Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Payload est un CMS headless open source et framework applicatif construit avec TypeScript, Node.js et React. Entièrement auto-hébergé, il donne aux opérateurs la pleine propriété de leurs données. Payload utilise un seul cookie d'authentification HTTP-only (payload-token) pour l'accès admin et ne dépose aucun cookie d'analytics ou de tracking par défaut. La télémétrie anonyme optionnelle peut être désactivée.
Payload est un CMS headless open source et framework applicatif construit avec TypeScript, Node.js et React. Contrairement aux plateformes CMS SaaS traditionnelles, Payload est entièrement auto-hébergé, ce qui signifie que l'opérateur déploie et contrôle l'intégralité de l'application et de la base de données. Payload fournit un panneau d'administration puissant, des API REST et GraphQL, l'authentification, le contrôle d'accès, le téléchargement de fichiers et l'édition de texte riche. Il supporte MongoDB et PostgreSQL et peut être déployé sur n'importe quel hébergeur ou infrastructure cloud.
Payload CMS dépose un seul cookie par défaut : payload-token, un cookie HTTP-only qui stocke un JSON Web Token (JWT) pour l'authentification. Ce cookie est utilisé exclusivement pour l'accès au panneau admin et l'authentification applicative. Il est classé comme strictement nécessaire et ne suit pas le comportement des visiteurs, ne stocke pas de données marketing et ne permet pas le profilage. Le préfixe du nom du cookie peut être personnalisé via la configuration Payload. Payload collecte également des données de télémétrie optionnelles, complètement anonymes, sur l'utilisation générale du CMS, qui peuvent être désactivées. Aucun cookie d'analytics, de publicité ou de tracking tiers n'est déposé par le framework CMS lui-même.
Payload CMS a une empreinte minimale en matière de vie privée. Le cookie payload-token est qualifié de strictement nécessaire au titre de la directive ePrivacy (Article 5(3)) car il est essentiel au fonctionnement du panneau admin, et ne nécessite donc pas de consentement. Comme Payload est auto-hébergé, aucune donnée personnelle n'est transmise à Payload CMS, Inc. ou à un tiers par défaut. Le RGPD s'applique aux données personnelles stockées dans les collections du CMS (contenu, comptes utilisateurs, soumissions de formulaires), mais la responsabilité incombe à l'opérateur du site en tant que responsable de traitement. Payload CMS, Inc. est une société américaine, mais en déploiement auto-hébergé, la société n'a aucun accès aux données de l'opérateur.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aucun bandeau de consentement n'est requis pour Payload CMS lui-même, car le payload-token est un cookie d'authentification strictement nécessaire exempté des exigences de consentement. Cependant, les opérateurs de sites doivent s'assurer que tout service supplémentaire intégré à leur site Payload (analytics, pixels marketing, contenu embarqué, widgets de réseaux sociaux) dispose de ses propres mécanismes de consentement. Pour les données personnelles stockées dans les collections du CMS, l'opérateur doit déterminer la base légale RGPD appropriée (typiquement la nécessité contractuelle pour les comptes utilisateurs, le consentement pour les communications marketing, ou l'intérêt légitime pour la gestion de contenu).
L'un des atouts majeurs de Payload CMS en matière de confidentialité est la souveraineté complète des données. En déploiement auto-hébergé, toutes les données (contenu, comptes utilisateurs, fichiers média) restent sur les serveurs de l'opérateur, dans la juridiction de son choix. Aucune donnée ne circule vers Payload CMS, Inc. sauf si la télémétrie optionnelle est activée (qui n'envoie que des statistiques d'utilisation anonymes et non personnelles). Pour les utilisateurs de Payload Cloud, les données sont hébergées sur une infrastructure US, nécessitant des Clauses Contractuelles Types (CCT) pour le traitement de données personnelles UE.
Pour assurer la conformité RGPD avec Payload CMS : déployez sur une infrastructure basée dans l'UE si vous traitez des données personnelles UE. Désactivez la télémétrie optionnelle si vous souhaitez zéro donnée envoyée à Payload CMS, Inc. Configurez le contrôle d'accès au niveau des collections et des champs pour appliquer la minimisation des données. Mettez en place des politiques de rétention pour les collections contenant des données personnelles. Configurez la protection CSRF en listant vos domaines de confiance. Mettez à jour votre politique de confidentialité pour déclarer le cookie payload-token (strictement nécessaire, pas de consentement requis). Si vous intégrez des services tiers, implémentez une CMP séparément. Documentez le traitement dans votre RAT. Activez SSL/HTTPS et configurez le cookie avec secure: true.
Les sites web utilisant Payload CMS doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas nécessaire pour les déploiements standard de Payload CMS car le CMS n'effectue pas de suivi des visiteurs, de profilage ou d'activités marketing par défaut. Le seul cookie déposé est un jeton d'authentification strictement nécessaire pour les utilisateurs admin. Une AIPD peut être justifiée si le site traite des données personnelles sensibles via des collections personnalisées, intègre des outils d'analytics ou de marketing tiers, ou utilise Payload Cloud (hébergé aux US) pour traiter des données personnelles UE.
Exemple de texte de consentement
Ce site web est construit avec Payload CMS. Le CMS utilise un cookie d'authentification strictement nécessaire (payload-token) pour l'accès au panneau admin, qui ne nécessite pas de consentement. Aucun cookie d'analytics ou de tracking n'est déposé par Payload CMS lui-même. [Si vous ajoutez des services tiers, incluez leur texte de consentement ici.]
Domaines tiers contactes
payloadcms.comcloud.payloadcms.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| payload-token | first-party | Configurable (default: session-based, typically 1-2 hours) | HTTP-only authentication cookie storing a JWT. Used for admin panel access and application-level user authentication. Classified as strictly necessary. Protected against XSS attacks. Cookie name prefix is customisable via Payload configuration. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Payload CMS dépose un seul cookie par défaut : payload-token, un cookie HTTP-only qui stocke un JWT pour l'authentification. Ce cookie est utilisé pour l'accès au panneau admin et l'authentification applicative. Le préfixe du nom du cookie peut être personnalisé dans la configuration Payload. Aucun cookie d'analytics, de marketing ou de tracking n'est déposé par le framework CMS. Le cookie est classé comme strictement nécessaire.
Non. Le cookie payload-token est classé comme strictement nécessaire en vertu des règles ePrivacy (Article 5(3) de la directive ePrivacy) car il est essentiel au fonctionnement du panneau admin. Les cookies strictement nécessaires sont exemptés des exigences de consentement. Cependant, si vous intégrez des services tiers (analytics, outils marketing, contenu embarqué) dans votre site Payload, ces services nécessiteront leurs propres mécanismes de consentement.
Pour le cookie d'authentification, la base légale est l'intérêt légitime ou la nécessité contractuelle, car il est essentiel au fonctionnement du service. Pour les données personnelles stockées dans les collections du CMS (comptes utilisateurs, soumissions de formulaires, données clients), l'opérateur doit déterminer la base légale appropriée selon la finalité : nécessité contractuelle pour les comptes, consentement pour les inscriptions newsletter, ou intérêt légitime pour la gestion de contenu. Payload CMS, Inc. n'est pas sous-traitant en déploiement auto-hébergé.
Pas par défaut. En déploiement auto-hébergé, toutes les données restent sur les serveurs de l'opérateur et aucune donnée n'est transmise à Payload CMS, Inc. La télémétrie anonyme optionnelle peut envoyer des statistiques d'utilisation non personnelles vers Payload CMS, Inc. (US), mais elle peut être désactivée. Si vous utilisez Payload Cloud (hébergement managé), les données sont stockées sur une infrastructure US et des Clauses Contractuelles Types (CCT) seraient nécessaires pour le traitement de données personnelles UE.
Une AIPD n'est généralement pas nécessaire pour les déploiements standard de Payload CMS car le CMS n'effectue pas de suivi des visiteurs, de profilage ou de prise de décision automatisée par défaut. Le seul cookie est un jeton d'authentification strictement nécessaire. Une AIPD peut être justifiée si votre site traite des données personnelles sensibles, effectue un traitement à grande échelle via des collections personnalisées, intègre des services tiers à haut risque, ou utilise Payload Cloud pour des données personnelles UE.
Étapes clés : déployez sur une infrastructure UE pour le traitement de données UE. Désactivez la télémétrie optionnelle. Configurez le contrôle d'accès au niveau des champs pour la minimisation des données. Définissez des politiques de rétention pour les collections contenant des données personnelles. Activez la protection CSRF en listant les domaines de confiance. Configurez le cookie payload-token avec secure: true et les paramètres sameSite appropriés. Mettez à jour votre politique de confidentialité. Si vous intégrez des services tiers, implémentez une CMP séparément. Documentez le traitement dans votre RAT.
D'autres CMS headless auto-hébergés et respectueux de la vie privée incluent : Strapi (open source, Node.js, auto-hébergé), Directus (open source, SQL, auto-hébergé), Ghost (open source, orienté publication) et KeystoneJS (open source, Node.js). Tous peuvent être auto-hébergés pour une souveraineté totale des données. Pour des CMS managés avec hébergement UE, considérez Storyblok (basé UE), Contentful (avec région UE) ou Sanity (avec résidence des données configurable). Payload CMS se distingue par son approche code-first et son authentification intégrée.
Votre politique de cookies doit lister : payload-token (HTTP-only, strictement nécessaire, authentification, expiration de session ou configurable). Indiquez que ce cookie est requis pour le fonctionnement du panneau admin du CMS et ne suit pas les visiteurs ni ne collecte de données personnelles à des fins marketing. Notez que le cookie n'est déposé que lorsqu'un utilisateur se connecte au panneau admin ou aux zones authentifiées du site. Si vous avez désactivé la télémétrie, précisez qu'aucune donnée n'est envoyée à des tiers. Listez séparément les cookies de vos intégrations tierces.