Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Dyte est une plateforme pour développeurs qui propose des SDK WebRTC pour intégrer vidéo, voix et chat en direct. Rachetée par Cloudflare en 2023 et intégrée à Cloudflare Realtime, elle alimente les appels embarqués dans la téléconsultation, l'e-learning, le support client et les outils collaboratifs. Les flux audio et vidéo transitent par l'infrastructure de Cloudflare et de Dyte aux États-Unis et en Inde, ce qui déclenche des obligations RGPD de consentement et de transferts hors UE pour les sites européens.
Dyte est une plateforme pour développeurs qui fournit des SDK et API WebRTC pour intégrer de la vidéo, de la voix et du chat en direct dans des sites et applications. La société a été rachetée par Cloudflare fin 2023 et s'intègre désormais à la gamme Cloudflare Realtime, partageant le même réseau edge mondial pour acheminer les médias avec une faible latence.
Les cas d'usage classiques sont la téléconsultation, la salle de classe en ligne, la vente à distance, le support client en visio et les outils collaboratifs. Dyte expose des composants UI prêts à l'emploi, des SDK headless pour le web et le mobile, et des API REST pour gérer les réunions et les enregistrements.
Lorsque le SDK Dyte se charge sur une page, il télécharge du JavaScript et de la configuration depuis des domaines Dyte et Cloudflare, ouvre des canaux WebSocket de signalisation et négocie des connexions pair à pair pour l'audio et la vidéo. Pendant une session, il traite les flux audio et vidéo, les partages d'écran, les messages de chat, les noms des participants, des identifiants d'appareil, les adresses IP, des métadonnées navigateur et système, ainsi que des données de qualité de service.
Dyte s'appuie essentiellement sur le stockage de session et le stockage local du navigateur, mais dépose aussi quelques cookies fonctionnels sur son portail de réunion (app.dyte.io) pour l'authentification, la continuité de session et les préférences de consentement. Les flux audio et vidéo peuvent être qualifiés de données biométriques lorsqu'ils servent à identifier une personne, ce qui déclenche le régime des catégories particulières de l'article 9 RGPD.
Le chargement de Dyte depuis un domaine tiers et l'écriture dans le stockage local relèvent de l'article 5(3) de la directive ePrivacy. Le consentement préalable est requis, sauf si le stockage est strictement nécessaire à un service expressément demandé par l'utilisateur, ce qui n'est en pratique vérifié qu'au moment où il choisit activement de rejoindre une réunion.
Au titre du RGPD, l'éditeur du site est responsable de traitement et Dyte/Cloudflare agit comme sous-traitant via un addendum DPA. Le profil de risque est rehaussé par l'usage de flux médias WebRTC, d'identifiants d'appareil persistants, de signaux de fingerprinting issus de getUserMedia, et par le routage transfrontalier vers des infrastructures américaines et indiennes.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour un widget de contact qui charge le SDK Dyte de manière proactive sur chaque page, le consentement opt-in fondé sur l'article 6(1)(a) RGPD et l'article 5(3) ePrivacy reste la base la plus sûre. Le SDK et l'ensemble des cookies associés doivent demeurer bloqués tant que la catégorie correspondante n'a pas été acceptée dans le bandeau de consentement.
Quand la réunion elle-même est le service demandé (par exemple une téléconsultation programmée), l'article 6(1)(b) sur l'exécution d'un contrat peut justifier le traitement principal, mais les cookies de mesure, les événements analytics et les fonctions d'enregistrement nécessitent toujours un consentement distinct.
Cloudflare et Dyte exploitent une infrastructure mondiale, principalement implantée aux États-Unis et en Inde. Les flux audio, vidéo et de signalisation des utilisateurs européens sont régulièrement routés vers des serveurs américains et indiens. Les États-Unis bénéficient du cadre EU-US Data Privacy Framework lorsque Cloudflare est certifié ; sinon les clauses contractuelles types s'appliquent, complétées par du chiffrement en transit et au repos.
L'Inde ne bénéficie pas d'une décision d'adéquation : les clauses contractuelles types prévues par l'article 46(2)(c) RGPD et une analyse d'impact des transferts sont donc indispensables. Documentez la logique de routage et les éventuelles options de résidence des données proposées par Cloudflare Realtime dans votre registre de traitements.
Chargez le SDK Dyte de façon différée, uniquement après recueil du consentement ou lorsque l'utilisateur lance lui-même un appel. Signez le DPA Cloudflare/Dyte, mentionnez Dyte et Cloudflare comme sous-traitants ultérieurs dans votre politique de confidentialité et désactivez l'enregistrement par défaut, en l'assortissant d'un opt-in explicite.
Conduisez une AIPD pour les cas d'usage en santé, en éducation ou en RH, restreignez l'accès aux enregistrements, fixez des durées de conservation courtes et étudiez les options de pinning régional de Cloudflare Realtime. Tenez à jour la liste des domaines Dyte dans votre Content Security Policy et dans votre outil de gestion du consentement.
Les sites web utilisant Dyte doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée dès que Dyte est utilisé en téléconsultation, en formation, en entretien RH ou dans tout contexte susceptible de traiter des données particulières. Points clés : (1) les flux audio et vidéo peuvent constituer des données biométriques au sens de l'article 9 RGPD lorsqu'ils servent à identifier une personne ; (2) WebRTC expose IP, identifiants d'appareil et capacités codec qui permettent du fingerprinting ; (3) les flux circulent par les États-Unis et l'Inde, ce qui impose CCT et analyse d'impact des transferts ; (4) la fonction d'enregistrement doit être encadrée (finalité, durée, accès) ; (5) la chaîne de sous-traitance Dyte plus Cloudflare doit être documentée ; (6) le retrait du consentement doit interrompre la session et purger les identifiants côté client.
Exemple de texte de consentement
Nous utilisons Dyte (Cloudflare Realtime) pour intégrer des fonctions vidéo, voix et chat. Avec votre accord, le SDK Dyte charge du JavaScript, ouvre une connexion WebRTC et traite vos flux audio, vidéo, partage d'écran et métadonnées d'appareil. Les flux transitent par des serveurs Cloudflare et Dyte aux États-Unis et en Inde sous clauses contractuelles types. Vous pouvez retirer votre consentement à tout moment depuis nos paramètres cookies, ce qui arrête le chargement du SDK et met fin à toute session en cours.
Domaines tiers contactes
dyte.ioapp.dyte.ioapi.dyte.iorealtime.dyte.iocdn.dyte.iovideo.dyte.ioassets.dyte.iocloudflare.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| dyte-auth-token | Functional / Authentication | Session | Authenticates the user inside the Dyte meeting portal (app.dyte.io) |
| dyte-preferred-input | Functional / Preferences | 1 year | Remembers the preferred microphone and camera devices for the next session |
| dyte-consent | Functional / Consent | 6 months | Stores the user consent preferences for the Dyte meeting portal |
| __cf_bm | Functional / Bot management (Cloudflare) | 30 minutes | Cloudflare bot management cookie set when serving Dyte assets through the Cloudflare edge |
| cf_clearance | Functional / Security (Cloudflare) | 30 days | Cloudflare challenge clearance cookie used to verify the visitor passed a security check |
Dyte utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Dyte s'appuie surtout sur le stockage de session et le stockage local. Son portail de réunion app.dyte.io dépose aussi quelques cookies fonctionnels pour l'authentification, la continuité de session et les préférences de consentement. Aucun cookie marketing ou analytics par défaut, sauf si vous ajoutez vos propres outils.
Oui. Le SDK Dyte charge du JavaScript tiers et écrit sur l'appareil, ce qui relève de l'article 5(3) ePrivacy. Le consentement préalable est exigé, sauf si l'appel est le service expressément demandé. Bloquez le SDK jusqu'à acceptation dans le bandeau de consentement.
Pour les widgets facultatifs, la base est le consentement (article 6(1)(a) RGPD). Quand la réunion est le service demandé, l'exécution d'un contrat (article 6(1)(b)) peut justifier le traitement principal, mais le suivi, la mesure ou l'enregistrement nécessitent un consentement distinct.
Oui. Les flux audio, vidéo et de signalisation passent par les infrastructures de Cloudflare et Dyte aux États-Unis et en Inde. Les transferts reposent sur le EU-US Data Privacy Framework (si Cloudflare est certifié) ou sur les clauses contractuelles types, avec une analyse d'impact pour l'Inde.
Elle est fortement recommandée pour la téléconsultation, l'éducation, les RH ou tout cas pouvant impliquer des données particulières. Les flux audio et vidéo peuvent être biométriques (article 9 RGPD), les identifiants persistants permettent du profilage et le routage États-Unis/Inde augmente le risque.
Chargez le SDK uniquement après consentement ou lancement actif d'un appel. Signez le DPA Cloudflare/Dyte. Listez les deux comme sous-traitants ultérieurs dans la politique de confidentialité. Désactivez l'enregistrement par défaut, fixez des durées de conservation et ajoutez les domaines Dyte à votre Content Security Policy.
Alternatives possibles : Daily.co, Twilio Video, Vonage Video API, Whereby Embedded, Jitsi (open source, auto-hébergé), LiveKit (SDK open source) et 100ms. Certains offrent une résidence des données dans l'UE ou une documentation plus complète pour la santé, ce qui peut simplifier la conformité.
Listez Dyte parmi les services de communication tiers dans la section cookies et SDK. Mentionnez les cookies fonctionnels d'app.dyte.io, l'usage de WebRTC, les catégories de données (audio, vidéo, chat, métadonnées), la sous-traitance conjointe Cloudflare/Dyte et le transfert vers les États-Unis et l'Inde sous clauses contractuelles types.