Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Squarespace et RGPD : guide de conformité 2026

Squarespace est-il conforme au RGPD ? Analyse du DPA, des transferts vers les États-Unis, du bandeau cookies et configuration recommandée.

Squarespace héberge des millions de sites vitrines, portfolios et boutiques, dont une part croissante d’indépendants et de TPE françaises séduits par ses gabarits soignés. Mais derrière l’apparente simplicité se cache une réalité que beaucoup d’utilisateurs ignorent : en publiant un site Squarespace, vous devenez responsable du traitement des données de vos visiteurs, tandis que Squarespace — entreprise américaine hébergeant aux États-Unis — agit comme sous-traitant. Cette qualification déclenche une série d’obligations concrètes que l’éditeur ne remplit pas à votre place.

La difficulté propre à Squarespace tient à son positionnement « clé en main » : on choisit un modèle, on remplit le contenu, on publie. Le RGPD, lui, n’est pas inclus dans le forfait. Le bandeau cookies natif, l’information des visiteurs, le registre des traitements et l’encadrement des transferts restent à votre charge. Pour une vue d’ensemble, consultez notre guide RGPD par outil ; cet article se concentre sur les points sensibles d’un site Squarespace.

Qualification juridique : Squarespace comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Lorsque vous éditez un site sur Squarespace, vous déterminez les finalités et les moyens des traitements : collecte via les formulaires de contact, gestion d’une liste de diffusion, suivi d’audience, encaissement de commandes. Vous êtes donc responsable de traitement. Squarespace traite ces données pour votre compte et selon vos instructions : c’est la définition même du sous-traitant à l’article 28 du RGPD.

Cette répartition a une conséquence pratique souvent mal comprise : ce n’est pas parce que Squarespace est « conforme » que votre site l’est. L’éditeur fournit l’infrastructure et les engagements contractuels ; la conformité de votre site dépend de la façon dont vous le configurez et dont vous informez vos visiteurs. La qualification responsable/sous-traitant doit figurer dans votre documentation.

Les catégories de données traitées

Un site Squarespace collecte généralement plus de données qu’on ne l’imagine : coordonnées saisies dans les formulaires de contact, adresses e-mail des inscrits à la newsletter, données de commande et de paiement pour les sites e-commerce, données de réservation via Acuity Scheduling, et données de navigation collectées par les cookies analytiques et marketing. Chacune de ces collectes constitue un traitement à part entière, avec sa base légale et sa durée de conservation.

Analyse du DPA Squarespace

Squarespace met à disposition un Data Processing Addendum (DPA) intégré à ses conditions d’utilisation, sans démarche de signature manuelle. Ce DPA incorpore les clauses contractuelles types de la Commission européenne adoptées par la décision d’exécution 2021/914 du 4 juin 2021, ainsi que l’addendum de transfert international du Royaume-Uni. Il encadre les engagements de l’éditeur : traitement sur instruction, confidentialité, mesures de sécurité, assistance en cas de demande d’exercice des droits, et notification des violations.

Le DPA prévoit également le recours à des sous-traitants ultérieurs (« sub-processors »), conformément à l’article 28(2) et (4) du RGPD. Squarespace s’appuie notamment sur des fournisseurs d’infrastructure cloud et, pour les paiements, sur des prestataires comme Stripe et PayPal. Vous devez en tenir compte dans votre cartographie : la chaîne de sous-traitance ne s’arrête pas à Squarespace.

En pratique, le fait que le DPA s’applique automatiquement est commode, mais ne vous dispense pas de l’archiver et de pouvoir le produire en cas de contrôle de la CNIL. L’article 28 exige un acte juridique opposable : conservez la version applicable du DPA à la date de votre inscription.

Transferts internationaux et hébergement aux États-Unis

Localisation des données

C’est le point le plus structurant pour un utilisateur français. Squarespace, Inc. est une société américaine et traite les données sur des serveurs situés aux États-Unis. Contrairement à des acteurs comme OVHcloud ou Scaleway, Squarespace ne propose pas d’option d’hébergement exclusivement européen. Toute publication d’un site Squarespace implique donc un transfert de données personnelles hors de l’Union européenne, au sens des articles 44 et suivants du RGPD.

Mécanismes de transfert

Deux mécanismes se cumulent ici. D’une part, Squarespace a certifié son adhésion à l’EU-U.S. Data Privacy Framework (DPF), le cadre qui a succédé au Privacy Shield et qui bénéficie d’une décision d’adéquation de la Commission européenne du 10 juillet 2023. Pour un transfert vers une entreprise américaine certifiée DPF, aucune garantie supplémentaire n’est en principe requise. D’autre part, le DPA intègre les clauses contractuelles types comme socle de repli, utile notamment si la certification DPF venait à être suspendue — une hypothèse à ne pas écarter compte tenu de l’historique du Privacy Shield, invalidé en 2020.

En pratique, je recommande de vérifier la certification DPF active de Squarespace sur le registre officiel du Department of Commerce, et de documenter ce flux dans votre registre des traitements. Une analyse d’impact sur les transferts (TIA) reste pertinente si vous traitez des données sensibles ou un volume important de données via votre site.

Le bandeau cookies : le principal angle mort

Squarespace propose un bandeau de consentement aux cookies natif, mais sa configuration par défaut est insuffisante au regard des exigences françaises. Le droit applicable ici est l’article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy, complété par les lignes directrices et la recommandation « cookies » de la CNIL de 2020. Trois exigences sont régulièrement prises en défaut sur les sites Squarespace.

D’abord, le consentement préalable : les cookies de mesure d’audience non exemptés et les cookies marketing ne doivent être déposés qu’après une action positive du visiteur. Or le bandeau natif de Squarespace n’empêche pas toujours le dépôt avant consentement. Ensuite, la symétrie des choix : la CNIL impose que refuser soit aussi simple qu’accepter, ce que le bandeau de base ne propose pas nativement de façon claire. Enfin, la granularité : le visiteur doit pouvoir consentir par finalité (mesure d’audience, marketing, réseaux sociaux).

Pour ces raisons, l’usage d’une plateforme de gestion du consentement (CMP) tierce est souvent nécessaire sur un site Squarespace destiné au public français. C’est exactement le type d’arbitrage que nous détaillons dans notre comparatif Legiscope vs Cookiebot. Point d’attention complémentaire : si vous utilisez Google Analytics, reportez-vous à notre analyse de la mise en conformité de Google Analytics, la CNIL ayant mis en demeure plusieurs éditeurs sur ce sujet.

Information des visiteurs et politique de confidentialité

L’article 13 du RGPD impose d’informer les personnes au moment de la collecte directe. Sur un site Squarespace, cela suppose une politique de confidentialité accessible et à jour, mentionnant l’identité du responsable de traitement, les finalités, les bases légales, les destinataires (dont Squarespace et ses sous-traitants), les durées de conservation, l’existence de transferts hors UE et le mécanisme retenu (DPF/CCT), ainsi que les droits des personnes. Squarespace ne génère pas cette politique à votre place : son contenu vous engage personnellement.

N’oubliez pas non plus les mentions légales obligatoires pour tout site édité depuis la France, distinctes de la politique de confidentialité.

Configuration recommandée pour la conformité RGPD

Sur la base de mon expérience d’accompagnement de TPE et indépendants, voici les actions prioritaires pour un site Squarespace.

Activez et configurez un bandeau cookies conforme : idéalement une CMP tierce qui bloque les traceurs non essentiels avant consentement, propose un refus aussi simple que l’acceptation et un choix par finalité. Publiez une politique de confidentialité complète et des mentions légales, et reliez-les depuis le pied de page. Archivez le DPA Squarespace applicable et conservez la preuve de la certification DPF. Recensez tous les points de collecte (formulaires, newsletter, Acuity, e-commerce) et inscrivez chaque traitement à votre registre, en précisant base légale et durée de conservation. Pour les formulaires et la newsletter, prévoyez une mention d’information au point de collecte et, lorsque la base est le consentement, une case à cocher non pré-cochée.

Enfin, vérifiez les durées de conservation : Squarespace conserve les soumissions de formulaires et les données clients tant que vous ne les supprimez pas. La purge régulière relève de votre responsabilité, au titre du principe de limitation de la conservation.

Points d’attention spécifiques

Le faux sentiment de conformité « clé en main »

Le principal risque de Squarespace est psychologique : la simplicité de l’outil laisse croire que tout est géré. Or l’éditeur fournit l’infrastructure et un cadre contractuel, pas la conformité de votre site. La responsabilité du responsable de traitement n’est pas délégable par le simple choix d’une plateforme grand public.

L’e-commerce et les paiements

Si votre site vend en ligne, la chaîne de traitement s’allonge : données de commande, de livraison et de paiement, ces dernières transitant par des prestataires comme Stripe ou PayPal. Le raisonnement est proche de celui que nous développons pour WooCommerce et Shopify : chaque maillon doit être documenté et chaque sous-traitant encadré.

Acuity Scheduling et les données de réservation

Squarespace intègre Acuity Scheduling pour la prise de rendez-vous. Selon votre activité, ces réservations peuvent contenir des données sensibles (un cabinet de soin, par exemple). Ce traitement mérite une attention particulière, voire une analyse d’impact (AIPD) si le volume ou la nature des données le justifie.

Ce qu’il faut retenir

  • Squarespace peut être utilisé de façon conforme, mais rien n’est conforme « par défaut » : la responsabilité de la configuration et de l’information des visiteurs vous incombe en tant que responsable de traitement.
  • Les données sont hébergées aux États-Unis. Le transfert est couvert par la certification EU-U.S. Data Privacy Framework (adéquation du 10 juillet 2023) et, en repli, par les clauses contractuelles types intégrées au DPA.
  • Le bandeau cookies natif est insuffisant pour le marché français : prévoir une CMP tierce qui bloque les traceurs avant consentement, propose un refus simple et un choix par finalité (art. 82 LIL).
  • Le DPA s’applique automatiquement mais doit être archivé, et la chaîne de sous-traitance (infrastructure, Stripe, PayPal) doit figurer dans votre cartographie.
  • Tous les points de collecte (formulaires, newsletter, e-commerce, Acuity) doivent être inscrits au registre, avec base légale, durée de conservation et information conforme à l’article 13.

FAQ

Squarespace est-il conforme au RGPD ?

Squarespace fournit les éléments contractuels et techniques de base d’une utilisation conforme : un DPA intégrant les clauses contractuelles types, une certification au Data Privacy Framework et un bandeau cookies paramétrable. La conformité effective de votre site dépend toutefois de votre configuration : information des visiteurs, bandeau cookies réellement bloquant, registre des traitements et durées de conservation. Squarespace n’est pas conforme « clé en main ».

Où sont stockées les données d’un site Squarespace ?

Squarespace, Inc. est une société américaine qui traite les données sur des serveurs situés aux États-Unis. Il n’existe pas d’option d’hébergement exclusivement européen. Toute publication d’un site Squarespace implique donc un transfert de données hors de l’Union européenne, encadré par la certification DPF de l’éditeur et par les clauses contractuelles types.

Le bandeau cookies de Squarespace suffit-il pour la CNIL ?

Le bandeau natif est généralement insuffisant pour un site destiné au public français. La CNIL exige un consentement préalable au dépôt des traceurs non essentiels, un refus aussi simple que l’acceptation et un choix par finalité. L’usage d’une CMP tierce qui bloque réellement les cookies avant consentement est souvent nécessaire.

Faut-il signer un contrat de sous-traitance avec Squarespace ?

Le DPA de Squarespace s’applique automatiquement via ses conditions d’utilisation et vaut acte juridique au sens de l’article 28 du RGPD ; aucune signature manuelle n’est requise. Vous devez néanmoins en conserver la version applicable et pouvoir la produire en cas de contrôle, de même que la preuve de la certification DPF.

Quelles alternatives à Squarespace avec hébergement européen ?

Si l’hébergement exclusivement européen est une exigence, des solutions reposant sur un hébergeur européen comme OVHcloud ou Scaleway — par exemple un site WordPress hébergé en France — offrent une localisation des données dans l’UE. La migration suppose l’export du contenu et des données depuis Squarespace, leur suppression après transfert, et la mise à jour du registre des traitements.