Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Loqate est un service de vérification d'adresses, de géocodage et de qualité des données de contact édité par GBG plc (Royaume Uni). Il alimente l'autocomplétion d'adresse postale, la validation de téléphone et d'e-mail sur les formulaires de commande et d'inscription. Loqate traite l'adresse IP, les chaînes saisies et l'historique des recherches via des centres de données mondiaux dont l'UE et les États Unis. Les déploiements européens doivent donc gérer le consentement, la base légale et les transferts au sens de l'arrêt Schrems II.
Loqate est la solution de capture et de vérification d''adresses de GBG plc, société britannique cotée dont le siège est à Chester. Elle est intégrée aux tunnels de commande, aux pages d''inscription et aux formulaires de génération de leads dans le e-commerce, les services financiers et la logistique. Lorsqu''un visiteur commence à saisir une adresse, Loqate transmet les chaînes partielles à son API et renvoie des suggestions d''adresses issues des fichiers postaux officiels de plus de 240 territoires. La plateforme propose également la validation de numéros de téléphone, la vérification d''adresses e-mail et le géocodage.
Pour la plupart des marchands européens, Loqate remplace un champ adresse classique par un composant à suggestions. Ce choix raccourcit la commande, réduit les échecs de livraison et améliore la qualité des données. Il crée aussi un flux sortant de données personnelles vers un sous traitant tiers, qu''il faut documenter avec précision au titre du RGPD.
Chaque frappe envoyée à Loqate transporte la chaîne partielle, l''adresse IP du visiteur, un identifiant de session, la page d''origine, le user agent du navigateur et la clé API du marchand. Les appels de vérification et de géocodage transmettent en outre l''adresse complète validée, la latitude et la longitude. Les points d''entrée de validation téléphone et e-mail reçoivent le numéro ou l''adresse ainsi que les métadonnées de délivrabilité. GBG conserve des journaux pour superviser l''usage, facturer le client et améliorer les taux de correspondance.
En configuration standard, Loqate ne dépose pas de cookies publicitaires persistants. Le widget peut utiliser un stockage de session ou un cookie propriétaire à durée brève pour la limitation de débit et la prévention des abus. Les modules optionnels d''analyse, de recommandation ou de rejeu de session introduisent en revanche des traceurs non essentiels qui doivent être encadrés par le consentement.
GBG plc agit comme sous traitant du marchand pour la suggestion d''adresses et comme responsable conjoint ou indépendant pour ses produits de scoring antifraude et d''identité. Le marchand reste responsable de traitement pour les données de commande. L''article 28 du RGPD impose un accord de sous traitance écrit, et le marchand doit inscrire Loqate dans son registre des activités de traitement et dans son information transparente aux personnes. Toute lecture ou écriture sur le terminal qui dépasse le strict nécessaire relève de l''article 5(3) de la directive ePrivacy et de ses transpositions (lignes directrices CNIL, TDDDG article 25, Guía AEPD) et exige donc un consentement préalable.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
L''autocomplétion d''adresse en tunnel de commande repose en principe sur l''exécution du contrat au sens de l''article 6(1)(b) du RGPD, car la commande ne peut pas aboutir sans adresse de livraison valable. La CNIL admet que les fonctionnalités strictement nécessaires sortent du périmètre du consentement. Toute couche supplémentaire (analyse comportementale, réutilisation marketing de l''historique de recherche, profilage antifraude, rejeu de session) exige soit un consentement explicite au titre de l''article 6(1)(a) du RGPD, soit un test de mise en balance documenté au titre de l''intérêt légitime. Le widget peut donc se charger sans condition sur la page de commande, mais les modules optionnels ne doivent s''activer qu''après un opt in dans la bannière de consentement.
GBG exploite des centres de données au Royaume Uni, en Irlande et en Allemagne, et utilise des infrastructures américaines pour certains produits mondiaux et le support client. Les transferts depuis l''EEE vers le Royaume Uni s''appuient sur la décision d''adéquation adoptée par la Commission européenne en 2021. Les transferts ultérieurs vers les États Unis doivent reposer sur les clauses contractuelles types européennes, sur le EU US Data Privacy Framework lorsque les filiales de GBG y sont certifiées, et sur une analyse d''impact des transferts couvrant la section 702 FISA et l''Executive Order 12333, conformément à l''arrêt Schrems II (CJUE C 311/18). Les marchands européens doivent demander à GBG l''option de cantonnement régional qui maintient les requêtes dans l''EEE lorsqu''elle est disponible.
Signer l''avenant de sous traitance GBG, choisir un centre de données EEE ou britannique, mentionner Loqate dans la politique de confidentialité avec la base contrat, présenter les fonctionnalités d''analyse optionnelles derrière un gate de consentement, et documenter la conservation des journaux de recherche (GBG conserve typiquement 12 à 24 mois). Configurer le widget avec le minimum de champs, désactiver les fonctions d''historique inutilisées, restreindre les referrers et les clés API par environnement, et ajouter Loqate à la liste des fournisseurs du CMP pour que l''état de consentement soit lu par la page avant l''activation des modules optionnels.
Les sites web utilisant Loqate doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est en principe pas obligatoire pour la simple autocomplétion d'adresse en tunnel de commande, car le traitement est nécessaire à l'exécution du contrat et limité aux fragments saisis. Une AIPD est recommandée lorsque Loqate est combiné avec du profilage, du scoring antifraude, l'enrichissement par géolocalisation, la conservation à grande échelle des journaux de recherche, ou lorsque le widget est utilisé hors tunnel (formulaires de contact, de devis) avec réutilisation marketing. Documenter les catégories de données (IP, chaînes saisies, métadonnées navigateur), la durée de conservation des journaux chez GBG, la base légale par finalité, le mécanisme de transfert hors EEE et les mesures techniques et organisationnelles.
Exemple de texte de consentement
Nous utilisons Loqate (GBG plc) pour suggérer et vérifier votre adresse postale pendant la saisie. Loqate reçoit les caractères saisis, votre adresse IP et des informations basiques sur votre navigateur afin de proposer des adresses correspondantes. La complétion d'adresse en commande repose sur l'exécution du contrat. Si vous acceptez en plus les statistiques, votre historique de recherche peut être utilisé pour améliorer la qualité du service. Vous pouvez refuser les statistiques sans perdre l'accès à la complétion.
Domaines tiers contactes
loqate.comapi.addressy.comservices.postcodeanywhere.co.ukjs.loqate.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| loqate_session | Session | Session | Short lived first party session identifier used by the Loqate widget to correlate keystrokes belonging to the same address lookup attempt and to apply rate limiting and abuse prevention. |
| loqate_rate | HTTP | 1 hour | First party HTTP cookie or local storage entry used by the Loqate API for client side throttling and quota enforcement on the merchant API key. |
Loqate utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
En configuration standard, Loqate ne dépose pas de cookies publicitaires persistants. Le widget d'autocomplétion envoie chaque frappe à l'API Loqate, accompagnée de l'adresse IP du visiteur, d'un identifiant de session, de l'URL de la page d'origine, du user agent du navigateur et de la clé API du marchand. Les points d'entrée de vérification transmettent en outre l'adresse postale complète validée et les coordonnées géographiques. Les points de validation téléphone et e-mail reçoivent la valeur à vérifier et des métadonnées de délivrabilité. Loqate peut utiliser un cookie propriétaire de courte durée ou un stockage de session pour la limitation de débit. Les modules optionnels d'analyse, de recommandation ou de rejeu de session introduisent des cookies non essentiels soumis à consentement.
Pour l'autocomplétion d'adresse en tunnel de commande, d'inscription ou de livraison, le consentement préalable n'est pas requis car le traitement est nécessaire à l'exécution du contrat demandé par le visiteur. Le widget peut donc se charger sans condition. Le consentement devient obligatoire dès que Loqate est utilisé à des fins qui ne sont pas strictement nécessaires : conservation de l'historique des recherches pour réutilisation marketing, analyse comportementale, profilage antifraude, rejeu de session ou recommandations. Le consentement est également requis dès qu'un identifiant non essentiel est placé sur le terminal, conformément à l'article 5(3) de la directive ePrivacy. Séparer un noyau toujours actif et une couche analytique sous consentement.
L'autocomplétion d'adresse en commande repose sur l'article 6(1)(b) du RGPD (exécution du contrat), car une adresse de livraison valable est nécessaire pour traiter la commande. La CNIL, la DSK et l'AEPD admettent que les outils strictement techniques au contrat n'appellent pas de consentement. La validation téléphone et e-mail utilisée pour créer un compte client ou délivrer un service repose sur la même base. Les produits de scoring antifraude et d'identité reposent typiquement sur l'article 6(1)(f) du RGPD (intérêt légitime) avec une mise en balance documentée, ou sur une obligation légale en LCB FT. Toute réutilisation de l'historique de recherche à des fins de marketing exige le consentement de l'article 6(1)(a).
Oui. Loqate est édité par GBG plc, société britannique, et exploite sa production via des centres de données au Royaume Uni, en Irlande et en Allemagne, avec une infrastructure additionnelle aux États Unis pour certains produits mondiaux et le support. Les transferts depuis l'EEE vers le Royaume Uni s'appuient sur la décision d'adéquation prise par la Commission européenne en juin 2021. Tout transfert ultérieur vers les États Unis doit reposer sur les clauses contractuelles types européennes, complétées d'une analyse d'impact des transferts couvrant FISA 702 et l'Executive Order 12333 conformément à l'arrêt Schrems II (CJUE C 311/18), et le cas échéant sur la certification au EU US Data Privacy Framework de l'entité réceptrice.
Une analyse d'impact formelle n'est en général pas obligatoire pour la simple autocomplétion d'adresse dans le tunnel de commande, le traitement étant nécessaire au contrat et limité. Une AIPD devient recommandée lorsque Loqate est combiné avec du profilage, du scoring antifraude ou d'identité, de l'enrichissement géographique, une conservation à grande échelle de l'historique de recherche ou un usage hors tunnel avec réutilisation marketing. L'AIPD doit décrire les catégories de données (chaînes saisies, IP, métadonnées navigateur), la conservation chez GBG, la base légale par finalité, le mécanisme de transfert hors EEE et les mesures techniques et organisationnelles côté marchand et côté GBG plc.
Signer l'avenant de sous traitance GBG, demander un centre de données EEE ou britannique comme région primaire, mentionner Loqate dans la politique de confidentialité avec la base contrat. Charger le widget d'autocomplétion sans condition sur la page de commande, mais désactiver les modules optionnels d'analyse, de rejeu de session ou de recommandation tant que la plateforme de gestion du consentement n'a pas enregistré un opt in. Restreindre la clé API par referrer, environnement et liste IP autorisée. Configurer le minimum de champs, désactiver les fonctionnalités d'historique non utilisées et documenter la durée de conservation (12 à 24 mois en général chez GBG). Ajouter Loqate à la liste fournisseurs du CMP.
Plusieurs prestataires de vérification d'adresses à forte implantation EEE peuvent être évalués : Postcode.eu (Pays Bas), Fadi, Egon, Melissa, Smarty (avec option de résidence UE), Google Address Validation API (avec les mêmes contraintes Schrems II que tout produit Google), et les API des autorités postales nationales (La Poste, Royal Mail Datafile, Deutsche Post Direkt, Correos). Une approche open data fondée sur OpenAddresses ou la BAN convient à des usages plus simples. Le bon choix dépend de la couverture géographique, de la latence, de la qualité du fichier postal et des conditions contractuelles (DPA, sous traitants ultérieurs, mécanismes de transfert, résidence des données, conservation des journaux).
Dans la politique de confidentialité, désigner GBG plc et Loqate comme sous traitant pour la vérification d'adresse en commande, indiquer la base légale exécution du contrat, lister les catégories de données (saisie, IP, métadonnées, adresse validée), nommer les centres de données utilisés (Royaume Uni, UE, repli États Unis), décrire le mécanisme de transfert (adéquation UK plus CCT pour toute route US) et la durée de conservation des journaux. Dans la bannière de cookies, mentionner tout identifiant propriétaire de courte durée posé par le widget, et lister à part les modules optionnels d'analyse ou de rejeu. Indiquer le lien vers la politique GBG et le canal d'exercice des droits.