Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Gravatar

Que fait Gravatar ?

Gravatar est un service d'avatar mondial opéré par Automattic aux États Unis. WordPress, les systèmes de commentaires et de nombreuses applications web récupèrent les avatars des utilisateurs en hachant leur email et en interrogeant gravatar.com. Chaque requête expose l'adresse IP du visiteur et le hash de l'email à Automattic aux États Unis.

Gravatar, le Globally Recognised Avatar, est opéré par Automattic Inc. à San Francisco. Intégré au cœur de WordPress et utilisé par des milliers de systèmes de commentaires, forums et applications SaaS, il permet aux utilisateurs d''associer une photo de profil à leur email. Chaque requête vers gravatar.com transfère l''adresse IP, le user agent et un hash de l''email vers les États Unis.

Ce que fait Gravatar

Lorsqu''une page doit afficher un avatar (auteur de commentaire, membre de forum, widget profil), le site hache l''email (MD5 historiquement, SHA 256 dans les versions récentes) et construit une URL de la forme secure.gravatar.com/avatar/{hash}. Le navigateur récupère cette image directement chez Automattic, qui peut donc journaliser l''adresse IP, le user agent et la page d''origine via l''en tête Referer.

Données et cookies collectés

Gravatar ne dépose pas de cookies de tracking sur le site éditeur, mais peut poser des cookies Automattic (wpcom_*, tk_*) si le visiteur est connecté à WordPress.com. À chaque appel d''avatar, l''IP visiteur, le hash email et l''URL Referer sont transmis et stockés dans les journaux Automattic. La CNIL rappelle qu''un email haché reste une donnée personnelle au sens du considérant 26 du RGPD.

Implications RGPD et ePrivacy

Les juridictions allemandes (LG Munich, 2022 sur Google Fonts) ont jugé que charger des ressources externes qui fuitent l''IP sans consentement viole le RGPD. Les requêtes Gravatar suivent exactement le même schéma. Même si l''avatar n''est pas un cookie, le transfert de l''IP vers un tiers américain relève de l''article 6 RGPD et le hash email de l''article 4.1. Le consentement reste la base légale la plus sûre pour un site européen.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts vers les États Unis

Automattic est auto certifié au Data Privacy Framework UE États Unis, ce qui équivaut à une décision d''adéquation au sens de l''article 45 RGPD pour les transferts vers des importateurs américains certifiés. En cas d''invalidation du DPF (comme Privacy Shield et Safe Harbor avant lui), les transferts devront s''appuyer sur des clauses contractuelles types accompagnées de mesures supplémentaires et d''une TIA documentée. Vérifiez le statut Automattic sur dataprivacyframework.gov.

Étapes pratiques de conformité

Désactivez Gravatar dans WordPress tant que le consentement n''est pas obtenu (Réglages > Discussion > Afficher les avatars) ou utilisez un proxy de confidentialité comme le plugin Avatar Privacy qui héberge les avatars localement. Bloquez Gravatar dans votre CMP sous la catégorie fonctionnel ou marketing. Inscrivez Automattic comme sous traitant américain dans votre registre, votre politique de confidentialité et votre bannière. Si vous acceptez des commentaires, proposez un identicon générique ou un fallback local.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Gravatar doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive). Gravatar reveals the visitor IP to a US third party and discloses an email hash, which is considered personal data by the EDPB. Consent or a strong contractual basis under Art. 6(1)(f) is required.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, TDDDG, LSSI CE, CCPA/CPRA, EU US Data Privacy Framework, CNIL guidance on email hashing (May 2022)

Considerations AIPD

Une AIPD spécifique n'est pas systématiquement requise pour Gravatar, mais le transfert vers les États Unis doit être évalué dans une analyse d'impact des transferts (TIA). Documentez le hash de l'email, l'exposition de l'IP, la durée de conservation et les garanties contractuelles (certification DPF ou clauses contractuelles types).

Exemple de texte de consentement

Ce site utilise Gravatar, opéré par Automattic aux États Unis, pour afficher les avatars dans les commentaires et l'espace membre. Gravatar reçoit un hash de votre adresse email avec votre IP et peut le stocker aux États Unis. Les requêtes Gravatar sont envoyées avec votre consentement.

Details techniques

Methode de suiviImage based avatar service. Pages query the Gravatar HTTP API with an MD5 (or SHA-256) hash of the visitor email address. Gravatar then returns the matching avatar and logs the request, including the visitor IP address and user agent.

Localisation des serveursOperated by Automattic Inc. in San Francisco, United States. Requests are served by a global CDN with edge nodes worldwide, while user data and Gravatar profiles are stored in the United States.

Donnees transferees hors UEEvery request to secure.gravatar.com or gravatar.com transfers the visitor IP address, user agent and the hashed email to Automattic servers in the United States. Automattic is self certified under the EU US Data Privacy Framework. Without consent or proper safeguards the transfer is unlawful.

Domaines tiers contactes

gravatar.comsecure.gravatar.com0.gravatar.comen.gravatar.comautomattic.com

Cookies deposes

Nom	Type	Duree	Finalite
wpcom_loggedin	third_party	2 weeks	Set by Automattic for visitors signed in to WordPress.com when avatars are fetched.
tk_ai	third_party	1 year	Anonymous identifier used by Automattic Tracks for product analytics across Automattic properties.
tk_lr	third_party	1 year	Stores the landing page referrer for Automattic Tracks analytics.

Gravatar est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Gravatar dépose t il ?

Gravatar lui même ne dépose que rarement des cookies sur le site éditeur. Si le visiteur est connecté à WordPress.com, des cookies de session Automattic comme wpcom_loggedin, wp_api_sec, tk_ai ou tk_lr peuvent apparaître dans la réponse gravatar.com. Ce sont des cookies tiers qui requièrent un consentement.

Le consentement est il requis pour Gravatar ?

Oui, dans l'EEE. Même si la requête avatar ne dépose pas de cookie première partie, elle transmet l'IP du visiteur et un hash email à Automattic aux États Unis. Au regard de l'article 6 RGPD la base la plus sûre est le consentement, en particulier après la décision LG Munich sur des requêtes similaires de Google Fonts.

Quelle est la base légale du traitement Gravatar ?

Le consentement (article 6.1.a RGPD) est recommandé pour un site européen. L'intérêt légitime (article 6.1.f) peut être plaidé uniquement si des avatars locaux sont proposés et qu'une TIA est documentée. Sur WordPress, la voie la plus simple est de désactiver les avatars distants par défaut.

Des données sont elles transférées aux États Unis ?

Oui. Chaque requête Gravatar atteint l'infrastructure Automattic aux États Unis. Automattic s'appuie sur le Data Privacy Framework UE États Unis pour ce transfert. Vérifiez régulièrement le statut de certification d'Automattic sur dataprivacyframework.gov et inscrivez le transfert dans votre registre des traitements.

Une AIPD est elle nécessaire pour Gravatar ?

Une AIPD spécifique n'est généralement pas requise mais, lorsque Gravatar est combiné à des systèmes de commentaires, analytics ou marketing, l'AIPD globale du site doit mentionner le hash email, l'exposition de l'IP et le transfert US. Une TIA reste obligatoire.

Comment implémenter correctement Gravatar ?

Désactivez les avatars distants dans WordPress (Réglages > Discussion > décocher Afficher les avatars), installez un proxy de confidentialité (plugin Avatar Privacy) qui met Gravatar en cache localement, ou bloquez Gravatar via votre CMP sous la catégorie marketing. Proposez un identicon générique en repli. Documentez le choix dans la politique de confidentialité.

Quelles alternatives à Gravatar ?

Alternatives auto hébergées : Libravatar (fédéré, compatible RGPD), Avatar Privacy (plugin WordPress), Boring Avatars (identicons SVG procéduraux) ou stockage des avatars utilisateurs sur votre propre serveur ou stockage objet. Chacune élimine le transfert US.

Comment mettre à jour la politique de cookies quand Gravatar évolue ?

Lorsque Automattic met à jour sa politique, ses CGU ou son mécanisme de transfert, reportez ces changements dans le tableau des cookies et la politique de confidentialité. Si le statut DPF change (suspension ou invalidation), augmentez la version de la bannière pour invalider les consentements antérieurs.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min