Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Trumba

Que fait Trumba ?

Trumba est un service américain de calendrier d'événements et d'inscription édité par Trumba Corporation à Seattle. Le widget intégré affiche les événements et collecte les inscriptions directement dans le site hôte via une iframe chargée depuis trumba.com. Largement utilisé par les universités, musées, collectivités et lieux de culte, Trumba dépose des cookies de session propriétaires, traite les données d'inscription (nom, email, parfois paiement) aux États Unis et nécessite un consentement RGPD ainsi qu'un mécanisme de transfert UE États Unis pour les visiteurs européens.

Qu''est ce que Trumba et comment fonctionne il

Trumba est une plateforme hébergée de calendrier d''événements et d''inscription, éditée par Trumba Corporation, société américaine basée à Seattle et détenue majoritairement par Spectrum Equity. Elle est utilisée par des universités, musées, collectivités, paroisses, bibliothèques et organisateurs d''événements pour publier les agendas, accepter les inscriptions, gérer les listes d''attente, envoyer les confirmations et collecter les paiements. Trumba s''intègre dans le site hôte sous forme d''iframe (Spud, Promotion Spud ou Combo Spud) chargée depuis calendar.trumba.com ou www.trumba.com, avec un petit wrapper JavaScript pour le redimensionnement et l''abonnement aux événements.

Cookies et données collectées

L''iframe Trumba dépose des cookies propriétaires sur le domaine trumba.com pour maintenir la session d''inscription : ASP.NET_SessionId pour la session serveur, TrumbaCalendarUser pour suivre le visiteur entre les pages du calendrier, et un jeton CSRF pour les formulaires protégés. Lors de l''inscription, Trumba traite les données saisies (en général nom, email, adresse postale, téléphone, organisme, besoins spécifiques et données de paiement le cas échéant). Trumba enregistre également l''IP et l''agent utilisateur dans ses journaux serveurs.

Implications RGPD et ePrivacy

L''iframe Trumba est un embed tiers chargé depuis un domaine contrôlé par Trumba Corporation. Sa requête initiale transmet l''URL du référent, l''agent utilisateur et l''IP à un destinataire américain et dépose des cookies. Ces deux éléments déclenchent l''article 5(3) ePrivacy : l''iframe ne doit pas se charger avant l''acceptation de la catégorie de consentement adéquate. Lorsque le calendrier sert effectivement à des inscriptions, la relation est partagée : l''éditeur du site est responsable des données d''inscription, Trumba est sous traitant pour l''exploitation technique de la plateforme et un contrat de sous traitance article 28 est obligatoire.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentement et minimisation

Bloquez l''iframe Trumba jusqu''à ce que le visiteur accepte la catégorie embed tiers dans la CMP. Un placeholder précisant que le calendrier Trumba est hébergé aux États Unis et listant les données partagées (référent, IP, cookies) est la bonne pratique recommandée par la CNIL pour les contenus intégrés. Dans Trumba, configurez le formulaire pour ne collecter que les données strictement nécessaires à l''événement (minimisation, article 5(1)(c) du RGPD) et désactivez par défaut toute case marketing optionnelle, l''opt in par cases pré cochées étant interdit.

Transferts vers les États Unis

Trumba traite toutes les données aux États Unis. Trumba Corporation est certifiée au Data Privacy Framework UE États Unis depuis septembre 2023, ce qui constitue le mécanisme principal de transfert. Les clients doivent également signer le DPA Trumba qui inclut les CCT 2021/914 en complément, et documenter une analyse d''impact des transferts. Les données contenant en règle générale nom, email, adresse postale et parfois paiement, le TIA doit évaluer le risque lié à l''accès des autorités américaines pour un jeu de données permettant l''identification directe.

Checklist de conformité

Étapes concrètes : 1) conditionner l''iframe Trumba à la CMP et ne la charger qu''après acceptation de la catégorie embed tiers ; 2) afficher un placeholder avant consentement mentionnant Trumba et le transfert États Unis ; 3) configurer le formulaire d''inscription pour ne capturer que les données strictement nécessaires ; 4) désactiver toute case marketing pré cochée ; 5) signer le DPA Trumba avec CCT et vérifier la certification DPF ; 6) documenter le TIA ; 7) inscrire Trumba au registre article 30 ; 8) mettre à jour la politique de confidentialité (responsable, sous traitant Trumba Corporation, finalités, durée, destinataires, droits des inscrits).

Categorie de consentement RGPD

Marketing

Les sites web utilisant Trumba doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleWhen the Trumba calendar is used in display only mode (no registration), the embed reads from and writes to the user terminal and qualifies as a non essential third party widget under Article 5(3) of the ePrivacy Directive: prior consent under Article 6(1)(a) GDPR is required before the iframe loads. When the calendar handles registrations, the legal basis for the registration itself is contractual necessity (Article 6(1)(b) GDPR) for the actual event registration plus consent for any additional optional processing (marketing, post event communications).

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, French TDDDG and CNIL guidance on third party embeds, German TDDDG, Spanish LSSI CE and AEPD cookie guide, EU US Data Privacy Framework (Trumba certified), EU Standard Contractual Clauses 2021/914, EDPB recommendations 01/2020 on supplementary measures

Considerations AIPD

Une AIPD est recommandée lorsque Trumba est utilisé pour des inscriptions impliquant un grand nombre de participants, des catégories particulières (par exemple événements liés à la santé) ou des paiements. Documentez : catégories de données collectées par le formulaire (nom, email, adresse postale, paiement), destinataires (Trumba Corporation, sous traitants ultérieurs de Spectrum Equity, prestataire de paiement), durée de conservation, transfert vers les États Unis, mécanisme de transfert légal (DPF ou CCT) et garanties contractuelles (DPA). Pour un calendrier en affichage seul, une AIPD n'est en général pas nécessaire mais le consentement pour l'iframe reste obligatoire.

Exemple de texte de consentement

Nous intégrons des calendriers et formulaires d'inscription Trumba, édités par Trumba Corporation (Seattle, États Unis). Trumba se charge dans une iframe depuis trumba.com, dépose des cookies de session propriétaires et traite les données d'inscription saisies aux États Unis au titre du Data Privacy Framework UE États Unis. Le calendrier Trumba ne sera chargé qu'avec votre consentement à la catégorie cookies correspondante.

Details techniques

Methode de suiviEmbedded event calendar and event registration widget loaded from calendar.trumba.com or www.trumba.com via an iframe and a small JavaScript wrapper. The wrapper exposes resize and event subscription callbacks. The Trumba calendar reads visitor interactions (event clicks, registrations, RSVP submissions) and sets first party session cookies on the trumba.com domain to maintain the registration session.

Localisation des serveursUnited States. Trumba Corporation is headquartered in Seattle, Washington, and operates its infrastructure in US AWS regions (us-west-2 primary, us-east-1 secondary). No EU data residency option is offered as of 2026.

Donnees transferees hors UETrumba Corporation is a US company owned by Spectrum Equity. All visitor and registration data is processed in the United States. Trumba is certified under the EU US Data Privacy Framework since September 2023; transfers can also rely on the EU Standard Contractual Clauses 2021/914 signed in the Trumba DPA. A Transfer Impact Assessment is required given the typical inclusion of name, email, postal address and sometimes payment data in event registrations.

Domaines tiers contactes

trumba.comwww.trumba.comcalendar.trumba.comspuds.trumba.com

Cookies deposes

Nom	Type	Duree	Finalite
ASP.NET_SessionId	HTTP cookie (first party on trumba.com)	Session	Stores the ASP.NET server session identifier used by the Trumba application to maintain the visitor state across page navigations in the calendar iframe.
TrumbaCalendarUser	HTTP cookie (first party on trumba.com)	1 year	Remembers the calendar visitor across pages and sessions to enable features like My Calendar, registration history and personalised event reminders.
__RequestVerificationToken	HTTP cookie (first party on trumba.com)	Session	Anti CSRF token issued by Trumba to protect registration and form submissions against cross site request forgery attacks.
TrumbaCookieConsent	HTTP cookie (first party on trumba.com)	1 year	Records whether the visitor has acknowledged the Trumba native cookie notice inside the calendar iframe.

Trumba utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Trumba dépose t il ?

L'iframe Trumba dépose des cookies propriétaires sur le domaine trumba.com : ASP.NET_SessionId pour la session serveur, TrumbaCalendarUser pour reconnaître le visiteur sur les pages du calendrier et un jeton CSRF pour protéger les formulaires d'inscription. Ces cookies sont de session ou de courte durée et liés au domaine Trumba, mais ils sont considérés comme un traceur tiers du point de vue du site intégrateur car ils sont lus par Trumba Corporation.

Le consentement est il requis pour intégrer le calendrier Trumba ?

Oui. L'iframe Trumba est un embed tiers chargé depuis un domaine contrôlé aux États Unis. Sa première requête réseau transmet le référent, l'IP et l'agent utilisateur à Trumba et dépose des cookies, deux éléments qui déclenchent l'article 5(3) ePrivacy. Un consentement préalable et explicite au titre de l'article 6(1)(a) du RGPD est requis avant le chargement de l'iframe, même en mode affichage seul sans inscription.

Quelle base légale pour les inscriptions via Trumba ?

L'affichage du calendrier requiert le consentement (article 6(1)(a) du RGPD) en tant qu'embed tiers. Le traitement des données d'inscription repose sur la nécessité contractuelle (article 6(1)(b)) pour ce qui est strictement nécessaire à la fourniture de l'événement, plus le consentement (article 6(1)(a)) pour toute communication marketing facultative. Un DPA article 28 avec Trumba Corporation comme sous traitant est obligatoire pour les données d'inscription.

Les données sont elles transférées aux États Unis ?

Oui. Toutes les données Trumba sont traitées aux États Unis. Trumba Corporation est certifiée au Data Privacy Framework UE États Unis depuis septembre 2023, mécanisme de transfert principal. Le DPA Trumba inclut également les CCT 2021/914 en mécanisme subsidiaire. Les clients doivent documenter une analyse d'impact des transferts car les données d'inscription permettent généralement l'identification directe.

Une AIPD est elle nécessaire pour Trumba ?

Une AIPD est recommandée lorsque Trumba sert pour des inscriptions impliquant un grand nombre de participants, des catégories particulières (événements santé, religieux, politiques) ou des paiements. Pour un calendrier en affichage seul, l'AIPD n'est en général pas nécessaire mais le consentement pour l'iframe reste obligatoire. Documentez finalités, destinataires, conservation et mécanisme de transfert au registre article 30.

Comment déployer Trumba en conformité RGPD ?

Conditionnez l'iframe Trumba à votre CMP et ne la chargez qu'après acceptation de la catégorie embed tiers. Remplacez l'iframe par un placeholder mentionnant Trumba et le transfert États Unis avant consentement. Configurez le formulaire pour ne capter que les données strictement nécessaires, désactivez les cases pré cochées, signez le DPA Trumba, documentez le TIA, inscrivez Trumba au registre article 30 et mettez à jour la politique de confidentialité.

Quelles alternatives européennes à Trumba ?

Pour publier des calendriers d'événements : Localist (US, options de résidence UE), Modern Tribe Events Calendar Pro (open source, auto hébergeable en UE), Tockify (Canada, adéquation UE), Plain Events (Allemagne), Eventcube (Royaume Uni). Pour l'inscription avec paiement : Eventbrite (US, mêmes problématiques de transfert), Weezevent (France), Yurplan (France), AmiAmi (France) et Heroes Run by Sportlink (Pays Bas).

Comment mettre à jour la politique cookies pour Trumba ?

Ajoutez une entrée précisant Trumba Corporation (Seattle, États Unis) comme sous traitant, la finalité (intégration de calendrier et inscriptions), la base légale (consentement pour l'iframe, contrat pour l'inscription), les catégories de données (référent, IP, cookies de session, nom, email, adresse postale, paiement le cas échéant), la conservation, le transfert international aux États Unis sous DPF ou CCT, les destinataires et un lien direct vers la politique de confidentialité Trumba.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min