Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Twitter Widgets (désormais aussi appelés X Widgets) est la bibliothèque JavaScript qui permet d'embarquer sur un site web des tweets en direct, des timelines, des boutons de suivi et de partage, et des fils de conversation depuis X (anciennement Twitter). Les widgets chargent des scripts depuis platform.twitter.com et platform.x.com, déposent des cookies de session et de suivi X sur le navigateur du visiteur, et transmettent IP, User-Agent et referrer aux serveurs X Corp. aux États-Unis. Pour les éditeurs européens, cela tombe directement sous l'exigence de consentement ePrivacy et le régime de transfert transfrontalier RGPD.
Twitter Widgets (rebaptisés X Widgets depuis 2023) sont une famille de composants embarquables proposés par X Corp. pour afficher du contenu X en direct sur des sites tiers. Ils incluent les tweets uniques, les timelines, les boutons de suivi, les boutons de partage et les fils de conversation. Les widgets chargent du JavaScript depuis platform.twitter.com ou platform.x.com qui affiche le contenu dans des iframes hébergées sur syndication.twitter.com ou syndication.x.com.
Les Twitter Widgets déposent ou lisent des cookies incluant guest_id, personalization_id, ct0, auth_token (si l''utilisateur est connecté à X), kdt et twid. Ils transmettent l''adresse IP du visiteur, le User-Agent, l''URL de la page d''embed, le referrer, la résolution d''écran, les préférences de langue et (pour les utilisateurs connectés) l''identifiant du compte X. Les données sont envoyées à X Corp. aux États-Unis.
Les Twitter Widgets relèvent pleinement de l''art. 5(3) ePrivacy : ils déposent des cookies tiers non essentiels et exigent un consentement préalable. X peut également utiliser les impressions du widget embarqué pour enrichir ses profils publicitaires, ce que l''EDPB a signalé à plusieurs reprises dans ses lignes directrices sur les social plugins. L''opérateur du widget (votre site) peut être co-responsable avec X pour la collecte de données au chargement, à la suite de l''arrêt Fashion ID de la CJUE. X étant une Très Grande Plateforme en Ligne au sens du DSA, des obligations de transparence supplémentaires s''appliquent.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Toutes les données collectées par le widget sont traitées par X Corp. aux États-Unis. Le transfert s''appuie sur les CCT 2021 et, le cas échéant, sur la certification de X au Data Privacy Framework UE-US. X a fait l''objet de la vigilance des régulateurs européens et la certification DPF a parfois été remise en question ; vérifiez l''état courant avant de vous en prévaloir.
Le script Twitter Widgets ne doit pas être chargé avant que le visiteur ait consenti aux cookies marketing ou réseaux sociaux. Mettez en place un click-to-load : afficher un placeholder avec un bouton Charger le tweet et n''injecter le script platform.twitter.com qu''après le clic ou l''acceptation CMP. Alternatives sans cookies : capture statique du tweet avec un lien vers X.
1. Bloquer le script Twitter / X derrière votre CMP. 2. Utiliser des placeholders click-to-load pour les tweets individuels. 3. Documenter X Corp. dans la notice de confidentialité comme co-responsable ou responsable indépendant, avec divulgation du transfert US. 4. Réaliser une AIPD. 5. Envisager des alternatives plus respectueuses de l''UE comme les embeds Mastodon ou les captures statiques. 6. Vérifier le statut DPF courant de X. 7. S''assurer que le widget est retiré des pages AMP où la gestion du consentement est plus complexe.
Les sites web utilisant Twitter Widgets doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Twitter Widgets transmet des données personnelles à X Corp. à chaque chargement du widget, même sans interaction. Points clés AIPD : (1) les cookies tiers (auth_token, guest_id, personalization_id) permettent un profilage comportemental inter-sites ; (2) X peut corréler la visite avec le compte X connecté de l'utilisateur, alimentant un profil utilisable pour le ciblage publicitaire ; (3) toutes les données transférées aux États-Unis ; (4) X a fait l'objet de plusieurs décisions de DPA nationales (Garante italien, DPC irlandais) soulevant des questions de base légale ; (5) le DSA classe X comme Très Grande Plateforme en Ligne (VLOP) avec des obligations additionnelles ; (6) la personnalisation du fil par IA peut déclencher l'art. 22 RGPD. Une AIPD est requise pour tout embed en production sur un site européen.
Exemple de texte de consentement
Cette page peut embarquer des tweets et boutons X (anciennement Twitter). Lorsqu'il est chargé, le widget partage des données avec X Corp. aux États-Unis, notamment votre adresse IP, vos informations navigateur, l'URL de cette page et les cookies X si vous êtes connecté. Nous ne chargeons pas le widget tant que vous n'avez pas cliqué ci-dessous pour accepter. Plus d'informations dans notre politique cookies.
Domaines tiers contactes
platform.twitter.complatform.x.comsyndication.twitter.comsyndication.x.comtwitter.comx.compbs.twimg.comvideo.twimg.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| guest_id | Marketing / Tracking | 2 years | Persistent visitor identifier used by X to recognise the browser across visits and embedded widget impressions. |
| personalization_id | Marketing / Advertising | 2 years | Used by X to personalise ads and content recommendations, including across sites that embed X widgets. |
| ct0 | Strictly necessary (X) | Session | CSRF protection token for X interactions; required for logged-in widget actions like Like or Follow. |
| auth_token | Functional | Persistent | Authentication token set if the visitor is logged into X. Lets the widget recognise the X account and personalise. |
| twid | Functional | 6 years | Stores the X user identifier when logged in, allowing rapid recognition across widget loads. |
| kdt | Security | 10 years | Trusted-device identifier used by X for security checks on login. |
Twitter Widgets utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Cookies courants : guest_id (identifiant visiteur, 2 ans), personalization_id (personnalisation publicitaire inter-sites, 2 ans), ct0 (jeton CSRF), auth_token (session connectée), kdt et twid. Tous sont non essentiels et exigent un consentement préalable.
Oui. Les Twitter / X Widgets déposent des cookies tiers non essentiels et transmettent des données personnelles (IP, contexte de navigation) à X Corp. dès le chargement de la page, donc un consentement préalable au titre de l'art. 5(3) ePrivacy est requis. Implémentez du click-to-load pour que le widget ne charge qu'après acceptation explicite.
Le consentement (art. 6(1)(a) RGPD) pour le dépôt de cookies et la transmission de données déclenchés par le widget. Le site embarqueur peut être co-responsable avec X pour cette collecte, à la suite de l'arrêt Fashion ID, ce qui implique techniquement un accord de co-responsabilité (art. 26 RGPD), même si en pratique aucun accord n'est proposé par X.
Oui. X Corp. traite les données aux États-Unis. Le transfert s'appuie sur les CCT 2021 et, le cas échéant, sur la certification de X au DPF UE-US. Notez que le statut DPF peut changer ; vérifiez la certification publique courante avant de vous en prévaloir.
Oui pour tout déploiement en production, surtout pour de nombreux widgets ou un site à fort trafic européen. La combinaison profilage comportemental, transfert US et co-responsabilité potentielle avec une VLOP au sens du DSA satisfait plusieurs critères de l'art. 35(3) RGPD.
Implémentez le click-to-load : afficher un placeholder statique (auteur, date, aperçu) et n'injecter le script platform.twitter.com qu'après consentement explicite. Documenter X Corp. dans la notice et la politique cookies. Ajouter la mention de co-responsabilité le cas échéant. Envisager des alternatives comme captures statiques ou embeds Mastodon.
Pour des alternatives compatibles UE : capture statique du tweet avec lien vers X, rendu côté serveur du contenu public (sous réserve des CGU X), embed Mastodon ou Bluesky, ou services d'embed privacy-friendly comme Iframely ou Embedly en mode sans cookie.
Listez guest_id, personalization_id, ct0, auth_token et tout autre cookie X observé en production avec finalité, durée et source tierce. Dans la notice de confidentialité, identifiez X Corp. comme (co-)responsable, divulguez le transfert US avec CCT et statut DPF, et faites un lien vers la politique de confidentialité de X.