Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Yotpo Reviews est l'une des plus grandes plateformes mondiales d'avis clients et de contenu généré par les utilisateurs, utilisée par les marques e-commerce pour collecter, modérer et afficher avis produits, notes, photos et vidéos. Elle charge un widget JavaScript sur les pages boutique, dépose des cookies persistants et transmet des données personnelles et comportementales (adresses email, IP, empreinte navigateur, soumissions d'avis) vers les serveurs de Yotpo hébergés aux États-Unis. L'utilisation sur une boutique européenne nécessite un consentement préalable au titre du RGPD et de la directive ePrivacy.
Yotpo Reviews est une plateforme de contenu généré par les utilisateurs qui permet aux marchands e-commerce de collecter avis produits, notes, photos et vidéos directement auprès des acheteurs. Elle s''intègre à Shopify, Magento, Salesforce Commerce Cloud, BigCommerce et la plupart des grandes plateformes de commerce, et est largement utilisée en Europe par les marques en vente directe. Yotpo envoie des emails automatiques après l''achat pour solliciter un avis, puis affiche ce contenu sur les fiches produit, les résultats de recherche, les publicités et les réseaux sociaux.
Sur chaque page où le widget se charge, Yotpo dépose un cookie de session (_yo_session), un cookie pixel de suivi (yotpo_pixel) et stocke l''état des avis en localStorage. Il enregistre l''adresse IP, le User-Agent, l''URL de la page, le referrer, les identifiants produit et les métriques de temps passé sur la page. Quand un client soumet un avis, Yotpo collecte son nom, son email, les photos ou vidéos téléchargées et le texte de l''avis. Les adresses email sont aussi importées depuis les données de commande du marchand via une intégration serveur à serveur, ce qui est traité indépendamment du consentement cookies.
Yotpo est sous-traitant pour les données d''avis collectées au nom du marchand, et responsable indépendant pour l''analytique d''usage et l''amélioration produit. Au titre de la directive ePrivacy (transposée en droit national par les lignes directrices CNIL en France, le TTDSG en Allemagne et la LSSI en Espagne), le dépôt de cookies non essentiels sur l''appareil d''un visiteur exige un consentement préalable et éclairé. Comme le widget Yotpo dépose des cookies d''analytique et de pixel, le consentement est requis avant le chargement du script. Les demandes d''avis serveur reposent sur l''intérêt légitime au titre de l''art. 6(1)(f) RGPD mais exigent transparence dans la notice de confidentialité et un lien de désinscription inconditionnel dans chaque email.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Toutes les données d''avis, les adresses email et les événements comportementaux sont traités sur l''infrastructure américaine de Yotpo (Yotpo Ltd., filiale de Yotpo Inc., avec hébergement AWS dans les régions US East). Cela constitue un transfert relevant du Chapitre V RGPD. Yotpo propose un Accord de Sous-traitance intégrant les Clauses Contractuelles Types de 2021, mais les clients doivent réaliser indépendamment une analyse d''impact des transferts pour évaluer le risque d''accès par les autorités américaines au titre de la FISA 702 et de l''Executive Order 12333. Des mesures supplémentaires comme la pseudonymisation des emails des rédacteurs d''avis sont recommandées pour les catégories de produits sensibles.
Le widget Yotpo doit être conditionné à un choix granulaire dans votre CMP, généralement dans la catégorie marketing ou analytique. Yotpo fournit une API JavaScript (yotpo.refreshWidgets()) qui permet de charger les avis uniquement après que le visiteur a accepté la catégorie pertinente. Pour les déploiements Google Consent Mode v2, les événements Yotpo doivent être liés aux signaux ad_storage et analytics_storage. La collecte d''email pour les demandes d''avis doit être divulguée au checkout, avec une case à cocher de désinscription ou un centre clair de préférences post-achat.
1. Signer l''avenant de protection des données Yotpo avec les CCT et réaliser une analyse d''impact des transferts. 2. Bloquer le script Yotpo dans votre CMP et le charger conditionnellement au consentement. 3. Documenter la base légale des emails de demande d''avis dans votre registre des activités de traitement (art. 30 RGPD). 4. Inclure Yotpo dans votre notice de confidentialité avec mention explicite du transfert vers les États-Unis. 5. Configurer le formulaire de soumission d''avis pour demander le minimum de données nécessaires, sans cases pré-cochées pour les communications marketing. 6. Mettre en place un workflow de demande d''exercice de droits pour la suppression d''avis, car Yotpo conserve par défaut le contenu d''avis indéfiniment.
Les sites web utilisant Yotpo Reviews doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Yotpo Reviews traite un volume significatif de données personnelles : adresses email des clients (utilisées pour déclencher les demandes d'avis post-achat), noms complets, contenu et photos des avis, adresses IP, empreinte du navigateur et données comportementales (temps passé sur la page, interactions produit). Des cookies persistants (_yo_session, yotpo_pixel) permettent un suivi inter-sessions. Toutes les données sont transférées vers l'infrastructure américaine de Yotpo et les régions AWS US, ce qui déclenche l'application du Chapitre V du RGPD. Points clés pour l'AIPD : (1) transfert transfrontalier vers une juridiction non adéquate, atténué par les CCT et une analyse d'impact des transferts ; (2) traitement de contenu généré par les utilisateurs pouvant inclure des données sensibles (santé, religion) divulguées par les rédacteurs ; (3) identification par email reliant l'activité d'avis aux comptes clients ; (4) risque d'usage secondaire pour l'analyse produit et l'entraînement d'IA sans base légale séparée ; (5) intégration avec les pixels Meta, Google et TikTok pour la syndication des avis qui augmente la surface d'attaque. Une AIPD est recommandée au titre de l'art. 35 RGPD pour tout déploiement traitant plus de quelques milliers de clients par an.
Exemple de texte de consentement
Nous utilisons Yotpo pour collecter, afficher et modérer les avis produits et les photos clients. Yotpo dépose des cookies sur votre appareil et traite des données personnelles (adresse email, adresse IP, activité de navigation et avis soumis) pour permettre la collecte et l'affichage des avis. Ces données sont transférées vers Yotpo Ltd. aux États-Unis. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
staticw2.yotpo.comapi.yotpo.comp.yotpo.comcdn-loyalty.yotpo.comcdn-widgetsrepository.yotpo.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _yo_session | Functional / Analytics | Session | Maintains Yotpo widget state and tracks the visitor across the current browsing session for review attribution and impression counting. |
| yotpo_pixel | Marketing / Tracking | 1 year | Persistent identifier used to attribute reviews and ad-clicks across Yotpo's syndication network (Meta, Google Shopping, TikTok) and to deduplicate impressions. |
| _yo_csrf | Strictly necessary | Session | CSRF protection token used when submitting reviews and uploading media. Required for the review submission form to function securely. |
| yotpo-session-<APP_KEY> | Functional | 30 days | Stores anonymous user identifier used to remember which reviews the visitor has already seen, voted on, or written. |
Yotpo Reviews utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Yotpo dépose au minimum un cookie de session (_yo_session) et un cookie de pixel de suivi (yotpo_pixel) sur chaque page où le widget se charge. Il écrit aussi les brouillons d'avis et l'état du widget dans localStorage. Les données du pixel sont partagées avec les partenaires de syndication de Yotpo (Meta, Google Shopping, TikTok) si ces intégrations sont activées. Aucun de ces cookies n'est strictement nécessaire, ils exigent donc tous un consentement préalable au titre de la directive ePrivacy.
Oui. Le widget Yotpo dépose des cookies non essentiels et un pixel de suivi dès son chargement, donc selon l'article 5(3) de la directive ePrivacy et les lignes directrices Cookies de l'EDPB, vous devez obtenir un consentement préalable, libre, spécifique et éclairé. Le script doit être bloqué par votre CMP et injecté uniquement après que le visiteur a accepté la catégorie marketing ou analytique.
La base légale dépend de l'activité. Le dépôt de cookies repose sur le consentement (art. 6(1)(a) RGPD et art. 5(3) ePrivacy). L'envoi d'emails post-achat de demande d'avis à des clients existants peut reposer sur l'intérêt légitime (art. 6(1)(f) RGPD), à condition d'inclure une option de désinscription et de respecter les règles du soft opt-in du droit national. L'affichage des avis soumis sur la boutique repose sur le consentement du rédacteur donné lors de la soumission et sur l'intérêt légitime du marchand à publier du contenu utilisateur.
Oui. Yotpo Ltd. et Yotpo Inc. hébergent toutes les données clients aux États-Unis, sur les régions AWS US East. Le transfert est encadré par les Clauses Contractuelles Types de 2021 incluses dans l'avenant de protection des données de Yotpo. Vous devez réaliser une analyse d'impact des transferts, car le droit américain (FISA 702, EO 12333) peut en principe contraindre à divulguer des données aux services de renseignement. Des mesures supplémentaires comme le chiffrement en transit et au repos sont déjà mises en place par Yotpo, mais une pseudonymisation additionnelle peut être nécessaire pour des verticales produit sensibles.
Une AIPD est recommandée dès que vous collectez des avis et des emails de plus de quelques milliers de clients de l'UE par an, car le traitement implique un suivi systématique du comportement client, un déclenchement automatique de contact email et un transfert transfrontalier vers une juridiction non adéquate. La liste de l'EDPB des activités de traitement susceptibles de nécessiter une AIPD inclut le traitement à grande échelle combiné à des transferts transfrontaliers, ce qui correspond ici.
Signez l'avenant de protection des données Yotpo avec CCT, réalisez une analyse d'impact des transferts, bloquez le widget dans votre CMP, chargez-le uniquement après consentement pour la catégorie pertinente, documentez la mise en balance de l'intérêt légitime pour les emails de demande d'avis, liez les événements Yotpo aux signaux Google Consent Mode si applicable, et mettez à jour votre notice de confidentialité pour divulguer le transfert vers les États-Unis et les catégories de données traitées.
Les alternatives européennes ou hébergées dans l'UE incluent Trustpilot (avec options de résidence des données en UE), Loox (réservé à Shopify, serveurs UE), Reviews.io (basé au Royaume-Uni avec options UE), Avis Vérifiés (France, certifié NF Service) et Trusted Shops (Allemagne). Toutes nécessitent un consentement pour les cookies non essentiels, mais réduisent le risque de transfert transfrontalier et offrent une documentation RGPD plus simple.
Ajoutez une entrée dédiée dans votre politique cookies listant _yo_session, yotpo_pixel et les éventuels cookies de syndication (par exemple Meta Pixel via Yotpo). Documentez la finalité, la durée et la catégorie de chaque cookie. Dans votre notice de confidentialité, ajoutez une section qui divulgue Yotpo Ltd. comme sous-traitant, les catégories de données personnelles partagées (email, nom, contenu d'avis, IP, données de navigation), le transfert vers les États-Unis et la base légale (consentement pour les cookies marketing, intérêt légitime pour les emails de demande d'avis).