Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
GrowthBook est une plateforme open source de feature flags et d'A/B testing qui exécute des expériences sans recourir à des cookies tiers. Disponible en auto, hébergement ou en service cloud géré avec résidence des données dans l'UE sur les offres payantes, elle s'intègre à votre entrepôt analytique existant (BigQuery, Snowflake, Redshift) afin que les données personnelles ne quittent jamais votre infrastructure.
GrowthBook est une plateforme open source de feature flags et d''A/B testing créée en 2020 pour offrir aux équipes produit et growth une alternative respectueuse de la vie privée aux outils d''expérimentation historiques. Les SDK sont publiés sous licence MIT et le cœur de la plateforme sous une licence source disponible. Elle peut être installée sur site, sur Kubernetes ou utilisée via un service cloud géré. Là où la plupart des suites d''expérimentation stockent l''ensemble des évènements chez l''éditeur, GrowthBook conserve l''analyse dans l''entrepôt analytique du client : BigQuery, Snowflake, Redshift, ClickHouse, Postgres, MySQL, Databricks et autres. Le produit sert à livrer des fonctionnalités derrière un flag, à conduire des expériences contrôlées, à déployer progressivement et à exécuter des tests multivariés sans transmettre les données visiteurs à un tiers.
Par défaut, les SDK JavaScript et front, end de GrowthBook n''écrivent aucun cookie. L''attribution d''un visiteur à une variante de test est calculée de façon déterministe à partir d''un attribut haché fourni par l''intégrateur (ID utilisateur, ID compte, identifiant anonyme d''appareil ou tout identifiant personnalisé). Lorsque la fonctionnalité optionnelle Sticky Bucketing est activée, GrowthBook peut persister la variante dans le localStorage ou dans un cookie first, party nommé gbuuid afin qu''un visiteur récurrent conserve la même variante d''une session à l''autre. Les évènements d''exposition sont en règle générale envoyés vers l''entrepôt analytique de l''opérateur, et non vers les serveurs de GrowthBook : l''empreinte de données personnelles dépend donc des identifiants choisis par l''intégrateur.
La directive ePrivacy soumet à consentement préalable tout dépôt ou toute lecture d''informations sur le terminal du visiteur qui n''est pas strictement nécessaire. L''A/B testing à des fins d''optimisation marketing n''étant pas strictement nécessaire, le cookie gbuuid ou toute entrée localStorage déposée par GrowthBook pour le sticky bucketing relève du consentement. Les feature flags purement côté serveur, sans contact avec le stockage navigateur ni profilage, peuvent parfois s''appuyer sur l''intérêt légitime, sous réserve d''une analyse d''intérêt légitime documentée. La CNIL, le BfDI en Allemagne et l''AEPD en Espagne ont précisé que les outils d''A/B testing déposant des identifiants doivent obtenir le consentement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour les expériences côté client, le SDK GrowthBook ne doit être chargé qu''après l''acceptation par le visiteur de la catégorie de consentement adéquate, généralement Statistiques ou Marketing. La plupart des plateformes de gestion du consentement peuvent conditionner le script via un attribut data, category ou en différant l''initialisation jusqu''à l''émission d''un évènement de consentement. Pour les flags serveur qui ne personnalisent pas le contenu sur la base de données personnelles, le SDK peut s''exécuter sans condition tant qu''aucun attribut identifiant n''est transmis à l''entrepôt avant le recueil du consentement. Enregistrer la décision de consentement avec l''évènement d''exposition est une bonne pratique pour démontrer la conformité.
GrowthBook Cloud fonctionne sur AWS. La région par défaut est aux États, Unis : la télémétrie SDK, les données d''utilisation du tableau de bord et toute donnée personnelle envoyée à GrowthBook transitent donc par les États, Unis. Les offres Pro et Enterprise proposent une résidence des données dans l''UE sur AWS Francfort, qui maintient les métadonnées dans l''EEE. GrowthBook est certifié au titre du Cadre de protection des données UE, États, Unis et signe les Clauses Contractuelles Types (modules 2 et 3) pour les transferts hors cadre. Les déploiements auto, hébergés évitent la question : l''opérateur choisit le fournisseur et la région. Une analyse d''impact des transferts est recommandée lors d''un recours au DPF.
Ajoutez GrowthBook au registre des activités de traitement et à la politique relative aux cookies, sous la catégorie Statistiques ou Marketing. Signez un Accord de Traitement des Données avec GrowthBook Inc. pour la version Cloud. Configurez l''initialisation du SDK pour attendre l''évènement de consentement, privilégiez la région UE en production et évitez d''envoyer des emails bruts ou autres identifiants directs comme attributs de ciblage (préférez des valeurs hachées). Définissez une durée de conservation raisonnable pour les évènements d''exposition dans l''entrepôt, documentez la base légale par expérience et révisez la configuration à chaque mise à jour majeure du SDK.
Les sites web utilisant GrowthBook doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque GrowthBook sert à conduire des expériences comportementales sur des utilisateurs identifiés, lorsque les expériences ciblent des catégories particulières de données (santé, religion, opinions politiques) ou lorsque les résultats sont combinés avec des données de profilage issues d'autres outils. Pour des déploiements auto, hébergés se limitant à des feature flags sans suivi par utilisateur, une AIPD n'est généralement pas requise. Documentez le registre des expériences, les durées de conservation des évènements d'exposition et les contrôles d'accès à l'entrepôt de données. L'architecture sans cookies et la résidence des données en UE optionnelle réduisent sensiblement le profil de risque par rapport aux outils d'A/B testing classiques.
Exemple de texte de consentement
Nous utilisons GrowthBook pour mener des expérimentations produit et tester des fonctionnalités sur notre site. GrowthBook peut vous attribuer une variante de test à partir d'un identifiant haché afin de mesurer la version la plus performante. Les données d'expérimentation sont stockées dans notre propre entrepôt analytique [dans l'UE]. Acceptez, vous l'utilisation de GrowthBook à des fins de tests A/B et de personnalisation ?
Domaines tiers contactes
growthbook.iocdn.growthbook.ioapp.growthbook.ioapi.growthbook.ioCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| gbuuid | first-party | 1 year | Optional cookie written when the Sticky Bucketing feature is enabled. Stores a pseudonymous visitor identifier so the same visitor is consistently assigned to the same experiment variant across page views and sessions. |
GrowthBook collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.
Par défaut, les SDK GrowthBook n'écrivent aucun cookie. Lorsque la fonctionnalité optionnelle Sticky Bucketing est activée, GrowthBook persiste l'attribution de variante dans le localStorage ou dans un cookie first, party nommé gbuuid (durée généralement de 1 an). En dehors de ce cookie optionnel, GrowthBook ne réalise aucun stockage côté client de son propre fait.
Oui pour les expériences côté client. Tout test A/B qui écrit un cookie ou une entrée localStorage, ou qui personnalise le contenu sur la base d'un profil, nécessite un consentement préalable au titre de la directive ePrivacy. Les feature flags purement serveur sans profilage peuvent s'appuyer sur l'intérêt légitime avec une AIL documentée. La CNIL et la plupart des autorités européennes traitent l'A/B testing comme un cas non exempté.
Le consentement (article 6, 1, a du RGPD) est la base légale standard pour l'expérimentation comportementale et la personnalisation. L'intérêt légitime (article 6, 1, f) peut s'appliquer à des feature flags purement opérationnels tels que les rollouts progressifs et les kill switches, sous réserve d'une analyse d'intérêt légitime. L'intérêt strictement nécessaire ne s'applique que lorsque les flags servent un service explicitement demandé par l'utilisateur sans suivi.
Cela dépend du déploiement. GrowthBook Cloud est hébergé par défaut sur AWS aux États, Unis : la télémétrie SDK transite par les États, Unis. Une résidence des données dans l'UE sur AWS Francfort est disponible sur les offres Pro et Enterprise. Les déploiements auto, hébergés restent dans la région choisie par l'opérateur. GrowthBook Inc. est certifié au titre du Cadre de protection des données UE, États, Unis et signe les Clauses Contractuelles Types.
Pas pour les mises en œuvre standard. Une AIPD devient recommandée lorsque GrowthBook conduit des expériences sur des utilisateurs identifiés, lorsque des catégories particulières de données (santé, religion, opinions politiques) sont concernées, ou lorsque les résultats sont combinés avec des données de profilage d'autres outils. Le feature flagging auto, hébergé sans suivi par utilisateur présente un risque résiduel faible et ne nécessite normalement pas d'AIPD.
Chargez le SDK uniquement après consentement pour les expériences côté client, choisissez la résidence des données en UE en production, envoyez des identifiants hachés plutôt que des emails bruts et stockez les évènements d'exposition dans un entrepôt que vous contrôlez. Signez un DPA avec GrowthBook Inc. pour la version Cloud et documentez chaque expérience dans votre registre des activités de traitement avec sa base légale et sa durée de conservation.
Oui. PostHog (analytics produit open source avec feature flags), Flagsmith (flags open source avec hébergement UE), Unleash (plateforme open source auto, hébergeable), Statsig et LaunchDarkly sont des alternatives courantes. Pour de l'A/B testing pur, Kameleoon et AB Tasty sont des options dont le siège est en UE. Le bon choix dépend de vos besoins en intégration analytique, en hébergement UE ou en stack entièrement auto, hébergée.
Ajoutez une entrée sous la catégorie Statistiques ou Marketing indiquant GrowthBook comme responsable, la finalité (A/B testing et expérimentation), les données collectées (identifiant visiteur haché, évènements d'exposition), la durée de conservation et un lien vers la politique de confidentialité de GrowthBook. Mentionnez le cookie gbuuid lorsque le Sticky Bucketing est activé et précisez la localisation UE ou US du déploiement.