Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Les plugins sociaux Facebook sont des widgets embarquables de Meta (boutons J'aime et Partager, boîte de commentaires, plugin Page, post intégré) qui chargent des iframes depuis connect.facebook.net et associent la visite à l'identité Meta du visiteur.
Les plugins sociaux Facebook sont des widgets embarquables distribués par Meta Platforms Ireland Ltd qui permettent à des sites tiers d''exposer les fonctionnalités J''aime, Partager, Commenter, Page et Post Embed. Ils se chargent via le SDK JavaScript servi depuis connect.facebook.net et affichent une iframe sur facebook.com, ce qui établit une connexion directe entre le navigateur et Meta dès l''affichage du plugin.
Le bouton J''aime incrémente le compteur et publie sur le profil, Partager ouvre un dialogue de publication, le plugin Page intègre un aperçu d''une page Facebook publique, la boîte Commentaires stocke les réactions chez Meta et le Post Embed affiche un post public. Tous utilisent le même SDK et transmettent referer, IP et cookies à Meta.
Meta dépose les cookies tiers datr, sb, fr, c_user (si le visiteur est connecté à Facebook) et _fbp sur le domaine facebook.com dès le chargement du plugin. Elle collecte aussi l''URL de la page, le referer, le user agent, l''adresse IP, la taille de la fenêtre et les mouvements de souris. Ces données sont associées au profil Meta même si l''internaute est déconnecté, via le cookie datr.
La CJUE a confirmé dans l''affaire Fashion ID c. Verbraucherzentrale NRW (C-40/17) que l''éditeur du site est responsable conjoint avec Meta pour la collecte et la transmission opérées par les plugins sociaux. Un consentement préalable et granulaire est donc obligatoire au titre de l''article 6(1)(a) RGPD et de l''article 5(3) ePrivacy. La CNIL, la BfDI et l''AP néerlandaise ont sanctionné des sites chargeant les plugins par défaut.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Meta Platforms Ireland Ltd est responsable dans l''EEE mais les données sont transmises à Meta Platforms Inc. aux États Unis. Le transfert s''appuie sur la décision EU US Data Privacy Framework du 10 juillet 2023 (Meta est certifié) et, à défaut, sur des clauses contractuelles types avec mesures supplémentaires. Une analyse d''impact des transferts est recommandée pour les secteurs régulés.
Signez le Controller Addendum Meta (responsabilité conjointe) depuis le Meta Business Manager, conditionnez connect.facebook.net à votre CMP pour que le SDK ne se charge qu''après consentement, privilégiez une solution deux clics (image statique activée au clic) ou un proxy server side, documentez la responsabilité conjointe dans la politique de confidentialité avec un lien vers les informations Meta, et inscrivez Meta dans le registre des cookies avec catégories et destinataires.
Les sites web utilisant Facebook Social Plugins doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
L'arrêt Fashion ID (C-40/17) qualifie l'éditeur de site de responsable conjoint avec Meta pour les données collectées par les plugins sociaux : une AIPD est recommandée dès que les plugins sont chargés sur la page d'accueil, sur des pages sensibles (santé, politique, religion) ou destinées aux mineurs. L'AIPD doit documenter le Controller Addendum Meta, les catégories de données envoyées (IP, cookies, navigateur, referer, mouvements de souris), le transfert vers les États Unis sous le EU US Data Privacy Framework et les alternatives envisagées (image statique, solution deux clics).
Exemple de texte de consentement
Cette page contient des plugins Facebook (J'aime, Partager, plugin Page, Commentaires) fournis par Meta Platforms Ireland Ltd. Si vous acceptez, Meta reçoit des informations sur votre visite, votre adresse IP, vos cookies Meta et la page consultée, et peut les associer à votre profil, y compris hors de l'Union européenne. En cliquant sur Accepter, vous consentez à ce transfert ; vous pouvez refuser et les plugins ne se chargeront pas.
Domaines tiers contactes
connect.facebook.netwww.facebook.comfacebook.comstaticxx.facebook.comstatic.xx.fbcdn.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| datr | http_cookie | 2 years | Third party cookie set by Meta on facebook.com to identify the browser, used for security purposes and to link interactions with social plugins to the user Meta profile. |
| sb | http_cookie | 2 years | Third party cookie set by Meta to identify the browser for security purposes and to facilitate account recovery when accessed from a known device. |
| fr | http_cookie | 90 days | Marketing cookie set by Meta to deliver and measure advertising, including content shown on websites that embed Facebook social plugins. |
| c_user | http_cookie | Session or 30 days | Authentication cookie set by Meta on facebook.com when the visitor is logged in, used to identify the Facebook user to whom social interactions are attributed. |
| _fbp | http_cookie | 90 days | First party cookie injected by the Meta Pixel companion of the SDK to identify the browser for ad measurement and conversion tracking. |
| xs | http_cookie | Session or 30 days | Authentication session cookie set by Meta to maintain the secure login state of a Facebook user across pages embedding social plugins. |
Facebook Social Plugins utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Au chargement du SDK depuis connect.facebook.net, Meta dépose plusieurs cookies tiers sur facebook.com, notamment datr (identifiant de navigateur, 2 ans), sb (security browser, 2 ans), fr (préférences publicitaires, 90 jours), c_user (identifiant utilisateur connecté) et _fbp (identifiant de mesure publicitaire, 90 jours). Ces cookies sont reliés au compte Meta du visiteur s'il en possède un.
Oui. L'arrêt CJUE Fashion ID (C-40/17) et les Lignes directrices EDPB 8/2020 exigent un consentement préalable, explicite et granulaire avant le chargement de tout plugin social Facebook, car celui ci dépose des cookies non essentiels, transmet des données personnelles à Meta et fait du site un responsable conjoint avec Meta.
Seul le consentement, fondé sur l'article 6(1)(a) RGPD et l'article 5(3) ePrivacy, est viable. L'intérêt légitime n'est pas adapté car les plugins sociaux combinent des identifiants cross site et transfèrent des données vers une régie publicitaire américaine, ce que les Lignes directrices EDPB 8/2020 excluent explicitement.
Oui. Meta Platforms Ireland Ltd est responsable dans l'EEE mais les données sont transmises à Meta Platforms Inc. aux États Unis. Le transfert s'appuie sur la décision EU US Data Privacy Framework du 10 juillet 2023 (Meta est certifié) et sur des clauses contractuelles types accompagnées de mesures supplémentaires.
Une AIPD est fortement recommandée lorsque les plugins apparaissent sur la page d'accueil, sur des pages traitant de contenus sensibles (santé, politique, religion) ou destinées aux mineurs. Elle doit analyser la responsabilité conjointe avec Meta, les catégories de données envoyées (IP, cookies, navigateur, referer, mouvements de souris) et les alternatives examinées (image statique, solution deux clics).
Signez le Controller Addendum Meta depuis le Business Manager, conditionnez connect.facebook.net à votre CMP afin que le SDK ne se charge qu'après consentement marketing, privilégiez une solution deux clics où le plugin est remplacé par une image statique jusqu'au clic, intégrez Google Consent Mode v2 avec ad_storage et ad_user_data refusés par défaut, et mentionnez Meta dans la politique cookies et la notice avec son statut de responsable conjoint.
Des alternatives respectueuses : liens de partage statiques qui ouvrent facebook.com dans un nouvel onglet sans charger le SDK, bibliothèque Shariff de Heise (aucun contact avec Meta avant le clic), intents de partage natifs sur mobile, ou bascule vers des témoignages et avis first party hébergés sur votre propre domaine.
Rescannez les pages concernées avec votre CMP à chaque mise à jour du SDK Meta car de nouveaux cookies (ou des renommages) peuvent apparaître sans préavis. Abonnez vous au changelog développeur Meta et à l'actualité de l'EDPB pour suivre les évolutions. Mettez à jour le registre cookie et la notice à l'ajout de tout nouveau plugin (Page, Groupe, etc.).