FlowConsent

Webflow et cookies RGPD : guide de conformité

4 juin 20265 min de lecture

TL;DR

Webflow génère ses propres cookies et charge des scripts tiers (Google Analytics, Meta Pixel, HubSpot, etc.) via ses intégrations ou le code personnalisé. Sous le RGPD, vous devez recueillir un consentement préalable avant le chargement de tout traceur non nécessaire. Une bannière de cookies conforme bloquant les scripts par défaut est obligatoire, même sur Webflow.

Webflow est apprécié pour sa flexibilité de design et sa gestion simplifiée de l'hébergement. Mais cette flexibilité s'accompagne d'une responsabilité : les sites Webflow déposent des cookies et peuvent intégrer des dizaines de scripts tiers. Si votre site est accessible depuis l'Union européenne, la conformité RGPD s'applique pleinement.

Ce guide explique quels cookies Webflow dépose par défaut, pourquoi les scripts tiers nécessitent un consentement, et comment ajouter une bannière de cookies conforme à votre site Webflow.

Quels cookies Webflow dépose-t-il par défaut ?

Par défaut, un site Webflow sans aucune intégration tierce dépose un nombre limité de cookies. Comprendre ces cookies natifs est la première étape d'un audit de conformité.

Les cookies natifs de Webflow

Webflow dépose les cookies suivants sur ses sites hébergés :

  1. wf_orderId : cookie de session lié à la fonctionnalité e-commerce Webflow (si activée), non persistant
  2. webflow-session : cookie de session pour la gestion de formulaires et d'interactions, non persistant
  3. hubspotutk / __hstc : déposés si l'intégration HubSpot native est activée

Les cookies natifs de Webflow (session, formulaires) sont généralement considérés comme fonctionnels et peuvent relever de l'exemption de consentement — sous réserve d'une analyse au cas par cas. Cependant, dès que vous ajoutez des scripts tiers (Google Analytics, Meta Pixel, HubSpot, Intercom, etc.), l'obligation de consentement s'applique.

Les scripts tiers courants sur Webflow

La majorité des sites Webflow intègrent des outils tiers via le panneau 'Custom Code' (head/footer), les intégrations natives ou des plugins. Ces outils déposent leurs propres cookies et requièrent tous un consentement préalable selon le RGPD : Google Analytics 4, Meta Pixel, HubSpot CRM, Intercom, Hotjar, LinkedIn Insight Tag, Mixpanel, Segment.

Pour identifier exhaustivement tous les traceurs actifs sur votre site, réalisez un audit de cookies complet.

Webflow est-il conforme au RGPD par défaut ?

Non. Webflow fournit une infrastructure d'hébergement et un éditeur visuel, mais la conformité RGPD de votre site est votre responsabilité en tant que propriétaire du site et responsable de traitement. Webflow ne propose pas de bannière de cookies native conforme au sens du RGPD et de la CNIL.

Qui est responsable de traitement ?

Vous, en tant que propriétaire du site Webflow, êtes le responsable de traitement pour les données collectées via votre site. Webflow agit comme sous-traitant pour l'hébergement. Les fournisseurs de scripts tiers (Google, Meta, HubSpot, etc.) sont des sous-traitants ou des responsables de traitement distincts selon le cas.

Ce que dit la CNIL sur les sites construits avec des CMS

La CNIL précise que l'obligation de recueil du consentement s'applique quel que soit l'outil utilisé pour construire le site : WordPress, Webflow, Shopify, ou tout autre CMS. L'utilisation d'un constructeur de site ne dispense pas de la conformité RGPD. Le responsable de traitement est toujours le propriétaire du site.

Comment ajouter une bannière de cookies conforme sur Webflow ?

L'intégration d'une CMP (gestionnaire de consentement aux cookies) sur Webflow se fait via le panneau 'Custom Code'. La méthode diffère selon que vous chargez les scripts tiers directement dans le code personnalisé ou via Google Tag Manager.

Méthode 1 : CMP via Custom Code Webflow

La plupart des CMP fournissent un snippet JavaScript à insérer dans la section <head> de votre site. Dans Webflow, accédez à Project Settings > Custom Code et collez le snippet de votre CMP dans la zone 'Head Code'. Ce snippet doit être chargé avant tout script tiers.

  1. Accéder à Project Settings > Custom Code dans Webflow
  2. Coller le snippet de votre CMP (ex. FlowConsent) dans 'Head Code'
  3. Déplacer tous vos autres scripts tiers après le snippet CMP, ou les conditionner via des callbacks de consentement
  4. Vérifier que les scripts sont bloqués par défaut avant interaction avec la bannière
  5. Publier et tester en navigation privée

Méthode 2 : Google Tag Manager + CMP

Si vous centralisez vos scripts via Google Tag Manager, configurez votre CMP pour déclencher les tags GTM uniquement après acceptation des catégories correspondantes. Avec Google Consent Mode v2, vous pouvez transmettre l'état de consentement à GTM avant même le chargement complet des tags.

Consultez notre guide sur Google Consent Mode v2 pour configurer correctement cette intégration.

Bloquer les scripts tiers chargés via Custom Code

Si vous avez collé des scripts tiers directement dans le Custom Code Webflow sans passer par GTM, votre CMP doit les intercepter et les bloquer. La plupart des CMP modernes proposent des mécanismes de blocage de scripts basés sur la modification de l'attribut type (passage de text/javascript à text/plain avec un attribut data-consent-category).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Erreurs fréquentes sur Webflow et RGPD

Le Custom Code head contient Google Analytics sans condition. Le script se charge dès le chargement de la page, avant la bannière. Correction : passer par GTM avec consentement conditionné, ou utiliser le mécanisme de blocage de scripts de votre CMP.

La bannière Webflow native (Cookie Consent) est utilisée seule. Webflow propose un composant 'Cookie Consent' basique, mais il n'est pas conçu pour bloquer les scripts tiers. Il affiche un message mais ne conditionne pas le chargement des traceurs. Complétez-le avec une vraie CMP.

Les formulaires Webflow sont utilisés pour collecter des données sans politique de confidentialité. Tout formulaire collectant des données personnelles nécessite une information claire sur le traitement. Ajoutez un lien vers votre politique de confidentialité.

Le site Webflow utilise Webflow Interactions avec des traceurs d'événements. Si des interactions (scroll, clic) déclenchent des événements envoyés à des outils tiers, ces déclenchements doivent être conditionnés au consentement.

Le consentement est uniquement géré au niveau du template, pas des pages individuelles. Assurez-vous que votre CMP est active sur toutes les pages du site, y compris les pages de blog, les pages de destination et les pages e-commerce.

Checklist de conformité RGPD pour les sites Webflow

  1. Lister tous les scripts tiers dans le Custom Code (head et footer) et les intégrations Webflow
  2. Réaliser un audit de cookies pour identifier les traceurs actifs avant interaction
  3. Ajouter le snippet CMP en premier dans le Custom Code head
  4. Vérifier que les scripts tiers se chargent après le snippet CMP
  5. Configurer votre CMP pour bloquer les catégories non essentielles par défaut
  6. Tester en navigation privée que les scripts ne se chargent pas avant interaction avec la bannière
  7. Rédiger ou mettre à jour la politique de confidentialité (mentionner chaque outil tiers)
  8. Ajouter un lien vers la politique de confidentialité dans le footer et les formulaires
  9. Configurer Google Consent Mode v2 si vous utilisez Google Analytics ou Google Ads
  10. Vérifier la conformité sur mobile (le comportement de la bannière doit être identique)
  11. Documenter vos traitements dans un registre RGPD
  12. Planifier un audit semestriel pour identifier de nouveaux scripts intégrés

Conclusion

Webflow est un excellent outil de création de sites, mais la conformité RGPD est votre responsabilité. La bonne nouvelle : intégrer une CMP sur Webflow est simple via le Custom Code. Bloquez les scripts par défaut, conditionnez-les à l'acceptation, et documentez vos traitements.

Commencez par scanner votre site Webflow avec le scanner de cookies FlowConsent pour identifier tous les traceurs actifs, puis configurer votre bannière en conséquence.

Partager
inX

Questions fréquentes

Webflow charge-t-il des cookies tiers par défaut ?

Les cookies natifs de Webflow (session, formulaires, e-commerce) sont limités et généralement fonctionnels. En revanche, dès que vous activez des intégrations ou ajoutez des scripts tiers dans le Custom Code, des cookies publicitaires ou analytiques sont déposés et nécessitent un consentement préalable.

Peut-on utiliser le composant Cookie Consent de Webflow comme seule solution RGPD ?

Non. Le composant natif de Webflow affiche un message d'information sur les cookies, mais il ne bloque pas les scripts tiers avant le consentement. Il doit être complété par une vraie CMP qui conditionne le chargement des traceurs à l'acceptation de l'utilisateur.

Comment bloquer Google Analytics sur Webflow avant le consentement ?

Si vous chargez Google Analytics directement dans le Custom Code, votre CMP doit intercepter et bloquer le script jusqu'à l'acceptation. Si vous passez par Google Tag Manager, configurez Google Consent Mode v2 et liez le déclenchement du tag GA4 à l'acceptation de la catégorie analytique.

La mise en conformité RGPD d'un site Webflow est-elle complexe ?

Non, c'est techniquement simple. L'intégration d'une CMP sur Webflow se fait en collant un snippet dans le Custom Code head. La complexité dépend du nombre de scripts tiers à gérer, mais la plupart des CMP proposent des configurations prêtes à l'emploi pour les outils courants.

Articles les plus populaires