Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Strapi est le principal CMS headless open source, édité par Strapi SAS à Paris. L'API publique REST et GraphQL sert du JSON sans déposer de cookies, ce qui rend la couche de livraison publique conforme RGPD par défaut. L'hébergement est choisi par le client, ce qui donne un contrôle total de la région pour les projets européens.
Strapi est le CMS headless open source le plus populaire au monde. Édité par Strapi SAS à Paris depuis 2015 sous licence MIT, il permet aux développeurs de modéliser des collections dans un panneau d''administration puis d''exposer les données via REST ou GraphQL. Les clients exécutent Strapi sur leur propre infrastructure (Docker, Kubernetes, VPS, PaaS) ou sur Strapi Cloud. L''API publique de livraison est sans état et ne nécessite aucun identifiant côté client pour fonctionner.
Par défaut Strapi ne dépose aucun cookie sur le site public. Le seul cookie produit par Strapi est jwtToken, un cookie de session httpOnly utilisé par le panneau d''administration sous /admin pour authentifier les rédacteurs. Ce cookie n''est jamais exposé au site public. Les clients Strapi Cloud qui utilisent le portail de compte strapi.io disposent aussi d''un cookie de session de portail et peuvent être suivis par les analytics marketing de strapi.io, qui sont limités au domaine strapi.io.
Comme aucun identifiant n''est écrit sur le navigateur des visiteurs par la livraison publique Strapi, l''article 5(3) de la directive ePrivacy (transposé dans la LCEN en France, le TTDSG en Allemagne, la LSSI en Espagne) n''exige pas de consentement préalable. L''article 6(1)(f) du RGPD (intérêt légitime) couvre les journaux de requêtes limités nécessaires à la livraison et à la prévention des abus. Le client est responsable de traitement pour les données stockées dans Strapi, l''instance Strapi étant l''outil de gestion. Pour Strapi Cloud, Strapi SAS est sous traitant au sens de l''article 28 RGPD avec un DPA disponible dans le tableau de bord.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour un Strapi auto hébergé, le client contrôle entièrement la région. Choisissez un fournisseur basé dans l''UE (OVH Roubaix, Scaleway Paris, Clever Cloud, Hetzner Falkenstein, AWS Francfort ou Irlande) pour éviter tout transfert vers un pays tiers. Strapi Cloud permet de sélectionner une région à la création du projet : Francfort (eu central 1) garde les données dans l''UE, tandis que les options US (Virginie us east 1) déclenchent les considérations Schrems II et exigent les clauses contractuelles types ainsi qu''une analyse d''impact des transferts.
Documenter Strapi dans le registre des activités de traitement (RoPA) avec la région d''hébergement, la finalité, la durée de conservation et les contrôles d''accès. Protéger la route /admin derrière une liste d''IP autorisées ou un VPN quand c''est possible, activer le SSO et exiger la 2FA sur les comptes rédacteurs. Mettre en place une limitation de débit forte sur l''API publique pour prévenir l''énumération. Si du contenu utilisateur (commentaires, formulaires) est ingéré via Strapi, documenter séparément la base légale de ce traitement. Auditer les plugins installés car ils peuvent étendre le flux de données.
Les sites web utilisant Strapi doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est pas requise pour la couche publique de livraison Strapi dans la plupart des cas car aucune donnée personnelle des visiteurs n'est traitée au delà des journaux de requêtes standards. Une AIPD est à envisager si l'instance Strapi stocke des catégories particulières (santé, biométrie, opinions politiques) ou si un workflow de contenu utilisateur gère de nombreuses personnes physiques. Documenter la région d'hébergement, les contrôles d'accès sur /admin et la méthode d'authentification des rédacteurs.
Exemple de texte de consentement
Ce site utilise Strapi pour gérer et livrer son contenu éditorial. L'API publique Strapi ne dépose pas de cookies et ne vous suit pas. Aucun consentement n'est requis. Si vous vous connectez à l'espace d'administration, un cookie de session strictement nécessaire est créé pour vous authentifier.
Domaines tiers contactes
strapi.iocloud.strapi.iomarket.strapi.ioapi.strapi.ioanalytics.strapi.ioCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| jwtToken | first-party (admin panel only) | Session (or 30 days if "remember me" is enabled) | httpOnly cookie that carries the JSON Web Token authenticating a logged in editor on the Strapi admin panel under /admin. Strictly necessary, only set after a successful sign in, never reaches anonymous visitors. |
| strapi_session | first-party (Strapi Cloud portal) | Session | Authenticates a user on the Strapi Cloud account portal (cloud.strapi.io). Strictly necessary for the customer side. Not set on the public website. |
| ajs_anonymous_id | third-party (Segment, on strapi.io only) | 1 year | Anonymous identifier set by Segment on the strapi.io marketing site for product analytics. Does not appear on customer instances. Disclosed here for completeness. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non. Les API publiques REST et GraphQL de Strapi ne déposent pas de cookies. Le seul cookie produit par Strapi est jwtToken, un cookie de session httpOnly limité à la route /admin et utilisé pour authentifier les rédacteurs connectés. Les visiteurs anonymes ne le reçoivent jamais.
Aucun consentement n'est requis pour la livraison publique Strapi car aucun identifiant n'est stocké sur le terminal du visiteur. L'article 5(3) de la directive ePrivacy ne s'applique pas. Le consentement ne redevient pertinent que si votre frontend embarque des traceurs tiers alimentés par le contenu Strapi.
L'article 6(1)(f) du RGPD (intérêt légitime) couvre les journaux de requêtes limités nécessaires à la livraison et à la sécurité. Le client est responsable de traitement des données éditoriales gérées dans Strapi. Strapi SAS n'agit comme sous traitant que pour Strapi Cloud, avec un DPA Article 28.
Strapi auto hébergé ne transfère rien par lui même, le client choisit l'emplacement de l'hébergement. Strapi Cloud ne transfère vers les États Unis que si la région US est sélectionnée. La région Francfort garde les données dans l'UE. Le site marketing strapi.io utilise certains outils US mais ils ne s'appliquent qu'à ce site, pas à votre instance déployée.
Une AIPD n'est pas nécessaire pour un déploiement CMS éditorial classique car aucun profilage ni donnée sensible n'est traité par défaut. Une AIPD est à envisager si Strapi stocke des contenus sensibles (santé, biométrie), si de gros volumes de contributions utilisateurs sont gérés, ou en cas d'intégration avec de la personnalisation ou de l'IA.
Hébergez dans l'UE, restreignez /admin derrière une liste d'IP ou un VPN, activez le SSO et la 2FA, signez le DPA Strapi Cloud si applicable, documentez le traitement dans votre RoPA, mettez en place une limitation de débit forte sur l'API publique et auditez les plugins installés pour leurs éventuels flux de données.
Parmi les autres CMS headless utilisés en Europe : Storyblok (Autriche), Contentful (Allemagne), Hygraph (Allemagne), Sanity (Norvège), Directus (Allemagne, open source), Payload CMS (open source auto hébergé) et Wagtail (Python, open source).
Aucune mention spécifique de Strapi n'est nécessaire dans la déclaration de cookies du site public si aucun cookie n'est posé. Listez Strapi comme sous traitant de gestion de contenu dans votre politique de confidentialité avec la région d'hébergement, la finalité et les contrôles d'accès. Le cookie jwtToken réservé à l'admin n'a pas à figurer dans la bannière car il est strictement nécessaire et déposé uniquement après authentification réussie.