Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Buy Me a Coffee est une plateforme américaine qui permet aux créateurs de recevoir des pourboires ponctuels, des abonnements mensuels et des contenus payants via un widget intégrable. Le script button.js et l'iframe d'intégration sont chargés depuis buymeacoffee.com et Cloudflare, déposent des cookies fonctionnels et analytiques et acheminent les paiements via Stripe et PayPal. Comme l'embed n'est pas essentiel et transfère des données aux États Unis, les éditeurs UE doivent le charger après consentement et documenter le transfert international.
Buy Me a Coffee, souvent abrégé BMC, est une plateforme américaine de soutien aux créateurs, immatriculée Buy Me a Coffee Inc. à San Francisco, Californie. Les créateurs (auteurs, illustrateurs, podcasteurs, mainteneurs open source) configurent une page publique puis intègrent un bouton jaune Buy Me a Coffee ou un widget plus complet sur leur site. Les visiteurs peuvent envoyer un pourboire ponctuel, devenir membre mensuel, acheter un article payant ou payer un extra comme l''accès à une communauté privée.
BMC gère la page publique, le flux de paiement, les messages des supporters et le tableau de bord. Les paiements transitent par Stripe (par défaut dans la plupart des pays) ou PayPal. Le site du créateur n''a qu''à charger le script button.js ou à insérer une iframe ; tout le reste se passe sur buymeacoffee.com.
Lorsque le bouton ou le widget BMC est intégré sur un site tiers, button.js est chargé depuis cdnjs.buymeacoffee.com. Dès que l''iframe vers buymeacoffee.com s''ouvre, des cookies Cloudflare bot management (__cf_bm, _cfuvid) et des cookies fonctionnels BMC (_bmc_session, jeton CSRF) sont posés sur le domaine buymeacoffee.com. Si le supporter clique, une iframe checkout charge Stripe.js ou le SDK PayPal, qui posent leurs propres cookies (m, __stripe_mid, __stripe_sid, paypal_*).
BMC utilise également des outils d''analyse sur son propre domaine, généralement Google Analytics 4, Microsoft Clarity, HubSpot et Segment. Ces cookies ne sont pas posés sur le domaine du créateur mais concernent les visiteurs qui arrivent sur buymeacoffee.com via l''embed.
L''intégration du widget BMC déclenche l''art. 5(3) ePrivacy : l''iframe dépose des cookies qui ne sont pas strictement nécessaires à un service explicitement demandé par l''utilisateur. Le widget est chargé sur chaque page où il est placé, avant toute action du visiteur. Le charger sans consentement est donc non conforme en France, Allemagne, Espagne, Italie et dans la plupart des États membres.
Une fois que le supporter clique activement pour envoyer un pourboire ou souscrire, le traitement du paiement repose sur l''exécution du contrat (art. 6(1)(b) RGPD) et sur Stripe ou PayPal comme sous traitants distincts. Le créateur reste responsable des données de supporters affichées dans le dashboard BMC.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour le trafic UE, l''embed BMC doit être bloqué jusqu''à ce que le visiteur ait accepté au moins la catégorie fonctionnelle dans votre CMP. Un schéma courant : remplacer l''embed par un placeholder jaune statique qui ouvre la page BMC dans un nouvel onglet au clic, tant que le consentement n''est pas donné. Ou alors, rediriger tout vers buymeacoffee.com/votrenom via un lien direct et se passer de l''embed.
Tout le traitement BMC a lieu sur des régions AWS US. Le DPA BMC intègre les Clauses Contractuelles Types et référence le Data Privacy Framework UE/États Unis. Stripe est établi en Irlande pour les clients UE mais transfère vers les États Unis sous CCT ; PayPal Luxembourg traite les données de paiement UE sous sa propre certification DPF.
Une TIA est pertinente pour les créateurs à fort volume et doit couvrir les lois de surveillance américaines (FISA 702, EO 12333) et le risque résiduel malgré le DPF.
Signez le DPA Buy Me a Coffee. Ajoutez BMC comme tiers dans votre CMP et conditionnez l''embed au consentement fonctionnel. Listez Buy Me a Coffee, Stripe et PayPal dans votre politique et votre registre art. 30. Documentez le transfert vers les États Unis avec CCT et DPF. Limitez l''accès aux messages et métadonnées de paiement dans le dashboard BMC aux personnes autorisées.
Les sites web utilisant Buy Me a Coffee doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour un simple widget BMC sur un site personnel. Elle peut devenir pertinente pour les créateurs gérant de larges bases de soutiens (newsletters à plusieurs milliers de membres payants) combinées à un suivi analytics étendu.
Exemple de texte de consentement
Nous utilisons Buy Me a Coffee (Buy Me a Coffee Inc., États Unis) pour permettre les pourboires et les abonnements. Le widget dépose des cookies fonctionnels et analytiques, ouvre une iframe vers buymeacoffee.com et achemine les paiements via Stripe et PayPal. Les transferts vers les États Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework.
Domaines tiers contactes
buymeacoffee.comwww.buymeacoffee.comcdnjs.buymeacoffee.comimg.buymeacoffee.comjs.stripe.comq.stripe.comm.stripe.comwww.paypal.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| __cf_bm | third_party | 30 minutes | Cloudflare bot management cookie set on buymeacoffee.com to distinguish legitimate users from bots. Strictly necessary to deliver the widget but considered third party from the integrating site's perspective. |
| _cfuvid | third_party | Session | Cloudflare visitor identifier used to apply rate limits to bot mitigation rules on buymeacoffee.com. |
| _bmc_session | third_party | 2 weeks | BMC functional session cookie on buymeacoffee.com used to keep a supporter logged in and to remember the in progress checkout. |
| _bmc_csrf | third_party | Session | CSRF protection token for BMC API calls during the tip or membership flow. |
| __stripe_mid | third_party | 1 year | Stripe machine identifier used for fraud prevention during the BMC checkout. |
| __stripe_sid | third_party | 30 minutes | Stripe session identifier used for fraud detection during the BMC checkout. |
| m | third_party | 2 years | Stripe device fingerprint cookie used for risk scoring on payment forms. |
| paypal_* | third_party | Up to 3 years | PayPal authentication and risk cookies loaded if the supporter chooses PayPal at checkout. |
Buy Me a Coffee utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Lors du chargement de l'iframe BMC, des cookies Cloudflare bot management __cf_bm et _cfuvid sont posés sur buymeacoffee.com, ainsi que des cookies fonctionnels BMC (_bmc_session, jeton CSRF, jeton d'auth si le supporter est connecté). L'étape checkout charge Stripe.js ou le SDK PayPal, qui ajoutent __stripe_mid, __stripe_sid, m, paypal_* sur leurs propres domaines.
Oui. Le widget dépose des cookies non strictement nécessaires avant toute action du visiteur, donc l'art. 5(3) ePrivacy impose un consentement préalable en UE. Utilisez un CMP pour bloquer l'embed jusqu'à acceptation de la catégorie fonctionnelle, ou remplacez l'embed par un bouton statique vers la page BMC dans un nouvel onglet.
Consentement (art. 6(1)(a) RGPD et art. 5(3) ePrivacy) pour le chargement du widget et de ses cookies. Exécution de contrat (art. 6(1)(b) RGPD) pour le traitement du pourboire ou de l'abonnement une fois validé. Obligation légale (art. 6(1)(c)) pour la tenue des registres fiscaux des paiements reçus.
Oui. BMC est immatriculé aux États Unis et héberge toutes les données sur des régions AWS US. Les données des supporters UE et UK sont transférées aux États Unis sous Clauses Contractuelles Types et Data Privacy Framework UE/États Unis. Stripe et PayPal appliquent leurs propres mécanismes.
Pas nécessaire pour un site de créateur à faible trafic. Elle peut devenir pertinente pour les éditeurs qui combinent BMC avec un suivi analytics étendu, du profilage et de l'email marketing sur la même audience.
Signez le DPA BMC, conditionnez le widget au consentement fonctionnel dans votre CMP, utilisez un placeholder, listez BMC, Stripe et PayPal dans votre politique et registre art. 30, documentez le transfert US avec CCT et DPF, et limitez l'exposition des messages de supporters dans les dashboards publics.
Alternatives plus UE friendly : Ko fi (UK), Liberapay (France, à but non lucratif), Patreon (US), Tipeee (France), Steady (Allemagne) et Stripe Checkout / Payment Links en direct. Les options européennes affichent un risque de transfert plus faible et de meilleurs moyens de paiement locaux.
Listez Buy Me a Coffee, Cloudflare, Stripe et PayPal comme tiers dans la politique cookies avec leurs catégories et durées. Dans la politique de confidentialité, décrivez l'embed, l'iframe vers buymeacoffee.com, le transfert vers les États Unis avec CCT et DPF et le rôle de Stripe et PayPal comme sous traitants distincts.