Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Upstack Data est une plateforme server-side pour Shopify et autres boutiques en ligne, qui capture les événements de conversion puis les transmet à des destinations publicitaires et analytiques comme Meta, Google, TikTok et Pinterest, souvent via un reverse proxy en first-party.
Upstack Data est une plateforme de conversion server-side destinée à Shopify et aux autres stacks ecommerce. Elle capture les vues de page, les vues de produit, les ajouts au panier, le checkout et les achats, puis les transmet à des destinations publicitaires et analytiques via des API serveur à serveur comme la Conversions API de Meta, Enhanced Conversions de Google Ads, l'Events API de TikTok ou la Conversions API de Pinterest. Un petit script de chargement s'exécute sur la boutique tandis que les événements de commande sont lus depuis les webhooks Shopify. De nombreux marchands européens installent ce script via un reverse proxy sur leur propre domaine.
Même avec une architecture server-side, Upstack Data utilise des identifiants navigateur pour relier sessions et conversions. On retrouve un cookie d'identifiant first-party, les cookies publicitaires des destinations comme _fbp pour Meta, et des identifiants hachés issus du checkout, par exemple email ou téléphone. La plateforme traite aussi l'adresse IP, le user agent, le numéro de commande, les articles et le chiffre d'affaires. Le proxy étant servi sur un sous-domaine du marchand, les cookies sont écrits avec les attributs SameSite et Secure du domaine principal, ce qui rallonge leur durée effective dans les navigateurs limitant le stockage tiers.
Server-side n'est pas synonyme d'absence de consentement. L'article 5(3) de la directive ePrivacy et les lignes directrices CNIL de 2020 imposent un consentement préalable pour toute lecture ou écriture d'identifiants sur le terminal, indépendamment du lieu du traitement. La transmission d'emails hachés, d'adresses IP et de données de commande à Meta, Google, TikTok ou Pinterest constitue un traitement de données personnelles au sens de l'article 4 du RGPD, souvent en responsabilité conjointe pour la création d'audiences publicitaires. Une base légale documentée, en pratique le consentement, ainsi qu'une information transparente dans la politique de confidentialité, sont indispensables.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
L'infrastructure d'Upstack Data tourne sur AWS aux États-Unis et la plupart des destinations publicitaires sont des responsables américains. Les transferts s'appuient sur les Clauses Contractuelles Types et, lorsque la destination est certifiée, sur le Data Privacy Framework UE: USA. Depuis l'arrêt Schrems II, les responsables doivent réaliser une analyse d'impact des transferts, évaluer des mesures supplémentaires comme la troncation d'IP, le hachage des identifiants avant envoi et la minimisation des charges utiles, puis tenir cette documentation à la disposition de l'autorité de contrôle.
Les balises ne doivent pas se déclencher et le proxy ne doit pas relayer d'événements marketing tant que la visiteuse n'a pas consenti à la publicité et à l'analyse. Intégrez Upstack Data à votre plateforme de gestion du consentement afin que le loader lise le signal TCF ou personnalisé, conditionne chaque destination en conséquence et n'écrive aucun cookie non essentiel avant opt in. La page de confirmation de commande doit respecter la même logique, l'événement post achat étant le plus sensible envoyé aux API publicitaires.
Listez Upstack Data et chaque destination dans votre registre des traitements et votre politique cookies, en détaillant catégories de données, durées et mécanismes de transfert. Réalisez une AIPD avant la mise en production, encadrez Upstack Data par un contrat de sous-traitance avec sous-traitants ultérieurs déclarés, et vérifiez que les identifiants hachés ne partent qu'après consentement. Testez le reverse proxy en consentement refusé pour confirmer qu'aucun événement marketing ne quitte le domaine et révisez la configuration à chaque ajout de destination.
Les sites web utilisant Upstack Data doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données est recommandée car Upstack Data combine suivi de conversion server-side, enrichissement d'audiences publicitaires et transferts vers les États-Unis. Documentez les catégories d'événements et d'identifiants, l'architecture du reverse proxy, le recours aux CCT et au Data Privacy Framework UE: USA pour chaque destination, ainsi que la durée de conservation des journaux bruts. La CNIL et l'EDPB attendent une analyse d'impact des transferts en complément, dès lors que Meta, Google, TikTok ou Pinterest reçoivent des signaux enrichis.
Exemple de texte de consentement
Nous utilisons Upstack Data pour transmettre des événements de conversion à des partenaires publicitaires et analytiques via une chaîne server-side, ce qui implique des transferts vers les États-Unis. Avec votre consentement, nous partageons des identifiants hachés ainsi que des données de panier et de commande afin de mesurer les campagnes et d'affiner les audiences. Vous pouvez accepter, refuser ou modifier votre choix à tout moment depuis le lien de gestion des cookies en pied de page.
Domaines tiers contactes
upstackdata.comapi.upstackdata.comcdn.upstackdata.comgraph.facebook.comgoogleads.g.doubleclick.netbusiness-api.tiktok.comct.pinterest.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _uc_visitor | first_party | 1 year | Persistent first-party identifier set by the Upstack Data loader to stitch sessions and conversions across pages and channels. |
| _uc_session | first_party | 30 minutes | Session cookie used by Upstack Data to group events that belong to the same visit and to deduplicate server-side calls. |
| _fbp | first_party | 90 days | Meta browser identifier dropped via the Upstack Data integration and forwarded to the Meta Conversions API for ad attribution. |
| _gcl_au | first_party | 90 days | Google Ads conversion linker cookie written through the Upstack Data loader to support Enhanced Conversions and attribution. |
| _ttp | first_party | 13 months | TikTok pixel identifier set on the merchant domain by the Upstack Data integration to associate visits with TikTok ad campaigns. |
| _pin_unauth | first_party | 1 year | Pinterest identifier deployed via Upstack Data to attribute conversions sent through the Pinterest Conversions API. |
Upstack Data utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Oui. Même si l'essentiel du traitement est server-side, Upstack Data écrit un cookie d'identifiant first-party pour relier les sessions et transmettre les événements, et les destinations comme Meta ou Google posent leurs propres cookies via l'intégration. Comme ces identifiants sont stockés sur le terminal, l'article 5(3) de la directive ePrivacy s'applique et un consentement préalable est requis.
Dans la quasi-totalité des déploiements, oui. Le server-side ne change que le lieu de traitement de la requête, pas le fait que des identifiants sont stockés sur le terminal ni que des données personnelles sont partagées avec des partenaires publicitaires. La CNIL, l'AEPD et la DSK allemande ont confirmé que le proxy server-side ne contourne pas la règle du consentement.
Les événements marketing transmis via Upstack Data à Meta, Google, TikTok ou Pinterest reposent sur l'article 6(1)(a), c'est à dire le consentement. Les plateformes agissent en responsabilité conjointe ou indépendante selon la destination, et la plupart exigent désormais une attestation que le consentement a bien été collecté. L'intérêt légitime n'est généralement pas adapté à la création d'audiences publicitaires selon les lignes directrices de l'EDPB.
Ils peuvent l'être, à condition de mettre en place les bonnes garanties. Upstack Data héberge sur AWS aux États-Unis et la plupart des destinations sont américaines, donc les transferts s'appuient sur les CCT et, si le destinataire est certifié, sur le Data Privacy Framework UE: USA. Le responsable doit réaliser une analyse d'impact des transferts, documenter des mesures supplémentaires comme le hachage et la minimisation d'IP, et tenir ces preuves à disposition de la CNIL.
Une AIPD est fortement recommandée. La combinaison de suivi ecommerce à grande échelle, d'enrichissement d'audiences publicitaires et de transferts vers les États-Unis remplit plusieurs critères des lignes directrices de l'EDPB. L'analyse doit décrire les flux passant par le reverse proxy, les destinations, la base légale, la durée de conservation et le risque résiduel après les mesures de consentement et de minimisation.
Connectez Upstack Data à votre plateforme de gestion du consentement afin que le loader lise le signal avant l'initialisation et le respecte pour chaque destination. Configurez la plateforme pour suspendre les événements marketing tant que le consentement publicitaire est refusé, et basculer sur une analyse anonyme si seul le consentement statistiques est accordé. Testez la page post achat en consentement refusé pour vérifier qu'aucun événement n'atteint Meta, Google ou TikTok.
Si le consentement est refusé, limitez Upstack Data au traitement strictement nécessaire de la commande, ou désactivez le. Vous pouvez conserver un reporting agrégé sans identifiant via Shopify Analytics ou une solution analytique respectueuse de la vie privée, et privilégier la publicité contextuelle. Certains marchands implémentent une mesure de conversion strictement server-side, sans identifiant de terminal, sur la base d'un intérêt légitime documenté.
Indiquez Upstack Data comme plateforme de données server-side, précisez son fonctionnement via un reverse proxy sur un sous-domaine first-party, et décrivez les cookies écrits, leurs durées et leurs finalités. Mentionnez les destinations comme Meta, Google, TikTok et Pinterest, les catégories de données partagées, la base légale, le recours aux CCT et au Data Privacy Framework, ainsi que les modalités d'exercice des droits des personnes.