Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Firebase est une plateforme Google Cloud de services backend mobile et web très utilisée en Europe pour l'authentification, les bases temps réel, les notifications push, l'hébergement et l'analytique. La plupart des produits Firebase tournent sur l'infrastructure Google avec un stockage multi-régions par défaut ; Cloud Firestore, Cloud Storage et Cloud Functions peuvent être épinglés sur des régions UE, tandis que Firebase Analytics et Cloud Messaging traitent les données globalement avec stockage aux US.
Firebase est une plateforme Google Cloud qui regroupe des services backend mobile et web dans un seul SDK. Les produits courants incluent Firebase Authentication, Cloud Firestore, Realtime Database, Firebase Cloud Messaging, Firebase Analytics, Crashlytics, Firebase Hosting et Cloud Functions. Très utilisée en Europe pour les apps mobiles et les applications web, elle évite d''opérer indépendamment l''authentification, la base et l''analytique.
Firebase Authentication stocke identifiants, jetons de rafraîchissement et identifiants de session. Cloud Firestore et Realtime Database stockent les données applicatives écrites par le développeur. Firebase Cloud Messaging stocke des tokens d''appareil pour les notifications. Firebase Analytics collecte événements, écrans vus, informations d''appareil, adresses IP et un identifiant d''instance persistant (Firebase Installation ID). Crashlytics collecte stack traces, état de l''appareil et identifiants utilisateur si attachés.
L''Authentification, Cloud Firestore et Realtime Database utilisés pour rendre l''app reposent sur l''exécution du contrat (art. 6(1)(b) RGPD). Firebase Analytics et Crashlytics reposent sur le consentement (art. 6(1)(a) RGPD) et l''article 5(3) ePrivacy car ils lisent et écrivent des identifiants sur l''appareil. Les campagnes marketing via Cloud Messaging nécessitent un consentement. Utilisez Firebase Consent Mode (Google Consent Mode v2) pour propager les signaux de consentement à Analytics.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloud Firestore, Cloud Storage et Cloud Functions peuvent être configurés pour stocker en régions UE (europe-west1, europe-west3, eur3, etc.). Firebase Authentication, Firebase Analytics et Cloud Messaging traitent actuellement les données globalement avec un stockage aux US. Les transferts reposent sur la certification de Google au titre du Data Privacy Framework UE-US et sur les clauses contractuelles types incluses dans le DPA Google Cloud.
Signez le DPA Google Cloud depuis la console Firebase. Épinglez Cloud Firestore et Cloud Storage en région UE. Activez Firebase Consent Mode et conditionnez Firebase Analytics et Crashlytics à votre CMP. Pour les apps mobiles, demandez l''App Tracking Transparency iOS avant d''activer Analytics et suivez les recommandations Android Privacy Sandbox. Documentez les services Firebase utilisés, les régions et la base Data Privacy Framework UE-US dans votre politique.
Les sites web utilisant Firebase doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée pour les déploiements Firebase combinant Authentication, Analytics et Crashlytics avec des volumes utilisateurs significatifs, compte tenu du traitement global Google Cloud et des identifiants persistants utilisés pour l'analytique et le marketing.
Exemple de texte de consentement
Cette application utilise Firebase (Google LLC) pour l'authentification, le stockage et l'analytique. Firebase Analytics et Crashlytics ne sont activés qu'après votre consentement. Les données personnelles peuvent être transférées sur l'infrastructure Google hors EEE au titre du Data Privacy Framework UE-US ou des clauses contractuelles types.
Domaines tiers contactes
firebase.googleapis.comfirebaseio.comfirebaseinstallations.googleapis.comfcmregistrations.googleapis.comfirebaselogging-pa.googleapis.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| firebase_id_token | first_party | 1 hour | Short-lived ID token issued by Firebase Authentication after a successful login. |
| firebase_refresh_token | first_party | Variable (long-lived) | Refresh token stored locally so the app can request new ID tokens without forcing re-authentication. |
| FIREBASE_INSTALLATION_ID | first_party | Persistent | Persistent app instance identifier used by Firebase Analytics, Crashlytics and Cloud Messaging to attribute events. |
| FCM_TOKEN | first_party | Persistent | Device token used by Firebase Cloud Messaging to deliver push notifications. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Firebase Authentication émet un ID token (1 heure) et un refresh token longue durée. Firebase Installations crée un identifiant d'instance d'application persistant utilisé par Analytics, Crashlytics et Cloud Messaging. Firebase Cloud Messaging stocke un token d'appareil. Firebase Analytics et Crashlytics écrivent aussi des payloads d'événements avec des informations d'appareil et d'IP lorsqu'ils sont actifs.
Firebase Authentication et les bases qui rendent simplement la fonctionnalité demandée ne requièrent pas de bandeau cookies dédié. Firebase Analytics, Crashlytics et les campagnes marketing Cloud Messaging nécessitent un consentement libre et éclairé au titre de l'art. 6(1)(a) RGPD et de l'article 5(3) ePrivacy. Utilisez Firebase Consent Mode pour conditionner la collecte.
L'Authentification, Cloud Firestore et Realtime Database utilisés pour rendre l'app reposent sur l'exécution du contrat (art. 6(1)(b)). Firebase Analytics, Crashlytics et le marketing Cloud Messaging reposent sur le consentement (art. 6(1)(a)). La conservation fiscale peut relever de l'obligation légale (art. 6(1)(c)). Les identifiants strictement nécessaires reposent sur l'article 5(3) ePrivacy.
Oui pour plusieurs produits Firebase. Cloud Firestore, Cloud Storage et Cloud Functions peuvent être épinglés en régions UE. Firebase Authentication, Firebase Analytics et Cloud Messaging traitent actuellement les données globalement avec stockage aux US. Les transferts reposent sur la certification Google au Data Privacy Framework UE-US et sur les clauses contractuelles types du DPA Google Cloud.
Une AIPD est recommandée pour les déploiements Firebase combinant Authentication, Analytics et Crashlytics avec des volumes utilisateurs importants, compte tenu du traitement global Google Cloud et des identifiants persistants utilisés. Une AIPD n'est normalement pas requise pour un projet Authentication seul ou hébergement seul.
Signez le DPA Google Cloud depuis la console Firebase. Épinglez Cloud Firestore et Cloud Storage en région UE. Activez Firebase Consent Mode et conditionnez Firebase Analytics et Crashlytics à votre CMP. Pour les apps mobiles, demandez l'App Tracking Transparency iOS avant d'activer Analytics. Documentez les services Firebase, les régions et la base DPF dans votre politique.
Côté UE : Supabase (géré sur régions UE chez AWS), Appwrite (open source, auto-hébergé ou cloud UE), Hasura avec hébergement UE et Nhost (hébergement UE). Pour l'analytique uniquement, préférez Plausible, Matomo, Pirsch ou Posthog avec hébergement UE. Le choix dépend du besoin global (backend complet) ou ponctuel (produits Firebase spécifiques).
Listez les services Firebase utilisés (Authentication, Cloud Firestore, Storage, Functions, Cloud Messaging, Analytics, Crashlytics) avec leur finalité, les régions configurées et les identifiants persistants émis. Précisez que les données peuvent être transférées sur l'infrastructure Google hors EEE au titre du Data Privacy Framework UE-US ou des SCC, et référencez le DPA Google Cloud.