Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Tomi.ai

Que fait TomiAI ?

TomiAI est une plateforme de marketing IA qui prédit l'intention de conversion, le risque de churn et des scores d'audience à partir du comportement web et des données CRM, avec un SDK JavaScript qui capture les événements et une API de scoring qui alimente personnalisation, lead scoring et activation d'audiences.

Présentation de TomiAI

TomiAI est une plateforme d'intelligence artificielle marketing qui aide les marques à prédire l'intention de conversion, le risque de churn et l'affinité d'audience à partir d'un mix de comportement web, données CRM et historique transactionnel. Le produit propose un SDK JavaScript qui capture les événements sur le site annonceur, des connecteurs serveur avec Shopify, HubSpot et Salesforce, et une API de scoring qui retourne des scores prédits et des audiences recommandées. Les équipes marketing s'en servent pour la personnalisation home et fiches produit, l'export d'audiences vers les plateformes publicitaires et la priorisation des leads CRM.

Cookies et collecte d'événements

TomiAI est implémenté via un SDK JavaScript qui pose un cookie first-party portant l'identifiant visiteur TomiAI et transmet pageviews, soumissions de formulaires, ajouts au panier, inscriptions et achats à l'endpoint d'ingestion. Des emails hachés et identifiants CRM peuvent être ajoutés aux événements pour le matching multi-appareils. Le cookie est de longue durée et persiste l'identifiant visiteur entre les sessions, ce qui place le SDK sous l'article 5(3) ePrivacy : un consentement préalable est requis avant chargement pour personnalisation, scoring et activation d'audiences IA.

Rôles RGPD et obligations IA

Lorsqu'une marque utilise TomiAI, la marque est responsable de traitement et TomiAI sous-traitant au sens de l'article 28 RGPD pour les événements et les données CRM. Les modèles IA sont entraînés sur des données agrégées et nécessitent une base légale claire, dont le consentement pour le scoring non strictement nécessaire et l'intérêt légitime avec test d'équilibrage pour certains scorings CRM. Les lignes directrices EDPB sur la décision automatisée et le profilage s'appliquent, en particulier lorsque les scores influencent les offres, et l'AI Act ajoute des obligations de transparence et un classement des usages.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentement, profilage et marketing direct

Le scoring comportemental qui sert à cibler les visiteurs avec des messages personnalisés ou des audiences repose sur l'article 6(1)(a) RGPD, le consentement. La recommandation CNIL sur le profilage à des fins de prospection et les orientations EDPB confirment qu'il faut un consentement préalable pour stocker des identifiants, construire des profils et servir des contenus personnalisés, et que le refus doit être aussi accessible que l'acceptation. Un scoring CRM étroit sur des clients existants peut reposer sur l'intérêt légitime documenté avec un droit d'opposition clair.

Transferts vers les États-Unis et Schrems II

L'ingestion et l'entraînement IA tournent en majorité aux États-Unis, avec une option de résidence UE à Francfort pour le store d'événements. Les transferts s'appuient sur les Clauses Contractuelles Types et, lorsque TomiAI est certifié, sur le Data Privacy Framework UE: USA, et exigent une analyse d'impact des transferts conforme aux recommandations EDPB. Les mesures supplémentaires incluent troncation d'IP, hachage, chiffrement champ par champ et rétention courte. Cartographiez l'accès du support et de l'ingénierie US.

Étapes pratiques de conformité

Traitez TomiAI comme un service de profilage à haut risque qui nécessite un consentement pour les usages non strictement nécessaires. Configurez la CMP pour ne charger le SDK qu'après consentement pour la personnalisation et l'analytique IA et veillez à ce qu'aucun événement ne parte avant. Signez le contrat de sous-traitance et l'avenant protection des données, demandez la liste des sous-traitants et documentez les mesures supplémentaires. Mettez à jour politique cookies et notice. Réalisez une AIPD avant la mise en production.

Categorie de consentement RGPD

Marketing

Les sites web utilisant TomiAI doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(a) GDPR consent for the behavioural identifiers, scoring cookies, and AI driven personalisation that fall within the scope of ePrivacy Article 5(3) for storage and access on the device. CRM scoring of existing customers based on transactional data can rely on Article 6(1)(b) performance of contract and on Article 6(1)(f) legitimate interest with a documented balancing test, in line with the EDPB direct marketing guidelines and the CNIL position on customer scoring.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, French Data Protection Act and CNIL guidelines on profiling and scoring, German TDDDG, Spanish LSSI and AEPD cookie guidance, UK PECR, EDPB guidelines on automated decision making and profiling, EU AI Act provisions on profiling and high risk uses, EU: US Data Privacy Framework, US state privacy laws including CCPA, CPRA, and the Virginia, Colorado, Connecticut, and Utah laws.

Considerations AIPD

Une AIPD est requise pour la plupart des déploiements TomiAI car la plateforme fait du profilage systématique, du scoring automatisé d'intention de conversion et de churn, et combine comportement web avec données CRM et transactionnelles. Documentez les catégories de données, les modèles IA, les sorties de scoring, la supervision humaine pour les décisions à fort impact et les mesures supplémentaires pour les transferts vers les États-Unis. Référez vous aux lignes directrices EDPB sur le profilage, à la position CNIL sur le scoring client et à la qualification AI Act.

Exemple de texte de consentement

Nous utilisons TomiAI pour prédire vos centres d'intérêt et personnaliser nos communications. Avec votre consentement, nous déposons un cookie first-party et envoyons vos interactions sur ce site à l'API de scoring TomiAI aux États-Unis pour calculer des scores d'audience et d'intention. Vous pouvez modifier ou retirer votre choix à tout moment depuis le lien de gestion des cookies en pied de page.

Details techniques

Methode de suiviJavaScript SDK loaded on advertiser sites that captures pageviews, form submits, add to cart, signups, and purchase events, sets a first-party cookie with a TomiAI visitor identifier, and forwards events to the TomiAI scoring API. Server side ingestion accepts CRM exports through secure file uploads and webhook integrations with Shopify, HubSpot, and Salesforce, where AI models score conversion intent, churn risk, and recommended audiences.

Localisation des serveursUnited States and European Union, with TomiAI processing event data and AI scoring on Amazon Web Services regions in the United States and selectively in Frankfurt for European customers. Customers can request EU data residency for the event store, but the AI training pipeline and historical reporting may still rely on US infrastructure depending on the contract.

Donnees transferees hors UEVisitor event payloads, IP addresses, hashed email addresses, behavioural scores, and CRM uploads can be processed by TomiAI on infrastructure located in the United States. Transfers rely on Standard Contractual Clauses and on the EU: US Data Privacy Framework where TomiAI is certified, with supplementary measures such as IP truncation and field level encryption that the controller can enable. Customers on the EU residency tier limit the bulk of processing to Frankfurt, but support and engineering access from the United States remains in scope.

Domaines tiers contactes

tomi.aiapi.tomi.aievents.tomi.aicdn.tomi.aiapp.tomi.ai

Cookies deposes

Nom	Type	Duree	Finalite
_tomi_uid	first_party	1 year	First-party identifier set by the TomiAI SDK to recognise the visitor across sessions and to feed AI scoring and audience activation.
_tomi_sess	first_party	Session	Short-lived cookie used by the TomiAI SDK to group events of the current visit before they are sent to the scoring API.
_tomi_consent	first_party	6 months	Stores the visitor consent state shared with the TomiAI SDK so that scoring and personalisation only run after consent.
_tomi_aud	first_party	180 days	Caches the audience and intent scores returned by TomiAI for the current visitor to power on site personalisation.

TomiAI utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

TomiAI dépose-t-il des cookies ?

Oui. TomiAI pose un cookie first-party qui porte l'identifiant visiteur TomiAI et persiste le visiteur entre les sessions, relie les événements à un profil et alimente les modèles de scoring IA. Ce cookie est non strictement nécessaire car il sert au profilage, à la personnalisation et à l'activation d'audiences, donc l'article 5(3) ePrivacy s'applique et un consentement préalable est requis.

Le consentement est-il requis en UE ?

Oui pour les fonctionnalités de scoring comportemental, personnalisation et activation d'audiences, qui stockent des identifiants et construisent un profil. Un scoring CRM étroit sur des clients existants peut reposer sur l'intérêt légitime documenté, mais le SDK web par défaut exige un consentement RGPD article 6(1)(a) recueilli via une CMP conforme.

Quelle base légale pour TomiAI ?

Le SDK web repose sur l'article 6(1)(a) RGPD, le consentement. Le scoring CRM sur des clients existants peut reposer sur l'article 6(1)(b) exécution du contrat ou l'article 6(1)(f) intérêt légitime, avec test d'équilibrage documenté, conformément aux lignes directrices EDPB. Aucune donnée sensible ne doit être envoyée sans base juridique spécifique au sens de l'article 9.

Où sont envoyées les données TomiAI ?

L'essentiel du traitement se fait sur Amazon Web Services aux États-Unis, avec une option de résidence UE à Francfort pour le store d'événements. Les transferts reposent sur les Clauses Contractuelles Types et le Data Privacy Framework UE: USA lorsque TomiAI y est certifié, et sur une analyse d'impact des transferts avec mesures supplémentaires comme troncation d'IP et chiffrement par champ.

Faut-il une AIPD avant d'utiliser TomiAI ?

Oui. La plateforme fait du profilage systématique, du scoring IA et combine comportement web et données CRM, ce que les lignes directrices EDPB AIPD et les listes CNIL et AEPD considèrent comme à haut risque. Documentez les catégories de données, les modèles, la supervision humaine et les mesures supplémentaires, et tenez compte du classement AI Act.

Comment mettre en place le gating de consentement ?

Configurez dans la CMP une finalité personnalisation et scoring IA, et ne chargez le SDK TomiAI qu'après consentement pour cette finalité. Assurez vous qu'aucun cookie first-party n'est posé avant consentement et que l'identifiant visiteur n'est généré qu'après opt in. Rendez le refus aussi accessible que l'acceptation et documentez la configuration.

Quelles alternatives en cas de refus ?

En cas de refus, basculez sur des contenus non personnalisés et un scoring CRM agrégé fondé uniquement sur les données transactionnelles. Le scoring serveur sur les clients existants peut tourner sans événements web, et la personnalisation peut s'appuyer sur le contexte et la catégorie de contenu. Le SDK TomiAI ne se charge pas, aucun cookie n'est posé et aucun événement n'est envoyé.

Comment décrire TomiAI dans la politique cookies ?

Indiquez TomiAI comme sous-traitant pour le scoring comportemental, la personnalisation et l'activation d'audiences IA. Décrivez le cookie posé, sa durée et sa finalité, et mentionnez les catégories d'événements capturés par le SDK. Précisez le transfert vers les États-Unis, citez le Data Privacy Framework UE: USA et les CCT, et liez la notice de confidentialité TomiAI. Indiquez les modalités d'exercice des droits.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min