Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Facebook Login (aussi appele Se connecter avec Facebook) est le SDK d'authentification sociale et de social graph propose par Meta. Il permet aux visiteurs de se connecter a un site tiers avec leur compte Facebook et expose des donnees de profil, amis, age et autres champs du graph selon les permissions accordees. Integrer le bouton Login avec Facebook ou le SDK JavaScript de Meta sur un site europeen declenche des cookies sur le domaine facebook.com, transfere des identifiants a Meta et cree une relation de co-responsabilite au sens du RGPD.
Facebook Login est le service d''authentification OAuth 2.0 et OpenID Connect de Meta. Un site integre le bouton Se connecter avec Facebook en incluant le SDK JavaScript Meta (sdk.js depuis connect.facebook.net) ou en utilisant directement la dialog Facebook Login. Apres autorisation des permissions demandees (e-mail, profil public, liste d''amis, tranche d''age, preferences marketing), Meta retourne un access token que le site peut utiliser pour interroger le Graph API.
En pratique, l''editeur du site decide des permissions Facebook a demander, du stockage ou non de l''identifiant Facebook dans sa base et de la maniere de combiner les donnees Facebook avec le reste du profil. Chaque decision a des consequences RGPD directes.
Facebook Login pose plusieurs cookies sur le domaine tiers .facebook.com : c_user (id utilisateur connecte), xs (session), datr (identifiant navigateur, 2 ans), sb (securite), fr (identifiant publicitaire, 90 jours) et d''autres. Sur le domaine de l''editeur, Meta peut stocker un token Facebook Login en localStorage (fblo_<APP_ID>) et un parametre state ephemere pour la poignee OAuth. Les appels Graph API transmettent l''IP, le User-Agent, les permissions demandees et l''App ID aux serveurs Meta.
Le chargement du SDK Meta avant que l''utilisateur ne clique sur Login Facebook est qualifie par plusieurs autorites europeennes (CNIL France, Datenschutzbehoerde Autriche, AEPD Espagne) de plugin social exigeant un consentement prealable au titre de l''article 5, paragraphe 3 ePrivacy. La decision Bundeskartellamt Meta, confirmee par la CJUE C-252/21 (4 juillet 2023), considere que la combinaison de donnees Facebook avec des donnees hors plateforme requiert un consentement et non l''interet legitime. L''editeur et Meta sont co-responsables du traitement initie par le bouton.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Meta Platforms Inc. (Etats-Unis) est certifie sous le EU-US Data Privacy Framework. Le DPA Meta integre les clauses contractuelles types pour les pays hors framework. Apres la decision de la Commission irlandaise de protection des donnees du 22 mai 2023, Meta a accelere son EU Data Center (Irlande, Danemark, Suede, Espagne) mais la verification d''identite passe encore par l''infrastructure US. Une evaluation d''impact des transferts est recommandee.
Le consentement (article 6, paragraphe 1, point a du RGPD) est requis pour le chargement initial du SDK Meta et pour l''echange de donnees plus large. La necessite contractuelle (article 6, paragraphe 1, point b) peut couvrir le traitement strictement lie a l''authentification une fois que l''utilisateur a clique. Toute permission optionnelle (liste d''amis, audiences marketing, audiences personnalisees) exige un consentement granulaire distinct.
Charger le SDK Meta uniquement apres consentement explicite, configurer l''app Facebook pour demander le minimum de permissions, stocker uniquement l''identifiant Facebook et les donnees strictement necessaires, documenter la co-responsabilite via le Meta Joint Controller Addendum, mentionner Meta comme destinataire dans la politique de confidentialite, proposer un mode de connexion alternatif (e-mail/mot de passe ou autre SSO) et offrir une procedure simple de deconnexion et de suppression de l''identifiant Facebook.
Les sites web utilisant Facebook Login (Connexion avec Facebook) doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandee quand Facebook Login authentifie les clients, stocke des informations de profil dans le CRM ou personnalise du contenu d'apres le graph Facebook. L'AIPD doit couvrir les donnees echangees avec Meta, la convention de co-responsabilite, la base legale de chaque permission, la conservation des identifiants Facebook, le mecanisme de transfert international et les procedures de demandes des personnes.
Exemple de texte de consentement
Vous pouvez vous connecter a ce site avec votre compte Facebook. En cliquant sur Se connecter avec Facebook, votre navigateur ouvre une popup Meta, transmet des identifiants et votre adresse IP a Meta Platforms Ireland Limited et Meta Platforms Inc. aux Etats-Unis et depose des cookies sur facebook.com. Nous traitons les informations de profil que vous autorisez pour creer ou mettre a jour votre compte. Ce traitement repose sur votre consentement et le EU-US Data Privacy Framework. Vous pouvez revoquer l'acces a tout moment dans vos parametres Facebook.
Domaines tiers contactes
facebook.comconnect.facebook.netgraph.facebook.comfbcdn.netmeta.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| c_user | HTTP cookie | 1 year | Logged in Facebook user ID set on .facebook.com after login. |
| xs | HTTP cookie | 1 year | Facebook session secret combined with c_user to authenticate the request. |
| datr | HTTP cookie | 2 years | Browser identifier set on first visit to facebook.com, used for security and abuse detection. |
| sb | HTTP cookie | 2 years | Facebook browser security cookie that helps detect impersonation. |
| fr | HTTP cookie | 90 days | Meta advertising identifier used for ad delivery on the Meta network. |
Facebook Login (Connexion avec Facebook) utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Facebook Login depose c_user (1 an, id utilisateur), xs (secret de session), datr (id navigateur, 2 ans), sb (securite, 2 ans) et fr (id publicitaire, 90 jours) sur .facebook.com. Le domaine de l'editeur peut porter un parametre state OAuth temporaire et une entree fblo_<APP_ID> en localStorage.
Oui. Le SDK JavaScript Meta est traite comme un plugin social au sens de la directive ePrivacy et exige un opt-in prealable avant chargement. Chaque permission au-dela de l'authentification de base demande un consentement granulaire distinct.
Consentement (article 6, paragraphe 1, point a du RGPD) pour le chargement du SDK et l'echange plus large. La necessite contractuelle (article 6, paragraphe 1, point b) couvre le traitement strictement lie a l'authentification apres clic sur Login Facebook.
Oui. Meta Platforms Inc. est sous controle americain et certifie EU-US Data Privacy Framework. Le DPA Meta inclut les clauses contractuelles types. La verification d'identite passe encore par l'infrastructure US apres le EU Data Center.
Oui quand Facebook Login authentifie des clients, stocke des identifiants Facebook ou alimente la personnalisation marketing. L'AIPD doit aborder la co-responsabilite et le transfert UE-US.
Charger le SDK Meta apres consentement, demander le minimum de permissions, documenter la co-responsabilite, stocker le minimum de donnees de profil, proposer une methode alternative et une procedure simple de deconnexion.
Pour le SSO social : Sign in with Apple, Google Identity Services, GitHub OAuth, Microsoft Entra External ID, LinkedIn. Pour l'e-mail/mot de passe sans mot de passe : WebAuthn, magic links, TOTP. OpenID Connect sur un Keycloak auto-heberge offre la souverainete totale.
Ajouter une section dediee identifiant Meta Platforms Ireland Limited et Meta Platforms Inc. comme co-responsables, lister les cookies, les finalites (authentification et publicite), la certification EU-US Data Privacy Framework et un lien vers la politique de confidentialite de Meta.