Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
AddShoppers est une coopérative américaine de résolution d'identité et de marketing par e mail qui relie les visiteurs anonymes d'un site à des adresses e mail connues grâce à un graphe partagé entre des centaines de marchands, puis active le reciblage e mail, la relance de panier abandonné et la personnalisation sur site. Parce que le service procède à une ré identification cross site à l'insu de la personne concernée, il présente un risque très élevé et exige un consentement explicite, libre, spécifique, éclairé et univoque au sens de l'article 7 du RGPD et de l'article 5(3) de la directive ePrivacy.
AddShoppers est une société américaine basée à Charlotte (Caroline du Nord) qui opère un réseau coopératif de résolution d''identité et de reciblage e mail dédié au e commerce. Lorsqu''un internaute arrive sur un site marchand membre, AddShoppers dépose un pixel et lit un cookie coopératif partagé. Si l''internaute a déjà saisi son e mail sur n''importe lequel des centaines de marchands du réseau, AddShoppers peut ré identifier le navigateur anonyme, attacher l''adresse e mail connue et déclencher des e mails personnalisés, des messages d''abandon de panier ou des offres sur site. Cette logique diffère fondamentalement d''un simple prestataire d''e mailing : AddShoppers mutualise des identifiants de première partie entre de nombreux responsables de traitement, ce qui correspond précisément à la pratique que le CEPD, la CNIL, l''AEPD et l''ICO ont qualifiée de très haut risque.
L''article 7 du RGPD exige un consentement libre, spécifique, éclairé et univoque, et le responsable doit pouvoir le démontrer (art. 7(1)). Les lignes directrices 05/2020 du CEPD sur le consentement et l''avis 28/2024 du CEPD sur l''intérêt légitime indiquent clairement qu''un opt in enfoui dans une politique de confidentialité ou dans un bandeau cookies générique ne satisfait pas à ces exigences. La résolution d''identité est le cas d''école où le consentement doit être granulaire, par couches et non groupé avec d''autres finalités. L''article 5(3) de la directive ePrivacy impose en outre le consentement avant toute lecture ou écriture sur le terminal de l''utilisateur, ce qui couvre le pixel et le cookie coopératif. Sans opt in séparé et explicite, le déploiement d''AddShoppers est presque certainement illicite dans l''EEE et au Royaume Uni.
AddShoppers traite les données aux États Unis. À la suite de l''arrêt Schrems II (CJUE C 311/18), tout transfert vers les États Unis exige un mécanisme valide (décision d''adéquation EU US Data Privacy Framework du 10 juillet 2023, ou clauses contractuelles types accompagnées d''une analyse d''impact du transfert et de mesures supplémentaires). Le responsable doit vérifier que AddShoppers est auto certifié au titre du DPF, documenter le TIA et informer les personnes concernées que leurs données de navigation, leur e mail et les attributs déduits quittent l''EEE pour les États Unis. La combinaison d''une adresse e mail et d''un historique de navigation peut constituer un identifiant sensible déclenchant une surveillance renforcée au titre de la FISA 702 et de l''Executive Order 12333.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La CNIL a sanctionné à plusieurs reprises des acteurs de l''adtech et de l''identity graph (décisions Criteo, Voodoo, Tagadamedia) et exige des boutons accepter et refuser symétriques. L''AEPD espagnole a explicitement mis en garde contre les graphes d''identité qui croisent des listes e mail hors ligne avec le comportement en ligne. L''avis de l''ICO britannique sur l''adtech et le rapport sur l''usage des données personnelles dans la publicité en ligne questionnent directement la licéité du partage coopératif d''identifiants. Aux États Unis, la FTC a engagé des actions contre des sociétés pratiquant le partage occulte de données et l''identity stitching (affaires InMarket Media, X Mode), et la section 5 du FTC Act interdit les pratiques déloyales ou trompeuses.
Un déploiement conforme suppose : (1) une AIPD complète au titre de l''article 35, (2) un opt in séparé et granulaire pour la résolution d''identité et le partage coopératif, distinct du bandeau cookies, (3) un accord de responsabilité conjointe au titre de l''article 26 entre l''éditeur, AddShoppers et les membres de la coopérative, (4) un TIA documenté pour les transferts US, (5) des mentions des articles 13/14 mises à jour nommant AddShoppers, listant les catégories de destinataires et expliquant la ré identification, (6) un mécanisme de retrait du consentement propagé à la coopérative et déclenchant la suppression e mail et graphe, (7) une durée de conservation plafonnée (24 mois max recommandés), (8) la prise en compte du signal Global Privacy Control et du droit d''opt out CCPA, (9) le blocage du script par défaut tant que le consentement n''a pas été recueilli. Lorsque ces conditions ne peuvent être réunies, la réponse licite est de ne pas déployer AddShoppers dans l''EEE ou au Royaume Uni.
Les sites web utilisant AddShoppers doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
AddShoppers déclenche une AIPD à fort impact au titre de l'article 35 du RGPD car il combine : (1) la surveillance systématique sur de nombreux sites via un graphe d'identité coopératif, (2) la ré identification de visiteurs anonymes à des adresses e mail qu'ils n'ont pas sciemment transmises à l'éditeur, (3) la prise de décision automatisée à des fins de ciblage marketing (article 22 lorsque des effets significatifs existent), (4) le traitement à grande échelle de données de contact pouvant inclure des catégories spéciales déduites de la navigation (article 9), (5) des transferts systématiques vers les États Unis exigeant, après Schrems II, des mesures techniques, contractuelles et organisationnelles supplémentaires. L'AIPD doit évaluer : la base légale (le consentement étant la seule réaliste), la proportionnalité et la nécessité, la minimisation des données, la responsabilité conjointe avec la coopérative au titre de l'article 26, l'analyse d'impact du transfert, la conservation (24 mois maximum recommandés), les droits des personnes y compris le droit d'opposition de l'article 21 et le droit de ne pas faire l'objet d'un profilage automatisé. L'avis 28/2024 du CEPD sur l'intérêt légitime, les lignes directrices de la CNIL sur les cookies et traceurs, les orientations de l'AEPD sur les identity graphs et l'avis de l'ICO sur l'adtech concluent que la résolution d'identité ne peut reposer sur l'intérêt légitime. Un second consentement granulaire est requis pour la mutualisation coopérative.
Exemple de texte de consentement
Nous utilisons AddShoppers, une coopérative américaine de résolution d'identité et de reciblage e mail, pour vous reconnaître sur notre site et vous adresser des e mails personnalisés (y compris des relances de panier abandonné) en utilisant votre adresse e mail partagée par d'autres marchands du réseau AddShoppers. Vos données de navigation et votre e mail sont transférés aux États Unis et mutualisés avec des centaines d'autres marchands. La base légale est votre consentement explicite au sens de l'article 7 du RGPD et de l'article 5(3) ePrivacy. Vous pouvez retirer votre consentement à tout moment sans affecter les traitements antérieurs et vous opposer au titre de l'article 21. Consentez vous à la résolution d'identité et au reciblage e mail par AddShoppers et sa coopérative de marchands ?
Domaines tiers contactes
addshoppers.comwww.addshoppers.comfastapi.addshoppers.comapi.addshoppers.comshop.pecdn.shop.pestatic.shop.petags.shop.pepixel.addshoppers.comrum.addshoppers.comedge.addshoppers.comcollect.addshoppers.comoptout.addshoppers.comprivacy.addshoppers.comcdn.addshoppers.comsafeoptr.comcdn.safeoptr.comsafeopt.coma.safeopt.comaddshoppers-prod.s3.amazonaws.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _AddShoppers | http_cookie | 1 year | Primary AddShoppers identifier used to track the visitor across participating retailer sites in the cooperative network. This is the cornerstone of the identity graph: the same value is read on every member site, enabling cross site re identification. Requires explicit consent under ePrivacy Article 5(3) and is the cookie that triggers the very high risk classification under GDPR. |
| _as_visit | http_cookie | Session | Session level cookie used by AddShoppers to track a single browsing session on the publisher site (page views, products viewed, cart events). Feeds the cooperative identity graph in real time and supports abandoned cart recovery emails. Consent required under ePrivacy 5(3). |
| _asuid | http_cookie | 2 years | AddShoppers user identifier persisted across sessions. Once the user has been re identified via the cooperative graph and matched to an email address, this cookie binds the email to the browser. Highly intrusive: enables long term cross site tracking and email retargeting. Triggers Article 7 informed consent and Article 26 joint controllership analysis. |
| _as_consent | http_cookie | 1 year | AddShoppers consent state cookie. Records whether the visitor has opted in or opted out of identity resolution and email retargeting. Must reflect the actual choice expressed via the publisher CMP and be respected by the cooperative. |
| _AddShoppers_session | http_cookie | 30 minutes | Short lived session cookie used to deduplicate events and to bind page views to the cooperative identifier. Loaded only after consent is granted. Used in conjunction with the AddShoppers pixel and server to server postback for identity resolution. |
| as_email_match | http_cookie | 24 months | Cookie that stores a hashed email identifier once the cooperative graph has matched the anonymous browser to a known email address. Allows email retargeting and personalization on subsequent visits. Constitutes personal data under GDPR (a hashed email remains identifying when linked back to a browser). |
| _as_attribution | http_cookie | 90 days | Attribution cookie used to credit AddShoppers triggered emails (abandoned cart, browse abandonment, post purchase) when the visitor returns to the site and completes a transaction. Supports closed loop reporting back to the cooperative network. Personal data; consent required. |
| _as_seg | http_cookie | 12 months | Segmentation cookie that stores derived audience labels assigned by the AddShoppers cooperative (high intent buyer, cart abandoner, lifecycle stage, product affinity). Used for on site personalization and email targeting. Inferred attributes from this cookie can constitute special category data under GDPR Article 9 if they reveal sensitive information. |
| as_optout | http_cookie | 10 years | Opt out cookie that records a withdrawal of consent. Long lived to prevent re prompting users who have refused. Must be honored by the AddShoppers pixel and propagated to the cooperative graph for deletion of derived data. |
| _as_dpf | http_cookie | 6 months | Cookie used to record acknowledgement that the visitor has been informed of the US transfer under the EU US Data Privacy Framework and Schrems II. Used as part of the controller documentation of the transfer impact assessment. |
| local_storage_as_id | local_storage | Persistent until cleared | Local storage entry that mirrors the AddShoppers cooperative identifier. Used as a fallback in browsers that restrict third party cookies (Safari ITP, Firefox ETP). Subject to ePrivacy Article 5(3) consent because writing to local storage is treated equivalently to setting a cookie. |
| as_pixel_fp | fingerprint | 6 months | Device and browser fingerprint signal computed by the AddShoppers pixel (user agent, screen, fonts, canvas, language). Used to strengthen cross device matching in the cooperative graph. The CNIL and EDPB consider device fingerprinting an Article 5(3) ePrivacy access to terminal information requiring consent. |
AddShoppers utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
AddShoppers est une technologie américaine de résolution d'identité et de marketing par e mail exploitée par AddShoppers, Inc. (Charlotte, Caroline du Nord). Elle installe un pixel et un cookie coopératif sur les sites de marchands participants. Lorsqu'un visiteur arrive, AddShoppers tente de ré identifier le navigateur anonyme en l'appariant à un graphe d'identité alimenté par des centaines d'autres marchands. En cas de correspondance, l'adresse e mail (collectée antérieurement par un autre marchand de la coopérative) est attachée à la session, ce qui déclenche e mails personnalisés, messages d'abandon de panier et offres sur site. Sur le plan de la vie privée, il s'agit de tracking cross site, de résolution d'identité et de reciblage e mail, traitements considérés comme à très haut risque par le CEPD, la CNIL, l'AEPD et l'ICO et exigeant un consentement explicite et éclairé.
Oui. Deux niveaux de consentement non groupables sont requis. D'abord, l'article 5(3) de la directive ePrivacy impose le consentement avant tout dépôt ou lecture sur le terminal de l'utilisateur (pixel et cookie coopératif AddShoppers). Ensuite, l'article 6(1)(a) et l'article 7 du RGPD exigent un consentement libre, spécifique, éclairé et univoque pour le traitement sous jacent (résolution d'identité, tracking cross site, reciblage e mail et partage coopératif). Les lignes directrices 05/2020 du CEPD et l'avis 28/2024 du CEPD excluent l'intérêt légitime comme base pour ce profilage intrusif. Un opt in séparé et granulaire est requis pour la mutualisation des données entre marchands.
AddShoppers traite les données aux États Unis. Après Schrems II (CJUE C 311/18), les transferts vers les États Unis ne reposent pas sur l'adéquation sauf si l'importateur est auto certifié au titre de l'EU US Data Privacy Framework (décision de la Commission du 10 juillet 2023). Si AddShoppers n'est pas certifié DPF, les transferts doivent reposer sur les clauses contractuelles types accompagnées de mesures supplémentaires et d'une analyse d'impact du transfert documentant le risque lié à FISA 702 et Executive Order 12333. Le responsable doit vérifier la certification dans la liste officielle DPF, documenter le TIA et informer les personnes au titre des articles 13/14 et 44 49.
AddShoppers traite des identifiants en ligne (cookies, adresse IP, empreinte d'appareil et de navigateur), des événements de navigation (pages vues, produits consultés, actions panier), puis, après ré identification, l'adresse e mail correspondante issue du graphe coopératif et des attributs déduits (intention d'achat, affinité produit, stade du cycle de vie). La mutualisation implique des flux bidirectionnels : l'éditeur alimente le graphe et reçoit en retour des correspondances issues d'autres marchands. Sur le plan du RGPD il s'agit d'une responsabilité conjointe au titre de l'article 26 qui doit faire l'objet d'un accord écrit et être divulguée aux personnes concernées.
Niveau de risque : très élevé. Réglementations applicables : RGPD (articles 5, 6, 7, 9, 13, 14, 22, 26, 44 49), directive ePrivacy article 5(3), lignes directrices 05/2020 du CEPD sur le consentement, avis 28/2024 du CEPD sur l'intérêt légitime, Schrems II, EU US Data Privacy Framework, CCPA/CPRA (vente et partage de données personnelles, Global Privacy Control), section 5 du FTC Act, CAN SPAM Act, lignes directrices de la CNIL sur les cookies et traceurs, orientations de l'AEPD sur les identity graphs, avis de l'ICO sur l'adtech et le real time bidding.
Les personnes disposent du droit d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation (art. 18), de portabilité (art. 20), d'opposition (art. 21) et du droit de retirer le consentement à tout moment (art. 7(3)). En pratique : l'éditeur doit proposer un opt out fonctionnel qui propage le retrait à AddShoppers et déclenche la suppression e mail et graphe ; AddShoppers doit également offrir un opt out direct via son portail vie privée. Les droits CCPA/CPRA d'opt out de vente et de partage s'appliquent et le signal Global Privacy Control doit être respecté. Les demandes d'accès doivent récupérer les données niveau éditeur ainsi que les entrées du graphe coopératif.
Une durée maximale de 24 mois est recommandée pour le graphe d'identité et les données comportementales, avec des durées plus courtes (6 à 12 mois) pour les événements bruts. Les données d'engagement e mail ne doivent être conservées que tant que le consentement marketing reste valable. La suppression doit se propager depuis l'éditeur via AddShoppers à tous les membres de la coopérative qui détiennent des données dérivées. Les articles 5(1)(e) (limitation de la conservation) et 5(1)(c) (minimisation) du RGPD imposent une justification documentée pour toute durée plus longue.
Une implémentation conforme suppose : (1) une AIPD complète au titre de l'article 35 documentant le traitement à haut risque, (2) un opt in granulaire à deux niveaux (ePrivacy puis RGPD) hors du bandeau cookies standard, distinct de l'analytics et des autres outils marketing, (3) un accord écrit de responsabilité conjointe au titre de l'article 26 avec AddShoppers, (4) un TIA documenté pour les transferts US, (5) des informations mises à jour aux articles 13/14 nommant AddShoppers et expliquant la ré identification et la mutualisation, (6) le respect du GPC, du droit d'opt out CCPA et un mécanisme de retrait propagé, (7) le blocage du script par défaut tant que le consentement n'a pas été obtenu. À défaut, l'alternative licite consiste à recourir à l'e mail marketing first party avec consentement natif et un ESP classique, sans résolution d'identité ni partage coopératif.