Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Netlify est une plateforme cloud qui héberge des sites JAMstack, des applications statiques et serverless et les exécute sur un edge network mondial, avec déploiement continu intégré, fonctions edge et gestion de formulaires. Netlify est exploité par Netlify Inc. aux États Unis. Au regard du RGPD, Netlify agit principalement en sous traitant d'hébergement qui traite les adresses IP des visiteurs et les métadonnées de requête, sans poser par défaut de cookies marketing dans le navigateur.
Netlify est l''un des pionniers de l''hébergement JAMstack. Il construit un site depuis un dépôt Git, distribue les actifs statiques via son edge network mondial, héberge des fonctions serverless et edge (Netlify Functions, Netlify Edge Functions) et propose des services intégrés pour les formulaires, l''identité et l''optimisation d''images. Netlify est largement utilisé pour des sites Next.js, Gatsby, Hugo, Astro, Eleventy et Nuxt, aussi bien pour des pages marketing que pour des applications SaaS complètes.
Netlify traite l''adresse IP du visiteur, l''URL de la requête, la méthode HTTP, les en têtes (User Agent, Referer, cookies transmis), les paramètres TLS, la géolocalisation déduite et des métadonnées d''exécution lorsque des Functions traitent la requête. Les journaux d''accès et de fonctions sont conservés pour une durée définie. Netlify Analytics, lorsqu''il est activé, lit des données de requêtes agrégées depuis les serveurs d''edge sans poser de cookies. Netlify Forms conserve les soumissions dans le dashboard pour que le client les consulte.
Les adresses IP traitées par Netlify sont des données personnelles au sens du RGPD. Netlify agit en sous traitant pour le client et en responsable pour des finalités limitées d''exploitation. L''hébergement et la diffusion CDN n''écrivant pas d''information sur le terminal, la règle de consentement ePrivacy n''est pas déclenchée et un consentement explicite n''est pas requis pour l''hébergement lui même. Netlify Analytics, côté serveur et sans cookies, reste compatible avec l''intérêt légitime mais doit être listé dans la politique de confidentialité. Netlify Identity, Netlify Forms et tout JavaScript personnalisé chargé via Netlify peuvent requérir leur propre base légale.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Netlify opère un edge network mondial avec des points de présence en Europe, mais le plan de contrôle, le support client et les données de compte restent aux États Unis. Les transferts s''appuient sur l''Addendum Netlify au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, avec TLS 1.3, chiffrement au repos, SOC 2 Type II, ISO 27001 et contrôles HIPAA pour les clients entreprise. Netlify Functions peut être déployé dans des régions UE pour limiter les flux de données personnelles.
Signez l''Addendum Netlify, documentez Netlify comme sous traitant dans le registre des activités de traitement, mentionnez Netlify Inc., la destination américaine et les garanties CCT et DPF dans la politique de confidentialité et configurez une rétention courte pour les journaux d''accès et de fonctions. Déployez Netlify Functions dans des régions UE lorsque c''est possible, conditionnez tout script non essentiel chargé via Netlify à une plateforme de gestion du consentement et passez en revue Netlify Forms pour traiter les données personnelles et leur conservation.
Les sites web utilisant Netlify doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est pas requise pour un site marketing ou informationnel classique sur Netlify. Une AIPD est recommandée lorsque l'application profile systématiquement les visiteurs, lorsque Netlify Identity stocke des données utilisateur authentifié, lorsque des formulaires collectent des données sensibles ou lorsque le site cible des secteurs régulés comme la santé ou les services financiers.
Exemple de texte de consentement
Ce site est hébergé sur Netlify, une plateforme cloud exploitée par Netlify Inc. (États Unis). Netlify route vos requêtes via un edge network mondial et traite votre adresse IP et les métadonnées de votre requête. En acceptant, vous autorisez ce transfert vers des serveurs Netlify, y compris aux États Unis, sous Clauses Contractuelles Types européennes et Data Privacy Framework UE États Unis.
Domaines tiers contactes
netlify.comnetlify.appnetlifyusercontent.comnetlifycontent.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _nf_uuid | Strictly necessary | 1 year | Set on password protected Netlify previews. Stores a unique identifier so that the access check is not repeated on every navigation. |
| nf_jwt | Strictly necessary | Session or until logout | Stores the JSON Web Token issued by Netlify Identity or by Netlify access control for password protected previews. |
| _nf_identity_id | Functional (Netlify Identity) | 1 year | Set when Netlify Identity is configured on the site. Stores a pseudonymous identifier for the authenticated user. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Sur un site public hébergé sur Netlify, aucun cookie marketing ou analytique n'est posé par défaut. Netlify peut poser des cookies strictement nécessaires sur les previews protégées par mot de passe (_nf_uuid, nf_jwt) et sur le domaine d'administration Netlify. Netlify Identity, lorsqu'il est activé, pose un cookie de session (_nf_jwt) pour les utilisateurs authentifiés.
Aucun consentement n'est requis pour l'hébergement et la diffusion de contenu via Netlify, car aucune information n'est stockée ni lue sur le terminal du visiteur. Un consentement devient requis lorsque l'application hébergée pose elle même des cookies non essentiels, charge des trackers tiers ou utilise Netlify Identity pour l'authentification dans un parcours marketing public.
Pour l'hébergement et la diffusion CDN, la base légale est l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD. Pour Netlify Identity, la base légale est l'exécution du contrat avec l'utilisateur authentifié au sens de l'article 6, paragraphe 1, point b) du RGPD. Netlify Analytics, côté serveur et sans cookies, s'appuie également sur l'intérêt légitime.
Netlify signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD via son Addendum au traitement et confirme son adhésion au Data Privacy Framework UE États Unis. Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, SOC 2 Type II, ISO 27001 et des contrôles HIPAA pour les clients entreprise, plus la possibilité d'épingler Netlify Functions sur des régions UE.
Une AIPD n'est pas requise pour un site marketing classique. Une AIPD est recommandée lorsque Netlify héberge une application qui profile systématiquement les visiteurs, lorsque Netlify Identity gère de gros volumes d'utilisateurs authentifiés, lorsque Netlify Forms collecte des données sensibles ou lorsque le site dessert des secteurs régulés.
Signez l'Addendum Netlify, épinglez les fonctions sur des régions UE lorsque c'est possible, limitez la rétention des journaux d'accès et de fonctions, inscrivez Netlify comme sous traitant dans le registre des activités de traitement, mentionnez Netlify Inc. et la destination américaine dans la politique de confidentialité et conditionnez tout script non essentiel à une plateforme de gestion du consentement.
Les alternatives européennes ou auto hébergeables incluent Cloudflare Pages avec résidence des données UE, Coolify (auto hébergé, open source), Dokku (auto hébergé), Scaleway Serverless (France), Clever Cloud (France), Web PaaS d'OVHcloud (France) et Render avec régions UE. L'auto hébergement d'un site statique sur un cluster Kubernetes régional reste une option.
Listez Netlify Inc. comme sous traitant en charge de l'hébergement, indiquez que le site public ne charge pas de cookies Netlify, décrivez Netlify Analytics si activé (côté serveur, sans cookies), précisez que des données dont l'adresse IP peuvent être transférées aux États Unis sous CCT et Data Privacy Framework et renvoyez vers la Politique de confidentialité de Netlify.