TRACIO est conçu avec la confidentialité comme principe architectural fondamental. Le système identifie les appareils sans collecter aucune information personnelle identifiable (PII). TRACIO est un service cloud géré : il traite les données pour votre compte dans la région que vous choisissez (UE ou US), et vous restez le responsable du traitement (data controller).
TRACIO ne collecte que des signaux techniques du navigateur. Aucun des 130+ signaux ne contient d'information personnelle identifiable :
| Ce que nous collectons | Ce que nous NE collectons PAS |
|---|---|
| Hash de rendu canvas | Noms, e-mails, adresses |
| Paramètres GPU WebGL | Numéros de téléphone |
| Caractéristiques de traitement audio | Numéros de sécurité sociale |
| Disponibilité des polices | Numéros de carte de crédit |
| Résolution d'écran | Mots de passe |
| Version du navigateur | Valeurs saisies dans les formulaires |
| Fuseau horaire | Historique de navigation |
| Préférences de langue | Frappes clavier |
L'identifiant visiteur (visitorId) est un hash à sens unique dérivé des caractéristiques de l'appareil. Il ne peut pas être inversé pour retrouver les valeurs originales des signaux.
TRACIO opère entièrement comme un service first-party :
_vid_t est un cookie first-party (SameSite=Lax, Secure en HTTPS)Vous êtes le responsable du traitement (data controller) ; TRACIO est le sous-traitant (data processor) agissant selon vos instructions. Les données sont traitées dans la région que vous sélectionnez (UE ou US) et ne sont pas répliquées entre les régions. La rétention est déterminée par votre offre ; l'accès est contrôlé via le tableau de bord (rôles de workspace).
Au titre du RGPD, vous avez besoin d'une base légale pour traiter des données personnelles. Le fingerprinting d'appareils peut être considéré comme un traitement de données personnelles selon votre juridiction et votre cas d'usage. Les bases légales courantes incluent :
| Base légale | Cas d'usage | Remarques |
|---|---|---|
| Intérêt légitime (Art. 6(1)(f)) | Prévention de la fraude, détection des bots, sécurité des comptes | Base la plus courante. Nécessite une évaluation d'intérêt documentée. |
| Consentement (Art. 6(1)(a)) | Suivi général des visiteurs, analytique | Nécessite un opt-in explicite via une bannière de cookies. |
| Exécution d'un contrat (Art. 6(1)(b)) | Fonctionnalité essentielle du service | Lorsque l'identification est nécessaire pour fournir le service. |
TRACIO dépose un cookie first-party (_vid_t) avec une expiration de 365 jours. Au titre de la directive ePrivacy et du RGPD :
tracio.getResult().import { Tracio } from "@tracio/sdk"
// Only initialize TRACIO after consent is grantedif (hasConsent("fingerprinting")) { const tracio = Tracio.init({ publicKey: "5ca175fc..." }) const result = await tracio.getResult()}Vous pouvez différer l'identification jusqu'à ce que l'utilisateur donne son accord (opt-in). La collecte de signaux fonctionne toujours ensuite ; la confiance est plus faible pour les visiteurs récurrents lorsqu'aucun raccourci basé sur les cookies n'est disponible :
import { Tracio } from "@tracio/sdk"
const tracio = Tracio.init({ publicKey: "5ca175fc..." })// call getResult() only after consent is grantedVous êtes le responsable du traitement, vous gérez donc les demandes des personnes concernées. TRACIO vous donne les outils pour les honorer :
| Droit | Implémentation |
|---|---|
| Droit d'accès (Art. 15) | Consultez l'historique d'un visiteur dans le tableau de bord |
| Droit à l'effacement (Art. 17) | Supprimez les enregistrements d'un visiteur depuis le tableau de bord (ou via une demande au support) |
| Droit de rectification (Art. 16) | Mettez à jour les métadonnées stockées du visiteur |
| Droit à la portabilité des données (Art. 20) | Exportez les données du visiteur dans un format lisible par machine (JSON) |
| Droit à la limitation (Art. 18) | Suspendez tout traitement ultérieur pour un visiteur |
Trouvez l'historique d'un visiteur dans le tableau de bord (Visitors), ou utilisez l'API de gestion limitée au périmètre du workspace (authentifiée avec votre session du tableau de bord — voir Webhooks pour le modèle d'authentification) :
curl https://app.tracio.ai/api/v1/workspaces/{workspaceId}/visitors/X7fh2Hg9LkMn3pQr \ -H "Authorization: Bearer <clerk-session-jwt>"TRACIO traite les données dans la région que vous choisissez (UE ou US) en tant que votre sous-traitant. Un DPA est disponible sur demande ; contactez-nous pour en mettre un en place avant tout traitement à grande échelle.
La rétention est fixée par le niveau de votre offre : 7 jours (Free), 30 jours (Pro), 90 jours (Business), 365 jours (Enterprise). Les enregistrements plus anciens que la fenêtre de l'offre sont purgés automatiquement. Pour prolonger la rétention, passez à une offre supérieure.
| Type de données | Rétention recommandée | Justification |
|---|---|---|
| Enregistrements visiteur | Jusqu'à la limite de votre offre | Les visiteurs récurrents ont besoin d'un historique pour une correspondance fiable. |
| Détails des événements | 30 à 90 jours | Suffisant pour l'enquête sur la fraude et la résolution des litiges. |
_vid_t contient un UID opaque et non réversible (sans PII)_vid_t utilise SameSite=Lax et Secure (en HTTPS)Pour les exigences de résidence des données, choisissez votre région à l'inscription :
| Région | Les données restent dans |
|---|---|
| EU | Union européenne |
| US | États-Unis |
Définissez l'option region du SDK ("eu" ou "us") pour que le navigateur communique avec l'
endpoint régional correspondant. Les données sont traitées au sein de la région que vous choisissez et ne sont pas
répliquées entre les régions.
region du SDK