Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Statamic est un CMS Laravel auto hébergé qui peut fonctionner sur fichiers plats ou base de données. Le produit de base ne dépose aucun cookie de suivi et n'envoie aucune télémétrie, ce qui en fait un choix favorable au RGPD sur une infrastructure maîtrisée par le client.
Statamic est un système de gestion de contenu basé sur Laravel, créé en 2012 par Jack McDade et Jason Varga. Il a démarré comme CMS à fichiers plats où chaque contenu réside dans des fichiers YAML ou Markdown sur le disque, puis a été étendu pour prendre en charge les bases de données classiques (MySQL, PostgreSQL, SQLite). Statamic est publié sous licence commerciale par Wilderborn Software LLC aux États-Unis, avec une édition gratuite Statamic Solo destinée aux petits sites mono utilisateur. Il est très populaire dans l''écosystème Laravel grâce à son intégration native avec Eloquent, les files d''attente, Blade et l''interface en ligne de commande Artisan.
Statamic s''installe sur une infrastructure choisie et exploitée par le client. Il peut tourner sur n''importe quel hébergement PHP : VPS, PaaS managé, Laravel Forge, Laravel Vapor, ou l''offre officielle Statamic Cloud, elle même construite sur Laravel Forge. Dans tous les cas le client reste maître de l''emplacement des données, ce qui simplifie l''analyse de résidence RGPD. Statamic Cloud permet de choisir la région de déploiement, si bien que les projets européens peuvent maintenir leurs données dans l''EEE lorsque cela est requis.
Le CMS de base stocke trois catégories de données : le contenu rédigé par les éditeurs (pages, entrées, taxonomies, médias), les comptes administrateurs (e-mail, mot de passe haché, profil optionnel, rôles et permissions), et les artefacts d''authentification : cookie statamic_session, cookie XSRF-TOKEN utilisé par Laravel pour la protection CSRF, et cookie laravel_session optionnel lorsque les sessions en base sont activées. Aucune mesure d''audience, empreinte numérique ou suivi comportemental n''est effectué sur les visiteurs publics. La validation de licence contacte les serveurs Wilderborn aux États-Unis à l''activation, ce qui constitue un appel administratif ponctuel et non un suivi continu.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comme Statamic tourne sur l''infrastructure du client et n''intègre pas de scripts tiers, c''est l''un des CMS les plus favorables au RGPD du marché. Le responsable de traitement (l''opérateur du site) reste la seule partie en contact avec les données personnelles, et aucun accord de sous traitance n''est nécessaire avec Statamic pour le moteur CMS lui même. Un accord peut toutefois être nécessaire avec l''hébergeur, et avec Wilderborn en cas d''usage de Statamic Cloud. L''empreinte RGPD augmente rapidement avec les extensions installées : formulaires, commentaires, mesures d''audience, recherche, extensions de la marketplace peuvent introduire leurs propres cookies, télémétries et transferts hors UE, et doivent être évalués au cas par cas.
Statamic prend en charge le mode headless via ses API REST et GraphQL : l''interface d''administration tourne sur un domaine privé et un front end séparé (Next.js, Nuxt, Astro, application mobile) consomme le contenu. Dans ce mode le front end public ne voit ni statamic_session ni XSRF-TOKEN, donc la bannière de consentement ne concerne que la stack front. La checklist de conformité couvre généralement : choix d''une région d''hébergement adaptée, TLS obligatoire, restriction d''accès au panneau admin par IP ou VPN, configuration des flags sécurisés sur les cookies, documentation du rôle de Wilderborn comme licenceur dans le registre des traitements, et revue de chaque extension Statamic installée.
Les équipes qui cherchent des CMS auto hébergés tout aussi respectueux de la vie privée peuvent considérer Kirby (PHP fichiers plats), Craft CMS (PHP, base de données), ProcessWire (PHP, très flexible), October CMS (basé sur Laravel), Laravel Nova (panneau d''administration pour applications Laravel sur mesure) ou Bagisto (e-commerce Laravel). Tous se déploient sous contrôle exclusif du client, ce qui maintient l''analyse RGPD aussi simple qu''avec Statamic.
Les sites web utilisant Statamic doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Aucune AIPD n'est nécessaire pour l'installation Statamic de base puisque le CMS ne traite que les identifiants administrateurs et les contenus sur l'infrastructure du client. Une AIPD peut être requise si des extensions collectent des données d'utilisateurs finaux (formulaires, analytics, commentaires) ou si Statamic Cloud est utilisé avec des données personnelles de l'UE. Dans ce cas le client doit documenter la région choisie et le flux de validation de licence avec Wilderborn.
Exemple de texte de consentement
Aucune bannière de consentement n'est requise pour le CMS Statamic de base car aucun cookie de suivi n'est déposé sur les visiteurs publics. Seuls les cookies de session administrateur et CSRF sont émis, uniquement pour les éditeurs authentifiés, ce qui correspond à la catégorie strictement nécessaire au sens de la directive ePrivacy.
Domaines tiers contactes
statamic.comcontrol.statamic.com*.laravel.cloudCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| statamic_session | session | Session (typically 2 hours) | Administrator session cookie issued by Statamic to authenticated editors in the control panel. Strictly necessary, not set on public visitors. |
| XSRF-TOKEN | session | Session (typically 2 hours) | Cross site request forgery token cookie set by the underlying Laravel framework to protect administrative form submissions. Strictly necessary, only present in the admin context. |
| laravel_session | session | Session (typically 2 hours) | Optional Laravel session cookie used when database sessions are enabled instead of file based sessions. Strictly necessary for authenticated administrators only. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Le CMS Statamic de base ne dépose que des cookies administratifs pour les éditeurs authentifiés : statamic_session pour la session admin, XSRF-TOKEN pour la protection CSRF (cookie Laravel par défaut), et le cookie optionnel laravel_session lorsque les sessions en base sont activées. Aucun de ces cookies n'est posé sur les visiteurs publics et aucun cookie d'analyse ou de suivi n'est émis par le produit de base.
Aucune bannière de consentement n'est requise pour Statamic lui même, car aucun cookie de suivi n'est déposé sur les visiteurs publics. Les cookies de session et CSRF émis aux administrateurs authentifiés relèvent de la catégorie strictement nécessaire au sens de la directive ePrivacy. Une bannière devient nécessaire seulement si vous installez des extensions ou des scripts front end qui déposent leurs propres cookies non essentiels.
Pour le CMS lui même, les bases légales applicables sont l'exécution du contrat (art. 6(1)(b) RGPD) pour les comptes éditeurs et l'intérêt légitime (art. 6(1)(f) RGPD) pour l'authentification administrative et la protection CSRF. Les visiteurs publics ne sont pas suivis par le produit de base, donc aucune base de consentement n'est requise pour Statamic par défaut.
Non, pas pour le CMS de base. Statamic est auto hébergé, le responsable de traitement choisit donc le pays d'hébergement. La seule connexion sortante du produit de base est la validation de licence ponctuelle vers Wilderborn Software LLC aux États-Unis lors de l'activation. Avec Statamic Cloud le client choisit également la région de déploiement via Laravel Forge, ce qui permet aux projets de l'UE de garder les données dans l'EEE.
En général aucune AIPD n'est nécessaire pour une installation Statamic standard, car le CMS ne traite que les identifiants administrateurs et le contenu sur l'infrastructure du client. Une AIPD peut être déclenchée par des extensions spécifiques qui collectent des données d'utilisateurs finaux (formulaires, commentaires, analytics) ou par des scénarios à grande échelle. Chaque extension installée doit être évaluée séparément.
Hébergez Statamic dans une région adaptée à votre audience, forcez HTTPS, restreignez le panneau admin par IP, réseau ou VPN, configurez les flags sécurisés sur les cookies, maintenez l'application et ses extensions à jour, documentez le rôle de Wilderborn comme licenceur dans votre registre des traitements, et auditez chaque extension Statamic pour ses propres cookies et appels tiers avant publication.
Les CMS auto hébergés comparables incluent Kirby (PHP fichiers plats), Craft CMS (PHP, base de données), ProcessWire (PHP, très flexible), October CMS (basé sur Laravel), Laravel Nova (panneau d'administration pour applications Laravel sur mesure) et Bagisto (e-commerce Laravel). Tous se déploient sous contrôle exclusif du client, ce qui maintient l'analyse RGPD comparable à celle de Statamic.
Vous n'avez pas besoin de déclarer Statamic lui même dans une politique de cookies publique, car le CMS de base ne dépose aucun cookie sur les visiteurs publics. Vous devez mentionner les cookies administratifs dans une note interne destinée au personnel, et vous devez déclarer dans la politique publique tout cookie issu d'une extension Statamic ou du front end construit au dessus du CMS.