Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Storyblok est un CMS headless basé à Linz en Autriche. L'API publique de livraison de contenu sert des données JSON en HTTPS sans déposer de cookies sur les visiteurs, ce qui rend le runtime conforme RGPD par défaut. Des cookies n'apparaissent que dans l'éditeur visuel utilisé par les rédacteurs connectés, jamais pour les visiteurs anonymes.
Storyblok est un système de gestion de contenu headless fondé à Linz, en Autriche, en 2017. Les rédacteurs composent les pages dans un éditeur visuel et le contenu publié est exposé via une API de livraison sous forme de JSON. Le frontend, construit avec n''importe quel framework (Next.js, Nuxt, Astro, Hugo et autres), récupère ce JSON côté serveur ou côté client et rend le HTML. Comme la couche publique de livraison est une API REST et GraphQL sans état, elle n''écrit pas de cookies sur le navigateur des visiteurs et se comporte comme une requête de ressource classique.
Sur le site public, Storyblok ne dépose aucun cookie. Le CDN ne conserve que des journaux de requêtes standard (adresse IP, horodatage, user agent) pour la mise en cache et la prévention des abus. Les cookies n''apparaissent que dans deux contextes précis. D''abord, lorsqu''un rédacteur est connecté sur app.storyblok.com, un cookie de session l''identifie. Ensuite, lorsque l''aperçu de l''éditeur visuel est chargé pour la rédaction, le script bridge app.storyblok.com/f/storyblok-v2-latest.js ouvre une iframe dans l''aperçu pour permettre le click to edit. Ce mode est réservé aux rédacteurs connectés, jamais visible des visiteurs anonymes.
Comme l''API publique de Storyblok ne dépose pas d''identifiants sur le terminal du visiteur, l''article 5(3) de la directive ePrivacy (transposé en France dans la LCEN, en Allemagne dans le TTDSG, en Espagne dans la LSSI) n''exige pas de consentement préalable. L''article 6(1)(f) du RGPD (intérêt légitime) couvre le traitement limité de l''IP du visiteur côté CDN pour la livraison et la sécurité. Storyblok GmbH agit en tant que sous traitant pour stocker le contenu éditorial, et un contrat de sous traitance Article 28 est disponible dans le tableau de bord Storyblok.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Storyblok propose deux régions de livraison. La région UE tourne sur AWS Francfort et sert le contenu depuis l''Espace économique européen, ce qui dispense le projet d''une analyse Schrems II sur le chemin de livraison. La région US tourne sur AWS Virginie et nécessite des clauses contractuelles types ainsi qu''une évaluation des lois de surveillance américaines (FISA 702, décret 12333). Pour les projets européens, nous recommandons de sélectionner la région UE à la création de l''espace, le changement n''étant pas possible ultérieurement sans export et réimport du contenu.
Documenter Storyblok comme sous traitant dans le registre des activités de traitement (RoPA), avec finalité, région UE et CDN d''actifs (Cloudflare). Signer le DPA Storyblok depuis le tableau de bord. Restreindre les comptes rédacteurs avec le SSO ou la double authentification. Si vous embarquez des scripts tiers (Google Analytics, Meta Pixel, vidéos) via des composants Storyblok, ces scripts ont leurs propres exigences de consentement et doivent être gouvernés par votre plateforme de gestion du consentement, la livraison Storyblok elle même reste hors périmètre. Assurez vous que l''URL de l''éditeur visuel est protégée par authentification afin que les cookies du bridge ne soient jamais déposés sur des visiteurs anonymes.
Les sites web utilisant Storyblok doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD (analyse d'impact relative à la protection des données) n'est généralement pas nécessaire pour la couche publique de livraison Storyblok car aucune donnée personnelle des visiteurs n'est traitée au delà des journaux CDN standards. Une AIPD peut être utile si Storyblok est intégré avec de la personnalisation, des tests A/B, des espaces membres connectés, ou si la région US est activée. Documenter le choix de la région UE, l'absence de cookies côté runtime et l'accord de sous traitance Article 28 RGPD signé avec Storyblok GmbH.
Exemple de texte de consentement
Storyblok est utilisé pour livrer le contenu éditorial de ce site. L'API de livraison ne dépose pas de cookies et ne vous suit pas. Aucun consentement n'est requis pour la livraison publique. Si vous vous connectez à l'aperçu de l'éditeur, un cookie de session est créé pour vous authentifier.
Domaines tiers contactes
api.storyblok.comgapi.storyblok.coma.storyblok.comimg2.storyblok.comapp.storyblok.commapi.storyblok.comstoryblok.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| storyblok_session | first-party (editor app only) | Session | Authenticates a logged in editor on app.storyblok.com. Never set on the public website. |
| _storyblok_draft | first-party (preview only) | Session | Loaded inside the Visual Editor preview iframe to flag draft mode. Not present for anonymous visitors of the public website. |
| cf_clearance | third-party (Cloudflare asset CDN) | Up to 30 days | Cloudflare bot challenge cookie that may be set when assets are served through Cloudflare and a security challenge is triggered. Strictly necessary for security. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. L'API publique de livraison de contenu sert du JSON et n'écrit pas de cookies sur le navigateur des visiteurs. Les cookies n'existent que sur app.storyblok.com lorsqu'un rédacteur est connecté et dans l'iframe d'aperçu visuel utilisée pour la rédaction, jamais visible des visiteurs anonymes.
Aucun consentement n'est requis pour la livraison publique Storyblok car aucun identifiant n'est stocké sur le terminal du visiteur. L'article 5(3) de la directive ePrivacy ne s'applique pas. Le consentement ne redevient pertinent que si vos composants Storyblok injectent des scripts tiers de mesure sur la page.
L'article 6(1)(f) du RGPD (intérêt légitime) couvre le traitement limité de l'IP et des métadonnées de requête côté CDN pour la livraison de contenu et la prévention des abus. Storyblok GmbH est documenté comme sous traitant au sens de l'article 28 RGPD avec un contrat de sous traitance signé.
Pas pour les projets européens qui sélectionnent la région UE. L'API de livraison tourne sur AWS Francfort et le backend de l'éditeur visuel sur AWS Irlande. La région US est optionnelle et déclenche des transferts couverts par les clauses contractuelles types et le Data Privacy Framework UE États Unis. Les analytics produit de l'éditeur peuvent utiliser Mixpanel aux États Unis.
Une AIPD n'est généralement pas nécessaire pour la couche publique de livraison, aucune donnée personnelle n'étant traitée au delà des logs CDN standards. Une AIPD est à envisager si Storyblok est combiné avec personnalisation, profilage, tests A/B, espaces membres connectés, ou si la région US est activée.
Sélectionner la région UE à la création de l'espace, signer le DPA Storyblok, documenter le sous traitant dans le registre RoPA, sécuriser les comptes rédacteurs avec SSO ou MFA, et gouverner tout script tiers embarqué via des composants Storyblok par votre plateforme de gestion du consentement.
Parmi les alternatives basées dans l'UE figurent Contentful (Allemagne), Strapi Cloud (France), Hygraph (Allemagne), Sanity (Norvège, avec région UE), ainsi que des options auto hébergées comme Wagtail, Directus ou Payload CMS. La posture de conformité est similaire dès lors que la livraison est sans cookies.
Aucune mention spécifique de Storyblok n'est nécessaire dans la déclaration de cookies si aucun cookie n'est déposé sur le site public. Listez Storyblok comme sous traitant de contenu dans votre politique de confidentialité avec finalité, région UE, identité du sous traitant et référence au DPA. Listez séparément tout script tiers embarqué via des composants Storyblok dans votre déclaration de cookies.