Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Instagram Embed est la méthode officielle pour afficher une publication, un reel ou un profil Instagram public à l'intérieur d'un autre site, à l'aide d'un iframe oEmbed et d'un script (embeds.js) chargé depuis instagram.com. L'embed dépose des cookies de tracking Meta (datr, fr, ig_did, mid, c_user en cas de session) sur le domaine instagram.com et transmet l'IP et le User Agent du visiteur à Meta dès le chargement du script. Au regard du RGPD et de la directive ePrivacy, ce traitement exige un consentement préalable car l'embed n'est pas strictement nécessaire et des données personnelles sont transférées à Meta Platforms Inc aux États Unis.
Un embed Instagram est la méthode officielle pour afficher une publication publique, un reel, un highlight ou un profil à l''intérieur d''un autre site. L''intégration combine un iframe pointant vers le domaine instagram.com et un petit fichier JavaScript (embeds.js) hébergé sur l''infrastructure Meta. Dès le chargement de l''iframe, le navigateur du visiteur contacte instagram.com, qui lit et écrit les mêmes identifiants qu''Instagram utilise sur sa plateforme (datr, fr, ig_did, mid et la variante c_user si l''utilisateur est connecté). Même un embed apparemment passif est donc un contact direct avec Meta qui implique les mêmes flux que la visite d''instagram.com.
Meta reçoit l''adresse IP du visiteur, le User Agent, la langue, l''URL référente (votre page) et tous les cookies déjà posés sur instagram.com. Si le visiteur est connecté à Instagram ou Facebook, Meta reçoit aussi l''identifiant de compte (c_user) et peut le réidentifier sur l''ensemble du web ouvert. L''embed devient ainsi un maillon de l''infrastructure de tracking Meta sur votre domaine. Sans aucun Pixel Meta, le simple embed suffit déjà à associer la visite de votre page à un compte Meta et à alimenter le graphe publicitaire.
L''embed Instagram ne peut pas invoquer l''exemption de l''article 5(3) de la directive ePrivacy car il n''est pas indispensable au service demandé. Il exige un consentement préalable, éclairé et granulaire. À cela s''ajoute le transfert vers Meta Platforms Inc aux États Unis, qui constitue un transfert au sens du chapitre V du RGPD. La CJUE dans Schrems II (C 311/18) a invalidé le Privacy Shield et les régulateurs européens (CNIL, autorités allemandes, Garante italien, EDPB) considèrent que le partage de données avec Meta présente un risque résiduel important même sous le Data Privacy Framework UE États Unis, en raison des lois américaines de surveillance (FISA 702, Executive Order 12333).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le schéma recommandé est l''embed en deux clics (click to load). L''embed est remplacé par un placeholder statique tant que le visiteur n''a pas explicitement accepté. Le placeholder doit indiquer clairement que le contenu vient d''Instagram, que son chargement transfère des données personnelles à Meta aux États Unis, et que le visiteur peut refuser. L''acceptation doit être opt in (sans case précochée), aussi facile à refuser qu''à accepter, et révocable via un panneau de consentement persistant. La CNIL a sanctionné plusieurs opérateurs français pour avoir chargé des embeds Meta avant le consentement.
Parce que l''embed Instagram combine un traitement à grande échelle par Meta, des profils susceptibles de révéler des données sensibles (orientation sexuelle, opinions politiques, religion via les comptes consultés) et un transfert international à haut risque, une AIPD est requise dans de nombreux États membres. Elle doit documenter la nécessité de l''embed, la proportionnalité des données partagées, les garanties en place (consentement, DPF, CCT, click to load) et les alternatives envisagées. Les opérateurs des secteurs régulés (santé, éducation, secteur public) devraient en général éviter l''embed.
Mettez en place un placeholder click to load, exposez Instagram dans votre bannière comme vendeur réseaux sociaux ou publicité et ne déclenchez l''embed qu''après un consentement granulaire. Documentez ce traitement dans votre registre des activités et mettez à jour la politique de confidentialité avec le lien vers les conditions Meta et la liste des cookies déposés par instagram.com. Les alternatives plus sûres incluent l''hébergement de captures sur votre propre CDN, l''utilisation d''une image statique pointant vers l''URL Instagram ou le recours à des API officielles de presse qui acheminent le contenu sans contacter Meta depuis le navigateur du visiteur.
Les sites web utilisant Instagram Embed doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée dès que l'embed Instagram est utilisé sur des pages ciblant des visiteurs européens, car il déclenche des transferts systématiques de données personnelles à Meta aux États Unis et est jugé à haut risque par plusieurs régulateurs (CNIL, Bundeskartellamt, Garante italien). L'AIPD doit couvrir le mécanisme de consentement, l'absence de justification par la nécessité technique, le risque résiduel après le Data Privacy Framework UE États Unis et la pertinence d'alternatives plus sûres (image statique, capture auto hébergée).
Exemple de texte de consentement
Nous intégrons du contenu Instagram. Charger cet embed partage votre adresse IP, votre User Agent et votre contexte de navigation avec Meta Platforms Inc aux États Unis, et Meta dépose des cookies sur le domaine instagram.com. L'embed ne se charge qu'après acceptation des cookies de publicité et de réseaux sociaux.
Domaines tiers contactes
instagram.comwww.instagram.comcdninstagram.comscontent.cdninstagram.comfacebook.comstatic.cdninstagram.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| datr | http | 2 years | Meta browser identifier used for security, fraud detection and analytics. Set on the instagram.com domain when the embed loads. |
| fr | http | 90 days | Meta advertising cookie used to deliver, measure and personalise ads across Meta properties and the Audience Network. |
| ig_did | http | 2 years | Instagram device identifier used to recognise the browser across sessions. |
| mid | http | 2 years | Alternative Instagram device identifier set by the embed. |
| sb | http | 2 years | Meta security cookie used to identify the browser and detect suspicious activity. |
| c_user | http | 1 year | Meta logged in user identifier. Set on the instagram.com domain when the visitor is also logged into Instagram or Facebook. Enables cross site identification. |
| xs | http | Session | Meta session token used to maintain the logged in state and tie the embed view to a Meta Account. |
Instagram Embed utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Dès le chargement, instagram.com dépose les cookies de tracking Meta : datr (identification du navigateur, 2 ans), fr (publicité et analytics, 90 jours), ig_did et mid (identifiants d'appareil Instagram, 1 à 2 ans), sb (sécurité, 2 ans) et c_user / xs si le visiteur est connecté à Instagram ou Facebook. Ce sont des cookies tiers émis par Meta aux États Unis.
Oui. L'embed charge des scripts et écrit des cookies de tracking Meta et n'est pas strictement nécessaire au service demandé. L'article 5(3) de la directive ePrivacy impose un consentement opt in préalable, et le RGPD ajoute que le transfert international vers Meta doit être présenté de manière transparente. La mise en œuvre standard consiste à utiliser un placeholder à deux clics qui ne charge l'embed qu'après acceptation.
La seule base réaliste est le consentement de l'article 6(1)(a) RGPD. Le contrat ou l'intérêt légitime ne sont pas disponibles car l'embed est décoratif, non essentiel, et expose le visiteur à un profilage Meta à grande échelle. Meta s'appuie sur d'autres bases pour ses propres traitements, mais le responsable qui intègre l'iframe doit recueillir le consentement avant toute sortie de données du navigateur.
Oui. Même quand des visiteurs européens interagissent avec un contenu sous responsabilité de Meta Platforms Ireland Ltd, les flux techniques rejoignent l'infrastructure Meta Platforms Inc aux États Unis. Il s'agit d'un transfert au sens du chapitre V du RGPD, encadré aujourd'hui par le Data Privacy Framework UE États Unis (Meta y est auto certifiée) et des Clauses Contractuelles Types. Schrems II et les positions ultérieures de l'EDPB maintiennent ce type de transfert à un niveau de risque élevé.
Elle est fortement recommandée dans la plupart des cas et explicitement exigée par certains régulateurs européens lorsqu'elle est déployée à grande échelle. La combinaison profilage comportemental par Meta, déduction possible de données sensibles et transferts internationaux à haut risque dépasse en général le seuil de l'article 35 RGPD. Les secteurs régulés devraient le plus souvent éviter l'embed.
Mettez en place un placeholder click to load servi depuis votre propre domaine, exposez Instagram dans la bannière comme vendeur réseaux sociaux ou publicité, et n'injectez l'iframe qu'après un opt in granulaire. Documentez le traitement dans la politique de confidentialité, liez aux conditions Meta, listez les cookies posés par instagram.com et conservez la preuve du consentement. Évitez l'embed sur les pages destinées à des publics vulnérables.
Les alternatives courantes incluent l'hébergement d'une capture du post sur votre CDN avec une légende textuelle, l'utilisation d'une image statique liant vers l'URL Instagram, ou le rendu serveur du contenu via l'Instagram Graph API et la livraison depuis votre propre infrastructure. Certains services tiers respectueux du RGPD (proxys Embedly, snapshots auto hébergés) évitent que le navigateur du visiteur contacte Meta.
Documentez Instagram et Meta Platforms Inc comme destinataire des données, listez les cookies Meta (datr, fr, ig_did, mid, sb, c_user) avec leur durée et finalité, déclarez le transfert vers les États Unis sous le Data Privacy Framework UE États Unis, indiquez la base légale (consentement) et liez vers la politique de confidentialité et la liste de cookies de Meta. Rafraîchissez l'entrée à chaque mise à jour des informations Meta.