Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Contentful est un système de gestion de contenu headless fondé à Berlin et utilisé par des entreprises du monde entier pour livrer du contenu structuré à des sites web, applications mobiles et objets connectés. Les rédacteurs écrivent dans l'application Contentful tandis que les développeurs consomment les contenus via des API GraphQL ou REST. Contentful fonctionnant principalement comme un service backend, son empreinte de consentement côté navigateur est minimale, mais la plateforme traite tout de même les données des rédacteurs et les métadonnées de contenu sur ses infrastructures européennes ou américaines.
Contentful est un système de gestion de contenu headless dont le siège est à Berlin, devenu une référence de la catégorie API first. Les rédacteurs définissent des modèles de contenu, rédigent des entrées et référencent des assets riches dans l''application Contentful à l''adresse app.contentful.com. Les développeurs consomment ensuite les contenus via l''API GraphQL, l''API REST Content Delivery ou l''API Preview, puis les rendent dans un front end Next.js, Nuxt, Astro ou natif mobile. La couche CMS se trouve donc derrière le site public et les visiteurs n''interagissent en général avec Contentful que de manière indirecte.
Contentful stocke trois catégories de données : les informations de compte rédacteur (nom, e mail, organisation, rôles, clés d''API), les entrées de contenu et assets téléversés par les rédacteurs (y compris les données personnelles volontairement intégrées : photos d''auteur, citations de témoignage), et la télémétrie opérationnelle générée par les API. Le front public ne reçoit en général pas de cookies de Contentful, mais l''application d''administration à app.contentful.com pose des cookies de session, des jetons anti CSRF et des cookies analytiques limités (basés sur Segment) pour l''authentification des rédacteurs et la product analytics.
Contentful GmbH agit en sous traitant pour les entrées de contenu et les comptes rédacteurs de ses clients, et en responsable pour des finalités limitées de compte, de facturation et de product analytics. Le site public ne chargeant pas de scripts Contentful côté navigateur, la règle de consentement ePrivacy n''est en général pas déclenchée pour les utilisateurs finaux. L''intérêt légitime au sens de l''article 6, paragraphe 1, point f) du RGPD constitue la base légale naturelle pour la diffusion de contenu côté serveur. Les données rédacteur dans app.contentful.com sont traitées sur la base de l''Addendum Contentful au traitement et de la relation client.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Les espaces de production Contentful sont hébergés sur AWS dans eu-central-1 (Francfort), us-east-1 (Virginie du Nord) ou ap-southeast-1 (Singapour), avec un CDN réparti sur d''autres régions. Même pour les espaces européens, les équipes de support et l''infrastructure de monitoring aux États Unis peuvent accéder à certaines métadonnées. Les transferts s''appuient sur l''Addendum Contentful au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, complétés par TLS 1.3 en transit, chiffrement au repos, ISO 27001, SOC 2 Type II et contrôles HIPAA pour les clients du secteur santé.
Signez l''Addendum Contentful au traitement, choisissez un espace de production européen si la résidence UE est nécessaire, configurez le contrôle d''accès et le Single Sign On pour les rédacteurs, et définissez des règles de rétention pour les versions de contenu et les assets téléversés. Inscrivez Contentful dans le registre des activités de traitement, mentionnez Contentful GmbH et la région AWS d''hébergement dans la politique de confidentialité, et auditez les intégrations (Algolia, Segment, Salesforce, OpenAI) susceptibles de faire transiter des données visiteurs via les webhooks ou app actions de Contentful.
Les sites web utilisant Contentful doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour un site public qui utilise Contentful pour diffuser des contenus marketing ou produits. Une AIPD est recommandée lorsque Contentful sert à gérer des contenus personnalisés liés à des visiteurs identifiés, lorsqu'il dessert des secteurs régulés (services financiers, santé, secteur public) ou lorsque des intégrations avec Adobe Real Time CDP, Segment ou Salesforce poussent des données personnelles dans la couche de contenu.
Exemple de texte de consentement
Ce site est construit avec Contentful, un CMS headless exploité par Contentful GmbH (Allemagne) sur des infrastructures AWS. Contentful traite les contenus que vous voyez sur ces pages. Aucun cookie marketing ou analytique n'est posé par Contentful en propre. Les fonctionnalités éditoriales liées à votre compte administrateur sont régies par un Addendum au traitement distinct.
Domaines tiers contactes
contentful.comapp.contentful.comcdn.contentful.compreview.contentful.comimages.ctfassets.netassets.ctfassets.netvideos.ctfassets.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _contentful_session | Strictly necessary (admin only) | Session | Set inside app.contentful.com for authenticated editors. Maintains the admin login session and is not present on public websites built with Contentful. |
| ajs_anonymous_id | Analytics (admin only, after consent) | 12 months | Set inside app.contentful.com when the Segment based product analytics is loaded. Used to attribute editor actions to a pseudonymous user. Not present on the public website. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. Sur un site public construit avec Contentful, les contenus sont rendus côté serveur ou au build et le navigateur du visiteur ne charge pas de scripts Contentful. Contentful ne pose des cookies que dans app.contentful.com (l'interface d'administration) pour l'authentification, la protection anti CSRF et une product analytics limitée.
Pour un usage headless standard (rendu côté serveur, génération statique, appels API backend), aucun consentement visiteur n'est requis car aucune information n'est stockée ni lue sur le terminal. Un consentement devient nécessaire si Contentful est associé à des expériences, à de la personnalisation ou à des scripts analytiques qui stockent des identifiants dans le navigateur.
Pour la diffusion de contenu côté serveur, la base légale est l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD. Pour les comptes rédacteurs et le support, le traitement repose sur l'exécution du contrat client au sens de l'article 6, paragraphe 1, point b) du RGPD et sur l'Addendum Contentful au traitement. Les données personnelles intégrées volontairement dans des entrées héritent de la base légale choisie par le client éditeur.
Contentful signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD via son Addendum au traitement, confirme son adhésion au Data Privacy Framework UE États Unis et propose des espaces de production hébergés dans AWS eu-central-1. Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, ISO 27001, SOC 2 Type II, des contrôles HIPAA et un accès strictement encadré aux données clients.
Une AIPD n'est pas requise pour un site informationnel ou marketing classique. Une AIPD est recommandée lorsque Contentful sert à diffuser du contenu personnalisé pour des visiteurs identifiés, lorsque le client appartient à un secteur régulé (services financiers, santé, secteur public) ou lorsque les intégrations propagent des données personnelles vers des systèmes tiers via les webhooks ou app actions.
Signez l'Addendum Contentful au traitement, choisissez un espace de production européen si la résidence UE est exigée, activez le Single Sign On pour les rédacteurs, configurez des rôles granulaires et les journaux d'audit, définissez des règles de rétention pour les versions de contenu et les assets, documentez Contentful comme sous traitant dans le registre des activités de traitement et auditez chaque intégration sortant de l'UE.
Les alternatives européennes ou auto hébergées incluent Storyblok (Autriche), Hygraph (Berlin), Sanity (Norvège, diffusion US), Strapi (France, self hosted ou Strapi Cloud), Payload CMS (open source, self hosted), Directus (open source, self hosted) et Magnolia (Suisse). Le bon choix dépend du modèle de contenu, des exigences de résidence UE et de l'expérience développeur.
Listez Contentful GmbH comme sous traitant de l'infrastructure de diffusion de contenu, indiquez que le site public ne pose pas de cookies Contentful dans le navigateur des visiteurs, mentionnez que l'administration (app.contentful.com) pose ses propres cookies pour les administrateurs authentifiés et renvoyez vers la déclaration de confidentialité de Contentful. Aucune entrée cookie n'est en général nécessaire pour les utilisateurs finaux.