Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Salesforce Marketing Cloud Account Engagement (anciennement Pardot) est une plateforme d'automatisation marketing B2B qui propose la capture de leads via formulaires, l'email marketing, le scoring et le grading des prospects, des campagnes de nurturing et le suivi des visiteurs web grâce au code de tracking Pardot. Elle dépose des cookies visitor_id persistants, rattache les visites anonymes à un prospect identifié dès la soumission d'un formulaire et alimente Salesforce CRM. Utilisée par les équipes commerciales et marketing B2B pour qualifier les leads, mesurer l'intérêt des comptes et déclencher des workflows de vente.
Salesforce Marketing Cloud Account Engagement, toujours connu sous son ancien nom Pardot, est une plateforme d''automatisation marketing B2B étroitement intégrée à Salesforce CRM. Elle combine landing pages, formulaires de capture de leads, email marketing, programmes de nurturing, scoring et grading des prospects et vue d''engagement par compte. Le composant le plus sensible pour la vie privée reste le code de tracking Pardot, un script JavaScript (souvent nommé pi.js) que vous intégrez sur chaque page du site marketing. Dès que le visiteur consent, le script écrit un cookie de premier parti contenant un visitor_id lié à l''identifiant de compte Pardot (piAId), enregistre les pages vues, le temps passé, les soumissions de formulaires et les clics, puis envoie ces événements vers un endpoint Salesforce comme pi.pardot.com ou le sous domaine tracker que vous avez configuré. Lorsqu''un visiteur anonyme soumet un formulaire, Pardot effectue un cookie stitching: le visitor_id est relié à la fiche prospect portant l''adresse email et toutes les visites passées deviennent identifiables, ce qui rend le consentement préalable indispensable.
Pardot soulève plusieurs enjeux RGPD qui dépassent ceux d''un simple outil d''analyse. La plateforme réalise un profilage systématique en attribuant des scores numériques et des grades alphabétiques aux prospects, ce qui déclenche l''affectation automatique à un commercial et l''inclusion dans des cadences d''emailing ciblées. L''article 22 RGPD ouvre aux personnes le droit de ne pas faire l''objet d''une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires, et la prospection commerciale agressive déclenchée par le scoring peut s''en rapprocher. La durée des cookies est aussi très longue: par défaut jusqu''à dix ans pour les cookies visiteurs Pardot, ce qui permet des profils rétrospectifs très étendus. Enfin, le mécanisme de cookie stitching qui rattache rétroactivement l''historique anonyme à une personne identifiée doit être présenté de manière transparente dans la politique de confidentialité et couvert par une base légale valide dès la première visite.
Les principaux cookies écrits par le script Pardot sont visitor_id suivi du numéro de compte (par exemple visitor_id12345), qui stocke l''identifiant unique du visiteur, lpv suivi du numéro de compte pour l''horodatage de la dernière page vue, un cookie de session pardot pour la continuité courte durée et pi_opt_in qui mémorise l''état de consentement lorsque vous utilisez l''API d''opt in. Selon la configuration du tracker domain, ces cookies peuvent être posés en première partie sur votre propre domaine marketing ou en tierce partie sur pi.pardot.com. Tous sont non essentiels au sens de l''article 5(3) de la directive ePrivacy et de l''article 82 de la loi Informatique et Libertés, puisqu''ils servent à l''analyse marketing inter sessions et à l''identification des leads, pas à délivrer la page demandée.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Account Engagement est exploité par Salesforce Inc. avec une infrastructure principale aux États-Unis. Les clients européens peuvent activer le pod EU qui maintient la base de production à Francfort, mais le support global, les sous traitants et les intégrations Marketing Cloud peuvent quand même générer des transferts hors EEE. Salesforce s''appuie sur les clauses contractuelles types version 2021 et s''est auto certifié au titre du EU-U.S. Data Privacy Framework, de son extension britannique et du Swiss-U.S. DPF. Les responsables de traitement doivent documenter cette chaîne de transferts dans le registre des activités de traitement, réaliser une analyse d''impact des transferts (TIA) prenant en compte les lois américaines telles que FISA 702 et l''Executive Order 14086, et présenter ces transferts dans la politique de confidentialité et la bannière cookies.
Un déploiement conforme commence par la gestion du consentement. Le script Pardot doit être bloqué par défaut et injecté uniquement après acceptation de la catégorie marketing ou publicité dans votre CMP, avec suppression des cookies déjà posés en cas de refus. Configurez un tracker subdomain en première partie pour que les cookies soient déposés sur votre propre domaine, ce qui améliore leur durée de vie dans Safari (ITP) et réduit les risques inter sites. Réduisez la durée des cookies par rapport au paramètre par défaut de dix ans, à la durée nécessaire à votre cycle de vente, typiquement de six à vingt quatre mois. Utilisez la Pardot Consent API pour honorer les opt out, supprimer les profils des personnes exerçant leur droit à l''effacement et intégrer le flux des droits des personnes dans Salesforce. Limitez les champs des formulaires aux données strictement nécessaires à la finalité déclarée, séparez le consentement aux communications marketing du consentement cookies et documentez la durée de conservation de l''historique d''activité des prospects.
Pour les organisations souhaitant un dispositif marketing plus léger, les alternatives incluent HubSpot Marketing Hub (basé aux États-Unis, profil similaire), Adobe Marketo Engage (infrastructure US avec options EU), et des éditeurs européens comme Brevo (anciennement Sendinblue), ActiveCampaign avec résidence EU, Mautic (open source, auto hébergé) ou Plezi pour le B2B. Pour des audiences à très fort risque (secteur public, santé, juridique), envisagez de garder la capture de leads côté serveur, de transmettre uniquement les données de formulaire consenties au CRM, et d''utiliser une solution d''analyse sans cookies pour mesurer la performance marketing sans identifiants persistants.
Les sites web utilisant Salesforce Marketing Cloud Account Engagement doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée et probablement obligatoire au titre de l'article 35 RGPD. Pardot implique un suivi systématique des visiteurs, des identifiants persistants entre sessions, un scoring automatisé (forme de profilage pouvant avoir des effets significatifs sur les personnes ciblées par les actions commerciales), un traitement à grande échelle de données de contact et des transferts internationaux vers les États-Unis. L'AIPD doit évaluer la nécessité du suivi comportemental face à des alternatives moins intrusives (traitement serveur des formulaires sans cookies persistants), les durées de conservation de l'historique des visiteurs, l'impact du scoring automatisé sur les prospects, l'adéquation des CCT et du DPF, la transparence vis-à-vis des visiteurs anonymes qui deviennent identifiés après soumission, ainsi que les droits liés au profilage au titre de l'article 22 RGPD.
Exemple de texte de consentement
Nous utilisons Salesforce Marketing Cloud Account Engagement (Pardot) pour reconnaître les visiteurs récurrents, mesurer l'intérêt pour nos produits, attribuer les campagnes marketing et envoyer des communications pertinentes. Ce service dépose des cookies visitor_id sur votre appareil, relie votre activité à votre adresse email dès que vous soumettez un formulaire et partage vos données comportementales avec Salesforce Inc. aux États-Unis sur la base des clauses contractuelles types et du cadre EU-U.S. Data Privacy Framework. Pardot et le script pi.pardot.com ne sont activés qu'avec votre consentement explicite. Vous pouvez retirer votre consentement à tout moment depuis les paramètres cookies. Sans consentement, vous pouvez continuer à naviguer et nous contacter par d'autres canaux.
Domaines tiers contactes
pi.pardot.comgo.pardot.compardot.comsalesforce.comforce.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| visitor_id<piAId> | first_party | 10 years (default, configurable) | Persistent visitor identifier scoped to the Pardot account number (piAId). Tracks a browser across sessions, links anonymous browsing to a prospect record once a form is submitted, and powers lead scoring and email attribution in Salesforce Account Engagement. |
| lpv<piAId> | first_party | 30 minutes | Last Page View timestamp, scoped to the Pardot account number. Used by the tracking script to deduplicate rapid successive page views, throttle scoring events and avoid double counting of activity within the same browsing session. |
| pardot | first_party | Session | Session cookie set during a single browsing session to maintain continuity between page views and form interactions. Cleared when the browser is closed. |
| pi_opt_in | first_party | 10 years (configurable) | Stores the visitor opt in or opt out decision when the Pardot Consent API is enabled. Allows the tracking script to determine whether to activate visitor tracking, lead scoring and email engagement attribution on subsequent visits. |
| visitor_id<piAId>-hash | first_party | 10 years | Hashed verification value paired with the visitor_id cookie, used by Salesforce Account Engagement to validate the integrity of the visitor identifier and prevent tampering or cookie injection. |
Salesforce Marketing Cloud Account Engagement utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Pardot dépose plusieurs cookies non essentiels, tous chargés par le script de tracking pi.js. Le principal est visitor_id suivi du numéro de compte Pardot (par exemple visitor_id12345), un identifiant persistant pouvant vivre jusqu'à dix ans par défaut. Il est accompagné de lpv plus numéro de compte (horodatage de la dernière page vue, utilisé pour dédupliquer les visites), d'un cookie de session pardot et de pi_opt_in lorsque la Pardot Consent API est activée. Selon la configuration du tracker domain, ces cookies sont écrits sur votre propre domaine marketing (première partie) ou sur pi.pardot.com (tierce partie). Aucun n'est strictement nécessaire, tous exigent donc un consentement préalable au titre de l'article 5(3) de la directive ePrivacy.
Oui. Pardot pratique un suivi inter sessions, identifie les leads via le cookie stitching et réalise un profilage automatisé par lead scoring. L'article 5(3) de la directive ePrivacy et l'article 82 de la loi Informatique et Libertés exigent un consentement préalable, libre, spécifique, éclairé et univoque pour tout stockage non essentiel. Le script Pardot doit donc être bloqué par défaut par votre CMP et chargé uniquement après acceptation de la catégorie marketing ou publicité. Les cases pré cochées, l'opt in implicite ou la simple poursuite de la navigation ne valent pas consentement.
Pour le tracking web et le profilage qui en découle, la seule base légale réaliste est le consentement au titre de l'article 6(1)(a) du RGPD, combiné à l'article 5(3) ePrivacy pour le stockage des cookies. L'intérêt légitime de l'article 6(1)(f) n'est pas approprié pour un suivi comportemental, des identifiants persistants et un profilage inter sessions, dans la mesure où les lignes directrices du CEPD et la CNIL considèrent que l'impact pour la personne concernée prévaut sur l'intérêt du responsable. Pour les contacts CRM existants, l'intérêt légitime ou l'exécution du contrat peut couvrir les communications transactionnelles, mais l'automatisation marketing, le scoring et le tracking par cookies reposent sur le consentement.
Oui. Salesforce Inc. est une société américaine et Account Engagement est principalement hébergé aux États-Unis. Les clients européens peuvent souscrire au pod EU avec une base de production à Francfort, mais le support global, les sous traitants et les intégrations Marketing Cloud peuvent générer des transferts hors EEE. Salesforce s'appuie sur les clauses contractuelles types version 2021 et est certifié au titre du EU-U.S. Data Privacy Framework, de son extension britannique et du Swiss-U.S. DPF. Vous devez documenter ces transferts dans votre registre, réaliser une analyse d'impact des transferts (TIA) et les mentionner dans votre politique de confidentialité.
Une AIPD est fortement recommandée et le plus souvent obligatoire. Pardot remplit plusieurs critères de la liste CEPD et CNIL qui déclenchent une analyse au titre de l'article 35 RGPD: suivi systématique des visiteurs, identifiants persistants, scoring automatisé pouvant produire des effets significatifs (contact commercial, exclusion de campagnes), traitement à grande échelle de données de contact et transferts vers un pays tiers. L'AIPD doit décrire le cycle de vie depuis la visite anonyme jusqu'au prospect identifié, évaluer la conservation, examiner l'impact du scoring automatisé, apprécier les CCT et le DPF, et définir des mesures d'atténuation comme la réduction des durées de cookies et l'emploi d'un tracker domain en première partie.
Traitez Pardot comme un outil marketing à charger uniquement après consentement. Bloquez le script pi.js par défaut dans votre tag manager et votre CMP, et chargez le seulement après acceptation de la catégorie marketing ou publicité. Mettez en place un tracker subdomain en première partie pour que les cookies soient écrits sur votre propre domaine marketing. Réduisez la durée de vie des cookies par rapport au paramètre par défaut de dix ans pour la ramener au minimum nécessaire à votre cycle de vente. Activez la Pardot Consent API pour honorer les opt out à l'échelle de la plateforme et supprimer ou suspendre les profils sur demande d'effacement. Limitez les champs des formulaires, séparez le consentement cookies du consentement aux communications, et mettez à jour la politique de confidentialité pour décrire le cookie stitching, le scoring automatisé et les transferts US.
Parmi les alternatives courantes en marketing automation, on retrouve HubSpot Marketing Hub (basé aux États-Unis, profil de confidentialité similaire), Adobe Marketo Engage (infrastructure US avec options régionales) et des éditeurs européens comme Brevo (anciennement Sendinblue), ActiveCampaign avec résidence EU, Mautic (open source, auto hébergeable) ou Plezi pour le B2B européen. Pour les déploiements très sensibles, vous pouvez aussi conserver la capture de leads entièrement côté serveur, l'intégrer directement à votre CRM sans tracking web, et mesurer la performance marketing avec une solution sans cookies comme Plausible, Matomo (auto hébergé) ou Fathom.
Listez explicitement les cookies Pardot dans votre politique de cookies: visitor_id (avec le suffixe du numéro de compte), lpv, pardot et pi_opt_in. Décrivez la finalité de chacun (identification du visiteur, dernière page vue, continuité de session, état de consentement), sa durée (de la session à plusieurs années), sa catégorie (marketing ou publicité) et son caractère première ou tierce partie selon votre configuration. Mentionnez Salesforce Inc. comme destinataire, expliquez que les données sont transférées aux États-Unis sur la base des CCT et du EU-U.S. Data Privacy Framework, et fournissez un lien vers la politique de confidentialité Salesforce. Les mêmes informations doivent figurer de manière granulaire dans le centre de préférences de votre CMP afin que les utilisateurs puissent accepter ou refuser spécifiquement Pardot.