Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Pushly est une plateforme de notifications push web exploitée par The Arena Group depuis New York. Elle s'appuie sur le protocole VAPID, un service worker enregistré sur l'origine de l'éditeur et un SDK JavaScript pour capter les abonnements push, puis route les notifications via les services Apple, Google et Mozilla. Les endpoints d'abonnés et les segments comportementaux sont stockés aux États Unis.
Pushly est une plateforme de notifications push web exploitée par The Arena Group, un groupe média américain basé à New York. Elle s''adresse aux éditeurs et aux sites e commerce qui souhaitent envoyer articles, alertes et promotions vers les navigateurs même lorsque l''utilisateur n''est pas sur le site. L''intégration repose sur un SDK JavaScript chargé sur chaque page, un service worker enregistré sur l''origine de l''éditeur et le protocole VAPID décrit dans le RFC 8292.
Lorsque le visiteur accepte l''invite du navigateur, ce dernier enregistre un abonnement push unique auprès d''Apple APNs (Safari), Google FCM (Chrome, Edge) ou Mozilla autopush (Firefox). L''URL d''endpoint et les clés de chiffrement sont transmis aux serveurs Pushly et stockés avec les segments configurés par l''éditeur.
Pushly stocke l''endpoint d''abonnement, la clé publique, le secret d''authentification, l''empreinte navigateur (agent utilisateur, langue, fuseau), l''adresse IP au moment de l''abonnement et des événements comportementaux comme impressions, clics et fermetures. De nombreuses intégrations envoient aussi des identifiants propriétaires (tags d''article, segments, identifiant utilisateur connecté) pour le ciblage, ainsi que des entrées en local storage utilisées par le SDK.
Le push web ne dépend pas techniquement de cookies traditionnels, mais l''endpoint persistant et les valeurs en local storage constituent un stockage dans le terminal au sens de l''article 5(3) de la directive ePrivacy, et l''endpoint plus l''IP qualifient une donnée personnelle au sens de l''article 4(1) du RGPD.
L''abonnement push exige un consentement explicite car il combine un stockage d''identifiants dans le terminal (article 5(3) ePrivacy) et une communication commerciale directe (article L. 34 5 du CPCE en France). Les lignes directrices 5/2020 du CEPD rappellent que le consentement RGPD doit être spécifique, éclairé, univoque et exprimé par un acte positif clair. L''invite native du navigateur ne suffit pas : un déploiement conforme à la CNIL ajoute une pré invite explicative et une catégorie claire dans la bannière cookies.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ne chargez pas le SDK Pushly dès la première vue de page. Bloquez le derrière une catégorie Marketing ou Communications de votre CMP et n''enregistrez le service worker qu''après acceptation de cette catégorie. Affichez une pré invite expliquant le type de notifications envoyées, leur fréquence et le destinataire, puis déclenchez l''invite native. Journalisez le consentement (horodatage, IP, version de bannière, choix) et proposez un désabonnement en un clic dans chaque push.
Pushly stocke les endpoints sur les régions AWS des États Unis. La diffusion passe par Apple APNs (Cupertino, Californie), Google FCM (États Unis) et Mozilla autopush (États Unis). Les quatre parties sont américaines et tombent dans le champ des lois de surveillance US, ce qui place le transfert sous le régime des recommandations Schrems II du CEPD.
Appuyez vous sur l''accord EU US Data Privacy Framework quand le destinataire est certifié, signez les Clauses Contractuelles Types 2021 sinon, et documentez les mesures supplémentaires : chiffrement de bout en bout du payload, pseudonymisation des segments, conservation courte des endpoints et analyse de transfert.
Inscrivez Pushly dans votre registre des traitements et dans votre registre cookies et local storage. Documentez la base légale, les destinataires (The Arena Group et le service de push concerné), les catégories de données et la durée de conservation. Lancez une AIPD si vous segmentez selon le comportement ou si vous poussez vers des mineurs. Offrez une page de préférences in app permettant de changer les sujets ou révoquer l''abonnement, répliquez la révocation à Pushly via son API, et auditez mensuellement les endpoints désabonnés.
Les sites web utilisant Pushly doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée dès que Pushly est utilisé pour envoyer des notifications comportementales ou personnalisées, pour reciblage de visiteurs anonymes, pour segmenter selon l'interaction avec le contenu, ou pour pousser à des enfants de moins de 16 ans. L'analyse doit documenter la base légale de l'abonnement et de la segmentation, les catégories de données envoyées aux services Apple, Google et Mozilla, la durée de conservation des endpoints et événements d'engagement, le rôle d'une segmentation automatisée au sens de l'article 22 du RGPD et les mesures supplémentaires appliquées aux transferts US.
Exemple de texte de consentement
Nous souhaitons vous envoyer des notifications push web via Pushly. Avec votre consentement, votre navigateur enregistrera un abonnement push unique avec notre service worker et Pushly (opéré depuis les États Unis) stockera cet endpoint pour vous délivrer les notifications. Vous pouvez retirer votre consentement à tout moment dans les paramètres de votre navigateur ou via le lien de désabonnement présent dans chaque notification.
Domaines tiers contactes
pushly.comcdn.p-n.ioapi.p-n.iofcm.googleapis.comupdates.push.services.mozilla.comweb.push.apple.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| pushly_sid | Persistent | 1 year | Pushly subscriber identifier used to associate the browser with a stored push subscription and to attribute engagement events back to the subscriber profile. |
| pushly_segments | Local Storage | Until cleared by user | Local storage entry holding the segment memberships and topic preferences assigned to the subscriber for push targeting. |
| pushly_sw_registration | Local Storage | Until service worker unregistered | Stores the push subscription endpoint, public key and auth secret returned by the browser PushManager, so Pushly can deliver notifications even when the tab is closed. |
| pushly_prompt_state | Persistent | 6 months | Records whether the visitor has already been shown the soft pre prompt and whether they accepted, dismissed or refused, to avoid prompt fatigue. |
Pushly utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Lorsque la personne accepte l'invite push, le navigateur génère un endpoint d'abonnement unique (URL hébergée par Apple, Google ou Mozilla) et une paire de clés de chiffrement. Pushly reçoit et stocke cet endpoint, la clé publique, le secret d'authentification, l'agent utilisateur, la langue, le fuseau horaire, l'adresse IP au moment de l'abonnement et un identifiant Pushly. Pushly journalise également chaque envoi, impression, clic et fermeture, et peut associer des segments propriétaires (tags d'article, identifiants utilisateurs connectés) fournis par l'éditeur.
Oui. Activer Pushly implique à la fois une écriture d'identifiants dans le terminal (abonnement push et entrées en local storage) et l'envoi de communications commerciales directes. Cela relève à la fois de l'article 5(3) de la directive ePrivacy et de l'article L. 34 5 du CPCE. La CNIL, l'AEPD et la DSK allemande exigent un consentement préalable, libre, spécifique et éclairé exprimé par un acte positif clair. L'invite native du navigateur ne suffit pas : déployez une pré invite qui décrit la finalité, la fréquence et le destinataire, et n'enregistrez le service worker qu'après acceptation d'une catégorie Marketing dans la CMP.
L'abonnement push repose sur l'article 6(1)(a) du RGPD (consentement), combiné à l'article 5(3) ePrivacy pour le stockage d'identifiants et à l'article 4(11) RGPD pour l'acte positif. La segmentation comportementale qui profile les abonnés (catégories d'articles lus, produits consultés) s'appuie sur le même consentement et peut déclencher l'article 22 du RGPD si elle conduit à des décisions entièrement automatisées produisant des effets significatifs. L'intérêt légitime est généralement exclu : le CEPD a confirmé que la prospection électronique directe vers des personnes physiques relève du consentement ePrivacy.
Oui. Pushly a son siège à New York et héberge son infrastructure sur les régions AWS américaines. La diffusion passe par Apple APNs, Google FCM et Mozilla autopush, tous basés aux États Unis. L'URL d'endpoint révèle déjà le fournisseur push utilisé et toute métadonnée de payload atteint ce fournisseur. Ces transferts exigent soit l'adhésion au EU US Data Privacy Framework quand le destinataire est certifié, soit les Clauses Contractuelles Types 2021, plus une analyse de transfert Schrems II documentant le chiffrement, une rétention courte, un contrôle d'accès par rôles et la journalisation.
Une AIPD est recommandée lorsque Pushly est utilisé pour profiler des utilisateurs (segments comportementaux, audiences similaires), pour reciblage à grande échelle de visiteurs anonymes, pour pousser vers des mineurs de moins de 16 ans, ou pour croiser les abonnements push avec des données d'identité connectée. Les critères du CEPD (traitement à grande échelle, évaluation ou scoring, technologies innovantes) et les listes à risque élevé de la CNIL et de l'AEPD déclenchent généralement une AIPD dans ces cas. L'analyse doit décrire le flux vers l'éditeur, Pushly et les services push système, et les mesures supplémentaires pour atténuer Schrems II.
Placez le SDK Pushly derrière une catégorie Marketing ou Communications dans votre plateforme de gestion du consentement et maintenez le bloqué jusqu'à l'opt in. Affichez une pré invite qui nomme le responsable, la finalité, la fréquence et les tiers. Après acceptation seulement, enregistrez le service worker sur votre origine et déclenchez l'invite native. Journalisez le consentement avec horodatage et version de bannière. Proposez un centre de préférences, exposez un désabonnement en un clic dans chaque push et propagez les révocations via l'API Pushly.
Les alternatives hébergées ou compatibles UE incluent OneSignal avec résidence UE, Batch (France, push mobile inclus), Brevo Push (ex Sendinblue), Notifix (France) et les solutions auto hébergées s'appuyant sur des bibliothèques web push avec votre propre backend et les endpoints Mozilla autopush et FCM. Aucune ne peut éviter Apple APNs, Google FCM ou Mozilla autopush pour la diffusion réelle, mais un dashboard et un stockage UE réduisent la surface des transferts US et simplifient la gestion des sous traitants. Choisissez un fournisseur qui signe un DPA aligné CCT et propose une région UE.
Ajoutez une section dédiée nommant The Arena Group (Pushly) comme tiers, expliquant que le push web repose sur un service worker, un endpoint stocké chez Pushly et une diffusion via les services push Apple, Google et Mozilla. Indiquez les catégories de données (endpoint, IP, agent utilisateur, segments, événements), la durée de conservation, la base légale (art. 6(1)(a) et art. 5(3) ePrivacy), le mécanisme de transfert (DPF ou CCT et mesures supplémentaires) et les droits d'accès, d'effacement et de retrait, ainsi qu'un chemin direct de désabonnement.