Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Craft CMS est un systeme de gestion de contenu PHP commercial auto heberge edite par Pixel & Tonic, concu pour les sites editoriaux et offrant une excellente compatibilite RGPD lorsqu'il est heberge dans l'Union europeenne.
Craft CMS est un systeme de gestion de contenu commercial ecrit en PHP et bati sur le framework Yii. Il a ete cree en 2013 par Pixel & Tonic, Inc., societe basee a Bend, Oregon, aux Etats Unis. La plateforme vise les sites editoriaux professionnels et est largement adoptee par les agences digitales, particulierement en Europe, pour les sites corporate riches en contenu, les magazines et les publications de marque. Craft CMS est distribue sous licence commerciale en trois paliers : Solo (gratuit pour les projets personnels ou mono editeur), Pro (payant, multi utilisateurs) et Enterprise (sur mesure). La meme societe edite Craft Commerce, une extension e commerce, et Craft Cloud, un service d'hebergement infogere base sur DigitalOcean.
Par defaut, Craft CMS ne traite que des donnees liees a l'administration. Il stocke les comptes d'administrateurs et d'editeurs (email, mot de passe hache, nom, champs de profil optionnels), le contenu cree par ces utilisateurs et les informations de session basiques pour les requetes administratives authentifiees. Le CMS depose un petit nombre de cookies strictement necessaires au panneau d'administration : un jeton CSRF pour proteger des falsifications de requete inter sites, un identifiant de session pour les utilisateurs connectes et un cookie d'authentification persistant optionnel si la fonction se souvenir de moi est utilisee. Le site public ne recoit aucun cookie de suivi de la part de Craft, et il n'existe ni analytique, ni telemetrie, ni profilage de visiteurs integres.
Craft CMS peut etre installe sur toute infrastructure compatible PHP avec une base de donnees adequate, ce qui laisse au responsable de traitement une totale liberte sur la region d'hebergement et la residence des donnees. Les agences europeennes deploient frequemment Craft chez des hebergeurs base en UE comme Hetzner, OVH, Scaleway ou Combell afin de garantir que les donnees personnelles restent dans l'Espace economique europeen. Alternativement, Pixel & Tonic propose Craft Cloud, une plateforme d'hebergement infogeree cle en main batie sur DigitalOcean, qui permet de choisir une region incluant l'UE. Quel que soit le choix, l'activation de licence et la boutique de plugins communiquent avec les systemes de Pixel & Tonic aux Etats Unis ; ces echanges concernent les cles de licence et les metadonnees logicielles, pas les donnees personnelles des visiteurs.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Du point de vue RGPD, le coeur de Craft CMS est l'une des solutions grand public les plus respectueuses de la vie privee. Il n'y a aucun cookie de suivi, aucun appel reseau vers des tiers sur le site public, et le responsable de traitement peut conserver l'ensemble du flux de donnees a l'interieur de l'UE. Les bases legales applicables aux donnees effectivement traitees sont l'execution du contrat (art. 6.1.b RGPD) pour la relation administrative avec les editeurs, et l'interet legitime (art. 6.1.f RGPD) pour la securisation du back office. Le tableau change des qu'on integre des services tiers comme Google Analytics, Meta Pixel, des lecteurs YouTube ou Vimeo, des formulaires marketing ou un tag manager : chacun peut necessiter une banniere de consentement au titre de la directive ePrivacy et une base legale documentee. Les plugins de la Craft Plugin Store peuvent egalement etendre le perimetre de traitement, chaque ajout doit donc etre evalue.
Pour deployer Craft CMS de maniere pleinement conforme : choisir une region d'hebergement en UE ou une region Craft Cloud UE ; signer un accord de traitement des donnees avec l'hebergeur ; documenter l'echange de licence avec Pixel & Tonic comme traitement accessoire ; tenir un inventaire des plugins installes et des donnees qu'ils traitent ; deployer une plateforme de gestion du consentement pour tout script tiers ajoute en front end ; configurer les attributs securises (Secure, HttpOnly, SameSite) sur les cookies d'administration ; activer les sauvegardes et une procedure de reponse aux incidents ; et mettre a jour la politique de confidentialite pour refleter les flux reels, region d'hebergement et sous traitants inclus.
Si le site utilise Craft Commerce, l'empreinte de traitement s'etend de maniere significative. Les comptes clients, l'historique de commandes, les adresses de facturation et de livraison sont stockes dans la meme base. Le traitement des paiements est generalement delegue a des tiers comme Stripe, PayPal, Mollie ou Adyen, chacun agissant comme responsable independant ou sous traitant et devant figurer dans la politique de confidentialite. Les fonctions marketing (relances de panier abandonne, notifications transactionnelles) peuvent necessiter un consentement distinct. Une AIPD dediee est recommandee lorsque Craft Commerce est deploye a grande echelle ou lorsque des categories de produits sensibles sont concernees.
Les sites web utilisant Craft CMS doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est generalement pas requise pour une installation Craft CMS par defaut, car le coeur du CMS ne depose que des cookies essentiels pour l'authentification administrative et la protection CSRF, sans analytique ni telemetrie. L'analyse doit porter sur l'environnement d'hebergement choisi par le client (infrastructure auto heberge ou region Craft Cloud), les plugins installes susceptibles d'ajouter des services tiers, les integrations front end telles que l'analytique, les videos embarquees ou les formulaires marketing, ainsi que le module Craft Commerce s'il est utilise pour le commerce electronique. Documentez la region d'hebergement, l'inventaire des plugins et les sous traitants impliques.
Exemple de texte de consentement
Aucune banniere de consentement n'est requise pour le coeur de Craft CMS car il ne depose que des cookies strictement necessaires au back office administratif. Si votre site ajoute de l'analytique, de la publicite, des videos embarquees ou d'autres technologies de suivi, mettez en place une plateforme de gestion du consentement qui ne charge ces scripts qu'apres opt in explicite.
Domaines tiers contactes
craftcms.complugins.craftcms.comelliptic.iopackagist.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| CRAFT_CSRF_TOKEN | Strictly necessary | Session | Cross site request forgery (CSRF) protection token used by the Craft CMS administration panel to validate form submissions and AJAX requests originating from authenticated users. |
| CraftSessionId | Strictly necessary | Session | Administrative session identifier used to maintain the authenticated state of editors and administrators in the Craft CMS control panel. Not set on visitors who do not log in to the back end. |
| CraftAuthorization | Strictly necessary | Up to 14 days (configurable, only when remember me is enabled) | Persistent authentication cookie set when an administrator checks the remember me option at login, allowing the back end to recognise the user across sessions without requiring a fresh password entry. Duration is configurable via the userSessionDuration setting in Craft CMS. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. Le coeur de Craft CMS ne depose que des cookies strictement necessaires au panneau d'administration : CRAFT_CSRF_TOKEN pour la protection contre la falsification de requete inter sites, CraftSessionId pour les sessions administratives authentifiees, et un cookie CraftAuthorization optionnel quand la fonction se souvenir de moi est activee. Le site public ne recoit aucun cookie de suivi, d'analytique ou de marketing de la part de Craft. Tout suivi en front end provient des integrations que vous ajoutez (scripts d'analytique, videos embarquees, pixels marketing), pas du CMS.
Non pour le coeur du CMS. Les cookies deposes par Craft sont strictement necessaires et entrent dans l'exemption de l'article 5.3 de la directive ePrivacy, aucune banniere n'est donc requise. Une banniere de consentement devient indispensable des que vous ajoutez en front end des technologies non essentielles comme Google Analytics, des pixels publicitaires, des lecteurs sociaux embarques, des formulaires marketing ou tout tag tiers.
Pour le back office administratif, les bases pertinentes au titre du RGPD sont l'execution du contrat (art. 6.1.b) pour la relation avec les editeurs et administrateurs, et l'interet legitime (art. 6.1.f) pour la securisation de la plateforme contre les attaques. Si vous collectez des donnees de visiteurs via des formulaires ou des comptes sur le site public, identifiez une base specifique (consentement, contrat ou interet legitime) et documentez la dans votre registre des traitements.
Cela depend entierement de l'hebergement choisi. Comme Craft CMS est auto heberge, vous decidez ou tourne l'application : choisissez un hebergeur en UE (Hetzner, OVH, Scaleway, Combell, etc.) ou une region UE de Craft Cloud, et les donnees des visiteurs restent en UE. Le seul flux sortant systematique vers les Etats Unis est la validation de licence et la communication avec la boutique de plugins de Pixel & Tonic, qui ne concerne que les cles de licence et les metadonnees logicielles, pas les donnees personnelles des visiteurs.
Une AIPD n'est en regle generale pas requise pour une installation par defaut, car le coeur du CMS ne traite que des donnees administratives a faible risque. Elle devient appropriee lorsque Craft Commerce est deploye a grande echelle, lorsque des donnees sensibles sont traitees (sante, biometrie, larges communautes d'utilisateurs), lorsque des plugins tiers introduisent du profilage ou un suivi etendu, ou lorsque le front end integre de nombreux services marketing et analytiques.
Hebergez Craft sur une infrastructure UE ou une region UE de Craft Cloud, signez un contrat de sous traitance avec l'hebergeur, tenez un inventaire des plugins a jour, configurez les attributs Secure, HttpOnly et SameSite sur les cookies d'administration, deployez une plateforme de gestion du consentement pour tout script tiers en front end, documentez l'echange de licence avec Pixel & Tonic, activez les sauvegardes automatiques, definissez une procedure de reponse aux incidents, et refletez le tout dans une politique de confidentialite claire.
Parmi les CMS auto heberges comparables figurent Kirby (fichiers plats, editeur allemand), Statamic (base Laravel, fichiers plats ou base de donnees), ExpressionEngine (PHP, historique), ProcessWire (PHP open source) et Wagtail (Python, base Django) pour un usage CMS classique. Pour des approches headless, considerez Sanity, Storyblok ou Strapi. Beaucoup partagent les forces de Craft CMS : controle total de la region d'hebergement et suivi minimal par defaut.
Listez les cookies strictement necessaires deposes par le back office (CRAFT_CSRF_TOKEN, CraftSessionId et CraftAuthorization quand se souvenir de moi est active), expliquez qu'ils servent uniquement a l'authentification administrative et a la protection CSRF, et precisez qu'ils ne sont pas deposes chez les visiteurs qui ne se connectent pas au back office. Ajoutez au meme document les cookies front end introduits par des integrations ou des plugins, avec leur finalite, leur duree et leur base legale.