et fiscale relève de l'article 6(1)(c) (obligation légale). La lutte anti fraude peut se fonder sur l'article 6(1)(f) (intérêt légitime). La personnalisation et le tracking marketing exigent le consentement (article 6(1)(a)).
Exécution du contrat (article 6.1.b RGPD) pour le storefront et les comptes. Intérêt légitime (article 6.1.f) pour la prévention de la fraude. Consentement (article 6.1.a) pour les balises storefront optionnelles.
Spryker Cloud Commerce OS, non. Tous les environnements tournent sur AWS Francfort, Dublin ou Stockholm et le support hors UE n'accède aux données que via des sessions bastion auditées. En revanche, les intégrations tierces choisies par le marchand (Salesforce, Algolia, Twilio) peuvent transférer des données aux États Unis et doivent être évaluées séparément.
Les clients Spryker Cloud en Europe sont par défaut sur AWS Francfort. Pas de transfert hors UE pour la plateforme. AWS, en tant que couche d'hébergement, est couvert par les CCT et le EU US Data Privacy Framework en tant que sous traitant.
Une AIPD est recommandée quand le déploiement combine marketplace (responsabilité conjointe avec les vendeurs, article 26), profilage à grande échelle (recommandations, segmentation), hiérarchies B2B mélangeant données personnelles et professionnelles, ou catégories particulières (santé, finance). Pour un storefront B2C standard sans tracking comportemental, l'AIPD n'est généralement pas requise.
Recommandée pour les déploiements B2C à grande échelle ou pour le B2B avec contacts personnels. Documentez Spryker comme sous traitant et listez séparément les balises du storefront.
Signez le DPA Spryker, consignez la région AWS dans le registre des traitements, conditionnez chaque module de tracking optionnel à votre CMP, intégrez Google Consent Mode v2 ou son équivalent dans le storefront Yves et les réponses Glue API, et exposez les endpoints RGPD self service (accès, rectification, effacement, portabilité) via la Customer Account API. Mettez à jour la notice à chaque nouveau module ou intégration.
Signez le DPA Spryker, hébergez en région UE, documentez la rétention, exposez les droits d'accès et de suppression dans l'espace client, intégrez une CMP pour les balises analytics/marketing du storefront, auditez régulièrement.
Commerce composable européen : commercetools (Allemagne), Salesforce Commerce Cloud (US), SAP Commerce Cloud (Allemagne/Bulgarie), VTEX (Brésil/US), BigCommerce (US), Shopify Plus (Canada). Open source : Sylius (France), Saleor (Pologne), OroCommerce.
Parmi les alternatives composables : commercetools (Allemagne), Vendure (Royaume Uni, open source), BigCommerce, Salesforce Commerce Cloud, SAP Commerce Cloud (Hybris), Shopware (Allemagne) et Adobe Commerce (Magento). commercetools et Shopware sont les concurrents européens les plus proches avec hébergement UE ; Salesforce, SAP et Adobe Commerce fonctionnent par défaut sur des infrastructures américaines sauf configuration explicite.
Rescannez le storefront avec votre CMP à chaque release car les nouveaux modules merchandising (recherche Algolia, images Cloudinary, avis clients) peuvent ajouter des cookies. Mettez à jour le registre cookie pour chaque nouveau module ou intégration (durée et destinataire), et synchronisez la notice quand Spryker ajoute un sous traitant ou une région AWS.
Listez les cookies storefront strictement nécessaires. Ajoutez une entrée pour chaque balise analytics, marketing ou personnalisation. Mentionnez l'hébergement UE et le DPA Spryker.