Webflow et RGPD : guide de conformité 2026
Webflow est-il conforme au RGPD ? Analyse du DPA, des transferts hors UE, des formulaires et cookies pour DPO en 2026.
Webflow s’est imposé comme l’un des créateurs de sites web professionnels les plus utilisés par les startups, les agences et les PME françaises. Sa promesse – concevoir et héberger un site sans écrire de code, avec un rendu design de qualité – séduit des équipes marketing qui n’ont pas de développeur interne. Mais dès qu’un site collecte des données via un formulaire de contact, une inscription à une newsletter ou des cookies analytiques, le responsable de traitement doit s’interroger sur la conformité de l’outil au RGPD.
Dans ma pratique de conseil, Webflow illustre un malentendu récurrent : beaucoup d’utilisateurs pensent qu’un site « no-code » externalise aussi la responsabilité juridique. C’est faux. L’éditeur du site reste pleinement responsable des traitements qu’il opère à travers Webflow. Cet outil, société américaine hébergeant sur une infrastructure AWS aux États-Unis, soulève des questions concrètes de sous-traitance, de transferts internationaux et de gestion des cookies. Ce guide propose une analyse méthodique, à jour selon la documentation consultée en juillet 2026.
Pour une vue d’ensemble, consultez notre guide RGPD par outil. Voir aussi nos analyses de Wix et de Google Workspace, fréquemment associés à Webflow dans une stack marketing.
Qualification juridique : Webflow comme sous-traitant
Le statut de sous-traitant au sens de l’article 28
Webflow, Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’hébergement et le traitement des données que vous collectez via votre site. Vous, éditeur du site, déterminez les finalités (générer des leads, informer, vendre) et les moyens essentiels (quels formulaires, quels champs, quelles données stockées). Webflow fournit l’infrastructure et traite ces données selon vos instructions.
Cette qualification est claire pour les fonctionnalités cœur : hébergement des pages, stockage des soumissions de formulaires, gestion du CMS. Webflow ne décide pas quelles données personnelles vous collectez ni pourquoi – c’est votre décision, en tant que responsable de traitement.
La distinction avec le sous-traitant ultérieur AWS
Webflow héberge son infrastructure principalement sur Amazon Web Services. AWS constitue donc un sous-traitant ultérieur au sens de l’article 28(4). La chaîne de responsabilité s’établit ainsi : vous êtes responsable de traitement, Webflow est votre sous-traitant, et AWS est le sous-traitant de Webflow. Cette cascade doit être documentée dans votre registre des traitements, y compris les localisations de chaque maillon.
Les intégrations tierces changent la donne
Un site Webflow est rarement isolé : il intègre souvent des scripts tiers (Google Analytics, Meta Pixel, HubSpot, chatbots). Chaque script tiers qui collecte des données personnelles constitue un traitement additionnel, avec son propre sous-traitant et parfois ses propres transferts. Ces flux ne relèvent pas du DPA de Webflow et doivent être encadrés séparément.
Périmètre des données traitées
Un site Webflow traite plusieurs catégories de données personnelles qu’il faut cartographier avant tout déploiement :
- Soumissions de formulaires : nom, e-mail, téléphone, message libre, parfois des données plus sensibles selon les champs configurés (secteur d’activité, fonction, voire données de santé sur un formulaire mal conçu).
- Données de la newsletter : adresses e-mail et éventuellement consentement marketing.
- Membres (Webflow Memberships) : identifiants de compte, mots de passe hachés, données de profil sur les sites à espace membre.
- Données e-commerce (Webflow Ecommerce) : coordonnées client, adresses de livraison et de facturation, historique de commande.
- Métadonnées techniques : adresses IP, logs de connexion, données de navigation collectées côté serveur.
- Cookies et traceurs : identifiants déposés par Webflow et surtout par les scripts tiers intégrés.
Le principe de minimisation impose de ne collecter que les champs strictement nécessaires. Un formulaire de contact qui exige la date de naissance ou le numéro de téléphone sans justification opérationnelle est en tension directe avec l’article 5(1)©.
Analyse du DPA Webflow
Webflow met à disposition un Data Processing Addendum accessible en ligne et applicable aux clients traitant des données personnelles de résidents de l’UE. Voici notre analyse au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026.
| Exigence Art. 28 RGPD | Couverture dans le DPA Webflow | Évaluation |
|---|---|---|
| Objet, durée, nature et finalité | Définis dans le DPA et les conditions de service | Couvert |
| Types de données et catégories de personnes | Décrits dans les annexes au DPA | Couvert |
| Instructions documentées du responsable | Traitement sur instructions documentées prévu | Couvert |
| Confidentialité du personnel | Engagement de confidentialité des employés | Couvert |
| Mesures de sécurité (Art. 32) | Annexe sécurité (chiffrement, contrôles d’accès) | Couvert |
| Sous-traitants ultérieurs | Liste publiée ; mécanisme de notification | Couvert |
| Assistance aux droits des personnes | Engagement d’assistance dans le DPA | Couvert |
| Suppression ou restitution en fin de contrat | Prévu, délai à vérifier au déploiement | Couvert |
| Droit d’audit | Via rapports de certification (SOC 2) | Couvert (modalités à vérifier) |
| Information sur instruction contraire au RGPD | Prévu dans le DPA | Couvert |
Le DPA de Webflow couvre les exigences formelles de l’article 28. Comme souvent chez les fournisseurs SaaS américains, le droit d’audit s’exerce via la mise à disposition de rapports de certification plutôt que par un audit physique – pratique de marché acceptée mais qu’il faut évaluer selon vos propres exigences. Les modalités précises (délai de suppression, périmètre exact des annexes) sont à vérifier au moment du déploiement, l’offre évoluant.
Localisation & transferts hors UE
Localisation des données
Webflow, Inc. est une société américaine dont l’infrastructure repose sur AWS, avec un hébergement par défaut aux États-Unis. Contrairement à certains concurrents, Webflow ne propose pas, selon la documentation consultée en juillet 2026, d’option native de résidence des données dans l’Union européenne pour les données de formulaires et l’hébergement. Ce point est déterminant : par défaut, les données transitent et sont stockées hors UE.
Mécanismes de transfert
Pour les transferts vers les États-Unis, Webflow s’appuie sur deux mécanismes qu’il convient de vérifier dans le DPA en vigueur :
-
EU-US Data Privacy Framework (DPF). Si Webflow, Inc. est certifiée au DPF, la décision d’adéquation de la Commission européenne du 10 juillet 2023 fournit une base pour ces transferts, tant que la certification est maintenue. Le statut de certification est à vérifier au moment du déploiement, l’offre évoluant.
-
Clauses contractuelles types (CCT). Le DPA intègre en principe les CCT de la Commission (version 2021/914) comme mécanisme complémentaire, applicable en cas d’invalidation du DPF.
Analyse d’impact sur les transferts
Même sous couvert du DPF, documentez une analyse d’impact sur les transferts. Les points à évaluer :
- Cadre juridique américain. La section 702 du FISA et l’Executive Order 12333 autorisent des accès par les agences de renseignement. L’Executive Order 14086 introduit des garanties de proportionnalité et un mécanisme de recours (Data Protection Review Court).
- Nature des données. Un site vitrine collectant seulement des e-mails de contact présente un risque moindre qu’un espace membre stockant des profils détaillés.
- Mesures supplémentaires. Chiffrement en transit (TLS) et au repos, minimisation des champs collectés, purge régulière des soumissions de formulaires.
Cookies, analytics et responsabilité de l’éditeur
C’est le point le plus souvent négligé sur un site Webflow. L’éditeur reste seul responsable de la conformité de ses cookies au regard de l’article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL. Webflow fournit le contenant, pas la conformité du contenu.
Concrètement :
- Google Analytics, Meta Pixel et autres traceurs marketing nécessitent le consentement préalable de l’internaute, recueilli via un bandeau conforme (choix libre, refus aussi simple que l’acceptation, pas de dépôt avant consentement).
- Un simple bandeau « en poursuivant, vous acceptez » n’est pas valable : la CNIL a sanctionné cette pratique à de multiples reprises.
- Le blocage effectif des scripts avant consentement doit être vérifié techniquement : intégrer un outil de gestion du consentement (CMP) est généralement nécessaire, car Webflow n’offre pas nativement de blocage granulaire des traceurs tiers.
Configuration recommandée pour la conformité RGPD
- Signer et archiver le DPA Webflow. Vérifiez qu’il est en vigueur pour votre plan et conservez-en une copie dans votre documentation.
- Minimiser les champs de formulaire. Ne demandez que le strictement nécessaire, conformément au principe de minimisation.
- Définir une politique de rétention des soumissions. Webflow conserve les soumissions de formulaires jusqu’à suppression manuelle. Purgez régulièrement selon votre tableau des durées de conservation et le principe de temporalité.
- Déployer une CMP conforme. Installez un outil de gestion du consentement qui bloque effectivement les traceurs tiers avant acceptation.
- Activer l’authentification forte (SSO/MFA) sur les comptes éditeurs. Protégez l’accès à l’espace d’administration Webflow.
- Publier une politique de confidentialité complète. Mentionnez Webflow et AWS comme hébergeurs, les transferts hors UE, les finalités et les durées.
- Cartographier les scripts tiers. Recensez chaque traceur intégré et son sous-traitant, à documenter séparément du DPA Webflow.
- Inscrire le traitement au registre. Ajoutez le site Webflow à votre registre des activités de traitement : finalités, catégories de données, transferts, durées, sécurité.
Pour industrialiser la documentation de vos outils SaaS au registre et suivre les transferts hors UE, un logiciel RGPD peut structurer cette cartographie de manière répétable.
Cas particuliers
Espace membre et e-commerce
Un site avec Webflow Memberships ou Ecommerce traite bien plus de données qu’un site vitrine : mots de passe, historiques de commande, adresses. Le niveau d’exigence sécurité et la base légale (exécution du contrat pour l’e-commerce) doivent être analysés spécifiquement. Vérifiez la base légale de chaque traitement.
Formulaires collectant des données sensibles
Si un formulaire collecte, même involontairement, des données sensibles au sens de l’article 9 du RGPD – santé, opinions, appartenance syndicale – l’hébergement par défaut aux États-Unis devient un risque sérieux. Reconcevez le formulaire ou changez de solution d’hébergement.
Violation de données
En cas d’incident affectant les données collectées via votre site, l’obligation de notification de violation à la CNIL dans les 72 heures incombe à vous, responsable de traitement, Webflow devant vous assister.
FAQ
Webflow est-il conforme au RGPD ?
Webflow fournit les engagements contractuels (DPA, mécanismes de transfert, chiffrement) permettant un usage encadré, mais la conformité dépend surtout de votre configuration : minimisation des champs, gestion des cookies, purge des soumissions, politique de confidentialité. Un site Webflow avec Google Analytics déposé sans consentement et des formulaires jamais purgés n’est pas conforme, quelle que soit la qualité du DPA. La responsabilité incombe à l’éditeur.
Faut-il réaliser une AIPD pour un site Webflow ?
Une analyse d’impact n’est pas systématique pour un site vitrine classique. Elle devient recommandée si le site opère un traitement à grande échelle, un profilage, un espace membre avec données sensibles, ou un suivi comportemental étendu. En cas de doute, la CNIL invite à réaliser l’AIPD.
Les données de mon site Webflow sont-elles hébergées en Europe ?
Par défaut, non : l’infrastructure AWS de Webflow héberge principalement aux États-Unis, et aucune option native de résidence UE n’est documentée en juillet 2026. Les transferts reposent sur le DPF et/ou les CCT. Ce point est à vérifier au moment du déploiement, l’offre évoluant.
Comment gérer les cookies sur Webflow en conformité ?
Webflow ne bloque pas nativement les traceurs tiers avant consentement. Vous devez déployer une CMP qui empêche le dépôt des cookies Analytics et marketing tant que l’internaute n’a pas donné un consentement libre et éclairé, avec un refus aussi simple que l’acceptation.
Qui est responsable en cas de contrôle CNIL sur mon site ?
L’éditeur du site est le responsable de traitement et répond des manquements devant la CNIL. Webflow, comme sous-traitant, a ses propres obligations, mais la conformité des formulaires, des cookies et de l’information incombe à vous. Un audit RGPD régulier du site est recommandé.
Peut-on utiliser Webflow pour un site collectant des données de santé ?
C’est fortement déconseillé avec la configuration par défaut. Les données de santé sont des données sensibles exigeant des garanties renforcées et, souvent, un hébergement certifié HDS que Webflow ne propose pas. Privilégiez une solution dédiée pour ce type de traitement.