Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Directus est un CMS headless open source et une plateforme de données qui s'appuie sur n'importe quelle base de données SQL. Il expose le contenu via des API REST et GraphQL et fournit une interface d'administration moderne. Directus peut être auto hébergé sur votre propre infrastructure (en Europe ou ailleurs) ou utilisé via Directus Cloud, l'offre managée sur Google Cloud Platform avec choix de la région. La version auto hébergée ne pose aucun traceur tiers et constitue l'un des choix les plus respectueux de la vie privée pour les organisations qui souhaitent garder le contrôle total de la résidence des données dans le cadre du RGPD.
Directus est un CMS headless open source et une plateforme de données créée en 2004, aujourd'hui développée par la société Monospace Inc. avec des équipes à Brooklyn (États Unis) et à Bordeaux (France). Il se connecte à n'importe quelle base SQL (PostgreSQL, MySQL, MariaDB, SQLite, MS SQL) et transforme les tables existantes en une interface d'administration complète avec API REST et GraphQL. Directus est distribué sous une licence Business Source qui devient open source après un délai, et la plupart des équipes l'utilisent en mode auto hébergé dans des conteneurs sur leur propre infrastructure. Une offre managée Directus Cloud existe également sur Google Cloud Platform, avec choix de la région d'hébergement parmi lesquelles europe west.
Par défaut Directus ne pose que des cookies techniques strictement nécessaires au fonctionnement de l'interface d'administration. Les principaux cookies sont directus_session_token (JWT de courte durée utilisé pour authentifier l'éditeur), directus_refresh_token (utilisé pour émettre de nouveaux jetons d'accès, avec une durée typique de 7 jours) et directus_session_id (utilisé par l'application d'administration pour suivre la session). Aucun cookie d'analytics, de publicité ou de traçage tiers n'est embarqué dans le produit. Les visiteurs publics d'un site construit sur Directus ne reçoivent aucun cookie Directus puisqu'ils consomment uniquement l'API publique, qui ne nécessite pas de session navigateur.
Lorsque vous auto hébergez Directus, vous êtes seul responsable de traitement et seul opérateur des données, ce qui simplifie considérablement l'analyse RGPD : les données restent dans la base que vous avez choisie, dans la région que vous avez choisie, chez les prestataires que vous avez contractualisés. Avec Directus Cloud, Monospace Inc. agit comme sous traitant et Google Cloud comme sous traitant ultérieur. Vous pouvez sélectionner une région européenne pour garder les données dans l'EEE et vous appuyer sur les CCT de l'UE pour tout transfert ultérieur. Cette flexibilité explique pourquoi Directus est fréquemment retenu comme alternative RGPD friendly aux CMS SaaS américains.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour les déploiements auto hébergés, la résidence dépend entièrement de l'endroit où tournent les conteneurs et la base de données. De nombreuses équipes déploient Directus chez des hébergeurs européens tels que Scaleway, OVHcloud, Clever Cloud, Hetzner ou dans les régions européennes d'AWS, Azure et Google Cloud. Pour Directus Cloud, le client choisit une région Google Cloud à la création du projet, dont europe west adaptée aux engagements de résidence des données européens. Le stockage des fichiers téléversés peut être redirigé vers n'importe quel bucket S3 compatible, ce qui permet aux clients européens de conserver les médias dans un stockage objet uniquement européen même avec Directus Cloud.
Directus est couramment associé à des frontends modernes comme Next.js, Nuxt, SvelteKit, Astro ou Remix, qui récupèrent le contenu via l'API REST ou GraphQL au build ou à la demande. Comme le frontend n'a pas besoin de session Directus, les visiteurs du site public ne reçoivent jamais de cookies Directus et n'ont donc pas besoin de bannière de consentement pour le CMS lui même. La bannière n'a qu'à couvrir les outils d'analytics, de publicité ou de chat que le frontend peut ajouter par dessus.
Pour maintenir un Directus auto hébergé conforme, documentez l'hébergeur et la région dans votre registre des activités de traitement, restreignez l'accès admin via SSO ou mots de passe forts plus authentification multi facteurs, activez le contrôle d'accès basé sur les rôles pour limiter qui peut lire des données personnelles, configurez des sauvegardes avec une durée de conservation adaptée et faites tourner régulièrement les clés secrètes. Ajoutez Directus et ses sous traitants (hébergeur, stockage objet, fournisseur d'emails) à votre politique de confidentialité et n'oubliez pas que les cookies Directus sont strictement nécessaires : ils ne requièrent pas de consentement préalable, seulement une mention claire dans la politique cookies.
Les sites web utilisant Directus doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Un Directus auto hébergé déclenche rarement une AIPD à lui seul puisqu'il ne gère que l'authentification du back office et le contenu. Une AIPD peut toutefois être nécessaire lorsque Directus stocke des contenus sensibles (art. 9 RGPD), alimente un service public à grande échelle ou est combiné à de l'analytics, à de l'IA ou à des outils marketing. Pour Directus Cloud, documentez la région d'hébergement, le sous traitant Google Cloud et le mécanisme de transfert international (CCT et TIA) lorsqu'une région hors EEE est sélectionnée.
Exemple de texte de consentement
Directus est utilisé comme back office pour gérer le contenu de ce site. Il dépose uniquement des cookies techniques strictement nécessaires pour maintenir la session des rédacteurs et faire fonctionner l'interface d'administration. Aucun cookie de mesure d'audience ou de publicité n'est posé par Directus.
Domaines tiers contactes
*.directus.appmarketing.directus.iodirectus.cloudCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| directus_session_token | HTTP cookie (first party) | Session (short lived JWT, typically 15 minutes) | Strictly necessary access token (JWT) used by the Directus admin interface to authenticate the signed in editor on each API request. |
| directus_refresh_token | HTTP cookie (first party) | 7 days (configurable) | Strictly necessary refresh token used by the Directus admin interface to obtain a new access token without forcing the editor to sign in again. |
| directus_session_id | HTTP cookie (first party) | Session | Strictly necessary identifier used by the Directus admin app to bind UI state and CSRF protection to the current authenticated session. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Directus ne dépose que des cookies techniques de session sur l'interface d'administration : directus_session_token (JWT de courte durée utilisé pour authentifier les éditeurs), directus_refresh_token (utilisé pour émettre de nouveaux jetons d'accès, durée typique 7 jours) et directus_session_id (utilisé par l'application d'administration). Aucun cookie d'analytics, de publicité ou tiers n'est posé par Directus. Les utilisateurs finaux d'un site public qui consomme l'API Directus ne reçoivent aucun cookie Directus.
Aucun consentement préalable n'est requis pour un Directus auto hébergé car les cookies qu'il pose sont strictement nécessaires au fonctionnement du back office au sens de l'article 5(3) de la directive ePrivacy. Pour Directus Cloud, le même raisonnement s'applique aux cookies, mais vous devez informer les utilisateurs du sous traitant (Monospace Inc.) et du sous traitant ultérieur (Google Cloud) dans votre politique de confidentialité. Les visiteurs du site public ne sont pas concernés puisqu'ils ne voient jamais les cookies Directus.
La base légale est l'exécution du contrat au titre de l'article 6(1)(b) RGPD pour l'authentification des éditeurs et la gestion de contenu, combinée à l'intérêt légitime au titre de l'article 6(1)(f) RGPD pour la sécurité, la supervision et l'exploitation. Lorsque Directus stocke des données personnelles soumises par les utilisateurs finaux (formulaires, commentaires, profils), le responsable doit identifier une base légale distincte pour ce traitement, en plus de la base utilisée pour Directus lui même.
Un Directus auto hébergé ne transfère aucune donnée par lui même ; le responsable décide où tournent l'application et la base. Directus Cloud s'exécute sur Google Cloud Platform et permet au client de choisir une région ; sélectionner une région européenne (par exemple europe west) maintient les données dans l'EEE. Si une région américaine est choisie, les transferts sont encadrés par les clauses contractuelles types au titre de l'article 46(2)(c) RGPD et une analyse d'impact sur les transferts est requise.
Une AIPD est rarement déclenchée par Directus lui même lorsqu'il ne gère que l'authentification du back office et des contenus éditoriaux ordinaires. Elle devient nécessaire lorsque Directus stocke des données sensibles au sens de l'article 9 RGPD, lorsqu'il alimente un service public à grande échelle ou lorsqu'il est combiné à des modules d'analytics, d'IA ou de marketing qui modifient le profil de risque. Pour Directus Cloud dans une région américaine, la TIA sur les transferts internationaux doit être documentée dans l'AIPD.
Choisissez une région d'hébergement dans l'EEE (votre datacenter, un hébergeur européen ou europe west sur Directus Cloud), activez le SSO ou des mots de passe forts avec authentification multi facteurs, restreignez les rôles au strict nécessaire, configurez les sauvegardes avec une durée de conservation adaptée, journalisez les actions d'administration, faites tourner les clés secrètes et ajoutez Directus et tous ses sous traitants à votre registre des activités de traitement et à votre politique de confidentialité.
Parmi les autres CMS headless open source auto hébergeables dans l'UE figurent Strapi, Payload CMS et Keystone. Côté solutions managées avec hébergement européen, on peut citer Storyblok (CDN dans l'UE) et Hygraph (région UE). Sanity et Contentful sont basés aux États Unis et nécessitent une analyse soigneuse des transferts, tandis que WordPress reste l'option monolithique la plus répandue. Directus est souvent retenu lorsque les équipes veulent un modèle headless au dessus d'une base SQL existante.
Oui si Directus est exposé à toute personne accédant à l'interface d'administration. Listez les trois cookies de session (directus_session_token, directus_refresh_token, directus_session_id) dans la catégorie strictement nécessaire, avec leur finalité et leur durée approximative, et précisez qu'ils ne sont pas soumis au consentement préalable. Si le site public n'utilise pas l'interface d'administration et ne consomme l'API que côté serveur, vous n'avez pas besoin de les mentionner car ils ne sont jamais déposés dans le navigateur des visiteurs.