Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
OneSignal est l'une des plateformes de notifications push web et mobile les plus utilisées, opérée depuis les États-Unis. Elle enregistre un service worker sur votre site pour envoyer des notifications push et suit les tokens d'abonnement, les métadonnées d'appareil et les adresses IP sur l'infrastructure AWS US. L'abonnement push et les cookies associés nécessitent un consentement explicite, en plus du prompt natif du navigateur.
OneSignal est une plateforme d''engagement client fondée en 2014 à San Mateo (Californie). C''est l''une des solutions les plus utilisées pour le push web, le push mobile, le in-app messaging, l''email et le SMS, avec plus d''un million de sites et d''apps. Le SDK web enregistre un service worker sur le domaine de l''éditeur pour gérer les notifications push.
OneSignal stocke un identifiant d''abonnement push, le OneSignal player ID et un enregistrement d''appareil (navigateur, OS, pays, langue, adresse IP). Sur le site éditeur, il enregistre un service worker (OneSignalSDKWorker.js) et utilise localStorage pour le player ID. Les SDK mobiles collectent les événements d''installation et d''usage. Les tags et segments peuvent contenir tout attribut personnalisé attaché par l''éditeur.
Le push web est considéré comme un traceur non essentiel par la plupart des régulateurs européens, donc le SDK OneSignal et son service worker doivent être chargés uniquement après le consentement de l''utilisateur au titre de l''article 5(3) ePrivacy. Le prompt natif du navigateur est un consentement complémentaire mais insuffisant car il ne couvre pas le stockage et le traitement préalables nécessaires à l''enregistrement de l''abonnement. Les notifications marketing reposent elles aussi sur le consentement (art. 6(1)(a) RGPD).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
OneSignal héberge son infrastructure principale sur AWS US. Tokens d''abonnement, enregistrements d''appareils, adresses IP et événements sont traités aux États-Unis. Les transferts reposent sur la certification Data Privacy Framework UE-US (le cas échéant) et sur les clauses contractuelles types du DPA OneSignal. Les plans Enterprise peuvent offrir des options de résidence régionale.
Signez le DPA OneSignal depuis le dashboard. Bloquez le SDK OneSignal derrière votre CMP et ne le chargez qu''après opt in explicite. Utilisez un soft prompt personnalisé avant la demande native du navigateur, avec une explication claire de la finalité. Mentionnez OneSignal dans votre politique avec le transfert US, la base SCC et DPF et les catégories de données. Fournissez un chemin de désabonnement évident dans les notifications et dans les paramètres OneSignal.
Les sites web utilisant OneSignal doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée pour les déploiements OneSignal combinant grandes bases d'abonnés, segmentation comportementale et identification cross device, compte tenu des identifiants persistants et du transfert US.
Exemple de texte de consentement
Nous utilisons OneSignal (OneSignal Inc., États-Unis) pour envoyer des notifications push. En acceptant, vous consentez à l'enregistrement d'un abonnement push, aux identifiants associés et au transfert de vos données vers OneSignal aux États-Unis sous garanties appropriées.
Domaines tiers contactes
cdn.onesignal.comapi.onesignal.comonesignal.comimages.onesignal.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| onesignal-pageview-count | first_party | Persistent (localStorage) | Tracks the number of pageviews so OneSignal can trigger a soft prompt after a configured threshold. |
| onesignal-notification-prompt | first_party | Persistent (localStorage) | Records whether the user has dismissed the soft prompt to avoid repeated prompting. |
OneSignal utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
OneSignal stocke un identifiant d'abonnement push et le OneSignal player ID dans le localStorage du domaine éditeur, enregistre un service worker (OneSignalSDKWorker.js) et envoie un enregistrement d'appareil (navigateur, OS, pays, langue, IP) à son backend. Des compteurs optionnels de pageviews et de prompts sont aussi stockés en localStorage.
Oui. La plupart des régulateurs européens considèrent le push web comme un traceur non strictement nécessaire ; le SDK OneSignal et son service worker doivent donc être chargés uniquement après consentement au titre de l'article 5(3) ePrivacy. Le prompt natif du navigateur est un consentement complémentaire mais insuffisant car il ne couvre pas le stockage et l'enregistrement préalables.
Consentement (art. 6(1)(a) RGPD) pour l'abonnement push, les identifiants associés et les notifications marketing. L'opt in doit être granulaire et aussi simple à retirer qu'à donner. La planification et l'analyse des notifications dans le backend OneSignal sont du sous traitement au titre de l'article 28.
Oui. OneSignal Inc. est une entreprise américaine et son infrastructure principale tourne sur AWS US. Tokens d'abonnement, enregistrements d'appareils, adresses IP et événements d'engagement sont traités aux États-Unis. Les transferts reposent sur la certification Data Privacy Framework UE-US (le cas échéant) et sur les clauses contractuelles types du DPA OneSignal.
Une AIPD est recommandée pour les déploiements OneSignal combinant grandes bases d'abonnés, segmentation comportementale et identification cross device, compte tenu des identifiants persistants et du transfert US.
Signez le DPA OneSignal. Bloquez le SDK derrière votre CMP et ne le chargez qu'après opt in explicite. Utilisez un soft prompt personnalisé expliquant la finalité avant la demande native du navigateur. Mentionnez OneSignal dans votre politique avec le transfert US, la base SCC et DPF et les catégories de données. Fournissez un chemin évident de désabonnement.
Côté UE : WonderPush (France), Pushwoosh (résidence UE disponible), Sendmunk (Allemagne) et Mautic auto-hébergé avec extension web push. En mobile uniquement, Firebase Cloud Messaging en région UE peut servir pour les messages transactionnels mais soulève les mêmes questions de transfert pour le marketing.
Indiquez que OneSignal (OneSignal Inc., États-Unis) est sous traitant pour les notifications push et l'engagement. Décrivez le service worker, le player ID, l'enregistrement d'appareil, le traitement de l'adresse IP et l'analytique des campagnes. Mentionnez le transfert US avec base SCC et DPF, et fournissez un lien ou une page de désabonnement en un clic.