Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

IBM Carbon Design System

Que fait IBM Carbon Design System ?

IBM Carbon Design System est un système de design open source maintenu par IBM qui fournit des composants d'interface prêts à l'emploi, du CSS, des icônes et des polices web pour construire des interfaces web accessibles. Il est le plus souvent consommé sous forme de fichiers statiques via un CDN public ou installé via npm et auto-hébergé. Carbon en lui-même ne dépose aucun cookie de suivi, mais charger ses fichiers depuis un CDN tiers expose l'adresse IP du visiteur au fournisseur de CDN et peut introduire des questions de transferts de données.

Qu'est-ce que Carbon Design System

IBM Carbon Design System est un système de design open source maintenu par IBM et une vaste communauté de contributeurs. Il fournit un ensemble cohérent de composants d'interface accessibles (boutons, champs, modales, tableaux, widgets de visualisation de données), un framework CSS, des icônes, des illustrations, la police IBM Plex ainsi que des implémentations React, Angular, Vue et Web Components. Carbon est utilisé par les produits IBM, leurs partenaires et de nombreuses équipes tierces qui souhaitent une base accessible robuste sans la construire de zéro. Le système se diffuse soit via des paquets npm intégrés à un pipeline de build, soit via des bundles préfabriqués servis depuis un CDN.

Données et cookies

En tant que bibliothèque, Carbon ne dépose pas de cookies, ne pratique pas de fingerprinting et n'envoie aucun événement analytique. Le seul échange de données déclenché par Carbon lui-même est la requête HTTP qui télécharge ses fichiers CSS, JavaScript, polices et icônes, plus les en-têtes habituels de cache. Toutefois, chaque requête HTTP transmet par nature l'adresse IP du visiteur, le user agent, le referer et l'horodatage au serveur qui livre le fichier. Lorsque ce serveur est un CDN tiers, l'opérateur du CDN devient un destinataire de données et peut conserver des journaux d'accès, déposer ses propres cookies analytiques ou appliquer des défis de sécurité.

Implications RGPD et ePrivacy

Si les fichiers Carbon sont auto-hébergés sur votre propre infrastructure, le traitement se limite au chargement technique strictement nécessaire de ressources que vous contrôlez. L'article 5(3) de la directive ePrivacy n'impose pas de consentement pour des opérations purement techniques strictement nécessaires à un service demandé par l'utilisateur, et l'intérêt légitime au titre de l'article 6(1)(f) du RGPD constitue généralement une base légale défendable. Si Carbon est chargé depuis un CDN tiers, l'éditeur doit en outre évaluer si ce CDN respecte les exigences du RGPD, s'il dépose des cookies hors exemption et comment il journalise les adresses IP des visiteurs.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts de données et choix du CDN

Les CDN publics les plus utilisés (unpkg routé via Cloudflare, jsDelivr via Fastly et Cloudflare, points de terminaison IBM sur IBM Cloud) impliquent tous des opérateurs ayant leur siège aux États-Unis et un réseau d'edge mondial. Depuis l'arrêt Schrems II et l'entrée en vigueur du Data Privacy Framework UE Etats-Unis, les transferts peuvent être licites lorsque le destinataire est certifié au DPF, mais l'éditeur doit vérifier la certification, documenter le transfert dans son registre et examiner si l'adresse IP journalisée à la périphérie peut être reliée à un visiteur identifiable. L'auto-hébergement de Carbon ou l'utilisation d'un miroir basé dans l'UE supprime totalement ce transfert.

Étapes pratiques de mise en conformité

Pour la plupart des sites en production, le motif recommandé consiste à installer Carbon via npm, à l'agréger dans votre build applicatif et à servir les fichiers résultants depuis la même origine que le reste du site, derrière votre CDN ou serveur web habituel. Cela supprime tout transfert tiers spécifique à Carbon et évite la dépendance à une disponibilité externe. Si vous devez utiliser un CDN public, privilégiez-en un avec une présence UE documentée et une certification DPF, ajoutez des hachages Subresource Integrity sur les balises script et link et mentionnez le CDN dans votre politique de confidentialité. Carbon lui-même reste compatible avec la conformité car il s'agit d'un ensemble passif de primitives d'interface.

Categorie de consentement RGPD

Autre

Les sites web utilisant IBM Carbon Design System doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (Article 6(1)(f) GDPR) for self-hosted assets and the strictly necessary technical loading of the UI. When loaded from a third party CDN that profiles visitors or sets its own cookies, prior consent under Article 5(3) ePrivacy may become required.

Niveau de risquelow

Reglementations applicablesGDPR (EU 2016/679), ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework where applicable, EDPB guidelines on third country transfers, national data protection authority guidance on CDN usage.

Considerations AIPD

Une analyse d'impact complète n'est en général pas requise pour des fichiers Carbon auto-hébergés, le traitement se limitant à la livraison technique de ressources d'interface avec un risque minimal pour les personnes concernées. Si Carbon est chargé depuis un CDN tiers comme unpkg ou jsDelivr, il convient de réaliser une évaluation documentée du risque de transfert pour ce CDN, de l'inscrire au registre des traitements et de vérifier si le CDN dépose ses propres cookies. Le facteur décisif est le choix du CDN, pas Carbon en lui-même.

Exemple de texte de consentement

Ce site utilise IBM Carbon Design System pour son interface utilisateur. Carbon est chargé depuis nos propres serveurs et ne dépose aucun cookie sur votre appareil. Certaines polices et icônes peuvent être mises en cache par votre navigateur pour des raisons de performance. Aucune donnée personnelle n'est partagée avec IBM ni avec aucun tiers du fait de l'utilisation de Carbon sur cette page.

Details techniques

Methode de suiviStatic assets (CSS, JavaScript components, web fonts, icons) typically loaded from a public CDN such as unpkg, jsDelivr or IBM-hosted endpoints. No tracking cookies are set by Carbon itself, but the CDN serving the assets sees the visitor IP address, referer, user agent and timing of the request and may set its own cookies for caching or analytics.

Localisation des serveursDepends on the chosen CDN. unpkg uses Cloudflare (global edge, primarily routed via US-controlled infrastructure). jsDelivr is operated from multiple regions with Cloudflare and Fastly. IBM-hosted endpoints route through IBM Cloud, with edge presence in the US and EU.

Suivi sans cookie disponibleOui

Donnees transferees hors UEWhen Carbon assets are loaded from a US-based CDN (unpkg / Cloudflare, jsDelivr / Fastly, IBM-hosted on US edge), visitor IP and request metadata transit through US infrastructure. The EU US Data Privacy Framework provides an adequacy mechanism for certified US recipients, but each CDN must be evaluated individually. Self-hosting the assets removes this transfer entirely.

Domaines tiers contactes

carbondesignsystem.comunpkg.comcdn.jsdelivr.net1.www.s81c.com

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Le Carbon Design System dépose-t-il des cookies?

Non. Carbon est une bibliothèque passive de composants, de CSS et de fichiers d'interface. Il ne dépose aucun cookie, ne fait pas d'analytique et ne pratique pas le fingerprinting. Les seuls cookies pouvant apparaître en lien avec Carbon proviennent du CDN qui livre les fichiers (par exemple cookies de sécurité Cloudflare ou Fastly sur unpkg ou jsDelivr) ou de votre propre code applicatif qui utilise les composants Carbon.

Faut-il un consentement pour charger les fichiers Carbon?

Si Carbon est auto-hébergé sur votre propre domaine, aucune bannière de consentement n'est nécessaire pour les fichiers eux-mêmes: leur chargement est strictement nécessaire au rendu de la page demandée. Si Carbon est chargé depuis un CDN tiers susceptible de déposer des cookies ou de profiler les visiteurs, il convient au moins de le mentionner dans votre politique de confidentialité et, selon le CDN, de le conditionner au consentement.

Quelle base légale couvre l'utilisation de Carbon?

Les fichiers Carbon auto-hébergés relèvent de l'exemption pour cookies strictement nécessaires de l'article 5(3) ePrivacy et peuvent s'appuyer sur l'intérêt légitime au titre de l'article 6(1)(f) du RGPD pour les éventuels journaux générés. Carbon livré par CDN soulève une question supplémentaire: le CDN devient un destinataire, ce qui peut imposer de l'ajouter au registre et, s'il dépose des cookies non essentiels, d'obtenir un consentement au titre de l'article 5(3).

Où circulent les fichiers Carbon quand on utilise un CDN public?

Les CDN publics utilisent des réseaux d'edge mondiaux. unpkg passe par Cloudflare, jsDelivr par Fastly et Cloudflare, et les points IBM par IBM Cloud. Les visiteurs UE sont en général servis depuis un edge UE, mais l'opérateur du CDN a son siège aux États-Unis et les journaux de requêtes peuvent être répliqués dans d'autres régions. Chaque CDN devient ainsi un transfert vers un pays tiers à évaluer, sauf si l'opérateur est certifié DPF ou si vous auto-hébergez.

Une AIPD est-elle requise pour utiliser Carbon?

Une AIPD formelle n'est pas requise pour Carbon auto-hébergé, le traitement se limitant à la livraison technique de ressources d'interface avec un risque négligeable pour les personnes concernées. Si Carbon est chargé via un CDN tiers, une courte évaluation d'impact du transfert pour ce CDN est judicieuse, mais une AIPD complète au titre de l'article 35 du RGPD est en général disproportionnée.

Comment implémenter Carbon de la manière la plus respectueuse de la vie privée?

Installez Carbon via npm ou yarn, incluez-le dans votre bundle applicatif et servez l'ensemble depuis la même origine (ou votre propre CDN). Évitez de lier directement vers unpkg, jsDelivr ou d'autres CDN partagés en production. Fixez une version précise, livrez des hachages d'intégrité et tenez les dépendances à jour. Cette combinaison supprime les questions de transferts tiers et fait de Carbon une dépendance quasi sans impact.

Quelles alternatives à Carbon pour les projets européens?

Des systèmes de design européens ou open source sans appels tiers incluent Material UI auto-hébergé, Bootstrap, Bulma, Tailwind associé à des bibliothèques de composants sans rendu comme Radix UI ou Headless UI. Aucun ne modifie en soi l'équilibre RGPD de votre site, à condition de servir leurs fichiers depuis votre propre origine. Carbon reste une option attractive grâce à son accent fort sur l'accessibilité.

Dois-je mettre à jour ma politique de cookies si j'utilise Carbon?

Si Carbon est auto-hébergé et que vous ne chargez aucun fichier tiers, il n'y a rien de spécifique à ajouter sur Carbon. Si vous chargez Carbon depuis unpkg, jsDelivr ou un autre CDN tiers, mentionnez ce CDN dans votre politique de cookies et votre politique de confidentialité, indiquez les catégories de données partagées (IP, métadonnées de requête), le pays de destination et la base légale. Revoyez cette mention à chaque changement de CDN.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min