Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

CloudCannon

Que fait CloudCannon ?

CloudCannon est un CMS headless basé sur Git pour les sites statiques générés avec Jekyll, Hugo, Eleventy, Astro ou Next.js. Les éditeurs travaillent dans une interface visuelle qui pousse les modifications dans un dépôt Git, et le site statique généré est servi depuis un CDN appuyé par Cloudflare. Comme la sortie publique est du HTML pur sans tracking par défaut, l'empreinte vie privée vue du visiteur est minimale.

Qu''est, ce que CloudCannon ?

CloudCannon est un CMS headless basé sur Git fondé en 2014 en Nouvelle, Zélande, désormais établi aux États, Unis. Il vise les générateurs de sites statiques tels que Jekyll, Hugo, Eleventy, Astro et Next.js. Les éditeurs créent du contenu dans une interface web visuelle qui commit des fichiers Markdown, YAML, JSON ou TOML dans un dépôt Git (GitHub, GitLab, Bitbucket, Azure DevOps). CloudCannon déclenche ensuite une compilation et héberge le site généré sur son CDN appuyé par Cloudflare ou pousse l''artefact vers un fournisseur externe. La sortie publique étant du HTML, CSS et JavaScript sans script CloudCannon embarqué, l''empreinte vie privée visible des visiteurs est essentiellement nulle.

Cookies et données traités par CloudCannon

Sur une page publique hébergée par CloudCannon, les seuls cookies que vous voyez généralement proviennent de Cloudflare lui, même : __cf_bm (gestion des bots) et cf_clearance (CAPTCHA / défi), tous deux first, party et de courte durée. Aucun cookie analytique, publicitaire ni script de fingerprinting n''est injecté par CloudCannon. Dans l''application éditoriale (app.cloudcannon.com), CloudCannon dépose des cookies de session fonctionnels pour maintenir l''authentification des éditeurs, plus un jeton CSRF. CloudCannon collecte également les données standard de compte éditeur : nom, email, organisation, IP au moment de la connexion et un journal d''activité de base utilisé pour l''audit et l''historique des versions.

Implications RGPD et ePrivacy

Pour les visiteurs finaux, un site statique hébergé sur CloudCannon est l''une des architectures les plus sobres du point de vue du RGPD. Le cookie de gestion des bots de Cloudflare est qualifié de strictement nécessaire selon les lignes directrices du CEPD et de la CNIL : aucun bandeau de consentement n''est nécessaire pour le site public, sauf si vous ajoutez des scripts tiers (analytics, intégrations vidéo, polices chargées depuis un CDN externe). Côté éditorial, CloudCannon agit comme sous, traitant au sens de l''article 28 du RGPD. La relation avec les éditeurs relève de l''exécution d''un contrat, et CloudCannon publie un avenant de traitement des données que les clients peuvent signer.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement

Aucun consentement n''est requis pour servir un site statique via CloudCannon Hosting. Les cookies fonctionnels Cloudflare relèvent de l''exemption strictement nécessaire de la directive ePrivacy, conformément à l''avis 4/2012 du CEPD et aux lignes directrices de la CNIL. Si vous ajoutez par, dessus des services tiers (Google Analytics, lecteurs YouTube, Calendly), ces services conservent leurs propres obligations de consentement et doivent être conditionnés à une CMP. Au sein du CMS, les éditeurs opèrent dans le cadre de leur relation salariale ou contractuelle et n''ont pas besoin d''un bandeau de consentement type site web.

Transferts internationaux de données

CloudCannon Pty Ltd traite les données éditoriales sur AWS aux États, Unis et utilise Cloudflare comme CDN public. Cloudflare route automatiquement le trafic vers l''edge le plus proche : les requêtes des visiteurs européens sont normalement terminées sur des nœuds européens, mais les requêtes vers l''origine, les artefacts de build et les métadonnées CMS transitent par les États, Unis. AWS et Cloudflare sont tous deux certifiés au titre du Cadre de protection des données UE, États, Unis, et CloudCannon signe les Clauses Contractuelles Types avec ses clients. Une analyse d''impact des transferts est recommandée en cas de recours au DPF, même si le risque pratique pour les métadonnées éditoriales reste faible.

Étapes pratiques de mise en conformité

Signez un DPA avec CloudCannon Pty Ltd et inscrivez, le dans votre registre des activités de traitement comme sous, traitant pour la gestion de contenu. Listez Cloudflare comme sous, traitant dans la politique de confidentialité et précisez que le site est délivré par un CDN. Restreignez l''accès des éditeurs via SSO ou double authentification, appliquez une politique de mot de passe stricte et passez en revue le journal d''audit régulièrement. Si vous embarquez des scripts externes dans le site statique, conditionnez, les via une CMP. Sinon, le site peut être servi sans bandeau de consentement, ce qui constitue l''un des principaux atouts de CloudCannon pour les audiences européennes.

Categorie de consentement RGPD

Autre

Les sites web utilisant CloudCannon doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance (GDPR Article 6(1)(b)) for editor accounts and content management. Legitimate Interest (Article 6(1)(f)) for CDN security and operational logs. No consent is required for end visitors of a static site generated by CloudCannon, as the public output does not embed CloudCannon tracking by default.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, CCPA, EU, US Data Privacy Framework

Considerations AIPD

Une AIPD n'est généralement pas requise pour utiliser CloudCannon comme CMS car le site statique public ne contient pas de tracking par défaut. Le back, office éditorial ne traite que les données des comptes éditeurs (email, horodatage de connexion), couvertes par l'exécution du contrat. Une AIPD ne devient pertinente que si vous connectez CloudCannon à des sources de données ou des webhooks qui font remonter des données personnelles d'utilisateurs finaux dans les aperçus éditeur. Documentez le sous, traitant AWS, le CDN Cloudflare, la durée de conservation des sauvegardes et les contrôles d'accès de l'équipe éditoriale.

Exemple de texte de consentement

Notre site est construit avec CloudCannon et servi en HTML statique via un CDN. CloudCannon ne dépose aucun cookie de tracking sur les visiteurs. Pour l'équipe éditoriale, CloudCannon utilise des cookies fonctionnels pour maintenir la session des éditeurs. Acceptez, vous les cookies strictement nécessaires à l'interface éditoriale ?

Details techniques

Methode de suiviCloudCannon is a Git-based headless CMS used in the editorial backend rather than embedded on public pages. The published front-end is generated by Jekyll, Hugo, Eleventy, Astro, or Next.js and served from CloudCannon Hosting (a Cloudflare-fronted CDN) or any external host. The visual editor and dashboard load from the CloudCannon application domain and may set first-party session cookies for editor authentication and CSRF protection.

Localisation des serveursEditorial application: hosted in the United States on AWS. Hosting CDN: Cloudflare global edge network. Build infrastructure: AWS US regions. Customers can host the generated static site anywhere (Netlify, AWS, Cloudflare Pages, OVH, Hetzner) since the front-end is just static files.

Suivi sans cookie disponibleOui

Donnees transferees hors UEYes. CloudCannon Pty Ltd processes editorial data on AWS infrastructure in the United States and uses Cloudflare as its public hosting CDN. Editor accounts and CMS content metadata transit through US infrastructure. SCCs (2021/914) plus the EU, US Data Privacy Framework cover the transfer for AWS and Cloudflare. End visitors of the published site are not normally exposed to CloudCannon analytics; the front-end output is plain HTML.

Domaines tiers contactes

cloudcannon.comapp.cloudcannon.comcdn.cloudcannon.com*.cloudvent.net

Cookies deposes

Nom	Type	Duree	Finalite
__cf_bm	first-party	30 minutes	Cloudflare bot management cookie set on sites delivered through CloudCannon Hosting. Distinguishes humans from automated traffic to protect against bot abuse. Considered strictly necessary under the ePrivacy Directive.
cf_clearance	first-party	1 year	Cloudflare CAPTCHA / managed challenge cookie. Records that the visitor has passed a security challenge so they are not re, prompted on subsequent requests. Strictly necessary for security purposes.
cloudcannon_session	first-party	Session	Functional session cookie set inside the CloudCannon editorial application (app.cloudcannon.com) to keep editors authenticated. Not present on public sites.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies CloudCannon dépose, t, il ?

Sur un site CloudCannon hébergé publiquement, vous voyez généralement uniquement les cookies fonctionnels Cloudflare (__cf_bm pour la gestion des bots, environ 30 minutes ; cf_clearance pour les défis CAPTCHA, jusqu'à 1 an). L'application éditoriale dépose des cookies de session courts pour l'authentification des éditeurs et un jeton CSRF. CloudCannon n'injecte par défaut aucun cookie analytique, publicitaire ou de fingerprinting dans la sortie publique.

Le consentement est, il requis pour un site CloudCannon ?

Non. Le cookie de gestion des bots de Cloudflare est qualifié de strictement nécessaire au sens de la directive ePrivacy, conformément à l'avis 4/2012 du CEPD. Tant que vous n'ajoutez pas de scripts tiers (Google Analytics, lecteurs vidéo, polices depuis un CDN externe), le site peut être servi sans bandeau de consentement. L'application éditoriale est utilisée par les salariés ou prestataires et ne nécessite pas de bandeau type site web.

Quelle est la base légale du traitement avec CloudCannon ?

L'exécution du contrat (article 6, 1, b du RGPD) pour les comptes éditeur, le versioning des contenus et les opérations CMS. L'intérêt légitime (article 6, 1, f) pour la sécurité du CDN, la prévention des abus et les journaux d'exploitation chez Cloudflare et AWS. Les visiteurs finaux du site statique publié ne relèvent pas d'une base légale distincte puisque CloudCannon ne dépose pas de cookies de tracking sur eux.

Des données sont, elles transférées aux États, Unis ?

Oui. CloudCannon Pty Ltd héberge l'application éditoriale sur AWS aux États, Unis et sert le site public via le réseau edge mondial de Cloudflare. Cloudflare termine normalement le trafic sur des edges européens, mais l'origine et les métadonnées éditoriales transitent par les États, Unis. Les deux sous, traitants sont certifiés au titre du Cadre de protection des données UE, États, Unis, et CloudCannon signe les CCT avec ses clients européens.

Une AIPD est, elle requise pour CloudCannon ?

Pas pour un usage CMS classique. Elle n'est généralement pas requise car le site public ne contient pas de tracking et le back, office éditorial ne traite que des données de compte standard. Elle devient pertinente si vous construisez des aperçus éditeur à partir de sources de données personnelles ou si vous stockez des catégories particulières dans les dépôts édités via CloudCannon. Documentez le sous, traitant AWS et les contrôles d'accès des éditeurs dans votre registre des activités de traitement.

Comment implémenter CloudCannon de manière conforme ?

Signez un DPA avec CloudCannon, listez AWS et Cloudflare comme sous, traitants dans la politique de confidentialité, imposez SSO ou 2FA aux éditeurs et passez en revue le journal d'audit. Gardez la sortie statique propre : ne chargez les scripts tiers (analytics, intégrations, cartes) que derrière une CMP. Avec cette configuration, le site public peut tourner sans bandeau de consentement tout en restant pleinement conforme au RGPD.

Existe, t, il des alternatives à CloudCannon ?

Oui. Parmi les CMS basés sur Git ou headless populaires en Europe : Netlify CMS / Decap CMS (open source, auto, hébergeable), TinaCMS (édition visuelle open source), Strapi (siège dans l'UE, auto, hébergeable), Directus (auto, hébergeable, options UE) et Sanity. Le bon choix dépend du besoin d'hébergement UE, d'auto, hébergement complet ou d'une expérience Git, native managée.

Comment mettre à jour la politique cookies pour un site CloudCannon ?

Listez Cloudflare comme sous, traitant avec les cookies __cf_bm et cf_clearance dans la catégorie strictement nécessaire. Mentionnez CloudCannon comme CMS et AWS comme sous, traitant des données éditoriales. Précisez qu'aucun cookie analytique ou marketing n'est déposé tant que vous n'avez pas explicitement ajouté de scripts tiers. Incluez les liens vers les politiques de confidentialité de CloudCannon, Cloudflare et AWS.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min