Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Drupal est un système de gestion de contenu open source utilisé par les sites gouvernementaux, les grandes entreprises et les médias européens. Il dépose des cookies de session et de sécurité en première partie, plus les cookies ajoutés par les modules contribués comme Google Analytics, reCAPTCHA ou les intégrations sociales.
Drupal est un système de gestion de contenu open source écrit en PHP, maintenu par la Drupal Association et une communauté mondiale. Il propulse des centaines de milliers de sites européens : gouvernements nationaux, universités, médias publics et associations. Drupal est auto hébergé : l''éditeur contrôle le serveur, la base de données et les cookies déposés dans le navigateur des visiteurs.
Une installation Drupal 9 ou 10 propre dépose peu de cookies en première partie : un cookie de session PHP nommé SESS ou SSESS suivi d''un hash, le cookie de détection has_js, et des cookies Drupal.visitor.* qui mémorisent des préférences comme les brouillons de formulaires. Les administrateurs reçoivent en plus Drupal.toolbar.collapsed et Drupal.tableDrag.showWeight pour l''interface d''édition. Tous sont en première partie et strictement nécessaires.
Les cookies Drupal natifs entrent dans l''exemption de strictement nécessaire de l''article 5(3) de la directive ePrivacy : pas de consentement requis. Drupal traite tout de même des données personnelles comme les adresses IP dans les journaux serveur et les soumissions de formulaires, à documenter dans le registre des traitements au titre de l''article 30 RGPD. Le profil de risque change radicalement dès que sont activés des modules comme Google Analytics, Matomo, Facebook Pixel, reCAPTCHA ou des gestionnaires Webform externes.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Drupal seul ne nécessite pas de bandeau cookies puisque aucun cookie de profilage ou de marketing n''est déposé par défaut. Dès que des modules d''analyse, de vidéo ou de partage social sont activés, l''éditeur doit obtenir un consentement préalable, libre, spécifique, éclairé et univoque avant l''exécution des scripts tiers, conformément aux lignes directrices de la CNIL, de la DSK, de l''AEPD et du Garante. Une plateforme de gestion du consentement doit bloquer les balises tant que le visiteur n''a pas accepté.
Drupal auto hébergé ne transfère aucune donnée visiteur hors EEE en soi. Cependant, le gestionnaire de mises à jour et le dépôt Composer contactent l''infrastructure drupal.org (États Unis et Europe) pour vérifier les versions. Un hébergeur basé dans l''UE et la désactivation des vérifications automatiques suffisent à maintenir les données visiteur dans l''EEE. Tout module contribué qui charge des scripts depuis des fournisseurs américains doit être revu à l''aune de l''arrêt Schrems II.
Hébergez dans l''UE, documentez les cookies Drupal natifs comme strictement nécessaires dans la politique cookies, et auditez chaque module contribué avant la mise en production. Couplez Drupal à une plateforme de gestion du consentement qui bloque Google Tag Manager, les embeds YouTube et reCAPTCHA jusqu''au consentement. Appliquez rapidement les correctifs de sécurité, restreignez l''accès admin par IP, et conservez la base de données, les sauvegardes et les journaux Drupal dans l''EEE pour respecter la minimisation et la limitation de conservation.
Les sites web utilisant Drupal doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est pas requise pour une installation Drupal vanilla qui ne dépose que des cookies strictement nécessaires. Elle devient recommandée dès que des modules contribués activent du profilage, des analyses comportementales, du suivi via Google Analytics ou des transferts hors UE via des services tiers.
Exemple de texte de consentement
Notre site fonctionne avec Drupal et utilise des cookies strictement nécessaires pour vous maintenir connecté et protéger les formulaires contre les abus. Les modules optionnels d'analyse, de vidéo et de médias sociaux ne sont activés qu'avec votre consentement.
Domaines tiers contactes
updates.drupal.orgwww.drupal.orgpackages.drupal.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| SESS{hash} / SSESS{hash} | first_party | 23 days (configurable) | PHP session identifier used by Drupal to maintain authenticated user sessions and CSRF protection. Set as Secure HttpOnly on HTTPS sites. |
| has_js | first_party | Session | Lightweight cookie set by Drupal to record that the visitor browser supports JavaScript and to serve a JS enhanced UI accordingly. |
| Drupal.visitor.* | first_party | 1 year | Stores visitor preferences such as form drafts, language or theme. Set only when contributed modules or custom code use the Drupal visitor cookie API. |
| Drupal.toolbar.collapsed | first_party | 1 year | Editor only cookie that remembers whether the administration toolbar is collapsed or expanded for authenticated users. |
| Drupal.tableDrag.showWeight | first_party | 1 year | Editor only cookie that remembers whether the row weight column is shown in draggable admin tables. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Une installation Drupal vierge dépose un cookie de session PHP (SESS ou SSESS), le cookie de détection has_js et des cookies de préférence Drupal.visitor.*. Les administrateurs reçoivent en plus Drupal.toolbar.collapsed et Drupal.tableDrag.showWeight. Tous sont en première partie et strictement nécessaires ; aucun cookie marketing n'est déposé sans module contribué.
Non. Drupal seul ne dépose que des cookies strictement nécessaires couverts par l'exemption de l'article 5(3) ePrivacy : pas de consentement requis pour une installation vanilla. Le consentement devient obligatoire dès l'activation de modules d'analyse, de publicité ou de réseaux sociaux.
Les cookies strictement nécessaires de session et de sécurité reposent sur l'intérêt légitime, article 6(1)(f) RGPD. Les données personnelles traitées par les formulaires ou les comptes utilisateurs s'appuient typiquement sur le consentement ou le contrat. Les modules d'analyse contribués exigent un consentement explicite au titre de la directive ePrivacy.
Pas par défaut. Drupal est auto hébergé, vous choisissez l'emplacement du serveur. Le gestionnaire de mises à jour contacte l'infrastructure drupal.org (US et UE) pour vérifier les versions, ce qui peut être désactivé. Tout transfert hors UE dépend des modules et embeds que vous installez.
Une AIPD n'est pas requise pour une installation Drupal simple limitée aux cookies strictement nécessaires. Elle devient recommandée dès que des modules contribués introduisent du profilage, des analyses comportementales, des portails de service public à grande échelle ou des données sensibles comme la santé ou la biométrie.
Hébergez dans l'EEE, documentez les cookies strictement nécessaires dans votre politique cookies, désactivez les modules inutiles et auditez chaque module contribué qui charge des scripts tiers. Utilisez une plateforme de gestion du consentement pour conditionner Google Analytics, reCAPTCHA, les embeds YouTube et les widgets sociaux à un consentement préalable.
Pour les CMS auto hébergés, on peut citer WordPress avec des modules de durcissement, Statamic, Craft CMS, ProcessWire ou Strapi. Tous demandent la même rigueur sur les extensions contribuées : le choix tient surtout à l'adéquation avec l'écosystème, pas à un niveau de confidentialité de base.
Effectuez un nouveau scan cookies après chaque changement de module, listez chaque cookie déposé par Drupal et ses modules contribués avec son nom, sa finalité, sa durée et son fournisseur, et renvoyez vers les politiques de confidentialité des services tiers comme Google Analytics ou les embeds YouTube intégrés via Drupal.