Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Jitsi est une plateforme de visioconférence open source qui fonctionne dans le navigateur via WebRTC et peut être auto, hébergée pour une pleine souveraineté des données.
Jitsi est une suite de visioconférence open source maintenue par 8x8 et la communauté. Sa partie visible est Jitsi Meet, expérience 100 % navigateur basée sur WebRTC, complétée par Jitsi Videobridge (relais média), Jicofo (focus de conférence) et Prosody (signalisation XMPP). On peut s''auto, héberger ou utiliser le service public meet.jit.si.
Un appel Jitsi traite l''audio et la vidéo des participants, l''IP, l''empreinte du navigateur, le pseudonyme affiché, les messages de chat, le partage d''écran et les fichiers envoyés. Le localStorage sert à mémoriser les préférences de périphériques, la langue, le dernier nom de réunion et l''identifiant de participant. Avec enregistrement ou diffusion en direct, les fichiers média deviennent des données personnelles persistantes.
Intégrer une iframe Jitsi ou charger son API externe entraîne le téléchargement de JavaScript depuis votre serveur Jitsi (ou meet.jit.si) et l''écriture en localStorage. L''article 5(3) de la directive ePrivacy exige un consentement préalable pour tout accès ou stockage sur l''équipement de l''utilisateur, sauf strict nécessaire. La visioconférence n''est pas strictement nécessaire à la consultation d''une page : le consentement est la bonne base.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour un widget Jitsi intégré dans une page marketing ou un blog, recueillez un consentement explicite avant chargement de l''iframe. Pour un produit payant où Jitsi sert d''infrastructure d''appel, l''exécution du contrat (art. 6(1)(b) RGPD) est la base appropriée. L''enregistrement ajoute une finalité et une obligation d''information renforcée envers tous les participants, y compris ceux qui rejoignent ensuite.
Un cluster Jitsi auto, hébergé dans des datacenters UE (Hetzner, OVHcloud, Scaleway, Infomaniak, NetCup, infra interne) garde la signalisation et les médias en UE. meet.jit.si est exploité par 8x8, société américaine ; même avec des serveurs médias UE, des transferts peuvent survenir et doivent être couverts par le Data Privacy Framework UE US ou des Clauses Contractuelles Types.
Auto, hébergez sur infra UE si possible. Désactivez les services externes dans config.js (callstats, analytics tiers, Gravatar). Désactivez les remontées Sentry ou Matomo non maîtrisées. Utilisez des noms de salons courts qui ne sont pas des identifiants. Imposez TLS partout, stockez les enregistrements sur stockage objet UE chiffré avec rétention courte, et joignez les participants en micro/caméra désactivés par défaut.
Les sites web utilisant Jitsi doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée quand Jitsi sert à des consultations médicales, audiences juridiques, entretiens d'évaluation ou toute conversation sensible ; quand les sessions sont enregistrées ; ou quand les transcriptions sont conservées. L'auto, hébergement en UE avec télémétrie désactivée et rétention courte réduit le risque.
Exemple de texte de consentement
Nous utilisons Jitsi pour les réunions vidéo en direct. À votre entrée dans une session, le navigateur échange audio, vidéo, adresse IP et identifiant de participant avec le serveur Jitsi. Votre consentement est requis avant le démarrage. Refusez pour lire la page sans lancer d'appel.
Domaines tiers contactes
meet.jit.si8x8.vcweb-cdn.jitsi.netJitsi utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Jitsi Meet utilise localStorage et sessionStorage plutôt que des cookies classiques, pour l'identifiant de participant, la langue et les préférences de périphériques. Un reverse proxy ou un load balancer devant Jitsi peut ajouter des cookies de session.
Oui, lorsque vous intégrez Jitsi en widget tiers : le script et l'iframe écrivent en localStorage et traitent audio, vidéo et IP. Dans un produit payant où Jitsi est central, l'exécution du contrat suffit.
Consentement (art. 6(1)(a) RGPD) pour les widgets intégrés sur un site éditorial. Exécution du contrat (art. 6(1)(b) RGPD) pour un produit de visioconférence. Les enregistrements requièrent toujours une information explicite et souvent un consentement explicite.
Un Jitsi auto, hébergé en UE n'entraîne pas de transfert. meet.jit.si est exploité par 8x8 (société américaine) ; même avec des bridges médias UE, des données du plan de contrôle peuvent partir aux USA et doivent être couvertes par le Data Privacy Framework UE US ou des CCT.
Recommandée pour les usages sensibles (médical, juridique, RH, éducation de mineurs), pour les sessions enregistrées ou diffusées en direct, pour la conservation de transcriptions ou pour une large audience.
Auto, hébergez sur infra UE, désactivez les services externes dans config.js, coupez la télémétrie, imposez TLS, stockez les enregistrements chiffrés avec rétention courte, joignez les participants caméra/micro désactivés et fournissez une notice de confidentialité claire avant l'appel.
Côté UE : BigBlueButton (communauté européenne), Galène, Element Call (Matrix), Whereby (Norvège, hébergé), Tixeo (France, chiffré de bout en bout), Visio CNED et la pile Rendez, Vous du gouvernement français.
Listez les entrées localStorage et sessionStorage écrites par Jitsi (jitsi.user.id, callStatsUserName, language, recentRooms, etc.) dans une catégorie "fonctionnel" ou "contenu interactif", ainsi que les données envoyées au serveur Jitsi et la base légale.