Geeek.org 🗲 Blog Geek & High Tech 100% Indépendant
Ghost et JSDelivr : Reprenez la main sur vos ressources !
Software Web

Ghost et JSDelivr : Reprenez la main sur vos ressources !

par Ludovic Toinel 3 minutes de lecture

Si vous suivez ce blog depuis plusieurs années, vous avez probablement suivi sa migration de Dotclear vers Ghost. Ce CMS moderne et minimaliste offre une belle flexibilité… mais il réserve aussi quelques surprises techniques, notamment une dépendance implicite à un CDN tiers : JSDelivr.

Une dépendance vers JSDelivr par défaut

Même lorsque Ghost est auto-hébergé, certaines librairies JavaScript et CSS continuent d’être chargées depuis JSDelivr.
En pratique, cela signifie que vos visiteurs contactent un serveur externe à chaque chargement de page.

Deux inconvénients majeurs :

  • 📦 Perte de contrôle : ces librairies sont hébergées sur un service tiers, sans maîtrise sur leur disponibilité ou leur cycle de vie.
  • 🔍 Requêtes externes : vos visiteurs envoient des données techniques (IP, user-agent, etc.) à des serveurs qu’ils n’ont pas nécessairement prévu de contacter.

JSDelivr et RGPD : un risque désormais mieux encadré

La question revient souvent : « L’utilisation de JSDelivr est-elle conforme au RGPD ? »
La réponse est désormais plus nuancée qu’avant, grâce à la publication récente du Data Processing Agreement (DPA) de JSDelivr.

✅ Les garanties apportées par le DPA

JSDelivr publie un DPA officiel qui formalise ses engagements vis-à-vis du RGPD.
Ce document clarifie les rôles et obligations entre le site qui utilise JSDelivr (le contrôleur, c’est-à-dire vous) et JSDelivr (le processeur).

Voici les points rassurants :

  • Encadrement juridique clair : JSDelivr agit comme sous-traitant, uniquement sur instructions du contrôleur.
  • Collecte limitée : seules des données techniques (adresse IP, user-agent, logs) sont traitées, uniquement pour acheminer et sécuriser le contenu.
  • Pas d’exploitation commerciale : aucune utilisation publicitaire, ni de profilage.
  • Sécurité et confidentialité : engagement à appliquer des mesures techniques appropriées, et notification en cas de violation de données.
  • Suppression et transfert : les données doivent être supprimées à la fin du traitement, et les transferts hors UE sont couverts par les Clauses Contractuelles Standard (SCC).

⚠️ Les points de vigilance qui demeurent

Même avec un DPA conforme, certains aspects exigent une attention particulière :

  • Transmission de l’adresse IP : chaque requête vers cdn.jsdelivr.net transmet une donnée personnelle (IP) à un serveur tiers — c’est un traitement RGPD à part entière.
  • Base légale à documenter : vous devez justifier sur votre site cette transmission (souvent par “intérêt légitime”) et la mentionner dans votre politique de confidentialité.
  • Durée de conservation des logs : le DPA évoque une conservation “raisonnable”, mais sans durée précise.
  • Localisation des serveurs : JSDelivr s’appuie sur plusieurs réseaux mondiaux dont certains points de présence sont situés hors de l’UE.
  • Responsabilité finale : en cas de litige, c’est toujours le contrôleur (vous) qui est responsable de l’usage des données.

💡 À retenir
Le DPA de JSDelivr réduit fortement le risque RGPD, mais ne le supprime pas.
Une bonne documentation, une politique de confidentialité claire et — si possible — une réduction des appels externes restent les meilleures garanties.

Une alternative simple : rapatrier les librairies localement

Pour éviter toute dépendance externe, j’ai développé un petit script qui automatise le rapatriement local des ressources utilisées par Ghost.

➡️ github.com/ltoinel/ghost-jsdelivr-script-local

⚙️ Fonctionnement du script

  1. Placez le script à la racine de votre blog Ghost.

  2. Exécutez-le depuis votre terminal :

    bash dl-cdn-files.sh

  3. Le script identifie automatiquement le thème actif et télécharge les dépendances JS/CSS nécessaires.

  4. Les fichiers sont stockés dans le dossier assets/cdn du thème sélectionné.

Il s’appuie sur le fichier default.config.json de Ghost pour détecter les librairies externes, et génère un exemple de configuration à insérer dans config.production.json.

🧩 Conclusion : indépendance, performance et conformité

Reprendre la main sur ses dépendances techniques, c’est aussi protéger ses utilisateurs.
Avec ce script, vous gagnez en autonomie, en performance, et en tranquillité juridique.

Le DPA de JSDelivr clarifie beaucoup de points, mais il ne dispense pas de vigilance.
Dans le doute, l’hébergement local reste la voie royale : c’est simple, efficace, et conforme.

Connaissez-vous exactement quels serveurs vos visiteurs contactent quand ils chargent votre site ?

Lire d'autres articles de cet auteur

Ludovic Toinel

Geeek.org est un blog 100% indépendant depuis 20 ans. Passionné de web, dev et tech, il réunit plus de 20k lecteurs et 1,5M requêtes par mois. Abonnez-vous !

Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site