Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Sanity

Que fait Sanity ?

Sanity est un CMS headless norvégien construit autour d'un content lake temps réel. Les rédacteurs travaillent dans Sanity Studio et le contenu est livré via des API REST et GROQ en HTTPS. L'API publique de livraison ne dépose pas de cookies sur les visiteurs et est conforme RGPD par défaut lorsque la région de jeu de données UE est sélectionnée.

Ce qu''est Sanity et comment il livre le contenu

Sanity est une plateforme de contenu headless fondée à Oslo, Norvège, en 2015 par Sanity.io AS. Elle est construite autour d''un content lake temps réel. Les rédacteurs créent du contenu structuré dans Sanity Studio, une interface React généralement hébergée par le client ou sur sanity.studio. Le contenu publié est interrogé par le frontend via REST ou le langage GROQ et livré via le CDN Sanity. Comme les autres plateformes headless modernes, la livraison publique est sans état et sans cookies.

Cookies et identifiants déposés sur les visiteurs

Sur le site public Sanity ne dépose aucun cookie. Les réponses de l''API de livraison ne contiennent que du JSON et des en têtes de cache standards. Les cookies n''apparaissent que dans trois contextes réservés aux rédacteurs. Sanity Studio utilise un cookie de session pour authentifier les rédacteurs. Le portail de compte sanity.io dépose un cookie d''authentification pour le tableau de bord. Sanity Insights, lorsqu''il est activé dans le Studio pour les propriétaires de projet, peut utiliser Plausible Analytics pour les statistiques d''usage, limité au domaine du Studio.

Implications RGPD et ePrivacy

Comme l''API publique Sanity ne dépose pas d''identifiants sur le terminal du visiteur, l''article 5(3) de la directive ePrivacy n''exige pas de consentement préalable. L''article 6(1)(f) du RGPD (intérêt légitime) couvre les métadonnées de requête limitées traitées au niveau du CDN. Sanity.io AS agit comme sous traitant au sens de l''article 28 RGPD pour le stockage du contenu client. Le DPA est disponible dans le tableau de bord Sanity et l''entité corporative basée à Oslo offre un confort supplémentaire en matière de mise en application du RGPD.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts de données et Schrems II

Sanity propose une région de jeu de données UE (Francfort) et une région US (Iowa). Pour les projets européens, créez le dataset avec la région UE. La région du dataset ne peut pas être changée après création sans export et import. Le portail de connexion sanity.io et certains outils de support peuvent acheminer des requêtes via les États Unis. Plausible Analytics utilisé par Sanity Insights est opéré depuis l''UE (Allemagne), ce qui évite les transferts US pour cette télémétrie.

Étapes pratiques de mise en conformité

Créez le dataset de production dans la région UE. Signez le DPA Sanity. Documentez le sous traitant dans votre RoPA avec nom du dataset, région, durée de conservation et CDN d''actifs. Hébergez Sanity Studio sur votre propre domaine derrière une authentification (SSO via Google, GitHub, SAML). Restreignez les tokens d''API par dataset et par scope de permissions. Utilisez un client en lecture seule sur la vue publiée pour le site public, plutôt que des tokens admin. Si vous embarquez des scripts tiers dans votre frontend, gouvernez les avec une plateforme de gestion du consentement, la livraison Sanity elle même reste hors périmètre.

Categorie de consentement RGPD

Autre

Les sites web utilisant Sanity doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(f) GDPR (legitimate interest) for content delivery and abuse prevention. Strictly necessary cookies are used in Sanity Studio for editor authentication. No consent required for the public API.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, Norwegian Personal Data Act, DSGVO, RGPD, LSSI, Schrems II only when the US dataset region or US asset CDN endpoints are selected

Considerations AIPD

Une AIPD n'est pas requise pour l'API publique de livraison dans la plupart des cas car aucune donnée personnelle des visiteurs n'est traitée au delà des journaux de requêtes standards. Une AIPD est à envisager si Sanity est associé à Sanity Insights, à de la personnalisation, à du contenu utilisateur, ou si des catégories particulières sont stockées dans le content lake. Documenter le choix de la région UE, le DPA signé avec Sanity.io AS et les contrôles d'accès sur Sanity Studio.

Exemple de texte de consentement

Ce site utilise Sanity pour livrer son contenu éditorial. L'API Sanity ne dépose pas de cookies et ne suit pas les visiteurs. Aucun consentement n'est requis. Les cookies d'authentification ne concernent que les rédacteurs connectés à Sanity Studio.

Details techniques

Methode de suiviHeadless CMS with a real time content lake exposed via REST and GROQ APIs over HTTPS, plus the Studio (editor UI) that authenticates editors with an OAuth2 session cookie. The public API does not set cookies on website visitors. Optional Sanity Vision and Sanity Insights are admin tools and do not run on the public website.

Localisation des serveursSanity.io AS (Oslo, Norway). The content lake runs on Google Cloud Platform with regions in the EU (eu central 1 Frankfurt) and the US (us central 1 Iowa). Asset CDN by Google Cloud CDN with global PoPs. Sanity Studio is typically hosted by the customer or on sanity.studio.

Suivi sans cookie disponibleOui

Domaines tiers contactes

sanity.ioapi.sanity.ioapicdn.sanity.iocdn.sanity.iosanity.studiosanity.work

Cookies deposes

Nom	Type	Duree	Finalite
sanitySession	first-party (Sanity Studio only)	Session	Session cookie used inside Sanity Studio to authenticate a logged in editor. Strictly necessary, never set on the public website.
sanity-management-token	first-party (account portal only)	Up to 30 days	Authentication token for the sanity.io account portal. Strictly necessary for the customer dashboard, not present on public websites.
sb_anon	first-party (Studio analytics)	30 days	Anonymous identifier optionally set by Plausible Analytics inside Sanity Insights when the project owner enables Studio usage tracking. Scoped to the Studio domain.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Sanity dépose t il des cookies sur les visiteurs du site ?

Non. Les API publiques REST et GROQ de Sanity livrent du JSON sans cookies. Les cookies n'apparaissent que dans Sanity Studio (session rédacteur), dans le portail de compte sanity.io, et éventuellement dans Plausible Analytics au sein de Sanity Insights, le tout côté rédacteur et jamais visible des visiteurs du site.

Le consentement est il requis pour Sanity selon le RGPD et ePrivacy ?

Aucun consentement n'est requis pour la livraison publique Sanity car aucun identifiant n'est stocké sur le terminal du visiteur. Le consentement ne redevient pertinent que si votre frontend embarque des traceurs tiers dont le contenu vient de Sanity.

Quelle est la base légale du traitement avec Sanity ?

L'article 6(1)(f) du RGPD (intérêt légitime) couvre les métadonnées de requêtes traitées pour la livraison du contenu et la sécurité. Le client est responsable de traitement pour le contenu stocké dans Sanity. Sanity.io AS est sous traitant au sens de l'article 28 RGPD avec un DPA disponible dans le tableau de bord.

Sanity transfère t il des données aux États Unis ?

Non lorsque la région UE du dataset est sélectionnée, le content lake reste à Francfort et le CDN d'actifs sert depuis les régions Google Cloud UE. La région US (Iowa) est optionnelle. Le portail de connexion sanity.io peut acheminer le flux éditeur via l'infrastructure US.

Une AIPD est elle nécessaire pour Sanity ?

Une AIPD n'est généralement pas requise pour un déploiement éditorial public. Elle est à envisager si Sanity stocke des contenus sensibles, si Sanity Insights est activé, si de la personnalisation ou des tests A/B s'y greffent, ou si la région US du dataset est utilisée.

Comment intégrer Sanity en conformité ?

Créer le dataset en région UE, signer le DPA, héberger Sanity Studio sur votre propre domaine avec SSO, restreindre les tokens d'API par scope de permissions, documenter le sous traitant dans votre RoPA, utiliser un client en lecture seule pour le site public et gouverner les scripts tiers du frontend via une plateforme de gestion du consentement.

Quelles sont les alternatives à Sanity ?

Parmi les autres CMS headless utilisés en Europe : Storyblok (Autriche), Strapi (France), Contentful (Allemagne), Hygraph (Allemagne), Directus (Allemagne, open source), Payload CMS (open source) et Wagtail (Python, open source).

Comment mettre à jour la politique de cookies pour Sanity ?

Aucune mention spécifique de Sanity n'est nécessaire dans la déclaration de cookies du site public si aucun cookie n'est posé. Listez Sanity comme sous traitant de contenu dans votre politique de confidentialité avec la région du dataset, la finalité, la durée de conservation et la référence au DPA. Les cookies réservés au Studio n'ont pas à figurer dans la bannière publique.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min