Aller au contenu principal

Nouvelle version en ligne

Politique Cookies et Traceurs

Dernière mise à jour : 28 avril 2026

Éditeur : Fabrik Service concerné : https://www.fabrik.so, https://app.fabrik.so et leurs sous-domaines Document n° : 6/10 du corpus contractuel Fabrik Version : 2.0 Date d'entrée en vigueur : 28 avril 2026 Date de dernière mise à jour : 28 avril 2026 Version française faisant foi.

SOMMAIRE DÉTAILLÉ

Préambule

Article 1 — Définitions

Article 2 — Champ d'application

Article 3 — Cadre juridique applicable

Article 4 — Catégories de cookies et traceurs utilisés par Fabrik

Article 5 — Cookies strictement nécessaires

Article 6 — Cookies de mesure d'audience

Article 7 — Cookies d'analytique produit

Article 8 — Cookies de préférences

Article 9 — Cookies de partenaires et tiers

Article 10 — Durée de conservation des cookies

Article 11 — Consentement — recueil et gestion

Article 12 — Signal Global Privacy Control (GPC) et mécanismes universels d'opt-out

Article 13 — Retrait du consentement et modification des choix

Article 14 — Paramétrage par le navigateur

Article 15 — Traitements associés aux cookies — renvoi à la Politique de confidentialité

Article 16 — Transferts hors UE liés aux traceurs

Article 17 — Responsabilité conjointe éventuelle

Article 18 — Évolution de la présente Politique

Article 19 — Réclamations

Annexe A — Liste détaillée des cookies et traceurs utilisés

Annexe B — Glossaire technique

PRÉAMBULE

La présente Politique cookies et traceurs (ci-après la « Politique ») a pour objet d'informer les Visiteurs et Utilisateurs du Site et du Service Fabrik de l'utilisation de cookies, pixels, tags, scripts, balises web, identifiants persistants, empreintes numériques (fingerprinting) et de toute autre technologie similaire (collectivement, les « Traceurs »), ainsi que de leurs droits en matière de consentement.

Elle complète la Politique de confidentialité (document 5/10 du corpus Fabrik) et s'inscrit dans le cadre des obligations résultant :

de la directive 2002/58/CE modifiée (dite « ePrivacy ») et de ses transpositions, notamment de l'article 82 de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) ;

du Règlement (UE) 2016/679 (RGPD), notamment pour les traitements de Données à caractère personnel associés aux Traceurs ;

des lignes directrices et recommandations de la CNIL (notamment celles du 17 septembre 2020 et leurs actualisations) et du Comité européen de la protection des données (EDPB) ;

des législations équivalentes applicables dans les autres juridictions (Privacy and Electronic Communications Regulations du Royaume-Uni, Telemedia Act/TTDSG allemand, nFADP suisse, CCPA/CPRA en Californie, etc.).

Fabrik s'engage à n'utiliser les Traceurs non strictement nécessaires qu'avec le consentement libre, spécifique, éclairé et univoque des Personnes concernées, recueilli dans les conditions de l'article 11 et susceptible d'être retiré aussi simplement qu'il a été donné.

ARTICLE 1 — DÉFINITIONS

1.1. « Cookie » : petit fichier texte déposé et lu par le navigateur lors de la consultation d'un site internet, permettant de stocker ou de récupérer des informations relatives à la navigation ou à l'équipement terminal de l'Utilisateur.

1.2. « Traceur » : toute technologie, logicielle ou matérielle, déposée ou lue sur un équipement terminal, permettant d'identifier ou de suivre un Utilisateur, y compris cookies HTTP, cookies Flash, local storage, session storage, IndexedDB, pixels invisibles, balises web, tags JavaScript, empreintes numériques, identifiants de périphérique (device fingerprinting), et toute autre technologie similaire au sens de l'article 82 de la loi Informatique et Libertés et des lignes directrices CNIL du 17 septembre 2020 modifiées.

1.3. « Consentement » : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Traceurs soient déposés ou lus sur son terminal, au sens de l'article 4, point 11 du RGPD.

1.4. « CMP » : Consent Management Platform, plateforme de gestion du consentement utilisée par Fabrik pour recueillir, documenter, archiver et permettre le retrait du consentement des Utilisateurs.

1.5. « GPC » : Global Privacy Control, signal universel transmis par le navigateur permettant à l'Utilisateur de refuser automatiquement la vente ou le partage de ses Données à caractère personnel.

1.6. « Équipement terminal » : tout dispositif (ordinateur, tablette, smartphone, objet connecté) à partir duquel un Utilisateur accède au Service.

1.7. Les autres termes employés avec une majuscule ont la signification qui leur est donnée dans les CGU, les CGV et la Politique de confidentialité.

ARTICLE 2 — CHAMP D'APPLICATION

2.1. La présente Politique s'applique à l'ensemble des Traceurs déposés ou lus par Fabrik, ou par ses partenaires et sous-traitants agissant sur sa demande, lors de la visite du Site ou de l'utilisation du Service.

2.2. Elle ne couvre pas les Traceurs déposés par des sites tiers vers lesquels Fabrik pourrait renvoyer un Utilisateur par le biais de liens hypertextes. Ces sites tiers disposent de leur propre politique, qu'il appartient à l'Utilisateur de consulter.

ARTICLE 3 — CADRE JURIDIQUE APPLICABLE

3.1. Principe du consentement préalable. Conformément à l'article 82 de la loi Informatique et Libertés et à la directive ePrivacy, le dépôt ou la lecture de Traceurs sur l'Équipement terminal de l'Utilisateur est subordonné au recueil préalable de son consentement, sauf pour les Traceurs qui ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'Utilisateur.

3.2. Standards de consentement. Le consentement doit répondre aux exigences de l'article 4, point 11, et de l'article 7 du RGPD. Il est :

Libre : l'accès au Service ne peut être conditionné au consentement aux Traceurs non strictement nécessaires, sauf dans les cas où une alternative équivalente est proposée (par exemple, modèle « pay-or-consent » pour la mesure d'audience, évalué strictement selon les critères EDPB du 17 avril 2024) ;

Spécifique : un consentement distinct est recueilli pour chaque finalité ;

Éclairé : une information claire, préalable et complète est fournie ;

Univoque : une action positive claire est requise (cases non pré-cochées, pas de poursuite de navigation valant consentement).

3.3. Équivalence « refuser » / « accepter ». Conformément aux lignes directrices de la CNIL, le refus doit être aussi aisé que l'acceptation. Un bouton « Tout refuser » ou équivalent est proposé dès le premier niveau de la bannière, à parité avec « Tout accepter ».

3.4. Documentation du consentement. Les consentements et refus sont horodatés, documentés et archivés par la CMP, pour une durée permettant de démontrer la conformité (généralement 13 mois à compter du dernier recueil).

ARTICLE 4 — CATÉGORIES DE COOKIES ET TRACEURS UTILISÉS PAR FABRIK

4.1. Fabrik distingue les catégories suivantes de Traceurs :

4.1.1. Traceurs strictement nécessaires : indispensables au fonctionnement du Site et du Service. Aucun consentement n'est requis, mais une information est fournie.

4.1.2. Traceurs de mesure d'audience : utilisés à des fins statistiques de suivi de la fréquentation du Site et du Service. Consentement requis, sauf pour les solutions bénéficiant de l'exemption CNIL (configuration strictement limitée, respect des conditions de la recommandation de la CNIL).

4.1.3. Traceurs d'analytique produit : utilisés pour comprendre l'usage des fonctionnalités du Service. Consentement requis.

4.1.4. Traceurs de préférences : enregistrent les préférences de l'Utilisateur (langue, fuseau horaire, affichage). Consentement requis pour les Traceurs non strictement nécessaires à cette fin.

4.1.5. Traceurs de partenaires et tiers : utilisés par des partenaires commerciaux ou tiers (réseaux sociaux, plateformes publicitaires). Consentement requis.

4.2. La liste détaillée des Traceurs utilisés par Fabrik, par catégorie, figure à l'Annexe A et est mise à jour régulièrement.

ARTICLE 5 — COOKIES STRICTEMENT NÉCESSAIRES

5.1. Finalités. Les cookies strictement nécessaires permettent :

d'authentifier l'Utilisateur et de maintenir sa session ouverte ;

de sécuriser la session (protection CSRF, jetons anti-replay) ;

d'équilibrer la charge sur les serveurs ;

de conserver les préférences de consentement de l'Utilisateur lui-même ;

de répondre à certaines obligations légales ou de sécurité.

5.2. Base légale. Ces cookies sont exemptés de consentement en application de l'article 82 de la loi Informatique et Libertés, étant strictement nécessaires à la fourniture du service expressément demandé par l'Utilisateur.

5.3. Information. La présente Politique, par son Annexe A, liste les cookies strictement nécessaires déposés par Fabrik. Aucun bouton de refus n'est proposé pour cette catégorie, puisqu'ils sont indispensables au fonctionnement.

5.4. Exemples (liste indicative, à affiner selon l'implémentation effective) :

cookie de session (session_id)

cookie d'authentification (auth_token)

cookie anti-CSRF

cookie de consentement (consent_state)

cookie de préférence linguistique strictement nécessaire au bon affichage

ARTICLE 6 — COOKIES DE MESURE D'AUDIENCE

6.1. Finalités. Fabrik utilise des outils de mesure d'audience pour :

comprendre la fréquentation du Site et du Service ;

identifier les pages les plus consultées ;

détecter les parcours de navigation ;

ajuster l'ergonomie et les fonctionnalités.

6.2. Outil utilisé. Fabrik n'utilise pas de solution tierce de mesure d'audience soumise au consentement pour cette catégorie. L'analytique est assurée par PostHog (voir article 7).

6.3. Base légale. Non applicable — Google Analytics 4 a été retiré du Service. La mesure d'audience est assurée par PostHog (voir article 7).

6.4. Transferts. Non applicable — Google Analytics 4 a été retiré du Service.

6.5. Paramétrage. Non applicable — Google Analytics 4 a été retiré du Service.

ARTICLE 7 — COOKIES D'ANALYTIQUE PRODUIT

7.1. Finalités. Fabrik utilise des outils d'analytique produit pour :

comprendre l'usage des fonctionnalités du Service ;

identifier les parcours d'utilisation ;

améliorer l'ergonomie et les performances ;

le cas échéant, réaliser des enregistrements de session (session replay) aux fins de déboguage et d'amélioration ;

activer des indicateurs de fonctionnalité (feature flags).

7.2. Outil utilisé. Fabrik utilise PostHog, fourni par PostHog Inc. PostHog peut être hébergé dans une région UE ou États-Unis selon la configuration choisie par Fabrik et l'évolution des offres techniques du prestataire.

7.3. Base légale. Le consentement de l'Utilisateur est requis.

7.4. Session replay — précautions. Les fonctionnalités de session replay sont configurées pour masquer les données sensibles (champs de mot de passe, champs de saisie de cartes bancaires, données de santé le cas échéant), conformément aux recommandations de la CNIL et aux bonnes pratiques en la matière. Aucun enregistrement n'est réalisé sans consentement préalable.

7.5. Anonymisation et agrégation. Les analyses produit sont, dans la mesure du possible, réalisées sur des données pseudonymisées ou agrégées. L'identifiant utilisé est, lorsque possible, un identifiant aléatoire distinct de l'identifiant de Compte.

7.6. Transferts. Voir article 16.

ARTICLE 8 — COOKIES DE PRÉFÉRENCES

8.1. Finalités. Enregistrer les préférences de l'Utilisateur (choix de langue non strictement nécessaire, affichage dark/light, configuration d'accessibilité).

8.2. Base légale. Consentement, sauf pour les préférences strictement nécessaires au bon fonctionnement du Service.

ARTICLE 9 — COOKIES DE PARTENAIRES ET TIERS

9.1. Principe. Fabrik limite strictement l'usage de cookies de partenaires ou de tiers. À la date de la présente version, Fabrik n'utilise pas de cookies publicitaires tiers, ni de pixels de conversion publicitaires, ni de traceurs de réseaux sociaux.

9.2. Évolution. Dans l'hypothèse où Fabrik viendrait à intégrer de tels cookies (par exemple, pour mesurer l'efficacité de campagnes marketing), la présente Politique serait mise à jour en conséquence, et le consentement de l'Utilisateur serait recueilli spécifiquement.

ARTICLE 10 — DURÉE DE CONSERVATION DES COOKIES

10.1. Durées maximales. Conformément aux recommandations de la CNIL :

la durée de conservation des cookies non strictement nécessaires ne dépasse pas 13 mois à compter de leur premier dépôt ou consentement ;

les informations collectées via ces cookies sont conservées pour une durée maximale de 25 mois à compter de leur collecte ;

à l'issue de ces durées, un nouveau consentement est recueilli, sauf si l'Utilisateur a préalablement confirmé son refus.

10.2. Durées plus courtes. Fabrik privilégie les durées les plus courtes nécessaires à la finalité. Les durées spécifiques de chaque Traceur figurent à l'Annexe A.

10.3. Cookies de session. Les cookies strictement nécessaires à la session sont supprimés à la fin de la session ou à la déconnexion.

ARTICLE 11 — CONSENTEMENT — RECUEIL ET GESTION

11.1. Bannière de consentement. Lors de la première visite du Site ou du Service par un Utilisateur, une bannière de consentement s'affiche, comportant au minimum :

une information claire et concise sur la finalité des Traceurs non strictement nécessaires ;

un bouton « Tout accepter » permettant de consentir à l'ensemble des Traceurs ;

un bouton « Tout refuser » ou équivalent, de même visibilité et accessibilité que « Tout accepter » ;

un bouton « Paramétrer » permettant un choix fin par catégorie et, le cas échéant, par Traceur.

11.2. Absence de consentement par défaut. Aucun Traceur non strictement nécessaire n'est déposé tant que l'Utilisateur n'a pas donné son consentement éclairé. Les cases sont non-cochées par défaut. La simple poursuite de la navigation ne vaut pas consentement.

11.3. Consentement granulaire. L'Utilisateur peut accepter certaines catégories et refuser d'autres. Le paramétrage fin est proposé au second niveau.

11.4. Preuve du consentement. La CMP enregistre, pour chaque choix : la version de la bannière affichée, la liste des Traceurs présentés, la date et l'heure (UTC), l'identifiant anonyme du Visiteur, le choix effectué. Ces éléments sont conservés pour démontrer la conformité.

11.5. Renouvellement. À l'issue de la durée de conservation visée à l'article 10.1, le consentement est renouvelé.

ARTICLE 12 — SIGNAL GLOBAL PRIVACY CONTROL (GPC) ET MÉCANISMES UNIVERSELS D'OPT-OUT

12.1. Honneur du signal GPC. Lorsqu'un Utilisateur transmet, via son navigateur, le signal Global Privacy Control (GPC), Fabrik l'interprète comme un refus des Traceurs non strictement nécessaires et une opposition à tout « partage » ou « vente » de Données à caractère personnel au sens du CCPA/CPRA et des textes équivalents.

12.2. Effet. Le signal GPC emporte, sans qu'aucune action supplémentaire ne soit requise de la part de l'Utilisateur :

refus des Traceurs non strictement nécessaires ;

activation de l'opt-out « Do Not Sell or Share My Personal Information » pour les Utilisateurs relevant du CCPA/CPRA ;

prise en compte d'un mécanisme équivalent pour les États américains reconnaissant les Universal Opt-Out Mechanisms (notamment Colorado, Connecticut, Texas, Oregon, etc.).

12.3. Autres signaux. Fabrik se réserve la faculté d'honorer tout autre mécanisme universel de refus reconnu par le droit applicable à la juridiction de l'Utilisateur (par exemple, futurs signaux issus de la directive ePrivacy révisée ou du règlement ePrivacy, si adoptés).

ARTICLE 13 — RETRAIT DU CONSENTEMENT ET MODIFICATION DES CHOIX

13.1. Accès permanent aux paramètres. Un lien accessible depuis chaque page du Site (typiquement en pied de page, intitulé « Gérer les cookies » ou équivalent) permet à l'Utilisateur, à tout moment, de consulter ses choix et de les modifier.

13.2. Retrait aussi simple que l'acceptation. Conformément à l'article 7, 3 du RGPD, le retrait du consentement est aussi simple que son octroi. Le retrait n'affecte pas la licéité du traitement antérieur.

13.3. Effet du retrait. Le retrait du consentement emporte :

l'arrêt immédiat du dépôt et de la lecture des Traceurs correspondants sur les nouvelles visites ;

la suppression des Traceurs déjà déposés, dans la mesure techniquement possible ;

la transmission, le cas échéant, d'une instruction aux sous-traitants tiers pour qu'ils suppriment les données correspondantes.

ARTICLE 14 — PARAMÉTRAGE PAR LE NAVIGATEUR

14.1. Paramétrage complémentaire. Indépendamment des choix exprimés via la bannière de consentement de Fabrik, l'Utilisateur peut configurer son navigateur pour bloquer les cookies, les supprimer après chaque session, ou être alerté lors de leur dépôt.

14.2. Documentation par navigateur. La procédure varie selon le navigateur :

Google Chrome : Paramètres > Confidentialité et sécurité > Cookies et autres données de sites ;

Mozilla Firefox : Paramètres > Vie privée et sécurité > Cookies et données de sites ;

Safari : Préférences > Confidentialité ;

Microsoft Edge : Paramètres > Cookies et autorisations de site.

14.3. Conséquences. Le blocage des cookies strictement nécessaires peut entraîner un dysfonctionnement du Site ou du Service (impossibilité de se connecter, perte de session, etc.). L'Utilisateur en assume seul les conséquences.

ARTICLE 15 — TRAITEMENTS ASSOCIÉS AUX COOKIES — RENVOI À LA POLITIQUE DE CONFIDENTIALITÉ

15.1. Les Données à caractère personnel collectées via les Traceurs sont traitées dans les conditions de la Politique de confidentialité (document 5/10 du corpus Fabrik), à laquelle il est expressément renvoyé pour toute information complémentaire sur les finalités, les bases légales, les destinataires, les durées de conservation, les transferts et les droits des Personnes concernées.

ARTICLE 16 — TRANSFERTS HORS UE LIÉS AUX TRACEURS

16.1. Sous-traitants concernés. Les outils de mesure d'audience et d'analytique produit utilisés par Fabrik (notamment PostHog) peuvent impliquer des transferts de Données à caractère personnel vers des pays tiers, notamment les États-Unis.

16.2. Cadre juridique. Ces transferts sont encadrés dans les conditions de l'article 9 de la Politique de confidentialité (décisions d'adéquation, Clauses contractuelles types 2021, DPF pour les sous-traitants certifiés, mesures supplémentaires post-Schrems II).

16.3. TIA. Fabrik réalise une analyse d'impact du transfert (TIA) pour chaque flux impliquant un transfert vers un pays non doté d'une décision d'adéquation.

ARTICLE 17 — RESPONSABILITÉ CONJOINTE ÉVENTUELLE

17.1. Dans certains cas, notamment lorsque Fabrik utilise un outil de mesure d'audience ou d'analytique tiers, Fabrik et le fournisseur de l'outil peuvent être qualifiés de responsables conjoints de traitement au sens de l'article 26 du RGPD, tel qu'interprété par la jurisprudence (notamment CJUE, Fashion ID, C-40/17, 29 juillet 2019 ; CJUE, Wirtschaftsakademie, C-210/16, 5 juin 2018).

17.2. En pareille hypothèse, Fabrik conclut avec le fournisseur un accord de responsabilité conjointe (joint controller agreement) définissant les responsabilités de chacun, notamment quant à l'exercice des droits des Personnes concernées et aux obligations d'information.

17.3. L'essentiel de cet accord est rendu disponible aux Personnes concernées, sur demande adressée à legal@fabrik.so.

ARTICLE 18 — ÉVOLUTION DE LA PRÉSENTE POLITIQUE

18.1. La présente Politique peut être modifiée pour tenir compte de l'évolution législative, jurisprudentielle, technique ou organisationnelle, notamment en cas d'ajout ou de retrait d'un Traceur, de changement de finalité, ou d'évolution des lignes directrices des autorités compétentes.

18.2. Toute modification substantielle (ajout d'un nouveau Traceur, nouvelle finalité) donne lieu à un renouvellement du consentement.

18.3. La version applicable est celle en vigueur à la date considérée, avec mention de la date de dernière mise à jour.

ARTICLE 19 — RÉCLAMATIONS

19.1. Toute question ou réclamation relative aux Traceurs peut être adressée à legal@fabrik.so ou à Fabrik — Protection des données, 4 rue du Four, 55500 Cousances-lès-Triconville, France.

19.2. Réclamation auprès de la CNIL. Sans préjudice de tout autre recours, l'Utilisateur peut introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr).

19.3. Réclamations hors France. Pour les Utilisateurs résidant hors de France, les autorités compétentes sont celles listées à l'article 39 de la Politique de confidentialité.

ANNEXE A — LISTE DÉTAILLÉE DES COOKIES ET TRACEURS UTILISÉS

Cette liste est indicative et est mise à jour régulièrement. La version en vigueur est accessible via le lien « Gérer les cookies » en pied de page du Site.

A.1 — Traceurs strictement nécessaires

Nom

Déposé par

Finalité

Durée

Domaine

sb-access-token / sb-refresh-token

Fabrik (via Supabase)

Authentification utilisateur, maintien de session

Session + durée du token

app.fabrik.so

csrf_token

Fabrik

Protection anti-CSRF

Session

fabrik.so / app.fabrik.so

consent_state

Fabrik (CMP)

Enregistrement des préférences de consentement

13 mois

fabrik.so

locale (si strictement nécessaire)

Fabrik

Affichage correct de la langue

Session / 6 mois

fabrik.so

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

A.2 — Traceurs de mesure d'audience (consentement requis)

Nom

Déposé par

Finalité

Durée

Transfert

— (retiré)

— (retiré)

— (retiré)

— (retiré)

— (retiré)

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

A.3 — Traceurs d'analytique produit (consentement requis)

Nom

Déposé par

Finalité

Durée

Transfert

ph_* (cookies et localStorage PostHog)

PostHog

Analytique produit, feature flags, session replay

12-13 mois max

Région UE privilégiée ; États-Unis par défaut selon offre — CCT si hors UE

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

A.4 — Traceurs de préférences (consentement requis pour les non strictement nécessaires)

Nom

Déposé par

Finalité

Durée

theme

Fabrik

Mémoriser le thème (dark/light)

12 mois

timezone

Fabrik

Mémoriser le fuseau horaire

12 mois

28 avril 2026

28 avril 2026

28 avril 2026

28 avril 2026

A.5 — Traceurs de partenaires et tiers

À la date de la présente version : aucun cookie publicitaire tiers, aucun pixel de conversion, aucun traceur de réseau social n'est déposé par Fabrik.

ANNEXE B — GLOSSAIRE TECHNIQUE

CMP (Consent Management Platform) : plateforme logicielle de gestion du consentement.

Cookie : petit fichier texte stocké par le navigateur.

CSRF (Cross-Site Request Forgery) : type d'attaque web contre laquelle certains cookies protègent.

DPF (Data Privacy Framework) : cadre d'adéquation UE-USA pour les transferts de données, succédant au Privacy Shield.

Empreinte numérique (fingerprinting) : technique de suivi fondée sur la combinaison unique de paramètres de l'équipement terminal.

GPC (Global Privacy Control) : signal universel d'opt-out transmis par le navigateur.

IndexedDB : base de données côté navigateur.

LocalStorage / SessionStorage : mécanismes de stockage côté navigateur.

Pixel (balise web) : image invisible d'un pixel utilisée pour tracer des actions.

Proxy interne : architecture permettant de masquer ou de filtrer certaines données avant leur envoi vers un outil tiers.

Session replay : technique d'enregistrement de la session utilisateur pour analyse a posteriori.

TIA (Transfer Impact Assessment) : analyse d'impact du transfert requise post-Schrems II pour les transferts hors UE.

Fin du Document 6/10 — Politique cookies et traceurs — Fabrik

Corpus juridique Fabrik — Version 2.0 — 28 avril 2026