Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Contentstack

Que fait Contentstack ?

Contentstack est un CMS headless entreprise édité par Contentstack LLC. La Content Delivery API sert du JSON sans déposer de cookies sur le visiteur, ce qui rend la couche publique conforme RGPD lorsque la région UE est sélectionnée. L'authentification éditeur sur app.contentstack.com utilise des cookies de session strictement nécessaires.

Ce qu''est Contentstack et comment il livre le contenu

Contentstack est un système de gestion de contenu headless d''entreprise, fondé en 2018 par Contentstack LLC. Les rédacteurs créent des entrées au sein de content types via l''application web app.contentstack.com. Les entrées publiées sont servies en JSON via la Content Delivery API (cdn.contentstack.io) adossée à Akamai. Le frontend, dans n''importe quel framework, récupère le JSON côté serveur ou via un client JavaScript et rend le HTML. La couche de livraison est sans état et ne nécessite aucun cookie sur le navigateur des visiteurs.

Cookies et identifiants déposés sur les visiteurs

La Content Delivery API publique de Contentstack ne dépose pas de cookies sur les visiteurs. Côté éditeur, app.contentstack.com pose des cookies de session, XSRF TOKEN et traceurs utilisés pour authentifier les utilisateurs connectés et se protéger contre les attaques CSRF. Le site marketing contentstack.com pose des cookies d''analyse (Google Analytics, HubSpot, LinkedIn Insight Tag) limités à contentstack.com, jamais transmis aux sites clients qui consomment la Content Delivery API.

Implications RGPD et ePrivacy

Comme la livraison publique Contentstack ne dépose pas d''identifiants sur le terminal du visiteur, l''article 5(3) de la directive ePrivacy n''exige pas de consentement préalable. L''article 6(1)(f) du RGPD (intérêt légitime) couvre les métadonnées de requêtes limitées côté Akamai. Contentstack LLC agit comme sous traitant au sens de l''article 28 RGPD avec un DPA disponible dans le tableau de bord. Les cookies de session sur app.contentstack.com sont strictement nécessaires et hors champ du consentement.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts de données et Schrems II

Pour des projets européens, créez la stack dans une région UE (Azure Europe de l''Ouest ou GCP UE). Quand une région UE est sélectionnée, le contenu éditorial et l''origine de la Content Delivery API restent dans l''EEE. Les nœuds Akamai sont mondiaux, ce qui est acceptable car seul le JSON publié est mis en cache. L''application app.contentstack.com est opérée depuis les États Unis et son accès par les clients constitue un transfert couvert par les clauses contractuelles types et le Data Privacy Framework UE États Unis. Les add ons Brand Studio, Lytics CDP et Personalize peuvent traiter des données supplémentaires aux États Unis.

Étapes pratiques de mise en conformité

Sélectionnez une région UE à la création du stack car les régions ne peuvent pas être migrées par la suite. Signez le DPA Contentstack et documentez le sous traitant dans votre RoPA avec région, finalité et référence DPA. Activez le SSO et la MFA pour les comptes rédacteurs. Utilisez des delivery tokens limités à un seul environnement pour votre frontend public, ne publiez jamais de tokens management côté client. Gouvernez tout traceur tiers injecté via Contentstack derrière une plateforme de gestion du consentement.

Categorie de consentement RGPD

Autre

Les sites web utilisant Contentstack doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(f) GDPR (legitimate interest) for content delivery via the Content Delivery API. Strictly necessary cookies are used in app.contentstack.com for editor authentication. No consent required for the public delivery.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, DSGVO, RGPD, LSSI, Schrems II, EU US Data Privacy Framework when the US region is selected

Considerations AIPD

Une AIPD n'est généralement pas nécessaire pour la couche publique de livraison Contentstack si la région UE est utilisée. Elle est à envisager en cas d'intégration avec Personalize, Lytics CDP ou Brand Studio, si des catégories particulières sont stockées dans les entrées, ou si la région US est utilisée pour des visiteurs européens. Documenter le choix de la région, le DPA avec Contentstack LLC et les contrôles d'accès à l'application éditeur.

Exemple de texte de consentement

Ce site utilise Contentstack pour livrer son contenu éditorial. La Content Delivery API de Contentstack ne dépose pas de cookies sur les visiteurs. Aucun consentement n'est requis pour la livraison publique. Les cookies d'authentification ne concernent que les rédacteurs connectés à app.contentstack.com.

Details techniques

Methode de suiviEnterprise headless CMS delivered via Content Delivery Network and REST/GraphQL Content APIs over HTTPS. The frontend fetches JSON without setting any cookies on visitors. Editors log into app.contentstack.com which uses session and CSRF cookies for authentication.

Localisation des serveursContentstack LLC, headquartered in San Francisco, California. The platform offers multiple data centers including North America (Azure us east, AWS us east 1), Europe (Azure Western Europe / Amsterdam), Australia (Azure Australia East) and the GCP based gcp-na-1 and gcp-eu-1 regions. Akamai CDN serves the content globally.

Suivi sans cookie disponibleOui

Donnees transferees hors UEFor European projects, Contentstack offers an EU stack region (Azure Western Europe) and a GCP EU region (gcp-eu-1, Belgium). When these EU regions are selected the stored content and the Content Delivery API stay in the EEA. The corporate app and support tools may still route through the United States. Akamai edge servers are global. Standard Contractual Clauses cover the residual transfers.

Domaines tiers contactes

contentstack.comapp.contentstack.comcdn.contentstack.ioeu-cdn.contentstack.comimages.contentstack.ioazure-eu-images.contentstack.com

Cookies deposes

Nom	Type	Duree	Finalite
connect.sid	first-party (app.contentstack.com)	Session	Editor session cookie that authenticates a logged in user in the Contentstack web application. Strictly necessary, not set on the public website.
XSRF-TOKEN	first-party (app.contentstack.com)	Session	Anti CSRF token used by the Contentstack app to protect state changing requests. Strictly necessary, only present in the editor interface.
_ga	third-party (marketing site only)	2 years	Google Analytics identifier used on contentstack.com (marketing site). Does not appear on customer websites that consume the Content Delivery API.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Contentstack dépose t il des cookies sur les visiteurs du site ?

Non. La Content Delivery API publique sert du JSON sans cookies. Des cookies sont déposés sur app.contentstack.com (application éditeur) pour la session, la protection CSRF et le suivi, et sur contentstack.com (site marketing) pour les analytics, mais ni l'un ni l'autre ne se propage aux sites clients qui consomment la Content Delivery API.

Le consentement est il nécessaire pour Contentstack selon le RGPD et ePrivacy ?

Aucun consentement n'est requis pour la livraison publique car aucun identifiant n'est stocké sur le terminal du visiteur. Les cookies éditeurs strictement nécessaires de app.contentstack.com bénéficient de la dérogation de l'article 5(3) ePrivacy. Le consentement ne s'applique qu'aux traceurs tiers embarqués dans votre frontend.

Quelle est la base légale du traitement avec Contentstack ?

L'article 6(1)(f) du RGPD (intérêt légitime) couvre les métadonnées de requêtes limitées traitées au niveau du CDN Akamai. Contentstack LLC est documenté comme sous traitant au sens de l'article 28 RGPD avec un DPA disponible dans le tableau de bord.

Contentstack transfère t il des données aux États Unis ?

Le stockage du contenu reste dans l'EEE quand une région UE est sélectionnée (Azure Europe de l'Ouest ou GCP UE). L'application éditeur app.contentstack.com est opérée depuis les États Unis, donc y accéder en tant qu'éditeur constitue un transfert couvert par les CCT et le Data Privacy Framework UE États Unis. Les add ons Brand Studio, Lytics CDP et Personalize peuvent traiter des données supplémentaires aux États Unis.

Une AIPD est elle nécessaire pour Contentstack ?

Une AIPD n'est généralement pas requise pour un déploiement éditorial public si une région UE est utilisée. Elle est à envisager si Contentstack est combiné avec Personalize, Lytics CDP, de gros workflows de contenu utilisateur ou si des données sensibles sont stockées dans les entrées.

Comment intégrer Contentstack en conformité ?

Choisir une région UE à la création du stack, signer le DPA Contentstack, documenter le sous traitant dans votre RoPA, activer SSO et MFA pour les rédacteurs, limiter les delivery tokens à un seul environnement, ne jamais publier de management tokens côté client et gouverner les scripts tiers injectés via le contenu via une plateforme de gestion du consentement.

Quelles sont les alternatives à Contentstack ?

Parmi les alternatives en CMS headless entreprise : Storyblok (Autriche), Contentful (Allemagne), Sanity (Norvège), Strapi Cloud Enterprise (France), Sitecore XM Cloud, Adobe Experience Manager et Optimizely Content Cloud.

Comment mettre à jour la politique de cookies pour Contentstack ?

Listez Contentstack comme sous traitant de contenu dans votre politique de confidentialité avec la région UE du stack, la finalité, la référence DPA et une mention du transfert pour l'application éditeur US. Le site public n'a pas besoin d'inclure Contentstack dans la bannière car aucun cookie n'est posé sur les visiteurs.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min