Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Lemon Squeezy

Que fait Lemon Squeezy ?

Lemon Squeezy est une plateforme américaine merchant of record (MoR) pour SaaS, logiciels, ebooks et produits numériques. Rachetée par Stripe en 2024, elle prend en charge facturation, TVA UE, remboursements, prévention de fraude et chargebacks. L'overlay checkout est chargé depuis lemonsqueezy.com via lemon.js, dépose des cookies first party non strictement nécessaires et achemine les paiements via Stripe. Les vendeurs UE doivent conditionner l'overlay au consentement et documenter le transfert US sous CCT et DPF.

Qu''est-ce que Lemon Squeezy ?

Lemon Squeezy est une plateforme de paiement américaine merchant of record (MoR), immatriculée Lemon Squeezy LLC en Pennsylvanie et rachetée par Stripe Inc. en 2024. Elle cible SaaS, éditeurs logiciels, indie hackers, auteurs d''ebooks et tout créateur vendant des produits numériques nécessitant une gestion fiscale globale. En tant que MoR, Lemon Squeezy figure légalement comme vendeur sur la facture, collecte la TVA UE et d''autres taxes, gère remboursements, chargebacks et fraude, puis reverse le net au vendeur.

Les vendeurs intègrent Lemon Squeezy via lien de checkout hébergé, overlay Lemon.js (iframe au dessus du site) ou API. Clés de licence, téléchargements, abonnements et gestion d''affiliés sont inclus.

Cookies et données collectés

Sur le site du vendeur, lemon.js est chargé depuis assets.lemonsqueezy.com. À l''ouverture de l''overlay, une iframe vers app.lemonsqueezy.com pose des cookies first party Lemon Squeezy (ls_session, ls_csrf, ls_risk, cookie d''attribution) et des cookies Cloudflare bot management. Stripe sert de processeur sous jacent et ajoute __stripe_mid, __stripe_sid et m dans l''iframe checkout. Le dashboard et le site marketing Lemon Squeezy utilisent Google Analytics 4, Crisp Chat et HubSpot.

RGPD et ePrivacy

Le chargement de l''overlay Lemon.js pose des cookies non strictement nécessaires avant toute action du visiteur : l''art. 5(3) ePrivacy impose un consentement préalable en UE. Sur le checkout hébergé, les cookies strictement nécessaires à l''achat reposent sur l''exécution du contrat. En tant que MoR, Lemon Squeezy est responsable distinct pour la facturation et la fiscalité, et sous traitant pour la base client du vendeur.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentement et implémentation

Pour les visiteurs UE, le schéma le plus propre est de rediriger vers le lien de checkout hébergé tant que le consentement n''est pas donné, puis de charger lemon.js après acceptation de la catégorie fonctionnelle ou marketing. Les vendeurs qui veulent l''overlay immédiat peuvent s''appuyer sur un CMP avec auto blocking et documenter le flux de consentement.

Transferts internationaux

Lemon Squeezy traite les données clients UE sur AWS US East. Le DPA intègre les CCT (modules 2 et 3) et l''IDTA UK, et la société est auto certifiée au Data Privacy Framework. Après l''acquisition par Stripe, la liste de sous traitants et la documentation Stripe s''appliquent également.

Étapes pratiques de conformité

Signez le DPA Lemon Squeezy depuis le dashboard. Conditionnez l''overlay Lemon.js au CMP. Listez Lemon Squeezy (Lemon Squeezy LLC) et Stripe dans la politique et le registre art. 30, documentez le transfert US avec CCT et DPF et précisez dans les CGU que remboursements et reçus TVA passent par Lemon Squeezy en tant que MoR.

Categorie de consentement RGPD

Preferences

Les sites web utilisant Lemon Squeezy doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy) for the Lemon.js overlay loaded on the seller's own site, because it sets non strictly necessary cookies before any visitor action. Contract performance (Art. 6(1)(b)) for the purchase the customer completes on the hosted checkout. Legal obligation (Art. 6(1)(c)) for EU VAT collection and reporting, since Lemon Squeezy is the merchant of record.

Niveau de risquemedium

Reglementations applicablesGDPR, UK GDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EU VAT Directive (Council Directive 2006/112/EC), PSD2, PCI DSS, US CCPA/CPRA

Considerations AIPD

Une AIPD n'est généralement pas requise pour un abonnement SaaS standard via Lemon Squeezy. Elle devient pertinente quand le vendeur combine Lemon Squeezy avec un profilage étendu, un pricing comportemental, des données d'industries régulées ou des catégories sensibles liées aux paliers d'abonnement.

Exemple de texte de consentement

Les ventes de ce site sont opérées par Lemon Squeezy (Lemon Squeezy LLC, société du groupe Stripe, États Unis), notre merchant of record. L'overlay Lemon.js dépose des cookies fonctionnels et analytiques, ouvre une iframe vers lemonsqueezy.com et achemine les paiements via Stripe. Les transferts vers les États Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework.

Details techniques

Methode de suiviMerchant of record (MoR) payment platform for SaaS and digital products: hosted checkout overlay loaded from app.lemonsqueezy.com / assets.lemonsqueezy.com with the lemon.js library; opens an iframe to the Lemon Squeezy checkout that sets first party session, CSRF and risk cookies; payments are tokenised through Stripe in the background, with Lemon Squeezy as the legal seller of record

Localisation des serveursUnited States (Lemon Squeezy LLC, owned by Stripe since 2024, headquartered in Pennsylvania); production hosted on AWS US East regions; static assets and the lemon.js library served from Cloudflare and AWS CloudFront with EU edge presence

Donnees transferees hors UELemon Squeezy LLC is established in the United States and was acquired by Stripe Inc. in 2024. Customer payment data is processed on AWS US East. Lemon Squeezy is self certified under the EU US Data Privacy Framework, and its DPA incorporates the EU Standard Contractual Clauses (modules 2 and 3) and the UK International Data Transfer Addendum. As merchant of record, Lemon Squeezy handles EU VAT collection and reporting.

Domaines tiers contactes

lemonsqueezy.comapp.lemonsqueezy.comassets.lemonsqueezy.comjs.stripe.comq.stripe.com

Cookies deposes

Nom	Type	Duree	Finalite
ls_session	third_party	2 weeks	Lemon Squeezy functional session cookie set on app.lemonsqueezy.com to keep an in progress checkout and the buyer's session.
ls_csrf	third_party	Session	CSRF protection token for the Lemon Squeezy checkout form.
ls_risk	third_party	30 minutes	Fraud risk score cookie used by Lemon Squeezy and Stripe to assess the transaction during the checkout.
ls_attribution	third_party	6 months	Attribution cookie used to track which seller link or affiliate brought the buyer to the Lemon Squeezy checkout.
__stripe_mid	third_party	1 year	Stripe machine identifier loaded during the Lemon Squeezy Stripe checkout step for fraud prevention.
__stripe_sid	third_party	30 minutes	Stripe session identifier loaded during the Lemon Squeezy Stripe checkout step for fraud detection.

Lemon Squeezy utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Lemon Squeezy dépose-t-il ?

À l'ouverture de l'overlay Lemon.js, des cookies first party Lemon Squeezy sont posés sur app.lemonsqueezy.com (ls_session, ls_csrf, ls_risk et un cookie d'attribution) ainsi que des cookies Cloudflare bot management. Le checkout Stripe ajoute __stripe_mid, __stripe_sid et m.

Faut-il un consentement pour l'overlay Lemon Squeezy ?

Oui. L'overlay charge des cookies non strictement nécessaires avant toute action du visiteur, donc l'art. 5(3) ePrivacy impose un consentement préalable en UE. Utilisez un CMP pour bloquer lemon.js et un lien statique vers le checkout hébergé tant que le consentement n'est pas donné.

Quelle est la base légale ?

Consentement (art. 6(1)(a) RGPD et art. 5(3) ePrivacy) pour les cookies de l'overlay. Exécution du contrat (art. 6(1)(b)) pour l'achat sur le checkout hébergé. Obligation légale (art. 6(1)(c)) pour la collecte de TVA UE, Lemon Squeezy étant merchant of record.

Lemon Squeezy transfère-t-il des données hors UE ?

Oui. Établi aux États Unis, Lemon Squeezy traite les données clients UE sur AWS US East. Les transferts sont encadrés par les CCT et le Data Privacy Framework. Stripe applique ses propres CCT et DPF pour l'étape de paiement.

Faut-il une AIPD pour Lemon Squeezy ?

La facturation SaaS standard via Lemon Squeezy n'exige pas d'AIPD. Elle peut devenir pertinente si Lemon Squeezy est combiné à un profilage étendu, à des industries régulées ou à des catégories sensibles liées aux paliers d'abonnement.

Comment intégrer Lemon Squeezy de manière conforme ?

Signez le DPA, conditionnez l'overlay au CMP, listez Lemon Squeezy et Stripe dans la politique et le registre art. 30, documentez le transfert US avec CCT et DPF et précisez dans les CGU que remboursements et reçus TVA passent par Lemon Squeezy.

Existe-t-il des alternatives à Lemon Squeezy ?

Autres MoR : Paddle (UK), FastSpring (US avec DPF), 2Checkout / Verifone (US et UE), Gumroad (US avec DPF). Sans MoR : Stripe Billing (Irlande), Mollie subscriptions (Pays Bas), Adyen subscriptions (Pays Bas), Chargebee Billing.

Comment mettre à jour ma politique cookies et confidentialité ?

Listez les cookies Lemon Squeezy et Stripe. Dans la politique, décrivez Lemon Squeezy comme merchant of record, l'overlay, l'iframe vers lemonsqueezy.com, le transfert US sous CCT et DPF et le rôle de Stripe comme processeur sous jacent.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min