Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Flocktory est une plateforme russe de personnalisation, pop ups, parrainage et marketing post achat, détenue par Sber. Elle suit les visiteurs des sites ecommerce et déclenche des campagnes comportementales. Le consentement est requis et l'usage de cet outil est à risque élevé pour les opérateurs européens car les données sont traitées en Fédération de Russie, pays non adéquat au sens du RGPD.
Flocktory est une plateforme de marketing on site, de personnalisation et de parrainage largement déployée par les sites ecommerce en Russie et dans la Communauté des Etats Indépendants. L'outil injecte un script JavaScript dans la page, observe le comportement du visiteur en temps réel, construit un profil et déclenche des campagnes telles que pop ups exit intent, offres post achat, formulaires de capture d'email, programmes de parrainage et recommandations produits personnalisées. Flocktory a été racheté par Sberbank, devenu Sber, banque russe sous contrôle étatique et visée par des sanctions de l'UE et des Etats Unis. La plateforme est exploitée depuis la Fédération de Russie et s'adresse principalement aux retailers russes et de la CEI.
Flocktory collecte l'adresse IP, l'agent utilisateur, des signaux de fingerprinting du navigateur et de l'appareil, des cookies persistants first party et tiers, les URL visitées, le referrer, les événements de défilement et de clic, le temps passé, le contenu du panier et de la commande, ainsi que toute donnée personnelle saisie par le visiteur dans un formulaire (email, téléphone, prénom). Les événements sont envoyés en temps réel aux serveurs de Flocktory via HTTPS, puis rapprochés côté serveur du profil visiteur. Le fournisseur supporte également des intégrations server to server qui enrichissent le profil avec des données offline transmises par le marchand.
Flocktory héberge les données personnelles principalement en Fédération de Russie, conformément à la règle de localisation issue de la loi fédérale 152 FZ qui impose le stockage en Russie des données des citoyens russes. La Fédération de Russie ne fait l'objet d'aucune décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD. Tout transfert depuis l'EEE vers Flocktory est donc un transfert international qui doit reposer sur les garanties de l'article 46, en pratique les Clauses Contractuelles Types, et sur une analyse d'impact du transfert exigée par l'arrêt Schrems II de la Cour de Justice de l'Union Européenne. Cette analyse doit conclure que les mesures supplémentaires sont efficaces face aux larges pouvoirs de surveillance des autorités russes, en particulier le régime d'interception SORM et la loi fédérale 374 FZ dite paquet Iarovaïa. En pratique, la plupart des responsables de traitement européens constateront que ces mesures ne peuvent pas être rendues efficaces, ce qui ne laisse comme base légale que la dérogation de consentement explicite de l'article 49(1)(a), d'usage occasionnel et non systématique.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sber, maison mère de Flocktory, est visée depuis 2022 par les mesures restrictives de l'UE, notamment des restrictions de banque correspondante et des gels d'avoirs sur certains dirigeants. Les opérateurs européens qui adressent des données personnelles et des commissions à un fournisseur détenu par Sber doivent vérifier que la relation contractuelle ne viole pas le régime de sanctions de l'UE, en particulier les interdictions du Règlement 833/2014 du Conseil et les mesures de déconnexion SWIFT. Au delà du risque juridique, déployer un outil marketing lié à l'Etat russe sur un site de marque européenne représente un risque de réputation qui doit être évalué par les directions juridique, conformité et communication.
Flocktory déposant des cookies et lisant des identifiants d'appareil à des fins marketing, l'article 5(3) de la directive ePrivacy s'applique. Un consentement préalable, libre, spécifique, éclairé et univoque est requis avant tout chargement du script Flocktory. Le script doit donc être injecté conditionnellement par une plateforme de gestion du consentement, jamais codé en dur dans l'entête de la page. La notice d'information présentée à l'utilisateur doit divulguer le transfert vers la Fédération de Russie, l'absence de décision d'adéquation, le risque d'accès par les autorités russes et l'identité de Sber en tant que société mère ultime. La CNIL rappelle régulièrement qu'un consentement collecté sans divulgation d'un transfert vers un pays tiers à haut risque n'est pas éclairé et donc pas valide.
Pour la plupart des responsables de traitement européens, Flocktory n'est pas recommandé. La combinaison d'un pays tiers non adéquat, d'une structure capitalistique exposée aux sanctions de l'UE et de l'absence de mesures supplémentaires efficaces face à la surveillance étatique rend le risque résiduel élevé. Les opérateurs européens qui ont encore besoin de l'outil, par exemple pour adresser une audience russe ou de la CEI depuis un domaine séparé, doivent isoler ce déploiement, le limiter aux utilisateurs consentants, documenter la dérogation de l'article 49 et exclure le trafic des résidents de l'UE par un filtrage géographique au niveau du gestionnaire de consentement.
Les sites web utilisant Flocktory doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Flocktory traite des données personnelles en Fédération de Russie, pays sans décision d'adéquation au titre du RGPD. Une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD est fortement recommandée, et le plus souvent formellement requise, avant tout déploiement sur un site adressant l'UE. L'AIPD doit couvrir: les catégories de données collectées (adresse IP, identifiants navigateur et appareil, événements comportementaux, email lorsque fourni, données d'achat), la base légale du transfert vers la Russie au titre de l'article 46 du RGPD, l'existence et l'effectivité des mesures supplémentaires face aux accès des autorités russes au titre de la loi fédérale 374 FZ et du régime SORM, l'impact des sanctions de l'UE et de l'actionnariat Sber, la durée de conservation, l'effectivité réelle des droits des personnes lorsque le responsable des données ne peut être joint qu'en Russie, et la disponibilité d'alternatives moins intrusives hébergées dans l'EEE.
Exemple de texte de consentement
Nous utilisons Flocktory, un service de personnalisation marketing exploité par Flocktory Ltd, filiale du groupe Sber, afin d'afficher des pop ups et des offres personnalisées sur ce site. Flocktory dépose des cookies sur votre appareil, construit un profil comportemental et transfère vos données personnelles, dont votre adresse IP et vos événements de navigation, vers des serveurs situés en Fédération de Russie. La Fédération de Russie n'est pas reconnue par la Commission européenne comme offrant un niveau de protection des données adéquat, et vos données peuvent être consultées par les autorités publiques russes. En cliquant sur Accepter, vous donnez votre consentement explicite à ces cookies et à ce transfert international au titre de l'article 49(1)(a) du RGPD.
Domaines tiers contactes
flocktory.comwww.flocktory.comapi.flocktory.comcdn.flocktory.comstatic.flocktory.comevents.flocktory.comp.flocktory.comtracking.flocktory.comsber.rusberbank.ruCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| flocktory | third_party | 1 year | Primary Flocktory identifier cookie used to recognize the visitor across sessions and to attribute popup impressions, conversions and referral events. Stores a unique pseudonymous user ID linked to the behavioral profile on Flocktory servers in Russia. |
| flocktory_uid | third_party | 1 year | Visitor unique identifier set by the Flocktory tag for cross page tracking, profile building and audience segmentation, used to trigger personalized campaigns. |
| flocktory_session | third_party | Session | Session cookie that groups the events of a single visit, used to evaluate campaign triggering rules such as exit intent, scroll depth and time on page. |
| _flocktory | first_party | 1 year | Mirrored first party cookie set on the merchant domain when first party context is enabled, carrying the same Flocktory user identifier to bypass third party cookie restrictions in modern browsers. |
| flocktory_referrer | first_party | 6 months | Stores the identifier of the referring user in a member get member referral campaign, used to attribute the reward when the referred visitor completes a qualifying action. |
| flocktory_popup_state | first_party | 30 days | Stores the state of each popup or exit intent campaign already shown to the visitor, used to enforce frequency capping and prevent re displaying a dismissed offer. |
| flocktory_test | third_party | 90 days | A or B test assignment cookie that pins the visitor to a specific variant of a personalization campaign for the duration of the test to ensure consistent experience and reliable measurement. |
| flocktory_email_lead | first_party | 180 days | Marker cookie indicating that the visitor has submitted an email address through a Flocktory capture form, used to suppress further email capture popups and link the future browsing to the captured contact. |
Flocktory est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Oui. Flocktory dépose des cookies et lit des identifiants d'appareil à des fins de personnalisation marketing, donc l'article 5(3) de la directive ePrivacy s'applique. Un consentement préalable, libre, spécifique, éclairé et univoque est requis avant le chargement de tout script Flocktory. Le script doit être injecté conditionnellement par une plateforme de gestion du consentement. De plus, Flocktory traitant les données en Fédération de Russie, le consentement doit explicitement divulguer le transfert international vers un pays non adéquat, l'absence de décision d'adéquation, le risque d'accès par les autorités russes et la société mère Sber.
Flocktory héberge les données personnelles principalement en Fédération de Russie, conformément à la loi fédérale russe 152 FZ sur la localisation des données. Concrètement, lorsqu'un visiteur européen parcourt un site qui charge Flocktory, les identifiants et événements comportementaux sont transmis à des serveurs sous juridiction russe. La Fédération de Russie ne fait l'objet d'aucune décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD.
Elevé. La combinaison du profilage comportemental, d'identifiants persistants, du transfert international vers un pays non adéquat, d'un actionnariat lié à une banque d'Etat russe sanctionnée et des larges pouvoirs de surveillance des autorités russes au titre de SORM et de la loi 374 FZ produit un risque résiduel élevé pour les responsables de traitement européens. Une AIPD au titre de l'article 35 du RGPD est fortement recommandée, et le déploiement ne devrait être envisagé qu'en l'absence d'alternative hébergée dans l'EEE.
L'arrêt Schrems II portait sur les transferts vers les Etats Unis, mais son raisonnement s'applique par analogie à tout transfert vers un pays tiers non couvert par une décision d'adéquation. La Russie en fait partie. Le responsable de traitement doit réaliser une analyse d'impact du transfert, examiner si le droit russe, en particulier la loi 374 FZ et le régime SORM, assure un niveau de protection essentiellement équivalent à celui de l'UE, et identifier des mesures supplémentaires. Dans la plupart des cas, ces mesures ne peuvent pas être rendues efficaces face aux pouvoirs d'accès de l'Etat russe.
Seules, non. Les CCT sont un instrument contractuel et ne peuvent pas empêcher l'accès aux données par les autorités russes. Elles doivent être complétées par des mesures supplémentaires techniques, contractuelles et organisationnelles, dont le responsable doit démontrer l'efficacité dans le contexte juridique russe. Compte tenu des lois russes de surveillance et d'accès aux données, l'analyse de type EDPB conclut généralement que des mesures efficaces ne peuvent pas être conçues. La voie juridique restante en pratique est la dérogation de consentement explicite et occasionnel de l'article 49(1)(a) du RGPD.
Elles peuvent l'affecter. Sber, maison mère de Flocktory, est visée par les mesures restrictives de l'UE au titre du Règlement 833/2014 du Conseil et d'instruments connexes, dont des restrictions de banque correspondante et des gels d'avoirs de certains dirigeants. Les opérateurs européens doivent obtenir un avis juridique confirmant que le paiement de redevances, la relation contractuelle et le traitement des données avec un fournisseur détenu par Sber ne relèvent d'aucune interdiction, y compris une facilitation indirecte, et que la contrepartie n'est pas inscrite sur la liste consolidée des sanctions de l'UE.
Dans la plupart des déploiements UE, oui. La CNIL et les autres autorités de contrôle considèrent que le profilage comportemental systématique des visiteurs d'un site, combiné à un transfert vers un pays tiers non adéquat à fort niveau d'accès étatique aux données, remplit plusieurs critères des lignes directrices du G29 sur l'AIPD. Une AIPD au titre de l'article 35 du RGPD doit donc être réalisée et documentée avant la mise en production, avec une conclusion claire sur le risque résiduel et sur les alternatives envisagées.
Il existe plusieurs alternatives hébergées dans l'EEE pour la personnalisation on site, les pop ups, l'exit intent et le marketing de parrainage, qu'il s'agisse de fournisseurs européens ou américains disposant de régions UE et de mécanismes de transfert au titre de l'article 46 assortis de mesures supplémentaires efficaces. Pour la plupart des responsables de traitement européens, choisir l'une de ces alternatives est l'approche la plus défendable. Flocktory ne devrait être envisagé que pour des propriétés spécifiquement destinées à un public russe ou de la CEI, déployées sur des domaines isolés et avec un trafic UE exclu par géofencing.