Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Ketch est une plateforme d'opérations privacy éditée par Ketch.com Inc. (San Francisco). Elle combine une plateforme de gestion du consentement avec la cartographie des données, l'automatisation des demandes de droits des personnes et la prise en compte du signal Global Privacy Control. La CMP supporte IAB TCF v2.2 pour la programmatique européenne, et la plateforme couvre également CCPA, CPRA et d'autres lois d'État américaines. Les opérateurs européens l'utilisent pour coordonner consentement et droits sur plusieurs juridictions, mais doivent configurer la résidence des données avec soin car l'infrastructure par défaut est américaine.
Ketch est une plateforme d''opérations privacy éditée par Ketch.com Inc., société logicielle basée à San Francisco et fondée en 2018. La plateforme combine quatre composantes : une CMP avec bannière, centre de préférences et support TCF v2.2 ; un outil de cartographie et inventaire des données pour suivre les flux de données personnelles dans l''organisation ; une couche d''automatisation des droits des personnes qui capture, achemine et exécute les demandes d''accès, de suppression, de portabilité et d''opposition ; une couche de prise en compte du Global Privacy Control et des mécanismes Universal Opt Out, qui interprète les signaux navigateur sous les différentes lois d''État américaines. Les opérateurs européens utilisent généralement Ketch pour la CMP et les droits, souvent dans des environnements devant aussi respecter les lois américaines comme la CCPA et la CPRA californiennes.
La CMP écrit ketch_consent (12 mois par défaut), un enregistrement JSON de la décision par finalité et de l''horodatage, ainsi que _swb (12 mois également), identifiant backend utilisé pour retrouver l''enregistrement dans les bases Ketch. Lorsque TCF v2.2 est activé pour la programmatique européenne, le SDK écrit aussi le cookie standard euconsent-v2. Le backend stocke le journal des consentements avec adresse IP et user agent à des fins de preuve. Pour les demandes de droits, Ketch traite le nom, l''adresse email, le téléphone, une description libre et les pièces de vérification éventuelles. Les signaux GPC sont lus depuis navigator.globalPrivacyControl et convertis en décision d''opposition automatique selon les politiques configurées.
Le considérant 30 de la directive ePrivacy accepte que stocker la décision soit un traitement nécessaire, donc la bannière Ketch peut se charger avant consentement. L''article 7(1) du RGPD met à la charge du responsable la preuve du consentement, ce qui justifie le journal sous intérêt légitime ou obligation légale. Pour les droits des personnes, la base est généralement l''obligation légale (art. 6(1)(c)) puisque le RGPD impose le traitement des demandes des articles 15 à 22, la conservation étant limitée à ce qui est nécessaire pour démontrer la conformité auprès des autorités. L''intégration TCF soulève les mêmes points que toute CMP TCF, dont la décision de l''APD belge contre IAB Europe et la surveillance continue par le CEPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ketch expose la fonction globale __tcfapi() lorsque TCF est activé, plus sa propre file de commandes ketch() pour les vendeurs non TCF. Les opérateurs câblent chaque balise en aval (Google Analytics, Meta Pixel, pixels maison) à la finalité Ketch correspondante via gating server side, triggers consentement GTM ou le moteur de politiques Ketch. La plateforme supporte le mapping Google Consent Mode v2 : la finalité analytics déclenche analytics_storage, la finalité publicité déclenche ad_storage, ad_user_data et ad_personalization. Pour le mobile, les SDK couvrent Android et iOS, avec intégration App Tracking Transparency.
L''infrastructure Ketch par défaut tourne sur AWS us-west-2 et us-east-1. La bannière peut être servie depuis des edges CloudFront proches des visiteurs européens, mais le journal de consentement et les données de droits atterrissent sur l''infrastructure US, sauf si l''opérateur négocie la résidence UE sur eu-west-1 (Irlande) ou eu-central-1 (Francfort) dans le contrat. Ketch est auto certifié sous EU US Data Privacy Framework et utilise des Clauses Contractuelles Types pour les transferts hors DPF. Les opérateurs traitant des demandes de droits sensibles ou avec engagement strict UE doivent demander l''option de résidence UE avant déploiement.
Bannière avec visibilité égale accepter/refuser, sans cases pré cochées, contrôles granulaires à un clic, lien de retrait en pied de page. Cartographier toutes les balises sur les finalités Ketch via le moteur de politiques, scanner régulièrement les cookies pour vérifier le respect du consentement. Activer la prise en compte du Global Privacy Control pour les visiteurs UE (plusieurs autorités le reconnaissent désormais comme signal d''opposition valable), aligner le traitement GPC sur les lois US lorsque c''est applicable. Documenter l''option de résidence retenue, le mécanisme de transfert et la durée de conservation des demandes de droits dans le registre des traitements. Tester le flux de droits de bout en bout, y compris l''étape de vérification, avant mise en production.
Les sites web utilisant Ketch doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Ketch écrit le cookie ketch_consent (durée par défaut 12 mois) avec la décision par finalité, le cookie _swb pour identifier l'enregistrement côté backend, et le cookie standard euconsent-v2 lorsque TCF v2.2 est activé. Points clés AIPD : (1) les enregistrements de consentement sont des données personnelles car liés à une IP, un horodatage et un identifiant persistant ; (2) Ketch est une société américaine avec infrastructure US par défaut, les transferts vers les États-Unis doivent être évalués sous Schrems II même sous EU US Data Privacy Framework ; (3) la plateforme traite aussi les demandes de droits (nom, email, téléphone, description libre, pièces de vérification), données plus sensibles bénéficiant de la résidence UE ; (4) si le SDK inclut de l'experience analytics, ce traitement exige une base autonome (consentement) ; (5) le déploiement TCF v2.2 soulève les mêmes points que toute CMP TCF, dont la décision de l'APD belge contre IAB Europe. Une AIPD est recommandée dès lors que Ketch gère les droits des personnes au delà de la simple capture de consentement.
Exemple de texte de consentement
Nous utilisons Ketch comme plateforme d'opérations privacy, dont la bannière de consentement que vous voyez actuellement. Ketch stocke vos préférences dans un cookie first party (ketch_consent, durée 12 mois) et synchronise votre choix avec les serveurs de Ketch.com Inc. aux États-Unis afin de prouver votre consentement et de respecter vos droits sur l'ensemble de nos services. Vous pouvez modifier ou retirer votre consentement à tout moment via le lien Préférences confidentialité du pied de page, et soumettre une demande de droits (accès, suppression, opposition) depuis la même interface.
Domaines tiers contactes
global.ketchcdn.comconfig.ketchcdn.comcd.ketchcdn.complugins.ketchcdn.comketch.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ketch_consent | Strictly Necessary / Consent | 12 months | Set by Ketch. Stores the JSON encoded per purpose consent decision (analytics, advertising, functional, etc.) plus the timestamp and version of the policy displayed when the user made their choice. |
| _swb | Strictly Necessary / Consent | 12 months | Set by Ketch. Backend identifier used to look up the persistent consent record on the Ketch servers, so that the same decision can be applied across subdomains and synchronised to mobile apps. |
| _swb_consent_ | Strictly Necessary / Consent | 12 months | Set by Ketch. Mirrors the high level consent state per jurisdiction (EU, California, etc.), allowing the SDK to apply different rules to visitors from different regions without re reading the full ketch_consent payload. |
| euconsent-v2 | Strictly Necessary / Consent | 12 months | Set by Ketch when IAB Europe TCF v2.2 is enabled. Stores the standard TCF consent string used by downstream programmatic advertising vendors. |
| usprivacy | Strictly Necessary / Consent | 12 months | Set by Ketch under the IAB CCPA Compliance Framework. Stores the US Privacy String reflecting opt out status for California and other US state law sales/sharing flows. |
Ketch est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Ketch écrit ketch_consent (durée par défaut 12 mois) contenant la décision JSON par finalité, _swb (12 mois) comme identifiant backend pour retrouver l'enregistrement, et euconsent-v2 (12 mois) lorsque le cadre IAB TCF v2.2 est activé. Une copie miroir est conservée dans le local storage. Tous les cookies sont first party sur le domaine de l'opérateur.
Le considérant 30 de la directive ePrivacy admet que stocker la décision est un traitement nécessaire, la bannière Ketch peut donc se charger avant consentement. Toute autre fonctionnalité du SDK (analytics, expérimentation, pixels de tracking des droits) nécessite sa propre base et doit être bloquée tant que la finalité concernée n'est pas accordée.
L'enregistrement du consentement repose sur l'intérêt légitime (art. 6(1)(f)) ou sur l'obligation légale (art. 6(1)(c)) puisque l'art. 7(1) impose la preuve du consentement. Les workflows de droits reposent sur l'obligation légale (art. 6(1)(c)) puisque les articles 15 à 22 du RGPD imposent la gestion des demandes. Les fonctions marketing ou analytics greffées sur Ketch (Ketch Tags, pixels en aval) nécessitent un consentement (art. 6(1)(a)).
Oui par défaut. Ketch.com Inc. est basée à San Francisco et le tenant par défaut tourne sur AWS us-west-2 et us-east-1. Les clients enterprise peuvent négocier une résidence UE sur eu-west-1 (Irlande) ou eu-central-1 (Francfort). Ketch est auto certifiée sous EU US Data Privacy Framework et utilise des Clauses Contractuelles Types pour les transferts hors DPF.
Une AIPD est recommandée dès qu'on utilise Ketch pour les droits des personnes, car les données traitées (nom, email, description libre, pièces de vérification) sont plus sensibles qu'un simple enregistrement de consentement. L'AIPD doit couvrir la base légale de chaque fonctionnalité, l'option de résidence, le mécanisme de transfert vers les États-Unis, la durée de conservation des journaux et les contrôles de sécurité sur les pièces de vérification.
Bannière avec visibilité égale accepter/refuser, pas de cases pré cochées, contrôles granulaires, lien Préférences confidentialité dans le pied de page qui rouvre la bannière. Cartographier chaque balise en aval sur une finalité Ketch via le moteur de politiques, gating server side pour les vendeurs sensibles. Activer la prise en compte du Global Privacy Control là où il a valeur légale. Documenter la résidence, le mécanisme de transfert et la durée de conservation dans le registre des traitements.
Plateformes privacy ops avec CMP + droits : OneTrust, Securiti, Transcend, DataGrail, Osano. Pour les CMP seules : Didomi (France), Sourcepoint, Cookiebot, Usercentrics (Allemagne), Axeptio (France). Pour la résidence UE par défaut : Didomi et Usercentrics sont européens, alors que Ketch, OneTrust et Securiti partent d'une infrastructure US avec résidence UE en option payante.
Inscrire ketch_consent, _swb et euconsent-v2 parmi les cookies strictement nécessaires, avec leurs finalités et durées. Nommer Ketch.com Inc. comme sous traitant CMP dans la politique de confidentialité, déclarer l'option de résidence choisie, citer le mécanisme de transfert (EU US Data Privacy Framework ou CCT). Tenir une table de vendeurs en temps réel pour les balises en aval gérées par le moteur Ketch. Fournir un lien préférences fonctionnel dans le pied de page qui rouvre la bannière Ketch.