Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

SharpSpring

Que fait SharpSpring (Constant Contact Lead Gen and CRM) ?

SharpSpring est une plateforme de marketing automation et de CRM désormais commercialisée sous le nom Constant Contact Lead Gen and CRM. Elle suit les visiteurs, capture les formulaires et exécute du lead scoring, en déposant des cookies d'identification persistants soumis au consentement préalable au titre du RGPD et de la directive ePrivacy.

Qu'est ce que SharpSpring et comment il fonctionne

SharpSpring, désormais commercialisé sous le nom Constant Contact Lead Gen and CRM, est une plateforme de marketing automation et de CRM exploitée par Constant Contact, Inc. aux États Unis. Elle est intégrée aux sites européens via un script JavaScript (souvent servi depuis marketingautomation.services ou hsforms.sharpspring.com) qui empreinte le visiteur, capture les soumissions de formulaires et rattache chaque interaction à un profil de lead persistant.

L'outil propose des landing pages, des formulaires dynamiques, du lead scoring, des campagnes email automatisées, des déclencheurs comportementaux et un CRM intégré. Chaque page vue et chaque formulaire rempli sont consignés dans l'identifiant visiteur, ce qui permet à SharpSpring d'accumuler rapidement des historiques comportementaux détaillés sur des prospects identifiés ou non.

Cookies et données collectées

SharpSpring dépose plusieurs cookies first party : __ss, __ss_tk, __ss_referrer, _ss_oka et _ss_ub. Il s'agit d'identifiants persistants utilisés pour reconnaître les visiteurs récurrents, rattacher l'activité anonyme à un contact connu après envoi d'un formulaire et alimenter le scoring comportemental. Le script collecte également l'adresse IP, le user agent, l'URL référente, le contenu des pages, la durée de visite et la charge utile des formulaires.

Base légale RGPD et ePrivacy

SharpSpring stocke et lit des informations non essentielles sur le terminal de l'utilisateur ; l'article 5(3) de la directive ePrivacy, transposé à l'article 82 de la Loi Informatique et Libertés, exige un consentement préalable libre, spécifique, éclairé et univoque avant l'exécution du script. La base légale RGPD est l'article 6(1)(a), le consentement, qui doit être obtenu via une CMP conforme avant le dépôt de tout cookie SharpSpring ou tout enrichissement de formulaire avec des données de suivi.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux de données

Toutes les données personnelles captées par SharpSpring sont transférées vers les infrastructures de Constant Contact aux États Unis. Depuis l'arrêt Schrems II, les transferts doivent s'appuyer sur un mécanisme valide au sens de l'article 46 du RGPD : Constant Contact, Inc. est certifié au EU US Data Privacy Framework et les clauses contractuelles types restent en place en repli. Le responsable de traitement doit documenter une analyse d'impact du transfert et ajouter des mesures supplémentaires comme le chiffrement en transit et des garanties contractuelles.

Étapes pratiques de mise en conformité

Conditionnez le script SharpSpring à une CMP, configurez le pour qu'il ne se charge qu'après consentement explicite, documentez une fiche de registre des activités de traitement, signez un accord de traitement avec Constant Contact, paramétrez les durées de conservation dans SharpSpring et actualisez votre politique de confidentialité et bannière cookies pour informer du transfert vers les États Unis et du profilage.

Categorie de consentement RGPD

Marketing

Les sites web utilisant SharpSpring (Constant Contact Lead Gen and CRM) doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArt. 6(1)(a) GDPR (consent) for marketing automation tracking and profiling cookies, in combination with Art. 5(3) ePrivacy Directive (and national transpositions such as TTDSG in Germany or article 82 Loi Informatique et Libertés in France). Art. 6(1)(f) GDPR (legitimate interest) may apply only to strictly aggregated security logs.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive, TTDSG, LOPDGDD, CNIL guidelines on trackers, EDPB Guidelines 03/2022 on consent, Schrems II ruling, EU US Data Privacy Framework, Standard Contractual Clauses

Considerations AIPD

Une analyse d'impact relative à la protection des données est fortement recommandée pour tout déploiement de SharpSpring en France. L'outil combine identifiants persistants, données de formulaires, journalisation d'IP et scoring comportemental, ce qui constitue un profilage systématique au sens de l'article 35(3)(a) du RGPD. L'AIPD doit documenter les flux vers Constant Contact aux États Unis, évaluer les mesures supplémentaires post Schrems II, examiner les durées de conservation des profils, mesurer l'incidence du scoring automatisé sur les personnes concernées et vérifier que le recueil du consentement est granulaire et révocable.

Exemple de texte de consentement

Nous utilisons SharpSpring (Constant Contact Lead Gen and CRM) pour vous reconnaître sur l'ensemble du site, relier vos envois de formulaires à un profil marketing et évaluer votre intérêt. Cela implique le dépôt de cookies d'identification et un transfert de vos données aux États Unis. SharpSpring ne sera activé qu'après votre clic sur Accepter. Vous pouvez retirer votre consentement à tout moment depuis nos paramètres de cookies.

Details techniques

Methode de suivicookies, JavaScript tracking pixel, form capture and IP logging

Localisation des serveursUnited States (Constant Contact, Inc., Massachusetts and AWS US regions)

Donnees transferees hors UEPersonal data including visitor identifiers, email addresses, browsing activity and form submissions is transferred from the EU to the United States where Constant Contact, Inc. (parent company of SharpSpring, now Constant Contact Lead Gen and CRM) operates its production infrastructure. Transfers rely on the EU US Data Privacy Framework certification combined with Standard Contractual Clauses and supplementary technical measures.

Domaines tiers contactes

sharpspring.commarketingautomation.serviceshsforms.sharpspring.comapp.sharpspring.comkoi.comapp.sharpspring.comkoi-3QNHL3VG3O.marketingautomation.servicessharpspringmail.comconstantcontact.com

Cookies deposes

Nom	Type	Duree	Finalite
__ss	HTTP	10 years	SharpSpring anonymous tracker identifier used to link visits, sessions and form submissions to a persistent profile.
__ss	first_party	1 year	Persistent SharpSpring visitor identifier used to recognise returning users and link sessions to a lead profile.
__ss_tk	first_party	1 year	Tracking token used to associate page views and form submissions with a SharpSpring contact record.
__ss_tk	HTTP	Session	SharpSpring session token used for in session correlation of events.
koitk	HTTP	1 year	Identifier set by the SharpSpring Koi tracking subdomain to support cross subdomain attribution.
__ss_referrer	first_party	Session	Stores the original referrer URL of the visitor for marketing attribution within SharpSpring.
_pk_id	HTTP	13 months	Stores a hashed prospect identifier when the user has been recognised via a previous form submission.
_ss_oka	first_party	1 year	Stores attribution and source information used by the SharpSpring campaign tracking engine.
_ss_ub	first_party	1 year	Behavioural identifier used by SharpSpring for visitor scoring and segmentation.
hubspotutk	third_party	6 months	Set when SharpSpring forms are embedded via the HubSpot derived hsforms endpoint to identify visitors.

SharpSpring (Constant Contact Lead Gen and CRM) utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies SharpSpring dépose t il sur mon site ?

SharpSpring dépose plusieurs cookies first party : __ss, __ss_tk, __ss_referrer, _ss_oka et _ss_ub. Ce sont des identifiants persistants de visiteur utilisés pour suivre le comportement entre sessions et relier l'activité anonyme à un contact connu après envoi d'un formulaire.

Quels cookies SharpSpring dépose t il ?

SharpSpring dépose des cookies first party tels que __ss (identifiant anonyme du tracker, jusqu'à 10 ans), __ss_tk (jeton de session), koitk (sous domaine Koi, 1 an) et peut stocker un identifiant de prospect haché. Il appelle aussi des sous domaines Koi pour enregistrer les événements.

Le consentement est il nécessaire avant de charger SharpSpring ?

Oui. SharpSpring dépose des cookies non essentiels et effectue du profilage : un consentement préalable libre, spécifique, éclairé et univoque est exigé par l'article 82 de la Loi Informatique et Libertés et par l'article 6(1)(a) du RGPD. Le script doit rester bloqué tant que l'utilisateur n'a pas accepté.

SharpSpring nécessite t il le consentement de l'utilisateur ?

Oui. SharpSpring déclenche du tracking comportemental et dépose des cookies persistants ; conformément à l'article 5(3) de la directive ePrivacy, son chargeur doit attendre un opt in explicite. Les régulateurs européens traitent ces pixels d'automatisation marketing comme non strictement nécessaires.

Quelle est la base légale du traitement avec SharpSpring ?

La base principale est le consentement au titre de l'article 6(1)(a) du RGPD pour le suivi marketing et le profilage. Une fois le contact devenu client, l'exécution du contrat (article 6(1)(b)) peut couvrir les emails transactionnels, et l'intérêt légitime (article 6(1)(f)) ne couvre que des journaux techniques limités.

Quelle est la base légale du traitement avec SharpSpring ?

Le consentement (art. 6(1)(a) RGPD) est requis pour le pixel et les cookies. L'intérêt légitime (art. 6(1)(f) RGPD) peut couvrir la gestion interne des leads une fois le consentement collecté et le test de balance documenté.

SharpSpring transfère t il mes données aux États Unis ?

Oui. SharpSpring est exploité par Constant Contact, Inc. aux États Unis. Les profils visiteurs, les adresses IP et les formulaires sont traités sur des infrastructures américaines. Les transferts s'appuient sur le EU US Data Privacy Framework et sur les clauses contractuelles types avec mesures supplémentaires.

SharpSpring transfère t il des données hors UE (en particulier vers les États Unis) ?

Oui. SharpSpring tourne sur l'infrastructure américaine de Constant Contact. Utilisez les CCT article 46(2)(c) RGPD et appuyez vous, si l'entité est certifiée, sur le Data Privacy Framework UE États Unis. Réalisez une AIT.

Dois je réaliser une AIPD pour SharpSpring ?

Une AIPD est fortement recommandée. La combinaison d'identifiants persistants, de profilage, de lead scoring et de transferts internationaux active les critères de l'article 35(3)(a) du RGPD. L'AIPD doit évaluer les risques Schrems II, les durées de conservation, la prise de décision automatisée et la qualité du consentement.

Une AIPD est elle nécessaire pour SharpSpring ?

Oui : SharpSpring combine du tracking comportemental à grande échelle, du lead scoring et de l'automatisation email hébergés aux États Unis. Documentez les flux de données, les acteurs, les transferts et les garanties.

Comment déployer SharpSpring de manière conforme dans l'UE ?

Bloquez le script par défaut, intégrez le à une CMP, ne le déclenchez qu'après opt in explicite, signez un contrat de sous traitance avec Constant Contact, paramétrez les durées de conservation dans SharpSpring et mentionnez le transfert vers les États Unis dans votre politique de confidentialité.

Comment déployer SharpSpring en conformité RGPD ?

Bloquez le tracker par défaut, déclenchez le après le consentement marketing, signez le contrat de sous traitance Constant Contact, journalisez la preuve de consentement avec le lead, plafonnez les cookies à 13 mois, documentez la conservation et offrez un chemin clair pour retirer le consentement et exercer ses droits.

Quelles sont les alternatives à SharpSpring ?

Pour une automation marketing plus européenne : Brevo (France), Mailerlite, ActiveCampaign (avec CCT), Plezi (France) en B2B, ou HubSpot Starter combiné à un CMP qui contrôle le chargement du tracker.

Existe t il des alternatives européennes à SharpSpring ?

Oui. Brevo (France), Plezi (France), Webmecanik (France) et Salesmanago (Pologne) proposent du marketing automation hébergé dans l'Union européenne, ce qui réduit l'exposition Schrems II par rapport aux plateformes américaines.

Comment mettre à jour ma politique cookies pour SharpSpring ?

Listez chaque cookie SharpSpring (__ss, __ss_tk, __ss_referrer, _ss_oka, _ss_ub) avec sa finalité, son type et sa durée, mentionnez Constant Contact, Inc. comme destinataire, indiquez le transfert vers les États Unis et proposez un lien fonctionnel pour retirer le consentement via votre CMP.

Comment mettre à jour ma politique cookies pour inclure SharpSpring ?

Indiquez le responsable, le sous traitant (Constant Contact), les finalités (tracking marketing, automation), les cookies, les domaines koi.com, les transferts vers les États Unis et leur base juridique, ainsi que les droits et le mécanisme de retrait.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min