TL;DR : Squarespace dépose des cookies tiers dès le chargement de la page, y compris ses analytics intégrées et les extensions tierces installées. La bannière native n'est pas une CMP : elle affiche un message mais ne bloque pas les scripts avant consentement. Pour répondre aux exigences de la CNIL et du RGPD, vous devez intégrer un CMP externe qui bloque les traceurs non essentiels et conserve les preuves de consentement.
Pourquoi la conformité RGPD est plus complexe sur Squarespace qu'il n'y paraît
Squarespace propose un "Cookie Notice" intégré depuis 2021, configurable en quelques clics depuis les paramètres du site. Pour beaucoup de propriétaires de sites, activer cette option semble régler la question de la conformité. Ce n'est pas le cas.
La CNIL exige que les cookies non essentiels soient bloqués tant que l'utilisateur n'a pas exprimé son accord de manière explicite et préalable. Le Cookie Notice natif de Squarespace affiche un bandeau d'information, mais les scripts tiers continuent de se charger dès l'ouverture de la page, indépendamment du choix de l'utilisateur. Cette pratique est contraire aux recommandations de la CNIL depuis 2021 et expose le propriétaire du site à des sanctions.
Ce guide explique quels cookies Squarespace dépose réellement, pourquoi la solution native est insuffisante, et comment mettre en place une conformité RGPD solide, que vous soyez sur un site vitrine ou une boutique e-commerce.
Quels cookies Squarespace dépose-t-il ?
Squarespace dépose plusieurs catégories de cookies selon la configuration de votre site. Les identifier et les classifier est la première étape de tout audit de conformité.
Cookies fonctionnels (exemptés de consentement)
Ces cookies sont nécessaires au fonctionnement technique du site et n'exigent pas de consentement selon les lignes directrices de la CNIL :
- ss_cid : identifiant de visiteur, persistance 2 ans
- crumb : protection CSRF des formulaires, durée de session
- SqSpVisitorInfoCookieKey : données de session visiteur
- ss_cpvisit et ss_cvr : métriques de session interne
Cookies analytics propriétaires Squarespace
Squarespace active par défaut ses propres outils de mesure d'audience. Les cookies ss_cvt et ss_mv collectent des données comportementales (pages vues, durée, taux de rebond) et sont transmis aux serveurs de Squarespace. Ces cookies ne bénéficient pas de l'exemption CNIL réservée aux outils de mesure d'audience en configuration restreinte : ils nécessitent donc un consentement préalable.
Cookies tiers selon vos extensions
Chaque intégration ou extension tierce activée dans votre espace Squarespace ajoute ses propres cookies. Les plus fréquents :
- Google Analytics 4 : _ga, _gid, _gat (si intégré nativement ou via GTM)
- Google Ads / conversion tracking : _gcl_au
- Stripe (boutique e-commerce) : cookies de session de paiement
- Meta Pixel / widgets Instagram ou Facebook
- Mailchimp, Klaviyo ou autres outils d'emailing
La liste exacte dépend de vos modules activés. Un scan de votre site permet d'obtenir l'inventaire complet des traceurs effectivement déposés.
Pourquoi le Cookie Banner natif de Squarespace ne suffit pas
Le bannière intégrée présente quatre lacunes critiques au regard du RGPD et des recommandations de la CNIL.
Absence de blocage préalable. Les scripts tiers se chargent dès l'ouverture de la page, avant toute interaction de l'utilisateur. Le RGPD exige un consentement préalable et explicite, pas une simple information affichée après coup.
Pas de gestion par catégorie. Le banner natif propose un seul bouton global. La CNIL exige que l'utilisateur puisse accepter ou refuser par finalité distincte : analytics, marketing, personnalisation.
Aucun audit trail. La CNIL peut demander à tout moment de prouver que le consentement a été recueilli correctement (date exacte, version du banner affichée, choix de l'utilisateur, durée de validité). Squarespace ne stocke pas ces preuves.
Droit au refus non respecté. Le bouton "Refuser" doit être aussi visible et accessible que le bouton "Accepter". Les dark patterns qui rendent le refus difficile ont été explicitement sanctionnés par la CNIL dès 2022, avec des amendes allant jusqu'à plusieurs centaines de milliers d'euros pour des manquements répétés.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment rendre votre site Squarespace conforme au RGPD
La mise en conformité RGPD sur Squarespace suit quatre étapes dans un ordre précis.
Étape 1 : auditer vos cookies
Avant toute configuration, listez tous les cookies et traceurs déposés par votre site. Utilisez le scanner FlowConsent ou un outil spécialisé. Pour chaque cookie, notez : la finalité (analytique, marketing, fonctionnel), la durée de persistance, et l'éditeur tiers concerné. Cet inventaire servira de base à votre politique de cookies.
Étape 2 : désactiver les intégrations natives non conformes
Si vous avez activé Google Analytics directement depuis le tableau de bord Squarespace (Paramètres > Avancé > Google Analytics), désactivez cette intégration native. Elle charge GA4 dès l'ouverture de la page, sans passer par un mécanisme de consentement. Préférez une intégration via Google Tag Manager, qui permet d'implémenter le Consent Mode v2 et de conditionner le déclenchement de GA4 au consentement de l'utilisateur.
Étape 3 : intégrer un CMP externe via injection de code
Squarespace autorise l'injection de code dans l'en-tête de chaque page via Paramètres > Avancé > Injection de code (en-tête). C'est là que vous placez le snippet de votre CMP. FlowConsent fournit un extrait prêt à l'emploi, compatible Squarespace, qui bloque les scripts non essentiels avant acceptation, affiche une bannière conforme avec gestion par catégorie, et conserve les preuves de consentement.
Étape 4 : configurer le Consent Mode v2 pour Google Ads
Si votre site Squarespace utilise Google Ads pour les conversions ou le remarketing, l'implémentation du Consent Mode v2 est obligatoire depuis mars 2024 pour maintenir la modélisation des conversions. Ce mode doit être initialisé avant tout tag Google, via GTM, avec un signal de consentement transmis par votre CMP.
Erreurs fréquentes sur Squarespace
Activer le Cookie Notice natif et considérer la conformité assurée. Ce banner est un aviso informativo, pas un mécanisme de consentement. Il ne bloque rien et ne stocke aucune preuve.
Intégrer Google Analytics depuis le tableau de bord Squarespace. Cette méthode charge GA4 avant tout consentement. La seule solution conforme est GTM avec Consent Mode v2.
Oublier les cookies Stripe et e-commerce. Si vous avez une boutique Squarespace, Stripe dépose des cookies pour le traitement des paiements. Ces cookies sont fonctionnels et exemptés de consentement, mais ils doivent obligatoirement figurer dans votre politique de cookies.
Ne pas mettre à jour la configuration après l'ajout d'une extension. Chaque nouvelle intégration peut ajouter des traceurs non déclarés. Planifiez un re-audit après chaque modification de configuration.
Utiliser un CMP configuré en soft opt-in. "Continuer à naviguer = accepter" n'est pas conforme au RGPD. La CNIL exige un acte positif et explicite. Les banners qui n'affichent pas de bouton Refuser clairement sont sanctionnés.
Checklist conformité RGPD Squarespace
- Auditer tous les cookies via un scanner
- Désactiver l'intégration native Google Analytics dans le tableau de bord
- Intégrer Google Tag Manager avec Consent Mode v2
- Installer un CMP externe via injection de code (en-tête)
- Configurer le blocage des scripts non essentiels avant consentement
- Paramétrer les catégories : analytics, marketing, fonctionnel
- Vérifier que le bouton Refuser est aussi visible que le bouton Accepter
- Activer la conservation des preuves de consentement (audit trail)
- Rédiger ou mettre à jour la politique de cookies avec tous les traceurs
- Tester le banner sur mobile et sur les principaux navigateurs
- Vérifier la compatibilité Stripe si boutique e-commerce
- Planifier un re-audit tous les 6 mois ou après chaque changement
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusion
Squarespace est une plateforme simple à prendre en main, mais la conformité RGPD y demande plus que ce que la plateforme propose nativement. Le Cookie Notice intégré n'est pas un CMP. Pour bloquer les scripts non essentiels, recueillir le consentement par catégorie et conserver les preuves exigées par la CNIL, vous avez besoin d'un outil dédié.
Commencez par un scan gratuit de votre site Squarespace, pour identifier tous les cookies déposés et évaluer votre niveau de conformité actuel.
Questions fréquentes
Le bandeau de cookies natif de Squarespace est-il conforme au RGPD ?
Non. L'avis de cookies intégré à Squarespace est une bannière informative, pas une CMP. Il ne bloque pas les scripts non essentiels avant le consentement, ne gère pas le consentement par catégorie et ne conserve aucune preuve de consentement, pourtant exigées par l'article 7 du RGPD.
Puis-je utiliser Google Analytics sur Squarespace de manière conforme au RGPD ?
Oui, mais pas via l'intégration native du tableau de bord Squarespace. Activer GA4 depuis Paramètres > Avancé > Google Analytics charge le tracker avant tout consentement. La seule approche conforme est de désactiver cette intégration native et de déployer GA4 via Google Tag Manager avec Consent Mode v2 configuré.
Comment intégrer une CMP sur Squarespace ?
Squarespace permet l'injection de code dans l'en-tête de chaque page via Paramètres > Avancé > Injection de code (En-tête). Collez le snippet de votre CMP à cet endroit. Le script CMP s'exécutera alors avant tout autre script et pourra bloquer les traceurs non essentiels jusqu'à l'obtention du consentement. FlowConsent fournit un snippet prêt à l'emploi compatible Squarespace.
Les cookies Stripe d'une boutique Squarespace nécessitent-ils un consentement ?
Non. Stripe installe des cookies fonctionnels strictement nécessaires au traitement des paiements (authentification de session, protection CSRF). En vertu du RGPD, ceux-ci sont exemptés de l'obligation de consentement préalable. Ils doivent toutefois être déclarés dans votre politique de cookies avec leur finalité et leur durée.