J'ai passé quatre ans à examiner des accords de traitement de données SaaS du côté fournisseur et une année à les examiner du siège d'un acheteur fintech. Les clauses qui inquiètent tout le monde — chiffrement au repos, fenêtres de rétention, SLA de notification de violation — sont généralement correctes chez un raccourcisseur sérieux. Les clauses qui décident vraiment de l'approvisionnement sont plus subtiles. Ce sont celles que le DPO a lues assez de fois pour avoir une opinion, et celles qu'un badge générique « conforme RGPD » ne traite pas.
Cet article est la lecture d'un DPO opérationnel sur ce que le RGPD exige d'un raccourcisseur d'URL traitant des données de clics sur des sujets UE, avec les numéros d'articles cités pour que vous puissiez porter les revendications à votre propre conseil et les vérifier. Je signalerai où la posture d'Elido est conservatrice, où elle est standard pour l'industrie, et où l'acheteur raisonnable devrait encore demander un avenant.
Les références d'articles renvoient au Règlement (UE) 2016/679 — le texte consolidé du RGPD sur EUR-Lex. Là où je cite des orientations d'autorités de contrôle, je renvoie à la décision source. Là où je cite de la jurisprudence, la citation renvoie à l'arrêt de la CJUE.
Pourquoi un raccourcisseur d'URL est-il dans le champ d'application#
Un raccourcisseur d'URL est un sous-traitant au sens de l'Article 4(8) lorsqu'il traite des données de clics sur des personnes physiques identifiables pour le compte du client. Le client est le responsable du traitement ; il décide pourquoi les données sont collectées (attribution de campagne) et sur quelle base (Article 6 — typiquement l'intérêt légitime au titre du 6(1)(f) pour l'analytique au niveau du clic, le consentement au titre du 6(1)(a) lorsqu'un suivi granulaire est impliqué). Le raccourcisseur est le sous-traitant ; il ne traite ces données que sur instructions documentées du responsable du traitement, ce qui est la substance de l'Article 28.
Deux éléments de données rendent cela clair. Chaque redirection enregistre une adresse IP ; la CJUE a jugé depuis Breyer (C-582/14, 2016) que les adresses IP dynamiques peuvent être des données personnelles lorsqu'elles sont combinées à des informations dont dispose le responsable du traitement. Chaque redirection enregistre aussi un user-agent, qui, combiné à l'IP et à l'horodatage, suffit à isoler des individus dans de nombreux profils de trafic à fort volume — l'EDPB a signalé cela dans les Lignes directrices 04/2020 sur l'utilisation des données de localisation et le principe se généralise.
Donc : un raccourcisseur d'URL traite des données personnelles sur des sujets UE, même si l'événement de clic lui-même semble anonyme à première vue. Les questions s'ensuivent.
Article 3 : champ d'application territorial#
L'Article 3 est l'article le plus souvent mal interprété par les fournisseurs basés aux États-Unis qui vendent dans l'UE.
L'Article 3(1) couvre le traitement dans le cadre d'un établissement UE. L'Article 3(2) couvre le traitement de données de sujets UE par un responsable du traitement ou un sous-traitant non-UE lorsque le traitement est lié à (a) l'offre de biens ou services aux sujets UE, ou (b) la surveillance de leur comportement lorsqu'il a lieu dans l'UE. Le suivi des clics sur les utilisateurs UE est de la surveillance ; le RGPD s'applique indépendamment de l'hébergement du raccourcisseur.
À retenir : « nous sommes une entreprise américaine, le RGPD ne s'applique pas » est faux. Chaque raccourcisseur traitant des clics d'utilisateurs UE doit s'y conformer. La question pertinente pour l'approvisionnement n'est pas de savoir si le RGPD s'applique — il s'applique — mais comment le fournisseur démontre la conformité et quels engagements de résidence sont contractuellement contraignants.
Article 6 : base juridique#
Le suivi des clics via un raccourcisseur repose typiquement sur l'une des trois bases juridiques.
6(1)(a) — consentement. Le responsable du traitement a obtenu le consentement de la personne concernée pour le traitement. Pour le suivi de clics au niveau du raccourcisseur, le consentement est généralement intégré au bandeau cookies ou au flux d'opt-in marketing sur la page de destination. Les lignes directrices de l'EDPB sur le consentement (Lignes directrices 05/2020, version 1.1, 2020) exigent un consentement libre, spécifique, éclairé et univoque.
6(1)(b) — nécessaire à l'exécution d'un contrat. La redirection elle-même — prendre le clic et l'acheminer vers la destination — est nécessaire au service que l'utilisateur a demandé. La ligne la plus claire est que le routage est de l'exécution de contrat, tandis que la couche analytique (qu'un clic soit enregistré pour analyse rétrospective) est une opération de traitement distincte qui peut nécessiter une base différente.
6(1)(f) — intérêt légitime. La plupart des clients B2B fondent l'analytique au niveau de la campagne sur l'intérêt légitime après avoir réalisé une évaluation d'intérêt légitime (LIA). La LIA met en balance l'intérêt du responsable du traitement à mesurer l'efficacité marketing et les intérêts de la personne concernée ; pour les comptes de clics agrégés et l'attribution standard, la balance penche généralement en faveur du responsable du traitement. Pour le profilage comportemental haute résolution — empreintes, suivi inter-sites, reciblage au niveau utilisateur — la LIA devient plus difficile.
Le raccourcisseur est le sous-traitant dans les trois cas. Il traite les données sur instructions documentées du responsable du traitement. Il ne choisit pas la base juridique ; le responsable du traitement le fait.
Article 28 : l'accord de sous-traitance#
L'Article 28(3) énumère les huit obligations que tout contrat entre un responsable du traitement et un sous-traitant doit inclure. Lisez-le directement ; les sous-paragraphes (a) à (h) sont courts et concrets. Un DPA viable pour un raccourcisseur d'URL doit traiter chacun.
Je vais détailler à quoi ressemblent ces clauses en pratique.
(a) Traitement uniquement sur instructions documentées. Les instructions du responsable du traitement sont le contrat plus les instructions écrites du client par fonctionnalité (par exemple « traiter les événements de clic pour ces espaces de travail, conserver pendant X mois »). Le raccourcisseur ne peut pas utiliser les données de clics à ses propres fins sans l'instruction du responsable du traitement. En pratique cela signifie : pas d'utilisation des données de clics du client pour entraîner des modèles de recommandation internes sans opt-in, pas d'analytique agrégée partagée avec des tiers sans notification. Le DPA standard d'Elido est explicite sur ce point ; si le DPA de votre raccourcisseur actuel ne l'est pas, demandez pourquoi.
(b) Confidentialité. Les personnes traitant les données sont liées par des obligations de confidentialité. C'est opérationnel côté fournisseur et rarement contesté.
(c) Mesures de sécurité (Article 32). Couvert ci-dessous dans sa propre section.
(d) Engagement de sous-traitants ultérieurs. Le sous-traitant n'engage de sous-traitants ultérieurs qu'avec l'autorisation du responsable du traitement, et le sous-traitant ultérieur doit accepter des obligations équivalentes au titre d'un contrat écrit. Il existe deux variantes d'autorisation. L'autorisation préalable spécifique exige que le responsable du traitement consente à chaque nouveau sous-traitant. L'autorisation préalable générale exige seulement une notification à l'avance, avec un droit d'objection. La plupart des contrats SaaS utilisent l'autorisation générale avec une fenêtre de notification de 30 jours. Les deux sont conformes à l'Article 28 ; ce qui importe est que le contrat précise laquelle.
(e) Assistance aux droits des personnes concernées. Le sous-traitant doit aider le responsable du traitement à répondre aux demandes des personnes concernées au titre des Articles 15-22. Pour un raccourcisseur, cela signifie que le responsable du traitement peut demander un export d'enregistrements de clics rattachés à un identifiant spécifique (rare mais cela arrive), et le raccourcisseur doit pouvoir le livrer. L'API Elido inclut GET /v1/clicks?subject_id= à cette fin ; si votre fournisseur actuel ne l'a pas, vous répondrez aux demandes d'accès à la main.
(f) Assistance Articles 32 / 33 / 34 / 35 / 36. Le sous-traitant doit aider le responsable du traitement à respecter les obligations de sécurité, de notification de violation et d'AIPD. L'« aide » est opérationnelle — fournir des rapports d'audit de sécurité, notifier les violations dans un SLA, fournir les détails techniques nécessaires à une AIPD.
(g) Retour ou suppression à la fin des services. Lorsque le contrat prend fin, le sous-traitant retourne ou supprime toutes les données personnelles à moins que le droit de l'Union ou d'un État membre n'exige le stockage. La clause standard d'Elido est de 30 jours après la résiliation, avec un certificat de suppression documenté sur demande.
(h) Droits d'audit. Le sous-traitant doit mettre à disposition toutes les informations nécessaires à démontrer la conformité et se soumettre à des audits. Les contrats SaaS restreignent cela à des questionnaires d'audit écrits plus des audits sur site avec un préavis raisonnable ; les droits d'audit totalement illimités sont inhabituels en dehors des contrats entreprise.
Si le DPA de votre fournisseur actuel manque ou est vague sur l'un de (a)-(h), la conversation d'approvisionnement ne devrait pas avancer. Un DPA qui répond à l'Article 28 est le plancher, pas le plafond.
Article 30 : registres des activités de traitement#
L'Article 30 exige que les sous-traitants tiennent des registres des activités de traitement (RoPA). Le RoPA du sous-traitant est l'artefact destiné au responsable du traitement qui permet à votre DPO de comprendre ce que fait le raccourcisseur avec les données.
Elido publie un modèle de RoPA par client que vous pouvez mapper au vôtre. Les colonnes sont catégories de personnes concernées, catégories de données personnelles, destinataires, transferts vers des pays tiers (aucun par défaut), conservation et mesures de sécurité. Modèle standard, mais les équipes d'approvisionnement veulent le voir rempli concrètement. Le DPO ne veut pas un placeholder. Si votre raccourcisseur ne fournit pas cela, le fardeau retombe sur vous pour le compiler à partir de leur documentation.
Article 32 : sécurité du traitement#
L'Article 32 exige « des mesures techniques et organisationnelles appropriées » pour garantir un niveau de sécurité approprié au risque. L'article n'est délibérément pas prescriptif ; les autorités de contrôle l'étoffent via des orientations.
Pour un raccourcisseur d'URL, le plancher opérationnel que la plupart des DPO recherchent :
- TLS 1.3 en transit, pas de repli sur TLS 1.0 ou 1.1.
- Chiffrement au repos pour le stockage des événements de clics, avec une rotation des clés documentée.
- Segmentation réseau entre le plan de redirection et le plan analytique.
- Authentification via SSO/SAML ou OIDC pour la surface destinée au client ; service à service via des identifiants à courte durée de vie.
- Un journal d'audit des actions administratives côté raccourcisseur, conservé au moins 12 mois.
- Réponse aux incidents documentée et exercices tabletop réguliers.
- Certification ISO 27001 ou attestation indépendante équivalente.
Elido est certifié ISO 27001 et en cours de SOC 2 Type II (cible H2 2026). La surface de contrôle technique est documentée sur la page de confiance. Pour le trafic concerné par HIPAA, les BAA sont disponibles sur le plan Business.
La formulation au niveau de l'article importe ici : « approprié au risque » est une norme relative. Un raccourcisseur traitant des clics de campagne sur un site marketing public est moins risqué qu'un raccourcisseur utilisé en interne pour partager des URL de session authentifiées. Votre DPO doit être dimensionné pour le risque que vous courez réellement.
Article 35 : AIPD#
L'Article 35 exige une analyse d'impact relative à la protection des données pour les traitements « susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques », avec une attention particulière à (a) l'évaluation systématique et approfondie, (b) les données de catégories particulières, et (c) la surveillance systématique de zones accessibles au public à grande échelle.
Pour la plupart des cas d'usage de raccourcisseur, une AIPD n'est pas strictement requise — le suivi de clics de campagne sur un site marketing n'est pas une « évaluation systématique et approfondie » au sens du 35(3)(a). Lorsqu'une AIPD devient recommandée :
- Profilage comportemental inter-sites au niveau individuel.
- Suivi qui combine les données du raccourcisseur avec d'autres données personnelles (enrichissement CRM, courtiers de données tiers) pour construire un profil au niveau personne.
- Utilisation des données de clics pour prendre des décisions ayant des effets juridiques ou similaires importants sur la personne concernée (rare, mais concevable dans des contextes de prêt ou d'emploi).
- Trafic à fort volume depuis des contextes de catégories particulières (santé, religion, opinion politique).
Si vous commandez une AIPD pour un traitement lié à un raccourcisseur, les lignes directrices WP29 (WP248 rev.01) sont la référence méthodologique ; de nombreuses autorités de contrôle ont publié leurs propres modèles, dont le logiciel PIA de la CNIL.
Article 28(2) : divulgation des sous-traitants#
La question RGPD la plus traitable individuellement est « qui d'autre touche aux données ? ». L'Article 28(2) exige que le sous-traitant divulgue tout sous-traitant ultérieur qu'il engage et obtienne une autorisation. En pratique, chaque SaaS sérieux publie une liste de sous-traitants et un processus de notification pour les ajouts.
À quoi ressemble une bonne liste :
- Nom du sous-traitant, lieu de traitement, rôle.
- Catégories de données personnelles partagées.
- Base juridique du transfert (le cas échéant).
- Date d'ajout du sous-traitant.
- Mécanisme de notification pour les ajouts (typiquement email + flux RSS/JSON).
- Droit d'objection : généralement 30 jours à compter de la notification.
La liste publique des sous-traitants d'Elido nomme cinq fournisseurs. Ce nombre est petit à dessein — chaque nouveau sous-traitant ajoute à la surface de votre programme de confidentialité. Comparez avec le fournisseur actuel : s'il a 30 sous-traitants et que vous ne pouvez pas dire lesquels sont sur le chemin des événements de clics, c'est une question matérielle de divulgation.
Schrems II : quand la résidence UE devient contractuelle#
Schrems II (CJUE C-311/18, 2020) a invalidé le Privacy Shield UE-USA et a exigé, pour les transferts internationaux de données au titre des CCT, une analyse d'impact sur les transferts évaluant si le régime de surveillance du pays de destination priverait les sujets UE d'une protection effective de leurs droits.
Le cadre successeur — l'EU-US Data Privacy Framework, adopté via la Décision (UE) 2023/1795 — remplace Privacy Shield pour les organisations participantes. Deux mises en garde importantes :
- La couverture est volontaire ; tous les fournisseurs SaaS américains ne sont pas certifiés. Vérifiez la liste des participants au DPF.
- Le cadre lui-même fait l'objet d'un litige en cours. NOYB a signalé son intention de le contester et un troisième arrêt Schrems est plausible. Les acheteurs assez prudents pour planifier ce scénario exigent de plus en plus contractuellement un traitement UE-seulement.
Où cela atterrit pour la sélection d'un raccourcisseur : si votre acheteur a signalé la résidence des données ou si votre réglementation sectorielle exige un traitement UE-seulement (santé allemande au titre de la loi sur la protection des données sociales, données de santé françaises via la certification HDS, services financiers au titre des lignes directrices de l'EBA), un raccourcisseur hébergé dans l'UE simplifie le contrat. La clause de résidence est concrète, l'AIT est inutile et le cycle d'approvisionnement raccourcit.
Elido est hébergé à Francfort par défaut. Les clients Business+ peuvent épingler à Ashburn ou Singapour là où leur profil de trafic l'exige. L'épinglage est par espace de travail, contractuellement documenté et opérationnellement appliqué — pas une revendication marketing.
Minimisation des données : ce que vous n'avez pas à journaliser#
L'Article 5(1)(c) exige que le traitement soit « adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Pour un raccourcisseur, cela porte sur le schéma de l'événement de clic.
Les signaux qu'un raccourcisseur peut collecter au moment de la redirection :
- Adresse IP (complète, tronquée à /24, ou hachée).
- Chaîne user-agent (complète, ou analysée en client/OS sans les jetons rares qui font empreinte).
- Référent.
- Horodatage.
- Géo dérivée de l'IP (pays, ville).
- Appareil dérivé de l'UA (mobile/desktop/tablette, famille d'OS).
- Click ID (l'identifiant propre du raccourcisseur pour l'événement).
Parmi ces éléments, la finalité réelle du responsable du traitement nécessite généralement l'appareil analysé, le pays, l'horodatage, le click ID et éventuellement le référent. L'adresse IP elle-même est rarement nécessaire au-delà du moment de la redirection — une fois la géo et l'analyse d'appareil effectuées, l'IP peut être tronquée ou hachée avant d'atterrir dans le stockage de clics. Idem pour l'UA : les champs analysés device.type / device.os sont ce que l'attribution utilise réellement ; la chaîne UA complète est un appât pour empreintes qui devrait être jeté.
Elido tronque les IP à /24 (IPv4) ou /48 (IPv6) avant de persister les événements de clics. L'UA complet est analysé puis abandonné. Les deux comportements sont documentés et configurables par espace de travail si votre cas d'usage spécifique exige des données à plus haute résolution — mais la valeur par défaut est la minimisation, qui est la posture de l'Article 5(1)(c) par conception plutôt que par rustine.
Droits des personnes concernées au niveau du raccourcisseur#
Le responsable du traitement traite les demandes des personnes concernées ; le sous-traitant assiste. Pour un raccourcisseur, deux demandes reviennent :
Article 15 — droit d'accès. La personne concernée demande une copie de ses données personnelles. Le raccourcisseur doit pouvoir récupérer les événements de clics rattachés à un identifiant de sujet. En pratique, c'est difficile si le seul identifiant est « toute personne ayant cliqué sur le lien X depuis cette IP ». La réponse pragmatique : le raccourcisseur exporte les événements de clics pour l'IP/la période que le responsable du traitement spécifie, et le responsable du traitement filtre vers le sujet pertinent.
Article 17 — droit à l'effacement. La personne concernée demande la suppression. Le raccourcisseur doit pouvoir supprimer les événements de clics à la demande dans la formulation « sans retard injustifié » du RGPD — le SLA opérationnel par défaut est de 30 jours. La complication : les événements de clics sont généralement stockés dans une base de données analytique en mode append-only (ClickHouse, BigQuery, Snowflake). La suppression est réelle, mais c'est un DELETE contre la partition plutôt qu'une édition au niveau de la ligne. Assurez-vous que le DPA de votre raccourcisseur s'engage sur un SLA d'effacement spécifique et que l'architecture sous-jacente peut le respecter.
Elido prend en charge les deux via l'API : GET /v1/subjects/{id}/clicks et DELETE /v1/subjects/{id}. La suppression est propagée au stockage des événements de clics dans les 24 heures et confirmée par webhook.
Quoi demander à l'approvisionnement#
La checklist condensée pour une conversation d'approvisionnement :
- Où est hébergé le raccourcisseur ? (Réponse en une phrase ; épinglage ou non.)
- Le DPA est-il pré-signé ou négocié par client ? (Pré-signé est plus rapide.)
- Combien de sous-traitants ? (Plus petit est plus simple.)
- Le contrat standard inclut-il un traitement UE-seulement, ou est-ce un avenant séparé ?
- Quelle est la valeur par défaut de troncature d'IP sur les événements de clics ?
- Y a-t-il un endpoint Article 15 / 17, ou l'effacement passe-t-il par le support ?
- Quel est le SLA de notification de violation ? (24 heures à compter de la connaissance est la norme du secteur.)
- Attestation indépendante : ISO 27001 ? SOC 2 Type II ? Quand a eu lieu le dernier audit ?
Un fournisseur qui peut répondre à ces huit points par écrit lors de l'appel de découverte est prêt pour l'approvisionnement. Un fournisseur qui ne le peut pas ajoutera des semaines à votre cycle de vente.
Lire la série cornerstone#
Ceci est le cornerstone du cluster conformité. Articles frères dans le cluster : le futur résidence des données UE pour l'analytique marketing (plus en profondeur sur les spécificités contractuelles), Schrems II et pixels de suivi (l'impact pratique sur l'attribution), et attribution de clic après Safari ITP (la conséquence opérationnelle du monde sans cookies). Pour le résumé orienté approvisionnement, la page de confiance et solutions/conformité sont les deux artefacts à marquer. Pour le détail architectural derrière la revendication de résidence, le document d'architecture edge-redirect explique comment l'épinglage régional est appliqué au moment du routage.