Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentWebflow est un constructeur de sites web SaaS et une plateforme d'hébergement géré basée aux États-Unis, utilisée pour concevoir, construire et héberger des sites sans écrire de code. Les données de connexion des visiteurs sont traitées sur l'infrastructure AWS aux États-Unis. En tant qu'hébergeur, Webflow agit comme sous-traitant au titre d'un Avenant de traitement des données. Ses cookies de plateforme sont strictement nécessaires au fonctionnement du site ; aucun consentement n'est requis pour la couche d'hébergement elle-même.
Webflow est un constructeur de sites web visuel SaaS et une plateforme d'hébergement géré fondé en 2013 et dont le siège est à San Francisco, Californie. Il permet aux designers et développeurs de créer des sites web responsives via une interface visuelle qui génère du HTML, CSS et JavaScript propre, sans nécessiter de programmation manuelle. Webflow propose également un CMS intégré, un module e-commerce et une fonctionnalité Memberships pour les contenus protégés. Les sites hébergés fonctionnent sur l'infrastructure gérée de Webflow, construite sur AWS et distribuée via le CDN Fastly.
Lorsqu'un visiteur accède à un site hébergé par Webflow, sa requête HTTP est traitée par les noeuds CDN Fastly dans le monde entier et routée vers les serveurs d'origine AWS us-east-1. Webflow traite les adresses IP des visiteurs et les métadonnées des requêtes HTTP (User-Agent, référent, chemin de requête) dans les journaux d'accès serveur à des fins de sécurité, de prévention des abus et de fiabilité de l'infrastructure. Ces journaux sont conservés jusqu'à 30 jours. Webflow n'utilise pas ces données à des fins publicitaires ou de profilage utilisateur. Aucun script de tracking tiers n'est injecté par Webflow lui-même.
Au titre du RGPD, l'opérateur (le client Webflow qui a construit le site) est le responsable de traitement, et Webflow est le sous-traitant. Webflow fournit un Avenant de traitement des données (DPA) qui encadre cette relation et couvre les transferts internationaux via des Clauses Contractuelles Types (CCT). Toute l'infrastructure est située aux États-Unis, ce qui constitue un transfert restreint au sens du Chapitre V du RGPD. Les opérateurs doivent mentionner ce transfert dans leur politique de confidentialité et s'assurer que le DPA Webflow est signé. Webflow ne propose pas de résidence des données dans l'UE à ce jour.
Lorsque la fonctionnalité Webflow Memberships est activée, Webflow collecte et stocke directement les données personnelles des membres : adresse e-mail, nom, hash du mot de passe et tokens d'authentification. Ces données sont stockées sur l'infrastructure américaine de Webflow et créent une relation de traitement plus directe avec les utilisateurs finaux. Les opérateurs utilisant Memberships doivent explicitement divulguer ce traitement dans leur politique de confidentialité, informer les membres du transfert aux États-Unis, et mettre en place des mécanismes appropriés pour les droits des personnes concernées (accès, suppression, portabilité). Le profil de risque d'un site avec Memberships est plus élevé que celui d'un site statique standard.
Les sites web utilisant Webflow doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Webflow est une plateforme d'hébergement et de construction de sites, pas un service de tracking ou de publicité. Points clés pour l'AIPD : (1) Webflow Inc. est une société américaine et toutes les données de connexion des visiteurs (adresses IP, en-têtes HTTP, journaux serveur) sont traitées sur l'infrastructure AWS us-east-1 aux États-Unis ; cela constitue un transfert restreint au sens du Chapitre V du RGPD, encadré par des CCT dans l'Avenant de traitement des données Webflow ; (2) Webflow agit comme sous-traitant pour l'opérateur, traitant les données uniquement selon ses instructions ; il n'utilise pas les données des visiteurs à ses propres fins publicitaires ; (3) les journaux serveur Webflow conservent les adresses IP des visiteurs jusqu'à 30 jours à des fins de sécurité et de prévention des abus ; les opérateurs doivent en tenir compte dans leur politique de confidentialité ; (4) si Webflow Memberships est activé, des données personnelles supplémentaires sont collectées et stockées (email, nom, tokens d'authentification) aux États-Unis, ce qui augmente le niveau de risque et peut déclencher une exigence d'AIPD ; (5) Webflow ne propose pas de résidence des données dans l'UE en 2025 ; les opérateurs soumis à des exigences strictes de localisation des données doivent évaluer des alternatives. Le risque global est moyen pour les sites standards et plus élevé pour les sites avec Memberships.
Domaines tiers contactes
webflow.comassets.website-files.comuploads-ssl.webflow.comglobal-uploads.webflow.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| __wf_auth | Strictly Necessary | Session | Set only on sites with Webflow Memberships. Stores the authenticated member session token to keep the user logged in across pages. |
| wf_logout | Strictly Necessary | Session | Used to handle post-logout redirect URLs on Webflow Membership sites. Cleared immediately after the redirect is processed. |
| AWSALB | Strictly Necessary | 7 days | AWS Application Load Balancer cookie for session stickiness. Routes repeated requests from the same visitor to the same backend server during a session. |
| AWSALBCORS | Strictly Necessary | 7 days | Same as AWSALB but set with SameSite=None for cross-origin requests. Required for proper load balancer routing in CORS contexts. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Commencer gratuitementD'un point de vue RGPD, Webflow est une plateforme d'hébergement géré et de construction de sites, pas un service de tracking ou de publicité. Lorsque vous utilisez Webflow pour héberger un site, Webflow agit comme sous-traitant pour votre compte. Il traite les données de connexion des visiteurs (adresses IP, métadonnées des requêtes HTTP) uniquement à des fins d'infrastructure et de sécurité. Webflow n'injecte pas de scripts de tracking, ne construit pas de profils de visiteurs et n'utilise pas les données des visiteurs pour sa propre publicité. Tout tracking sur un site hébergé par Webflow provient de scripts ajoutés par l'opérateur, pas de Webflow lui-même.
Oui. Webflow Inc. est une société américaine et tous les sites hébergés fonctionnent sur l'infrastructure AWS aux États-Unis, distribuée via les noeuds CDN Fastly dans le monde entier. Chaque requête HTTP de visiteur atteint in fine des serveurs d'origine basés aux États-Unis, et Webflow conserve les journaux serveur incluant les adresses IP jusqu'à 30 jours. Cela constitue un transfert restreint de données au sens du Chapitre V du RGPD. Webflow encadre ce transfert via un Avenant de traitement des données (DPA) incluant des Clauses Contractuelles Types (CCT). Les opérateurs doivent divulguer ce transfert dans leur politique de confidentialité.
Pour les sites statiques standards, Webflow ne dépose aucun cookie de tracking. Il peut déposer un petit nombre de cookies techniques strictement nécessaires pour des fonctionnalités spécifiques : __wf_auth (durée de session) n'est déposé que sur les sites avec Webflow Memberships activé, stockant le token de session du membre authentifié ; wf_logout (durée de session) est utilisé pour gérer les redirections post-déconnexion sur les sites Membership ; et des cookies de load balancer AWS (AWSALB ou similaires) peuvent être déposés de façon transitoire par l'infrastructure pour la persistance de session lors des requêtes. Aucun de ces cookies ne nécessite le consentement de l'utilisateur car ils sont strictement nécessaires au service demandé.
Webflow fournit les outils pour exploiter un site web conforme au RGPD, mais la conformité dépend de la façon dont l'opérateur configure et utilise la plateforme. Webflow lui-même propose un Avenant de traitement des données avec des CCT couvrant les transferts vers les États-Unis, conserve les journaux pour des durées limitées, n'a aucune finalité publicitaire et agit comme sous-traitant. Les opérateurs doivent : signer le DPA Webflow, divulguer le transfert vers les États-Unis dans leur politique de confidentialité, configurer les services analytiques ou publicitaires supplémentaires avec une gestion du consentement appropriée, et traiter les demandes d'exercice des droits pour toute donnée personnelle que Webflow stocke pour leur compte.
Non. En 2025, Webflow ne propose pas d'option de résidence des données dans l'Union européenne. Tous les sites hébergés et les données associées sont traités sur l'infrastructure AWS aux États-Unis. Les opérateurs soumis à des exigences strictes de localisation des données dans l'UE, comme ceux des secteurs réglementés (santé, finance, secteur public), doivent évaluer si Webflow satisfait leurs obligations de conformité spécifiques ou si une alternative hébergée dans l'UE est nécessaire. Webflow encadre le transfert avec des CCT, mais ne peut pas garantir que les données des visiteurs ne quittent jamais l'infrastructure américaine.
Webflow est un sous-traitant. L'opérateur (le client Webflow qui a construit et publié le site) est le responsable de traitement, chargé de déterminer les finalités et les moyens du traitement des données des visiteurs. Webflow traite les données uniquement pour le compte de l'opérateur et selon ses instructions, comme décrit dans l'Avenant de traitement des données. C'est un régime plus favorable pour les opérateurs que des services comme le Meta Pixel, où Meta agit en tant que responsable de traitement indépendant. Les opérateurs restent toutefois entièrement responsables des autres services (analytics, publicité, etc.) qu'ils ajoutent à leur site Webflow.
Webflow fournit des analytics de trafic basiques dans le tableau de bord du site, dérivés des journaux de requêtes côté serveur. Ces données sont agrégées, n'utilisent pas de cookies et ne sont pas partagées avec les visiteurs. Elles ne nécessitent pas le consentement des visiteurs. Pour des analyses plus détaillées, les opérateurs ajoutent généralement des outils tiers (Google Analytics, Plausible, Fathom, etc.) à leur site Webflow, qui doivent être configurés avec une gestion du consentement appropriée. Webflow ne regroupe aucun outil analytique tiers par défaut.
L'activation de Webflow Memberships augmente considérablement la portée du traitement des données. Webflow stocke directement les données personnelles des membres sur son infrastructure américaine : adresse e-mail, nom d'affichage, hash du mot de passe, tokens d'authentification et statut d'abonnement. Les opérateurs doivent : mettre à jour leur politique de confidentialité pour divulguer ce traitement et le transfert vers les États-Unis ; fournir aux membres des mécanismes d'exercice des droits (accès, suppression, portabilité) ; s'assurer que le DPA Webflow couvre ce traitement supplémentaire ; et envisager si une AIPD est requise compte tenu du stockage direct de données personnelles identifiables sur une plateforme américaine. Le profil de risque d'un site avec Memberships est sensiblement plus élevé que celui d'un site statique standard.