Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
L'intégration de vidéos YouTube sur les sites web fait charger le code de suivi de Google dans les navigateurs des visiteurs, déposant des cookies publicitaires et analytiques qui suivent le comportement de visionnage et créent des profils publicitaires. Cela nécessite un consentement selon la directive ePrivacy. YouTube fournit un domaine d'intégration amélioré (youtube-nocookie.com) qui réduit considérablement le dépôt de cookies. L'utilisation d'une façade/miniature retarde le chargement de YouTube jusqu'à ce que les utilisateurs cliquent sur lecture.
YouTube est la plateforme vidéo opérée par Google Ireland Limited (responsable de traitement pour les éditeurs UE) et Google LLC (sous traitant aux États Unis). Lorsque l''éditeur intègre une vidéo, l''iframe standard est servie depuis youtube.com et charge immédiatement le JavaScript, les polices et les ressources du player depuis ytimg.com, googlevideo.com et doubleclick.net. Le player échange des signaux publicitaires avec Google Marketing Platform, même si aucune publicité n''est diffusée sur la vidéo.
L''intégration standard youtube.com dépose VISITOR_INFO1_LIVE (identifiant visiteur, 6 mois), YSC (identifiant de session, session), PREF (préférences, 8 mois) et IDE sur doubleclick.net (identifiant publicitaire, 13 mois) dès le chargement de l''iframe. Le mode privacy enhanced youtube-nocookie.com dépose les mêmes cookies uniquement après le clic sur Play, au lieu du chargement initial. Les deux modes écrivent également des entrées localStorage pour mémoriser la position de lecture et la qualité.
Le consentement au sens de l''article 6 1 a RGPD et 5(3) ePrivacy est requis avant le chargement de toute intégration YouTube, car l''iframe dépose des cookies publicitaires sur des domaines tiers (doubleclick.net, google.com). L''arrêt CJUE Fashion ID (C 40/17, juillet 2019) confirme la coresponsabilité de l''éditeur. La CNIL a sanctionné des organisations françaises pour avoir chargé YouTube sans consentement (Carrefour en 2020, Université du Mans en 2023). Même youtube-nocookie.com n''est pas exempt: la résolution du domaine révèle déjà l''IP du visiteur à Google.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le chargement d''une intégration YouTube transmet IP, user agent, référent et cookies à Google LLC aux États Unis. Google LLC est certifiée au Data Privacy Framework UE États Unis depuis le 10 juillet 2023 et les conditions YouTube intègrent les CCT (module 3). La décision contraignante du CEPD contre Google Analytics (1/2022) et plusieurs sanctions de DPA confirment toutefois que l''éditeur doit aussi prévoir des mesures supplémentaires, documenter une EIDT et informer les utilisateurs.
Remplacez l''iframe standard par un placeholder click to load (poster + bouton Play) qui ne charge l''embed YouTube qu''après consentement. Utilisez le domaine youtube-nocookie.com plutôt que youtube.com pour minimiser les cookies. Documentez Google Ireland Limited et Google LLC dans le registre des traitements (art. 30 RGPD) et dans la politique de confidentialité. Listez VISITOR_INFO1_LIVE, YSC, PREF et IDE dans votre politique cookies. Pour les contenus sensibles, envisagez l''auto hébergement avec Plyr, Mux Video, Vimeo Pro ou Bunny.net. Rafraîchissez le consentement tous les 6 mois (délibération CNIL 2020 091).
Alternatives privacy friendly: Vimeo Privacy Friendly Embed (US avec résidence UE), Cloudflare Stream, Mux Video (UE et US), Bunny Stream (Slovénie et edge global), PeerTube (open source auto hébergeable), Dailymotion (France), ainsi que la pile auto hébergée Plyr ou Video.js avec manifestes HLS sur votre propre CDN.
Les sites web utilisant YouTube Embed doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour l'intégration standard de vidéos YouTube avec une gestion appropriée du consentement. Elle peut devenir pertinente pour les grandes plateformes médias intégrant de nombreuses vidéos où le suivi d'audience de Google crée un profilage systématique des visiteurs.
Exemple de texte de consentement
Cette page intègre des vidéos YouTube fournies par Google Ireland Limited (opérateur) et Google LLC (sous traitant aux États Unis). Au lancement de la lecture, YouTube dépose des cookies publicitaires (VISITOR_INFO1_LIVE, YSC, PREF, IDE) et transmet votre adresse IP, votre user agent et la vidéo visionnée à Google aux États Unis dans le cadre du Data Privacy Framework et des clauses contractuelles types. Nous ne chargeons chaque intégration qu'après acceptation de la catégorie marketing ou vidéo dans nos préférences cookies, et nous utilisons le mode privacy enhanced youtube-nocookie.com chaque fois que possible.
Domaines tiers contactes
youtube.comwww.youtube-nocookie.comi.ytimg.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| YSC | session | Session | YouTube session identifier loaded on standard YouTube embed — tracks viewing session data |
| VISITOR_INFO1_LIVE | persistent | 6 months | YouTube visitor identifier for tracking viewing history and personalising recommendations |
YouTube Embed utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Les intégrations YouTube standard nécessitent un consentement car elles déposent des cookies publicitaires immédiatement au chargement de la page. L'utilisation de youtube-nocookie.com réduit mais peut ne pas entièrement éliminer les exigences de consentement. L'approche en façade (chargement de miniature) est la plus respectueuse de la vie privée.
youtube-nocookie.com est le domaine d'intégration amélioré pour la confidentialité de YouTube. Selon Google, il ne dépose pas de cookies tant que l'utilisateur ne lit pas la vidéo. Activez-le en remplaçant "youtube.com/embed/" par "www.youtube-nocookie.com/embed/" dans l'attribut src de votre iframe.
Les intégrations YouTube standard déposent VISITOR_INFO1_LIVE (identifiant visiteur YouTube, 6 mois), YSC (session) et peuvent déposer des cookies publicitaires si l'utilisateur est connecté à Google. Ces cookies nécessitent un consentement. Le mode youtube-nocookie.com évite de déposer ces cookies jusqu'à la lecture.
Oui. Tout le traitement YouTube (Google) s'effectue sur une infrastructure américaine. Des CCT sont requises. Acceptez les conditions de traitement des données de Google et divulguez le transfert vers les États-Unis dans votre politique de confidentialité lors de l'intégration de vidéos YouTube.
Utilisez la bibliothèque lite-youtube-embed (disponible sur npm et GitHub) qui affiche une miniature et ne charge l'iframe YouTube réelle que lorsqu'on clique dessus. Cette approche est sémantique, accessible, considérablement plus rapide et respectueuse de la vie privée.
Les opinions juridiques diffèrent. L'approche la plus sûre : utilisez youtube-nocookie.com ET l'approche en façade, de sorte que le domaine YouTube ne reçoive une requête que lorsque l'utilisateur clique activement sur lecture.
Vimeo (hébergé aux États-Unis mais avec le mode de confidentialité dnt=1), Wistia (hébergé aux États-Unis) et Dailymotion (entreprise française) sont des alternatives. Pour la vidéo auto-hébergée, PeerTube (open-source, hébergeable en EU) fournit une intégration compatible YouTube sans les pratiques de données de Google.
Oui. Divulguez que le site web intègre des vidéos YouTube, que YouTube (Google) dépose des cookies lors du chargement ou de la lecture des vidéos, que les données sont transférées vers Google aux États-Unis, et fournissez un lien vers la Politique de confidentialité de YouTube.