Guide d'intégration du consentement aux cookies Klaviyo : Email et SMS conformes au GDPR pour l'e-commerce en 2026
Klaviyo est la plateforme dominante de marketing par email et SMS pour le commerce électronique direct aux consommateurs. Elle est installée sur une fraction significative de tous les magasins Shopify, BigCommerce et Magento dans le monde, et sa couche de suivi sur site — le script qui surveille le comportement de navigation, attribue les pages vues aux profils connus et déclenche les flux de panier abandonné et d'abandon de navigation — est ce qui rend la plateforme commercialement précieuse. C'est aussi l'une des pièces les plus mal configurées d'une pile e-commerce du point de vue de la confidentialité. Le script de suivi Klaviyo Onsite, la bibliothèque Klaviyo Forms et les flux d'opt-in SMS collectent tous des données personnelles dès leur chargement, avant qu'une banneau de consentement n'ait été affiché. Pour tout magasin traitant du trafic de l'UE, du Royaume-Uni, du Brésil ou de la Californie, ce comportement par défaut n'est plus conforme, et les régulateurs les plus actifs dans l'application du droit e-commerce — la CNIL en France, l'AEPD en Espagne, la Garante italienne et l'agence de protection de la vie privée californienne — ont clairement indiqué qu'ils traitent les scripts de marketing de manière identique, que le fournisseur soit grand ou petit. Ce guide vous explique ce que Klaviyo collecte, comment l'intégrer à un CMP tiers, et où s'inscrivent les primitives de confidentialité propres à la plateforme.
Ce que le suivi Klaviyo Onsite collecte
Le snippet Klaviyo Onsite (chargé depuis static.klaviyo.com/onsite/js/klaviyo.js) initialise une file d'attente globale _learnq et identifie les visiteurs avec un cookie détenu par Klaviyo appelé __kla_id. Une fois installé, il signale automatiquement les événements de page vue, capture les interactions de formulaire, déclenche l'événement Active On Site qui alimente le flux Browse Abandonment de Klaviyo, et lie le comportement de navigation anonyme au profil d'un abonné connu dès que le visiteur se connecte ou soumet un formulaire avec une adresse email. Les événements suivants — Viewed Product, Added to Cart, Started Checkout, Placed Order — sont transmis via la même infrastructure d'identité et héritent de la même attribution basée sur les cookies.
Pour l'analyse GDPR, le cookie n'est pas essentiel, les données quittant la page sont des données personnelles car elles sont liées à un identifiant persistant, et Klaviyo est établie aux États-Unis, ce qui rend le transfert soumis au Cadre de protection des données UE-États-Unis. Ces trois conditions placent le suivi Klaviyo Onsite fermement dans le domaine « nécessite un consentement préalable » dans l'UE, le Royaume-Uni, l'EEA et le Brésil en vertu de la LGPD. En Californie, le même traitement relève du droit CPRA d'opt-out du partage pour la publicité comportementale inter-contextes, que le partage de Klaviyo avec les destinations de médias payants déclenche.
Les trois surfaces de suivi que vous devez contrôler
Une installation Klaviyo n'est pas une seule surface de suivi, c'est trois, et elles doivent être traitées séparément dans une intégration CMP.
Le script de suivi sur site
C'est le suiveur comportemental principal — le script qui définit __kla_id et alimente le flux d'événements actif sur site. C'est la surface que la plupart des équipes se souviennent de contrôler et la plus visible aux régulateurs lors des audits. Bloquez-la par défaut et chargez-la uniquement lorsque le visiteur accepte la catégorie marketing.
Klaviyo Forms et popups d'inscription
Klaviyo Forms est une bibliothèque distincte qui alimente les popups d'inscription par email et SMS, les formulaires intégrés et les déblocages de contenu verrouillé. Elle est hébergée sur le même domaine mais chargée en tant que script distinct. Les formulaires peuvent déclencher des événements d'impression et de soumission indépendamment du suiveur Onsite principal, donc contrôler uniquement Onsite tout en laissant Forms se charger est un modèle de conformité partielle courant qui fuit toujours des données d'identification.
Collecte d'opt-in SMS
Les inscriptions SMS ont leur propre exigence de consentement en vertu de la TCPA aux États-Unis et en vertu de règles spécifiques au secteur dans l'UE, et les formulaires SMS de Klaviyo collectent les numéros de téléphone ainsi que le consentement confirmé par case à cocher. Le consentement collecté ici concerne la messagerie SMS elle-même, séparé du consentement aux cookies. Une pile correctement configurée enregistre les deux : le consentement aux cookies dans le CMP, le consentement SMS dans le profil d'abonné Klaviyo.
Contrôles natifs de confidentialité de Klaviyo
Klaviyo expose plusieurs primitives de confidentialité natives. Comme pour la plupart des plateformes marketing, elles supposent qu'une décision de consentement existe et est en cours de transmission. Elles ne collectent pas elles-mêmes le consentement.
La propriété de consentement sur les appels identify
Lorsque vous appelez klaviyo.identify() ou klaviyo.track(), vous pouvez joindre une charge utile de consentement qui enregistre la base légale des communications marketing. C'est la primitive appropriée pour transmettre la décision du CMP dans le profil d'abonné Klaviyo.
Champs de consentement au niveau du profil
Le profil d'abonné a des champs dédiés au consentement par email, au consentement SMS et à la source de consentement. Les mises à jour de ces champs se propagent au moteur de segmentation de Klaviyo afin que les flux respectent l'état enregistré.
Le panneau paramètres Confidentialité et consentement
L'interface administrative de Klaviyo a une section Confidentialité et consentement qui contrôle certains comportements par défaut — par exemple, si l'événement Active On Site se déclenche pour les visiteurs sans consentement enregistré. La valeur par défaut est permissive ; renforcer ces paramètres est une couche utile de sécurité supplémentaire en plus du contrôle au niveau du CMP.
Intégration CMP étape par étape
L'architecture fiable consiste à contrôler les trois surfaces de suivi Klaviyo derrière le CMP et à utiliser les propriétés de consentement sur les appels Klaviyo identify et track pour maintenir les enregistrements d'abonnés de la plateforme synchronisés avec l'état de consentement enregistré.
1. Supprimez le snippet Onsite par défaut du head
Klaviyo fournit un snippet d'une ligne que les installateurs collent généralement dans le head du document. Supprimez-le. Remplacez-le par un élément script placeholder dont l'attribut type est text/plain et dont l'attribut data-category l'identifie comme marketing. Votre CMP réécrit le type en text/javascript lorsque le visiteur accepte la catégorie marketing.
2. Différez le chargement de Klaviyo Forms
La bibliothèque Forms se charge indépendamment de Onsite. Appliquez le même modèle placeholder à son élément script afin qu'il ne s'initialise pas avant le consentement. Après que le consentement soit accordé, Onsite et Forms peuvent s'initialiser ensemble ; les événements en file d'attente sont vidés automatiquement.
3. Séparez le consentement SMS du consentement aux cookies
La collecte d'opt-in SMS s'effectue via Klaviyo Forms, mais le consentement collecté (la case à cocher explicite pour la messagerie SMS) est un artefact légal distinct du consentement aux cookies. La banneau CMP enregistre la décision relative aux cookies ; la case à cocher du formulaire enregistre la décision SMS. Ne les bundlez pas — le consentement bundlé est invalide en vertu du GDPR et de la TCPA.
4. Propagez le consentement au profil Klaviyo
Lorsqu'un abonné connu accepte ou révoque le consentement sur votre site, le CMP doit appeler l'API Klaviyo pour mettre à jour les champs de consentement du profil. L'API Profiles API de Klaviyo supporte un appel de mise à jour partielle qui écrit le consentement par email, le consentement SMS et l'horodatage du consentement sans réécrire le reste du profil. La plupart des CMP modernes ont un connecteur Klaviyo qui gère cela de bout en bout.
5. Connectez Consent Mode v2 si vous exécutez des balises Google aux côtés
La plupart des magasins utilisant Klaviyo exécutent également Google Ads et GA4. Votre CMP doit publier les signaux v2 de consentement — ad_storage, analytics_storage, ad_user_data, ad_personalization — dans la dataLayer avant que toute balise Google ne se déclenche. Klaviyo ne consomme pas ces signaux nativement, mais Google le fait, et une incohérence entre Klaviyo et Google se manifeste par un écart de revenus mesurable dans les rapports d'attribution.
Pièges courants
Quatre erreurs d'intégration se reproduisent régulièrement dans les audits des déploiements Klaviyo.
Traiter Forms comme « juste une popup »
Certaines équipes contrôlent Onsite sous marketing mais laissent Forms se charger au rendu initial, arguant que « une popup n'est qu'un élément UI ». La bibliothèque Forms déclenche des événements d'impression à Klaviyo pour chaque popup qui s'affiche, ce qui constitue des données comportementales d'identification transmises à un fournisseur de technologie publicitaire américain — le modèle exact qu'un CMP est censé prévenir.
Bundler le consentement aux cookies et le consentement SMS
Une case unique qui dit « J'accepte les cookies et de recevoir des SMS marketing » est invalide pour les deux. Le consentement aux cookies doit être spécifique aux cookies ; le consentement SMS doit être spécifique aux SMS. Utilisez des contrôles distincts.
Laisser les connecteurs de médias payants tiers se déclencher sur les profils révoqués
Klaviyo peut transmettre des audiences à Google Ads, Meta, TikTok et d'autres réseaux publicitaires via ses intégrations. Si un abonné révoque le consentement, la transmission d'audience doit le supprimer — pas seulement cesser de les ajouter. Configurez les paramètres de synchronisation d'audience de Klaviyo pour honorer les changements d'état de consentement en temps réel, pas seulement à la synchronisation initiale.
Oublier la question des données historiques
Lorsqu'un visiteur accepte le consentement pour la première fois, votre pile ne doit pas associer rétroactivement son comportement anonyme pré-consentement à son nouveau profil. Le CMP et Klaviyo doivent être d'accord que les données de navigation pré-consentement ne sont pas des données personnelles liées au profil maintenant identifié. Certains flux Klaviyo supposent cette association par défaut — examinez les déclencheurs de flux pertinents.
Liste de contrôle d'audit
Six questions concrètes à répondre pour tout déploiement Klaviyo touchant du trafic de l'UE, du Royaume-Uni, du Brésil ou de la Californie.
- Onsite attend-il le consentement ? Ouvrez la devanture dans une fenêtre privée avec une protection de suivi strict et confirmez qu'aucune demande static.klaviyo.com ne se déclenche avant l'acceptation de la banneau.
- Forms attend-il le consentement ? Confirmez que les événements d'impression de popup ne se déclenchent pas avant l'acceptation de la catégorie marketing.
- Le consentement aux cookies et le consentement SMS sont-ils distincts ? Confirmez que la banneau de consentement aux cookies ne collecte pas aussi le consentement SMS, et que les formulaires d'opt-in SMS enregistrent leur propre case à cocher explicite.
- Le profil Klaviyo reflète-t-il l'état du CMP ? Confirmez que le CMP écrit les décisions de consentement dans les champs de consentement du profil via l'API Klaviyo.
- Les synchronisations d'audience honorent-elles les révocations ? Confirmez que la révocation du consentement supprime l'abonné des audiences de médias payants en aval, pas seulement des synchronisations futures.
- La navigation pré-consentement est-elle conservée anonyme ? Confirmez que les déclencheurs de flux n'associent pas rétroactivement le comportement pré-consentement aux profils nouvellement identifiés.
Où Klaviyo s'inscrit dans une pile respectueuse du consentement
Klaviyo se situe à l'intersection de l'attribution e-commerce et des communications marketing directes, ce qui signifie qu'elle touche à la fois le régime de consentement aux cookies (GDPR/ePrivacy, CCPA/CPRA) et le régime de communications marketing (CAN-SPAM, TCPA, Article 6/7 du GDPR pour la messagerie). La bonne architecture traite ces deux surfaces de consentement distincts — les deux acheminés via un CMP unique qui est propriétaire de la source de vérité, avec les champs de consentement natifs de Klaviyo maintenu synchronisés via API. Les magasins qui le font correctement préservent le comportement de panier abandonné, d'abandon de navigation et de segmentation qui rend Klaviyo commercialement précieuse tout en réduisant l'exposition à l'audit à une fraction de ce qu'une installation par défaut porte. Le travail d'ingénierie est simple ; la discipline consiste à ne pas laisser l'équipe marketing traiter Forms comme exempt des mêmes règles que le suiveur Onsite.