Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Agora est une plateforme américaine de Real Time Engagement (RTE) qui fournit des SDK Voix, Vidéo, Chat et Signalisation basés sur WebRTC. Intégrée à un site ou une application, elle ouvre des connexions chiffrées vers le Software Defined Real time Network (SD RTN) d'Agora, écrit des identifiants de session dans le stockage first party et fait transiter audio et vidéo par des nœuds de périphérie mondiaux, y compris en UE. La voix et la vidéo constituent des données personnelles sensibles : toute intégration Agora exige une base légale claire, un consentement pour les télémétries non essentielles et un mécanisme de transfert international documenté.
Agora est une plateforme de Real Time Engagement dont le siège est à Santa Clara, Californie, avec une entité chinoise associée, Shanghai Agora Lab, qui exploite la région Chine. Les développeurs intègrent les SDK Web, Voix, Vidéo et Real Time Messaging d''Agora dans un site ou une application mobile pour ajouter de l''audio et de la vidéo en direct, du streaming interactif, du chat vocal et de la signalisation. Le SDK ouvre des connexions WebRTC chiffrées vers le Software Defined Real time Network (SD RTN) d''Agora, un réseau de bord mondial avec des nœuds en Union européenne, au Royaume Uni, dans les Amériques, en Asie Pacifique et au Moyen Orient.
Pour les éditeurs européens, Agora est attractif grâce à une infrastructure mondiale à faible latence, mais la plateforme fait transiter les flux médias par un plan de contrôle américain et écrit des identifiants de session, des empreintes d''appareil et des télémétries QoE dans le stockage first party du site intégrateur. La voix et la vidéo étant des données personnelles sensibles, le profil de risque RGPD d''un déploiement Agora est élevé.
Lors d''une intégration classique, le SDK Agora écrit un identifiant de session, un identifiant de peer connection, les capacités du périphérique (caméra, micro, codecs, réseau) et une empreinte légère dans le stockage local et IndexedDB du site embarquant. Il ouvre des connexions WebSocket et DTLS/SRTP vers les passerelles *.agora.io, transmet les flux audio et vidéo et envoie en continu des statistiques de qualité (débit, gigue, perte de paquets, adresse IP, géolocalisation approximative) aux domaines statscollector.
Sur les propriétés agora.io (console, dashboard, pages marketing), Agora dépose aussi des cookies fonctionnels (csrf, session) et utilise des outils tiers comme Google Analytics, Hotjar et HubSpot. Cloud Recording et Cloud Transcription, lorsqu''activés, stockent les fichiers audio, vidéo et textes générés dans des buckets contrôlés par Agora (Amazon S3 par défaut) pour la durée configurée par le développeur.
La voix et la vidéo sont des données de contenu qui relèvent pleinement des articles 4 et 5 du RGPD. Agora intervient comme sous traitant (art. 28 RGPD) pour le compte de l''éditeur, qui est responsable du traitement. L''éditeur doit signer l''Addendum de traitement des données Agora, documenter la base légale, informer les utilisateurs dans une politique de confidentialité et mettre en œuvre des mesures techniques et organisationnelles appropriées, dont le chiffrement en transit (DTLS/SRTP) et le contrôle d''accès sur Cloud Recording.
Au titre de l''ePrivacy (art. 5(3) de la directive 2002/58/CE et de l''article 82 de la loi Informatique et Libertés en France), les identifiants de session et d''appareil déposés en stockage local par le SDK sont assimilés à des cookies. Les identifiants strictement nécessaires à l''appel explicitement initié par l''utilisateur peuvent être exemptés de consentement préalable, mais le fingerprinting, la télémétrie QoE, les analytics tiers sur agora.io et tout enregistrement nécessitent un consentement préalable.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La bonne pratique est de charger le SDK Agora seulement après un clic explicite sur Démarrer l''appel, Rejoindre la salle ou Activer la caméra. Ce clic peut constituer la base légale au titre de l''art. 6(1)(b) RGPD (exécution du contrat) pour les identifiants de session strictement nécessaires. Un opt in distinct est requis pour l''enregistrement optionnel, la transcription, les analyses vocales par IA et toute télémétrie marketing transmise à des analytics tiers du domaine éditeur.
Le CEPD considère systématiquement le traitement voix et vidéo comme à haut risque, donc le consentement doit être granulaire (appel, enregistrement, transcription, analyse), informé (la politique doit mentionner les transferts vers les États Unis et le SD RTN d''Agora) et aussi facile à retirer qu''à donner.
Agora Inc. est établie aux États Unis. Bien que le SD RTN dispose de nœuds à Francfort, Amsterdam, Londres, Singapour et Sao Paulo, le plan de contrôle, la gestion des comptes et la majorité des journaux restent aux États Unis. La région Chine est opérée par Shanghai Agora Lab et doit être considérée comme un transfert distinct vers un pays sans décision d''adéquation.
L''addendum DPA d''Agora intègre les Clauses Contractuelles Types de la Commission européenne (modules 2 et 3) et l''addendum britannique IDTA. Les clients européens peuvent demander que les serveurs médias soient verrouillés sur la région UE. Une Analyse d''impact sur les transferts (TIA) doit examiner les lois américaines (FISA 702, EO 12333) et le risque additionnel d''un usage de la région Chine.
Signez le DPA Agora depuis la console. Configurez la restriction régionale sur l''UE si possible. Différez le chargement du SDK jusqu''au clic explicite de l''utilisateur. Reliez l''enregistrement, la transcription et les analyses IA à un consentement optionnel séparé dans votre CMP. Ajoutez Agora à votre registre des activités de traitement (art. 30 RGPD), listez les domaines *.agora.io et statscollector dans votre politique et votre CSP. Documentez les transferts internationaux, réalisez une TIA et complétez une AIPD couvrant la voix et la vidéo.
Les sites web utilisant Agora doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est généralement recommandée car Agora traite des communications vocales et vidéo (données très sensibles) et les fait transiter par une infrastructure liée aux États Unis et à la Chine. Elle doit couvrir les risques d'identification du locuteur, les fonctions d'enregistrement et de transcription, l'usage d'IA sur le média et les transferts internationaux.
Exemple de texte de consentement
Nous utilisons Agora (Agora Inc., États Unis) pour les appels voix et vidéo et les fonctions de chat sur ce site. Rejoindre un appel établit une connexion vers les serveurs de bord Agora, transmet audio, vidéo et données de qualité, et peut déposer des cookies fonctionnels. Les transferts internationaux vers les États Unis sont encadrés par les Clauses Contractuelles Types. Voir notre politique de confidentialité.
Domaines tiers contactes
agora.ioweb-cdn.agora.iowebrtc2-ap-web-1.agora.iowebrtc2-ap-web-2.agora.iostatscollector-1.agora.iostatscollector-2.agora.iovocs.agora.iosd-rtn.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| session | first_party | Session | Functional session cookie used by Agora to keep an authenticated session on agora.io and to maintain WebRTC signaling state during a call. |
| csrf | first_party | Session | CSRF protection token used to validate API and signaling requests against the Agora gateway during a call. |
| AID | first_party | 2 years | Internal anonymous identifier used by Agora to correlate Quality of Experience telemetry (bitrate, jitter, packet loss) across sessions of the same browser. |
| _ga | third_party | 2 years | Google Analytics identifier used on agora.io marketing properties to distinguish unique visitors. Loaded only on agora.io properties, not on integrator sites. |
| _hjSessionUser_* | third_party | 1 year | Hotjar session user cookie used on agora.io properties for product analytics and session replay. Not loaded on integrator sites. |
| hubspotutk | third_party | 6 months | HubSpot visitor identifier used on agora.io properties to attribute marketing campaigns and form submissions. Not loaded on integrator sites. |
Agora utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Le SDK Web Agora n'utilise pas de cookies HTTP traditionnels sur le domaine éditeur. Il écrit un identifiant de session, un identifiant de peer connection, des capacités d'appareil et une empreinte légère dans localStorage et IndexedDB. Il ouvre des connexions WebSocket et DTLS/SRTP vers *.agora.io et envoie de la télémétrie QoE aux domaines statscollector. Sur agora.io lui-même (console, pages marketing), Agora pose des cookies fonctionnels et utilise Google Analytics, Hotjar et HubSpot.
Oui, dans la majorité des cas. Les identifiants strictement nécessaires pour l'appel explicitement initié par l'utilisateur peuvent reposer sur l'exécution du contrat (art. 6(1)(b) RGPD), mais le fingerprinting, la télémétrie QoE, l'enregistrement, la transcription, les analyses vocales par IA et tout analytics tiers sur agora.io nécessitent un consentement préalable au titre de l'art. 5(3) ePrivacy et de l'art. 6(1)(a) RGPD.
Exécution du contrat (art. 6(1)(b) RGPD) pour la prestation voix/vidéo demandée. Consentement (art. 6(1)(a) RGPD) pour les fonctions optionnelles (enregistrement, transcription, analyses IA, télémétrie marketing). Obligation légale (art. 6(1)(c)) possible lorsque les enregistrements sont imposés (finance, conseil). L'intérêt légitime est rarement suffisant compte tenu de la sensibilité de la voix et de la vidéo.
Oui. Agora Inc. est aux États Unis et son entité liée Shanghai Agora Lab opère la région Chine. Le média transite par le bord SD RTN le plus proche, mais le plan de contrôle, les données de compte et la majorité des journaux sont traités aux États Unis. Les transferts sont encadrés par les Clauses Contractuelles Types et l'IDTA britannique dans le DPA Agora. Les clients UE peuvent verrouiller les serveurs médias sur la région UE et doivent réaliser une TIA.
Oui. L'article 35 RGPD impose une AIPD pour le traitement à grande échelle de contenus de communication, les caractéristiques biométriques de la voix ou de la vidéo, ou le suivi systématique. Agora coche au moins un de ces critères. L'AIPD doit couvrir l'identification du locuteur, l'enregistrement, la transcription, l'analyse IA, les mesures de sécurité et les transferts vers les États Unis et la Chine.
Signez le DPA Agora, demandez la restriction régionale UE si possible, différez le chargement du SDK jusqu'au clic explicite de l'utilisateur, conditionnez les fonctions optionnelles (enregistrement, transcription, IA) à un consentement séparé dans votre CMP, mentionnez Agora et les transferts US dans votre politique, listez *.agora.io et statscollector dans votre CSP, et mettez à jour votre registre art. 30 et votre AIPD.
Pour du temps réel basé en UE, les principales alternatives sont Daily, LiveKit Cloud (clusters UE), Vonage Video API (intégré à Daily), Twilio Programmable Video (US, profil similaire) et des solutions auto hébergées comme Jitsi Meet, LiveKit OSS, mediasoup ou Janus Gateway. Les déploiements UE only de LiveKit OSS ou Jitsi obtiennent souvent de meilleurs scores en TIA, au prix d'un effort opérationnel.
Ajoutez une section Agora à votre politique de confidentialité décrivant le SDK, les flux WebRTC, la télémétrie QoE, l'usage de localStorage et IndexedDB, et les transferts vers les États Unis et la Chine. Dans votre politique cookies et votre CMP, listez Agora comme tiers avec son propre toggle de consentement, distinct des fonctions optionnelles (enregistrement, analyses), et reliez la politique de confidentialité Agora et le DPA.