Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Nextra est un générateur de site statique open source basé sur Next.js, conçu pour la documentation technique, les blogs et les sites de contenu. Il produit un HTML, CSS et JavaScript entièrement statiques, déployables sur n'importe quel hébergeur. Nextra lui-même ne dépose aucun cookie et n'effectue aucun suivi : la surface de confidentialité dépend entièrement de l'hébergeur choisi et des scripts d'analyse ou tiers ajoutés par l'opérateur.
Nextra est un générateur de site statique open source basé sur Next.js, conçu pour la documentation technique, les bases de connaissances et les blogs. Maintenu par l'équipe Vercel et une communauté de contributeurs, il offre une rédaction en Markdown et MDX, une génération automatique de la navigation, des thèmes (Docs et Blog), une recherche plein texte, un mode clair et sombre, l'internationalisation et un routage basé sur Next.js. À la compilation, Nextra produit des bundles HTML, CSS et JavaScript entièrement statiques, servis par n'importe quel hébergeur sans backend d'exécution. Comme Nextra ne s'exécute qu'au moment du build, il ne reçoit ni ne stocke jamais de données personnelles des visiteurs.
Un site Nextra par défaut ne dépose aucun cookie, n'intègre aucun traceur, n'ouvre aucun pixel d'analyse et ne crée aucune empreinte. Les seuls éléments éventuellement stockés dans le navigateur sont des préférences d'interface non identifiantes : un cookie ou une entrée de stockage local pour le thème (clair/sombre) et un état d'expansion de la barre latérale ou du sommaire. Ils relèvent de l'exemption ePrivacy « strictement nécessaire » car ils correspondent à un service explicitement demandé par l'utilisateur. Le framework n'effectue aucune journalisation d'IP, n'appelle aucun serveur externe à l'exécution et n'impose pas de bandeau de consentement.
Si Nextra est neutre, l'hébergeur qui sert le bundle statique ne l'est pas. Vercel et Netlify opèrent principalement depuis les États-Unis et écrivent des journaux d'accès pouvant contenir des adresses IP ; les transferts depuis l'EEE reposent sur les Clauses Contractuelles Types et le Data Privacy Framework UE-USA. Cloudflare Pages s'appuie sur un réseau mondial. GitHub Pages est aux États-Unis. Les alternatives européennes incluent OVHcloud, Scaleway, Hetzner, Infomaniak ou un Nginx auto-hébergé sur un VPS UE. Chaque hébergeur doit être évalué quant à la rétention et au contenu des journaux, aux transferts vers pays tiers et aux accords de sous-traitance au sens de l'article 28 RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
De nombreux opérateurs ajoutent des analyses à un site Nextra. Les solutions sans cookies et compatibles UE comme Plausible, Fathom, Umami et Simple Analytics agrègent les visites sans identifier individuellement et évitent généralement l'obligation de consentement lorsqu'elles sont correctement configurées. Google Analytics 4, Hotjar, Microsoft Clarity, une recherche tierce comme Algolia DocSearch, des intégrations YouTube, Twitter ou X, ou des polices via CDN (Google Fonts) introduisent cookies, identifiants ou transferts vers pays tiers et exigent un consentement éclairé au titre de l'article 5(3) ePrivacy. La posture juridique d'un déploiement Nextra est donc la somme de ces composants ajoutés, et non du framework lui-même.
Pour qu'un site Nextra reste licite et à faible risque, les opérateurs devraient : choisir un hébergeur dont la localisation et les conditions contractuelles correspondent à leur audience, privilégier les analyses sans cookies, auto-héberger les polices et icônes plutôt que les charger depuis un CDN tiers, remplacer les intégrations YouTube par des variantes en mode renforcé de la vie privée ou en click-to-load, documenter la chaîne des sous-traitants dans un registre des traitements (article 30 RGPD), publier une notice de confidentialité transparente listant uniquement les composants effectivement utilisés et configurer une couche de consentement minimale uniquement si des cookies non strictement nécessaires sont introduits. Son architecture statique et neutre fait de Nextra l'une des piles documentaires les plus compatibles avec la vie privée.
Les sites web utilisant Nextra doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD formelle n'est pas requise pour un Nextra de base car le framework ne traite aucune donnée personnelle et ne dépose aucun cookie. Une revue allégée de la vie privée reste recommandée : elle doit documenter l'hébergeur (Vercel, Netlify, Cloudflare Pages, GitHub Pages, hébergeurs UE tels qu'OVHcloud, Scaleway ou Hetzner), la rétention des journaux serveur, la solution d'analyse choisie (Plausible, Fathom, Umami, Simple Analytics, Google Analytics) et tout script tiers intégré (YouTube, Twitter, Mermaid via CDN, fournisseurs de recherche tels qu'Algolia DocSearch). Chaque composant ajouté doit être évalué individuellement pour sa base légale, ses transferts et sa rétention.
Exemple de texte de consentement
Ce site de documentation est construit avec Nextra, un générateur de site statique open source. Le framework lui-même ne dépose pas de cookies et n'effectue pas de suivi. Si vous acceptez, nous chargeons en complément une solution d'analyse respectueuse de la vie privée pour comprendre quelles pages sont utiles, sans suivi inter-sites ni profil personnel. Vous pouvez modifier votre choix à tout moment.
Domaines tiers contactes
nextra.sitegithub.comvercel.appCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| theme | Strictly Necessary | 1 year (localStorage, persists until cleared) | Stores the visitor preferred colour scheme (light or dark) for the Nextra Docs theme. Implemented via next-themes and persisted in localStorage. Falls under the strictly necessary exemption of ePrivacy Article 5(3) because it implements a UI preference explicitly chosen by the user; no tracking or personal identification is performed. |
| nextra-toc-expanded | Strictly Necessary | Session or persistent (localStorage) | Stores the expanded or collapsed state of the table of contents and sidebar sections in the Nextra Docs theme so that visitors find the same layout on subsequent visits. Strictly necessary under ePrivacy Article 5(3) because it merely persists a UI choice made by the user and contains no identifier; no profile, no tracking and no transmission to third parties. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Non, pas pour un Nextra de base. Nextra produit uniquement du HTML, CSS et JavaScript statiques et ne dépose aucun cookie en propre : l'article 5(3) de la directive ePrivacy ne se déclenche pas. Un bandeau devient nécessaire uniquement si vous ajoutez des analyses déposant des cookies non strictement nécessaires (Google Analytics, Hotjar), si vous intégrez des widgets tiers (YouTube, Twitter ou X), si vous utilisez Algolia DocSearch avec des identifiants persistants ou si vous chargez Google Fonts. Les préférences de thème et l'état du sommaire sont considérés comme strictement nécessaires car ils traduisent un choix explicite du visiteur.
Oui. En configuration de base, Nextra ne traite aucune donnée personnelle : pas de compte utilisateur, pas de télémétrie, pas d'analyse, pas d'empreinte, pas d'appel externe à l'exécution. Le bundle compilé n'est qu'un ensemble de fichiers. Du point de vue du RGPD, le framework lui-même ne génère aucune obligation. Les obligations réelles viennent de l'hébergeur (les logs serveur peuvent contenir des IP) et des analyses ou intégrations que l'opérateur choisit d'ajouter. Documenter ces choix dans un registre des traitements suffit pour la plupart des sites de documentation ou de blog.
Pour un public européen, des hébergeurs UE comme OVHcloud, Scaleway, Hetzner, Infomaniak, Clever Cloud ou un VPS européen auto-hébergé minimisent le risque de transfert car fichiers statiques et logs d'accès restent dans l'EEE. Vercel et Netlify sont pratiques et bien intégrés à Next.js, mais opèrent depuis les États-Unis et reposent sur les Clauses Contractuelles Types et le Data Privacy Framework UE-USA. Cloudflare Pages sert depuis un réseau mondial mais reste une société américaine. GitHub Pages est aux États-Unis. Le bon choix dépend du public, des besoins de performance et de l'appétit pour une analyse de type Schrems II.
Les options les plus compatibles avec le consentement sont les analyses UE sans cookies : Plausible (hébergement UE), Fathom Analytics (mode isolé UE), Umami (auto-hébergeable), Simple Analytics, GoatCounter ou Pirsch. Elles agrègent les visites sans identifier les personnes et n'exigent généralement pas de bandeau si elles sont configurées pour éviter les identifiants persistants et les IP complètes. Google Analytics 4 reste utilisable mais nécessite un consentement au titre de l'article 5(3) ePrivacy, une base légale documentée, l'anonymisation IP, le Consent Mode et une analyse d'impact pour les transferts vers les États-Unis. Les déploiements côté serveur ou hybrides offrent un meilleur contrôle.
Chacun ajoute sa propre empreinte vie privée, indépendamment de Nextra. Les intégrations YouTube standard déposent des cookies publicitaires et appellent doubleclick.net ; utilisez youtube-nocookie.com ou un wrapper « click to load ». Les intégrations Twitter ou X chargent du JavaScript de suivi et requièrent un consentement. Google Fonts chargé depuis fonts.googleapis.com transmet l'IP à Google et a été jugé non conforme par certaines juridictions européennes (Tribunal de Munich 2022) ; auto-héberger les fichiers résout le problème. Algolia DocSearch est généralement considéré comme à faible risque pour l'UE, à documenter comme sous-traitant avec résidence des données UE si disponible.
Elles peuvent être stockées comme cookies ou comme entrées localStorage. Dans les deux cas elles sont considérées comme strictement nécessaires car elles mettent en œuvre un service explicitement demandé par l'utilisateur (thème préféré, agencement de la barre latérale) et ne permettent pas de suivi. Au titre de l'article 5(3) de la directive ePrivacy, elles relèvent de l'exemption strictement nécessaire et ne requièrent pas de consentement. Elles devraient néanmoins être listées dans la politique de confidentialité, avec leur finalité, leur durée de vie et leur catégorie.
Commencez par lister ce qui est réellement chargé : l'hébergeur (Vercel, Netlify, Cloudflare, un fournisseur UE, auto-hébergement), les analyses, le moteur de recherche, les intégrations et les ressources servies via CDN. Pour chaque élément, documentez la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et l'existence éventuelle de transferts hors EEE. Ajoutez une section sur les droits (accès, effacement, opposition, portabilité, réclamation auprès d'une autorité de contrôle), le point de contact du responsable et la date de mise à jour. Pour la plupart des sites de documentation, une page suffit à couvrir les obligations des articles 13 et 14 RGPD.
Oui, et sans doute davantage que de nombreuses alternatives basées sur un CMS. Comme Nextra est statique et que le framework ne stocke rien sur les visiteurs, le périmètre de confidentialité et de sécurité se réduit à l'hébergeur et aux éventuelles analyses. Le choix d'un hébergeur UE (OVHcloud, Scaleway, Hetzner, cloud souverain) et d'analyses sans cookies aboutit à une pile simple à auditer au regard du RGPD, de Schrems II, de l'AI Act européen pour d'éventuels composants de recherche IA, et des règles sectorielles telles que le RGS français, le BSI Grundschutz allemand ou l'agrément HDS pour les données de santé. La nature statique réduit aussi la surface d'attaque et facilite les audits de sécurité.