Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Twitter, devenu X, est un réseau social américain exploité par X Corp. Les sites web l'intègrent généralement via les tweets et timelines embarqués (platform.twitter.com/widgets.js), le Pixel publicitaire X pour le suivi des conversions, le bouton Se connecter avec X, ou les boutons de partage. Chaque intégration charge du JavaScript tiers et dépose des cookies identifiants qui permettent à X de reconnaître les visiteurs sur l'ensemble du web, y compris ceux qui n'ont pas de compte X. Du point de vue du RGPD, les intégrations Twitter ou X sont traitées comme les autres plugins sociaux: elles exigent un consentement préalable, éclairé et explicite, une information claire, et une base légale au titre de l'article 6(1)(a). Les données sont transférées aux États Unis sous le Data Privacy Framework UE États Unis et les clauses contractuelles types.
Twitter, devenu X en 2023, est exploité par X Corp, société privée basée à San Francisco en Californie. Sur les sites web, il apparaît sous plusieurs formes: tweets et timelines embarqués chargés via le script platform.twitter.com/widgets.js, Pixel publicitaire X utilisé pour le reciblage et la mesure de conversion, bouton d''authentification Se connecter avec X, boutons de partage ouvrant des URL intent, et intégrations API côté serveur. Chacun de ces points de contact implique le chargement de code depuis twitter.com ou x.com et, dans la plupart des configurations, le dépôt de cookies persistants qui permettent à X de reconnaître le même navigateur sur de nombreux sites. Pour les sites européens, cela signifie que les embeds Twitter ou X relèvent pleinement du RGPD et de la directive ePrivacy, au même titre que les autres plugins sociaux.
Dès qu''un widget Twitter ou X se charge, plusieurs cookies sont écrits sur les domaines .twitter.com et .x.com. Le cookie guest_id identifie le navigateur même pour les utilisateurs non connectés, personalization_id alimente la personnalisation publicitaire sur le web, ct0 sert de jeton CSRF pour la session, muc_ads suit les interactions publicitaires, lang mémorise la langue de l''interface, et pour les utilisateurs connectés _twitter_sess et auth_token portent la session authentifiée. La plupart de ces cookies ont une durée de vie d''un à deux ans et s''accompagnent d''appels réseau qui transmettent l''URL de la page hôte, l''adresse IP du visiteur et l''agent utilisateur. Parce qu''ils permettent un suivi individuel, ils ne sont pas strictement nécessaires et requièrent un consentement préalable au titre de l''article 5(3) de la directive ePrivacy.
Le Pixel X, anciennement Pixel Twitter, est une petite balise JavaScript qui se déclenche lorsqu''un utilisateur visite une page ou effectue une action de conversion comme un achat, une inscription ou un lead. Il envoie l''événement, accompagné des cookies, de l''URL de page, de l''adresse IP et éventuellement d''identifiants hachés (email, téléphone), à X Corp, qui utilise ces données pour constituer des audiences, attribuer des conversions et optimiser la diffusion publicitaire. Le pixel étant utilisé à des fins publicitaires et de profilage, la seule base légale valable dans l''UE est le consentement. Il ne doit jamais se charger par défaut, la bannière de consentement doit le refuser tant que l''utilisateur n''a pas cliqué sur accepter, et lorsque le consentement est retiré le pixel doit être déchargé et les cookies déposés supprimés.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
X Corp est établie aux États Unis et traite les données collectées par les embeds et pixels sur une infrastructure américaine. Les transferts depuis l''EEE, le Royaume Uni ou la Suisse s''appuient sur le Data Privacy Framework UE États Unis, avec les clauses contractuelles types en complément lorsque l''importateur ou le type de données dépasse le périmètre du DPF. Les responsables de traitement doivent documenter le mécanisme de transfert dans leur registre, vérifier la certification DPF de X Corp sur la liste officielle et compléter une analyse d''impact sur le transfert tenant compte des lois de surveillance américaines (FISA 702, Executive Order 12333). Des mesures supplémentaires comme la troncature d''IP ou la limitation des données envoyées via le pixel sont recommandées.
Selon les lignes directrices du CEPD sur les plugins sociaux, l''éditeur du site et X Corp sont coresponsables de traitement au moment de la collecte. Le consentement doit donc être obtenu avant le chargement du widget, avec une description claire du destinataire, des finalités (affichage de contenu social, publicité, mesure d''audience) et du transfert vers les États Unis. Une analyse d''impact est requise lorsque le déploiement est de grande échelle, lorsque le pixel traite des catégories sensibles, lorsque le contenu cible des mineurs, ou lorsque Se connecter avec X est utilisé comme méthode d''authentification principale. L''AIPD doit cartographier les flux de données, justifier la nécessité de l''intégration, documenter le mécanisme de consentement et lister les mesures de mitigation.
Pour les sites qui souhaitent référencer du contenu Twitter ou X sans exposer les visiteurs au pistage, plusieurs alternatives existent. Une capture d''écran statique ou une citation typographique avec un lien vers la publication d''origine communique le contenu sans aucun JavaScript tiers. Un modèle de façade affiche un substitut cliquer pour charger et n''injecte le widget officiel qu''après une interaction utilisateur explicite, ce qui vaut alors consentement. Un rendu côté serveur du tweet via l''API oEmbed publique peut éviter le dépôt de cookies si la réponse est nettoyée des ressources distantes. Pour la mesure, les API de conversion côté serveur réduisent les données transmises par le navigateur. Quelle que soit l''option retenue, la politique cookies et l''information doivent décrire clairement Twitter ou X comme destinataire tiers et le transfert vers les États Unis.
Les sites web utilisant Twitter (X) doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données est fortement recommandée lorsque Twitter ou X est utilisé au delà de simples tweets embarqués, en particulier lors du déploiement du Pixel X pour la publicité ou le suivi des conversions, lorsque Se connecter avec X est proposé comme option d'authentification, lorsque les timelines ou boutons de partage sont placés sur des pages destinées aux mineurs, à des catégories sensibles ou à des contenus politiques, ou lorsque les intégrations sont utilisées à grande échelle sur un site à fort trafic. L'AIPD doit décrire les flux de données vers X Corp aux États Unis, les cookies déposés (guest_id, personalization_id, ct0, muc_ads, auth_token), la base légale (consentement), le mécanisme de transfert (DPF et CCT), la conservation et les mesures techniques et organisationnelles, notamment le verrouillage par consentement et la stratégie de non chargement par défaut.
Exemple de texte de consentement
Nous utilisons Twitter (X) pour afficher des publications et timelines embarqués et pour mesurer la performance de nos campagnes publicitaires. Avec votre consentement, X Corp peut lire et déposer des cookies sur votre appareil (guest_id, personalization_id, ct0, muc_ads) et traiter votre adresse IP et vos données de navigation aux États Unis dans le cadre du Data Privacy Framework UE États Unis. Vous pouvez accepter, refuser ou modifier votre choix à tout moment depuis nos préférences cookies.
Domaines tiers contactes
twitter.comx.complatform.twitter.comsyndication.twitter.comanalytics.twitter.comads-twitter.comt.coCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| guest_id | third_party | 2 years | Identifies the browser for users who are not logged in to X, enabling visitor recognition across sites that embed Twitter or X content. |
| personalization_id | third_party | 2 years | Used by X to personalize advertising and content recommendations across the web, including on third party sites that load X widgets or pixels. |
| ct0 | third_party | 6 hours to 1 year | CSRF token used to protect authenticated actions on the X platform and supporting widgets, also leveraged for security and fraud prevention signals. |
| muc_ads | third_party | 2 years | Tracks interactions with advertising on X properties and through the X Pixel, supporting conversion measurement and audience building. |
| lang | third_party | Session | Stores the preferred interface language used by Twitter and X widgets to display embedded content. |
| auth_token | third_party | 5 years | Authentication cookie set for users logged in to X, used by widgets and Sign in with X to keep the session active. |
| _twitter_sess | third_party | Session | Session cookie set by twitter.com and x.com when a user interacts with embedded content or signs in, used to maintain server side session state. |
Twitter (X) utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Lors du chargement d'un widget Twitter ou X, plusieurs cookies sont écrits sur .twitter.com et .x.com, notamment guest_id qui identifie le navigateur pour les utilisateurs non connectés, personalization_id utilisé pour la personnalisation publicitaire intersite, ct0 servant de jeton CSRF, muc_ads pour suivre les interactions publicitaires, lang pour mémoriser la langue de l'interface, et pour les utilisateurs connectés _twitter_sess et auth_token portant la session authentifiée. Les durées vont de la session à deux ans. Tous ces cookies sont non essentiels et requièrent un consentement préalable au titre de l'article 5(3) ePrivacy.
Oui. Le script platform.twitter.com/widgets.js charge du JavaScript tiers et dépose des cookies sur l'appareil du visiteur, et la connexion transmet déjà l'adresse IP et l'URL de la page hôte à X Corp. Selon les lignes directrices du CEPD sur les plugins sociaux, l'éditeur du site et X Corp sont coresponsables au moment de la collecte, le consentement doit donc être obtenu avant le chargement du widget. Une façade cliquer pour charger est la méthode la plus courante pour différer l'intégration jusqu'à l'acceptation.
La seule base légale valable est le consentement au titre de l'article 6(1)(a) du RGPD, combinée à l'exigence de consentement de l'article 5(3) ePrivacy pour le stockage et l'accès aux cookies. L'intérêt légitime n'est pas approprié car les embeds, le pixel et le bouton de connexion permettent un profilage et une publicité intersites que le CEPD et les autorités nationales considèrent comme prévalant sur les attentes des utilisateurs. Le consentement doit être libre, spécifique, éclairé, univoque et aussi facile à retirer qu'à donner.
Oui. X Corp est établie aux États Unis et traite les données sur une infrastructure américaine. Les transferts depuis l'EEE, le Royaume Uni et la Suisse s'appuient sur le Data Privacy Framework UE États Unis lorsque X Corp figure sur la liste DPF, et sur les clauses contractuelles types en complément. Les responsables doivent documenter le mécanisme, surveiller le statut de certification DPF et réaliser une analyse d'impact sur le transfert tenant compte des lois de surveillance américaines (FISA 702, Executive Order 12333).
Une AIPD est recommandée dès que l'intégration dépasse quelques tweets isolés. Elle est requise lorsque le Pixel X est déployé pour la publicité ou la mesure de conversion, lorsque Se connecter avec X est proposé comme méthode d'authentification, lorsque le contenu vise des mineurs ou des catégories sensibles, ou lorsque les intégrations sont déployées à grande échelle sur un site à fort trafic. L'AIPD doit cartographier les flux, justifier la nécessité, lister les mesures de mitigation et documenter le mécanisme de consentement.
Ne chargez pas widgets.js par défaut. Utilisez une façade avec un substitut cliquer pour charger, intégrez Twitter ou X à votre plateforme de gestion du consentement pour qu'il ne se déclenche qu'après un choix positif, préférez des embeds statiques ou des captures d'écran pour les usages à faible valeur, limitez les données envoyées via le Pixel X et envisagez le hachage des identifiants, documentez l'intégration dans votre registre, nommez X Corp comme destinataire dans votre information et votre politique cookies, et offrez un moyen clair de retirer le consentement.
Les alternatives courantes incluent une capture d'écran statique du tweet avec un lien vers l'original, une citation typographique avec attribution, un rendu côté serveur via l'API oEmbed publique avec les ressources distantes supprimées, un modèle de façade avec cliquer pour charger, ou simplement un lien texte vers twitter.com ou x.com. Pour la mesure, les API de conversion côté serveur réduisent les données transitant par le navigateur et limitent l'usage des cookies.
Listez Twitter ou X comme destinataire tiers, mentionnez X Corp comme importateur de données aux États Unis, décrivez les finalités (affichage de contenu social, publicité, mesure d'audience, authentification), nommez les principaux cookies (guest_id, personalization_id, ct0, muc_ads, lang, _twitter_sess, auth_token) avec leurs durées, indiquez le mécanisme de transfert (DPF ou CCT) et renvoyez vers la politique de confidentialité de X. Veillez à ce que la bannière permette de refuser Twitter ou X avec la même visibilité que l'accepter.