Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Excel Impact est un réseau américain de marketing à la performance qui exploite des campagnes pay per call et de génération de leads en ligne dans des verticales telles que l'assurance, les services à domicile, l'éducation et le crédit à la consommation. Le service dépose des pixels de tracking et des scripts de routage d'appels sur les sites éditeurs, capte des identifiants et des données de formulaire, score les leads en temps réel et revend les appels et formulaires qualifiés à des annonceurs aux États Unis.
Excel Impact, LLC est un réseau de marketing à la performance basé aux États Unis. Il met en relation des éditeurs, des comparateurs et des pages de génération de leads avec des annonceurs actifs dans l''assurance, Medicare, les services à domicile, le solaire, l''éducation et le crédit à la consommation. Lorsqu''un éditeur intègre Excel Impact, un tag JavaScript, un endpoint de postback serveur ou un script de routage d''appels dynamique est posé sur la page. Au fil du tunnel, Excel Impact collecte des identifiants techniques (adresse IP, signaux de fingerprinting, identifiants de clic, URL de référence) ainsi que des champs de formulaire : nom complet, adresse postale, email, numéro de téléphone, date de naissance et données d''éligibilité déclarées par l''utilisateur. Pour les campagnes pay per call, la plateforme traite aussi les numéros entrants, la durée des appels, les réponses SVI et, le cas échéant, les enregistrements vocaux.
Les données circulent en quasi temps réel vers les annonceurs et vers des partenaires de scoring qui décident si le lead est commercialisable et à quel prix. Excel Impact agit donc à la fois comme responsable de traitement pour la logique de réseau, et comme sous traitant ou responsable conjoint lorsque les leads sont livrés à des annonceurs déterminés.
En déploiement standard, Excel Impact lit ou écrit plusieurs cookies de première et tierce partie : un identifiant visiteur persistant, un identifiant de clic utilisé pour réconcilier les postbacks, un identifiant de session et un ou plusieurs cookies de synchronisation partenaires. Le local storage conserve l''état du tunnel et un signal anti fraude. Côté serveur, le service collecte User Agent, langue, géolocalisation approximative déduite de l''IP, URL de la page, paramètres UTM et chaîne de consentement transmise par le CMP. Numéros de téléphone, adresses et date de naissance sont des données personnelles au sens de l''article 4(1) du RGPD ; combinés à un intérêt pour un produit financier ou paramédical, ils peuvent s''approcher des catégories particulières de données et appellent une vigilance renforcée.
L''article 5(3) de la directive ePrivacy, transposé notamment à l''article 82 de la loi Informatique et Libertés contrôlé par la CNIL, à la section 25 du TTDSG allemand contrôlé par la DSK, et au PECR contrôlé par l''ICO au Royaume Uni, impose un consentement préalable, libre, éclairé et univoque avant toute lecture ou écriture d''un cookie ou identifiant non strictement nécessaire. Les tags Excel Impact ne sont pas strictement nécessaires. L''éditeur doit donc obtenir un consentement au titre de l''article 6(1)(a) du RGPD à la fois pour le dépôt et pour les traitements aval de marketing et de revente de leads. L''intérêt légitime de l''article 6(1)(f) n''est pas une alternative recevable, compte tenu des lignes directrices 8/2020 du CEPD et du cumul de risques.
Le consentement doit être spécifique, granulaire et aussi simple à refuser qu''à accepter. Le seul signal IAB TCF ne suffit pas ; la bannière doit mentionner clairement le transfert aux États Unis et la finalité de courtage de leads.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Excel Impact traite les données aux États Unis. Les transferts depuis l''EEE doivent reposer sur un mécanisme du chapitre V du RGPD. En pratique, le responsable signera les clauses contractuelles types de 2021, généralement le module 2 (responsable vers sous traitant) et le module 3 (sous traitant vers sous traitant) pour la livraison aux annonceurs, complétés par l''addendum britannique IDTA et les ajustements suisses du PFPDT. Une évaluation d''impact du transfert est obligatoire après Schrems II et les recommandations 01/2020 du CEPD. Si Excel Impact est auto certifié au titre du Data Privacy Framework UE États Unis adopté par la décision d''adéquation (UE) 2023/1795, le DPF peut être invoqué tant que la certification est active et que l''entité figure sur la liste officielle pour les catégories de données concernées.
Avant tout déploiement, documentez une AIPD couvrant le tunnel, les catégories de données, les durées de conservation, les destinataires (Excel Impact, annonceurs aval, centres d''appels) et l''ensemble CCT plus TIA. Conditionnez tout script Excel Impact à un CMP qui applique le signal IAB TCF ou un signal personnalisé, et ne déclenchez le pixel qu''après un Accepter explicite. Tenez un registre article 30 mentionnant Excel Impact comme destinataire et les États Unis comme pays de destination. Pour les visiteurs situés aux États Unis, fournissez un lien Do Not Sell or Share afin de respecter le CCPA, le CPRA et les lois d''État équivalentes. Pour les appels entrants, configurez un message de divulgation d''enregistrement conforme à la fois aux règles européennes et aux États américains en two party consent.
Si le taux de consentement est trop bas ou si le risque de transfert aux États Unis est inacceptable, plusieurs alternatives existent : réseaux européens de génération de leads qui hébergent les traitements dans l''EEE, intégrations directes avec des assureurs via API serveur à serveur sans cookies, publicité contextuelle sur des contenus de comparaison. Pour sortir proprement d''Excel Impact, retirez le tag JavaScript et le script de routage, demandez la confirmation écrite de la suppression des leads historiques au delà de la durée convenue, révoquez les clés API et mettez à jour le registre des cookies ainsi que la politique de confidentialité.
Les sites web utilisant Excel Impact doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données au sens de l'article 35 du RGPD est fortement recommandée avant tout déploiement d'Excel Impact en production. Le traitement combine un suivi en ligne systématique, du profilage pour le scoring de leads, des données contextuelles sensibles (assurance, finance, éducation) et un transfert massif vers les États Unis : autant de critères que la CNIL et le CEPD retiennent pour rendre l'AIPD obligatoire. L'analyse doit décrire le tunnel de conversion, documenter les CCT et l'évaluation d'impact du transfert, examiner le risque lié à la section 702 du FISA pour les enregistrements d'appels et prévoir des mesures comme la troncature d'IP, la suppression des champs de catégorie particulière et un gating strict par le CMP.
Exemple de texte de consentement
Nous utilisons Excel Impact, un partenaire établi aux États Unis, pour afficher des offres de marketing à la performance, router vos demandes vers des annonceurs et traiter vos données de lead et d'appel aux États Unis. Cela implique des cookies et identifiants non strictement nécessaires ainsi que des transferts de vos données personnelles hors de l'Espace économique européen, encadrés par les clauses contractuelles types. Excel Impact ne sera activé que si vous cliquez sur Accepter. Vous pouvez modifier votre choix à tout moment via le lien de gestion des cookies en pied de page.
Domaines tiers contactes
excelimpact.comcdn.excelimpact.comtrack.excelimpact.compixel.excelimpact.comleads.excelimpact.comcalls.excelimpact.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _ei_visitor | http_cookie | 12 months | Persistent visitor identifier used to recognise returning users across Excel Impact campaigns and to attribute lead form submissions and inbound calls to the original click. |
| _ei_click | http_cookie | 90 days | Click identifier (clickID) written when a visitor lands from a publisher source; it allows Excel Impact to match server side postbacks with the original click and to credit the publisher. |
| _ei_session | http_cookie | 30 minutes | Short lived session identifier used to bind successive page views and form steps within a single lead generation funnel. |
| _ei_partner | http_cookie | 6 months | Partner synchronisation cookie used to share an Excel Impact ID with downstream advertisers and call buyers so they can deduplicate leads. |
| _ei_state | local_storage | 12 months | Local storage entry that stores the current state of the lead funnel (step, declared eligibility flags, anti fraud token) between page reloads. |
| _ei_call | http_cookie | 6 months | Call tracking cookie used to associate a dynamically displayed phone number with the visitor, enabling Excel Impact to route the inbound call and attribute it to the correct campaign. |
| _ei_consent | http_cookie | 6 months | Records the consent decision captured by the publisher CMP and forwarded to Excel Impact, so that the pixel only fires when consent is present. |
Excel Impact utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Un déploiement standard d'Excel Impact écrit un cookie de visiteur persistant (environ douze mois), un cookie d'identifiant de clic utilisé pour réconcilier les postbacks (généralement trente à quatre vingt dix jours), un cookie de session, un ou plusieurs cookies de synchronisation partenaires et des entrées de local storage qui conservent l'état du tunnel et un signal anti fraude. La liste exacte dépend du gabarit de campagne et des annonceurs aval intégrés au flux d'appels : il faut donc auditer l'implémentation réelle dans un profil de navigateur vierge et reporter le résultat dans le registre des cookies.
Oui. Les pixels Excel Impact, les scripts de routage d'appels et les tags de capture de leads ne sont pas strictement nécessaires au service demandé par l'utilisateur. L'article 5(3) de la directive ePrivacy, transposé par exemple à l'article 82 de la loi Informatique et Libertés en France, à la section 25 du TTDSG en Allemagne ou au PECR au Royaume Uni, impose donc un consentement préalable, libre, spécifique, éclairé et univoque avant tout déclenchement de ces technologies. Le pixel doit rester bloqué tant que le visiteur n'a pas cliqué sur Accepter dans le CMP.
La base légale est le consentement de l'article 6(1)(a) du RGPD, à la fois pour le dépôt d'identifiants sur le terminal et pour les traitements ultérieurs de marketing à la performance et de courtage de leads. L'intérêt légitime de l'article 6(1)(f) n'est pas une alternative recevable : les lignes directrices 8/2020 du CEPD et l'avis 28/2024 du CEPD sur l'intérêt légitime considèrent que le suivi en ligne, le profilage et la revente de données personnelles sortent des attentes raisonnables des utilisateurs.
Excel Impact traite les données aux États Unis, ce qui rend obligatoire un mécanisme de transfert du chapitre V du RGPD. En pratique, le responsable signe les clauses contractuelles types de 2021 (modules 2 et 3), ajoute l'addendum britannique IDTA lorsque c'est pertinent et mène une évaluation d'impact du transfert (TIA) au sens de Schrems II et des recommandations 01/2020 du CEPD. Si Excel Impact figure au registre du Data Privacy Framework UE États Unis adopté par la décision (UE) 2023/1795, le DPF peut être invoqué tant que la certification est active.
Oui, une AIPD au sens de l'article 35 du RGPD est fortement indiquée. Le traitement remplit plusieurs critères du WP29 et des listes publiées par la CNIL, l'AEPD ou la DSK allemande : suivi en ligne systématique, profilage pour scoring de leads, contexte financier ou paramédical sensible, grande échelle et transferts vers un pays tiers sans décision d'adéquation automatique. L'AIPD doit décrire le tunnel, les destinataires, le pack CCT plus TIA et les mesures de mitigation concrètes.
Chargez le tag Excel Impact, l'endpoint postback et le script de routage d'appels via un gestionnaire de balises qui respecte le signal du CMP. Le pixel doit rester bloqué tant que le visiteur n'a pas accepté activement les cookies marketing. Transmettez la chaîne IAB TCF ou votre signal de consentement personnalisé à Excel Impact au moment du déclenchement. Configurez la troncature d'IP côté serveur lorsque possible, désactivez tout enrichissement avec des données de catégorie particulière et ne conservez les enregistrements d'appel qu'avec un message d'information conforme aux règles de two party consent.
Les alternatives incluent des réseaux européens de génération de leads qui hébergent les traitements dans l'EEE, des intégrations directes serveur à serveur avec des assureurs ou des comparateurs via API sécurisées, et la publicité contextuelle sur des contenus éditoriaux comparatifs sans suivi comportemental. Chaque option présente des compromis commerciaux et juridiques différents, mais toutes réduisent le volume de données personnelles transférées vers les États Unis.
Ajoutez Excel Impact à la liste des destinataires tiers dans la notice de confidentialité, en précisant la finalité (marketing à la performance et génération de leads), le pays de destination (États Unis), la base légale (consentement) et le mécanisme de transfert (CCT ou DPF). Dans la politique cookies, listez les cookies Excel Impact avec leur nom, leur durée, leur type et leur finalité, et reflétez cette liste dans le registre du CMP. Mettez la documentation à jour à chaque changement de gabarit de campagne ou d'annonceur aval.