Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Neos est un CMS open source d'entreprise auto hébergé, axé sur la flexibilité éditoriale, le contenu structuré et une publication conforme au RGPD.
Neos est un système de gestion de contenu open source écrit en PHP, largement utilisé en Europe pour des sites institutionnels, des magazines, des intranets et des réseaux multi sites. La plateforme est auto hébergée : l''opérateur choisit la région d''hébergement, l''emplacement de la base de données et la pile serveur. Pour les éditeurs européens, Neos est souvent déployé en Allemagne, aux Pays Bas ou en France, ce qui maintient les données personnelles dans l''Espace économique européen par défaut.
Dans une configuration standard, Neos ne dépose qu''un nombre réduit de cookies strictement nécessaires : un identifiant de session PHP pour la console d''édition et les espaces connectés, ainsi qu''un jeton CSRF qui protège les formulaires. Le frontend ne charge aucun tag tiers, bibliothèque de fingerprinting ou script de mesure d''audience tant que l''opérateur n''installe pas explicitement un paquet le faisant.
Les cookies strictement nécessaires de session et de sécurité ne requièrent pas de consentement préalable au titre de l''article 5(3) de la directive ePrivacy. Ils reposent sur l''intérêt légitime de l''article 6(1)(f) du RGPD. Dès que Neos est étendu par des modules analytics, A/B testing, vidéos embarquées, plugins sociaux ou marketing, ces composants deviennent soumis au consentement et doivent être bloqués tant que le visiteur n''a pas accepté les catégories concernées.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour un site Neos limité à de la diffusion éditoriale, une notice décrivant les cookies de session et CSRF suffit. Pour un site qui ajoute de l''analytics ou des services tiers, intégrez une plateforme de gestion du consentement qui bloque les scripts concernés et stockez la preuve de consentement côté serveur ou dans un cookie first party. Les comptes éditeurs doivent être traités comme des données salariés, protégés par une authentification forte et une rétention limitée des journaux d''activité.
Comme Neos est auto hébergé, des transferts vers des pays tiers ne se produisent que si l''opérateur choisit un hébergeur hors UE, utilise un CDN avec points de présence aux États Unis sans garanties appropriées, ou intègre des services tiers tels que des outils analytiques américains ou des polices de caractères distantes. Pour rester strictement dans l''EEE, optez pour un hébergement européen, hébergez localement les polices et les actifs, et documentez chaque sous traitant dans le registre des traitements.
Documentez les cookies Neos dans votre politique de cookies, listez les paquets installés qui traitent des données personnelles, configurez votre CMP pour bloquer les scripts non essentiels avant consentement, restreignez les accès éditeurs au strict nécessaire, et auditez régulièrement les plugins installés pour vous assurer qu''aucun ne charge silencieusement de pixel publicitaire.
Les sites web utilisant Neos CMS doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour une installation Neos vanille qui n'utilise que des cookies de session et CSRF. Elle devient pertinente dès que l'opérateur ajoute des modules d'analytics, de marketing, de profilage ou d'IA, lorsque Neos héberge des volumes importants de données personnelles tels que des espaces membres, ou lorsque le contenu est hébergé hors de l'UE.
Exemple de texte de consentement
Ce site est propulsé par la plateforme open source Neos CMS. Des cookies de session et de sécurité strictement nécessaires sont déposés afin que le site puisse fonctionner. Aucun cookie de mesure ou de marketing n'est déposé sans votre acceptation préalable dans la bannière.
Domaines tiers contactes
neos.iodocs.neos.iopackagist.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| Neos_Flow_Session | Strictly necessary | Session | Maintains the editor or member session in the Neos backend and on protected frontend pages. |
| TYPO3_Flow_CSRF_Token | Strictly necessary | Session | Stores an anti CSRF token used to validate form submissions in the Neos editorial interface. |
| NEOS_PREVIEW_MODE | Strictly necessary | Session | Remembers the editor preview mode chosen for previewing unpublished content. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Une installation Neos vanille ne dépose qu'un cookie de session PHP qui maintient la connexion des éditeurs au backend et un cookie de jeton anti CSRF qui protège les formulaires. Aucun cookie analytique ou publicitaire n'est posé tant qu'un opérateur n'installe pas un paquet qui le fait.
Non. Les cookies de session et de sécurité par défaut sont strictement nécessaires et peuvent reposer sur l'intérêt légitime du RGPD. Le consentement ne devient requis que si vous ajoutez de l'analytics, des tests A/B, du marketing ou des embeds tiers à votre installation Neos.
L'intérêt légitime, article 6(1)(f) du RGPD, couvre les cookies strictement nécessaires et le workflow éditorial. Les comptes éditeurs sont traités sur la base du contrat avec l'opérateur, et tout module ajouté de mesure ou de marketing doit reposer sur le consentement, article 6(1)(a).
Pas en soi. Neos est auto hébergé et stocke les données là où l'opérateur le décide. Des transferts ne se produisent que si l'opérateur choisit un hébergeur hors UE, un CDN américain ou des services tiers envoyant des données hors EEE.
Une AIPD n'est généralement pas requise pour une installation purement éditoriale. Elle devient pertinente lorsque Neos héberge de larges espaces membres, lorsque des modules ajoutés profilent les utilisateurs ou lorsque le contenu est déployé via des prestataires hors EEE.
Utilisez un hébergeur européen, hébergez les polices et les actifs localement, documentez les cookies de session et CSRF dans votre politique de confidentialité, et intégrez une CMP qui bloque tout script non essentiel avant consentement. Restreignez les comptes éditeurs au strict nécessaire et renouvelez les identifiants régulièrement.
Parmi les CMS auto hébergeables ayant un profil de confidentialité similaire on trouve TYPO3, Drupal, Statamic, Strapi et Directus. Chacun possède son propre lot de cookies par défaut, à examiner avant tout changement.
Listez les cookies strictement nécessaires de session et CSRF avec leur finalité et leur durée, mentionnez les paquets Neos installés introduisant des cookies supplémentaires, nommez votre hébergeur, et actualisez la politique à chaque ajout d'un module d'analytics, de marketing ou d'embed.