Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Zeabur est une plateforme cloud pour développeurs (PaaS) qui permet le déploiement en un clic d'applications web depuis Git, avec des régions edge globales, des domaines personnalisés et une infrastructure managée.
Zeabur est une plateforme cloud pour développeurs (Platform as a Service) qui permet aux équipes techniques de déployer applications web, API, bases de données et workers depuis un dépôt Git en un clic. Elle se positionne comme une alternative à Vercel, Railway ou Render et s''adresse aux développeurs full-stack souhaitant une infrastructure managée sans opérer leur propre cluster Kubernetes. Du point de vue du RGPD, Zeabur agit typiquement comme sous-traitant au sens de l''article 28 : exécution du code client, hébergement des bases de données, terminaison TLS, gestion des domaines personnalisés et émission de télémétrie de build et de runtime pour le compte du client.
Zeabur est basée en Asie (Singapour/Taïwan) et propose plusieurs régions de déploiement : Singapour, Hong Kong, Tokyo, États-Unis et régions UE selon les offres. La localisation effective du compute et du stockage dépend de la région sélectionnée au déploiement et non de la position géographique du client ou de la console Zeabur. Les opérateurs européens doivent vérifier cette région avec attention : Singapour bénéficie d''une décision d''adéquation britannique mais pas d''une décision d''adéquation européenne actuelle, Hong Kong n''est couverte par aucune décision d''adéquation et Tokyo bénéficie de la décision d''adéquation UE-Japon. La région retenue doit être consignée dans le registre des activités de traitement (article 30 RGPD).
Lorsque Zeabur exécute des charges en dehors de l''EEE dans un pays sans décision d''adéquation (Hong Kong, États-Unis, Singapour notamment), les transferts doivent reposer sur les garanties de l''article 46 du RGPD. En pratique : Clauses Contractuelles Types signées entre le responsable de traitement et Zeabur, complétées d''un Transfer Impact Assessment conforme à l''arrêt Schrems II de la Cour de justice de l''Union européenne (C-311/18). Des mesures supplémentaires comme le chiffrement en transit et au repos, une gestion des clés maîtrisée par le client et la minimisation des données personnelles dans les logs de build doivent être documentées.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Zeabur, en tant que plateforme d''hébergement, ne dépose pas de cookies publicitaires ou analytiques sur les visiteurs du site du client. La console Zeabur utilise uniquement des cookies strictement nécessaires (par exemple ''zeabur_session'' et des jetons CSRF) pour authentifier les développeurs ; ces cookies sont exemptés de consentement au titre de l''article 5(3) de la directive ePrivacy. Les applications hébergées sur Zeabur peuvent en revanche déposer leurs propres cookies, et l''opérateur reste responsable du recueil du consentement pour tout cookie non essentiel posé par l''application hébergée.
Comme la plupart des PaaS, Zeabur s''appuie sur des sous-traitants IaaS (fournisseurs cloud, CDN, observabilité) pour le compute, le stockage et la capacité edge. Les responsables européens doivent obtenir une liste à jour des sous-traitants ultérieurs, s''assurer que le DPA prévoit information préalable et droit d''opposition à l''ajout de nouveaux sous-traitants, et vérifier l''existence de CCT en cascade sur l''ensemble de la chaîne.
Les opérateurs souhaitant conserver leur infrastructure d''hébergement dans l''EEE peuvent privilégier des fournisseurs européens comme Scalingo (France), Clever Cloud (France), OVHcloud (France) et Hetzner Cloud (Allemagne), ainsi que fly.io configuré exclusivement avec des régions UE. Ces alternatives évitent l''essentiel des obligations de transfert de l''article 46 en maintenant compute et stockage dans des datacenters européens opérés par des entités européennes.
Les sites web utilisant Zeabur doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Zeabur intervient comme sous-traitant d'hébergement et d'infrastructure au sens de l'article 28 RGPD. Une AIPD est recommandée lorsque des données personnelles sensibles ou à grande échelle sont traitées sur la plateforme. Risques à documenter : localisation des données selon la région choisie (Singapour, Hong Kong, Tokyo, US, UE), transferts vers des pays tiers non adéquats (notamment Hong Kong), chaîne de sous-traitants ultérieurs (fournisseurs IaaS sous-jacents), conservation des logs de build et de la télémétrie, accès du support Zeabur, et délais de notification d'incident. Un DPA incluant les CCT doit être signé et la région retenue inscrite au registre des activités de traitement (article 30 RGPD).
Exemple de texte de consentement
Nous utilisons Zeabur pour héberger et diffuser ce site. Zeabur dépose des cookies de session strictement nécessaires (par exemple 'zeabur_session' et des jetons CSRF) requis pour faire fonctionner sa console et servir l'application. Ces cookies sont exemptés de consentement préalable au titre de l'article 5(3) de la directive ePrivacy. Selon la région choisie, les données applicatives peuvent être traitées hors EEE sous les garanties appropriées de l'article 46 du RGPD.
Domaines tiers contactes
zeabur.comdash.zeabur.comapi.zeabur.comzeabur.appcdn.zeabur.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| zeabur_session | http_cookie_first_party | session | Strictly necessary authentication session cookie used by the Zeabur dashboard to keep developers logged in. Exempt from prior consent under Article 5(3) of the ePrivacy Directive. |
| zeabur_csrf_token | http_cookie_first_party | session | Cross-Site Request Forgery (CSRF) protection token used by the Zeabur dashboard to validate that state-changing requests originate from the legitimate logged-in user. Security cookie, exempt from prior consent. |
| zeabur_preferences | http_cookie_first_party | 12 months | Stores developer preferences (theme, selected workspace, last region) for the Zeabur dashboard. Functional cookie strictly necessary for the requested service. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Zeabur ne dépose lui-même que des cookies strictement nécessaires sur sa console développeur (session, CSRF), exemptés de consentement préalable au titre de l'article 5(3) de la directive ePrivacy. Les sites hébergés sur Zeabur peuvent en revanche déposer leurs propres cookies et restent soumis aux obligations de consentement de l'opérateur.
Les données sont stockées dans la région sélectionnée au déploiement. Zeabur expose actuellement les régions de Singapour, Hong Kong, Tokyo, États-Unis et UE selon les offres. La région choisie détermine la localisation du compute, du stockage persistant et de l'essentiel des logs, et doit être inscrite au registre des activités de traitement (article 30 RGPD).
Zeabur peut être utilisé de manière conforme au RGPD dès lors qu'un Data Processing Agreement est signé et qu'une région UE est sélectionnée, ou bien que les garanties de l'article 46 (Clauses Contractuelles Types et Transfer Impact Assessment) sont en place pour les transferts vers des pays non adéquats comme Hong Kong, Singapour ou les États-Unis. La conformité reste sous la responsabilité du responsable de traitement.
Hong Kong n'est couverte par aucune décision d'adéquation européenne et les États-Unis ne bénéficient que du Data Privacy Framework UE-US pour les organisations participantes. Conformément à l'arrêt Schrems II (CJUE C-311/18), tout transfert vers ces régions via Zeabur doit reposer sur des CCT, un Transfer Impact Assessment et des mesures supplémentaires telles qu'un chiffrement fort et une gestion des clés par le client.
Comme la plupart des PaaS, Zeabur s'appuie sur des sous-traitants IaaS pour le compute, le stockage, le CDN et l'observabilité. Les responsables européens doivent demander une liste à jour, vérifier que le DPA prévoit une notification préalable et un droit d'opposition lors de l'ajout de nouveaux sous-traitants, et confirmer la présence de CCT en cascade sur toute la chaîne.
Sur la console Zeabur, les cookies strictement nécessaires incluent le cookie de session d'authentification (typiquement 'zeabur_session'), un jeton anti-CSRF et un petit nombre de cookies de préférences. Ils ne requièrent pas de consentement préalable au sens de l'article 5(3) de la directive ePrivacy car ils sont nécessaires au service explicitement demandé par l'utilisateur.
Oui. Pour un hébergement strictement européen, les opérateurs peuvent considérer Scalingo (France), Clever Cloud (France), OVHcloud (France) et Hetzner Cloud (Allemagne), ainsi que fly.io restreint à des régions UE. Ces fournisseurs opèrent compute et stockage depuis des centres de données européens et simplifient en général les obligations de transfert au titre du RGPD.
Une AIPD doit documenter : les catégories de données personnelles traitées via l'application hébergée, la région Zeabur sélectionnée et le risque de transfert vers un pays tiers, la chaîne des sous-traitants ultérieurs, la conservation des logs de build et de la télémétrie, le chiffrement et la gestion des clés, les contrôles d'accès du personnel Zeabur, et les délais de notification d'incident prévus au DPA.