Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Vercel est une plateforme cloud qui héberge des applications frontend modernes et des fonctions serverless, très utilisée pour les sites Next.js, SvelteKit et Astro. Vercel route chaque requête via son Edge Network mondial, sert les assets statiques depuis des points de présence CDN et exécute des fonctions serverless ou edge dans des régions choisies. Au regard du RGPD, Vercel agit en sous traitant et traite les adresses IP des visiteurs et les métadonnées de requête pour le compte de ses clients, avec un contrôle d'entreprise aux États Unis.
Vercel est une plateforme cloud créée par l''équipe à l''origine de Next.js. Elle héberge des applications frontend modernes, les diffuse via un Edge Network mondial et exécute des fonctions serverless et edge au plus près du visiteur. La plupart des clients connectent un dépôt Git, poussent un commit et laissent Vercel construire, déployer et servir le résultat automatiquement. La plateforme est largement utilisée pour Next.js, SvelteKit, Nuxt, Astro, Remix et SolidStart, aussi bien pour des sites marketing que pour des applications SaaS complètes.
Vercel traite l''adresse IP du visiteur, l''URL de la requête, la méthode HTTP, les en têtes (User Agent, Referer et cookies transmis), les paramètres TLS, la géolocalisation déduite, la région d''edge choisie et les métadonnées d''exécution lorsque des fonctions serverless ou edge traitent la requête. Les journaux d''accès et d''exécution sont conservés pour la durée configurée par le client. Vercel Analytics, lorsqu''il est activé, collecte des signaux pseudonymes de Web Vitals et de pages vues sans poser de cookies, et Speed Insights échantillonne les Core Web Vitals sur une partie des visiteurs.
Les adresses IP traitées par Vercel constituent des données personnelles au sens du RGPD. Vercel Inc. agit en sous traitant pour son client et en responsable pour des finalités limitées d''exploitation. L''hébergement et la diffusion CDN n''écrivant pas d''information sur le terminal, la règle de stockage ePrivacy n''est pas déclenchée et un consentement explicite n''est pas requis pour l''hébergement lui même. Vercel Analytics est conçu sans cookies et est généralement compatible avec l''intérêt légitime, mais les recommandations locales (CNIL, AEPD, Garante) invitent à le mentionner dans la politique de confidentialité et à le conditionner au consentement si d''autres outils marketing agrégeant des identifiants sont utilisés.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Vercel propose des régions européennes (fra1 Francfort, cdg1 Paris, dub1 Dublin, lhr1 Londres) pour les fonctions serverless et edge, mais le plan de contrôle, le support client et les données de compte restent aux États Unis. Les transferts s''appuient sur l''Addendum Vercel au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, avec TLS 1.3, chiffrement au repos, SOC 2 Type II, ISO 27001 et ISO 27018. Les plans Pro et Enterprise permettent d''épingler l''exécution des fonctions sur des régions UE spécifiques pour limiter les flux de données personnelles.
Signez l''Addendum Vercel, épinglez le déploiement de production et les fonctions sur des régions européennes, configurez une rétention courte des journaux et inscrivez Vercel comme sous traitant dans le registre des activités de traitement. Mettez à jour la politique de confidentialité pour mentionner Vercel Inc., la destination américaine, les garanties CCT et DPF et les régions de fonction retenues. Si Vercel Analytics est activé, présentez le comme un outil d''analyse privacy first et décidez s''il s''affiche avant ou après le consentement selon les recommandations locales.
Les sites web utilisant Vercel doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est pas requise pour un site public classique hébergé sur Vercel. Une AIPD est recommandée lorsque l'application hébergée procède à un profilage systématique des utilisateurs européens, lorsqu'elle dessert des secteurs régulés (services financiers, santé, secteur public) ou lorsque Vercel KV, Postgres ou Blob stockent des volumes importants de données personnelles.
Exemple de texte de consentement
Ce site est hébergé sur Vercel, une plateforme cloud exploitée par Vercel Inc. (États Unis), qui diffuse nos pages via un Edge Network mondial. Vercel traite votre adresse IP et les métadonnées de votre requête pour acheminer le trafic. En acceptant, vous autorisez ce transfert vers des serveurs Vercel, y compris aux États Unis, sous Clauses Contractuelles Types européennes et Data Privacy Framework UE États Unis.
Domaines tiers contactes
vercel.comvercel.appvercel-analytics.comvercel-insights.comvercel-storage.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| __vercel_live_token | Strictly necessary | Session | Set on Vercel preview deployments when Live Mode is active. Maintains the collaborative preview session between teammates. |
| _vercel_jwt | Strictly necessary | Session | Set on password protected preview deployments to authenticate the visitor against the Vercel access control gateway. |
| vercel-toolbar | Functional | 1 year | Set when an authenticated Vercel user views a deployment, in order to display the Vercel Toolbar overlay on preview environments. Not present for anonymous visitors of production sites. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Vercel ne pose pas de cookies marketing, analytiques ou publicitaires sur le site public. Il peut poser des cookies strictement nécessaires pour les déploiements de prévisualisation protégés par mot de passe, pour l'administration client sur vercel.com et des cookies de session courts pour le SSO. Vercel Analytics est conçu sans cookies et identifie les sessions via un hash côté serveur de l'IP et de l'User Agent.
Aucun consentement n'est requis pour héberger un site sur Vercel et diffuser du contenu statique via son Edge Network, car aucune information n'est stockée ni lue sur le terminal du visiteur. Un consentement devient requis dès lors que l'application hébergée sur Vercel pose elle même des cookies non essentiels ou charge des trackers tiers : la responsabilité incombe alors au propriétaire de l'application.
Pour l'hébergement et la diffusion de contenu, la base légale est l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD. Pour les données applicatives stockées dans Vercel KV, Postgres, Blob ou Edge Config, la base légale est celle choisie par le client (typiquement exécution d'un contrat ou consentement selon le flux). Vercel agit en sous traitant au titre de son Addendum.
Vercel signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD via son Addendum au traitement et confirme son adhésion au Data Privacy Framework UE États Unis. Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, SOC 2 Type II, ISO 27001, ISO 27018 et la possibilité d'épingler l'exécution des fonctions sur des régions UE. Le plan de contrôle et les données de compte restent aux États Unis.
Une AIPD n'est pas requise pour un site informationnel ou marketing classique hébergé sur Vercel. Une AIPD est recommandée lorsque l'application profile systématiquement les visiteurs européens, lorsqu'elle dessert des secteurs régulés (services financiers, santé, secteur public), lorsqu'elle stocke des volumes importants de données personnelles dans Vercel KV, Postgres ou Blob, ou lorsque du trafic provenant de mineurs européens est attendu.
Signez l'Addendum Vercel, configurez le projet de production sur des régions UE (fra1, cdg1, dub1, lhr1) pour les fonctions serverless et edge, limitez la rétention des journaux, pseudonymisez les données applicatives stockées sur les services Vercel et inscrivez Vercel comme sous traitant dans le registre des activités de traitement. Mettez à jour la politique de confidentialité pour mentionner Vercel Inc., la destination américaine et les garanties CCT et DPF.
Les alternatives européennes ou auto hébergeables incluent Cloudflare Pages avec résidence des données UE, Netlify (également américain mais simple à déployer), Coolify (auto hébergé, open source), Dokku (auto hébergé), Scaleway Serverless (France), Clever Cloud (France) et le Web PaaS d'OVHcloud. L'auto hébergement de Next.js sur un cluster Kubernetes régional ou sur un hébergement Node tel que Render avec régions UE reste également une option.
Listez Vercel Inc. comme sous traitant en charge de l'hébergement et de la diffusion, indiquez que le site public ne charge pas de cookies marketing Vercel, décrivez Vercel Analytics si activé (sans cookies, identifiants hashés), précisez que des données dont l'adresse IP peuvent être transférées aux États Unis sous CCT et Data Privacy Framework, et renvoyez vers la Politique de confidentialité de Vercel.