Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

MongoDB

Que fait MongoDB ?

MongoDB est une base de données NoSQL orientée documents, disponible en logiciel open source auto hébergé ou via MongoDB Atlas, un service cloud géré. Elle stocke les données dans des documents flexibles de type JSON et est utilisée pour les applications web, la gestion de contenu, l'IoT et l'analyse en temps réel. Avec Atlas, le traitement des données implique MongoDB Inc. (États Unis) en tant que sous traitant, nécessitant des mesures de conformité RGPD.

Qu''est ce que MongoDB ?

MongoDB est une base de données NoSQL orientée documents qui stocke les données dans des documents BSON flexibles de type JSON. Elle est disponible en Community Server open source pour les déploiements auto hébergés et en MongoDB Atlas, un service cloud géré sur AWS, Azure ou Google Cloud. MongoDB est largement utilisée pour les applications web, les backends mobiles, les CMS, les plateformes IoT et l''analyse en temps réel. La base de données elle même ne dépose pas de cookies sur les navigateurs, mais la console web Atlas et le site mongodb.com utilisent des cookies d''authentification et d''analyse.

Données collectées et approche de stockage

MongoDB est un moteur de stockage de données, ce qui signifie que les données personnelles traitées dépendent entièrement de ce que le développeur choisit d''y stocker. Les données courantes incluent les profils utilisateurs, emails, transactions, données de localisation et journaux applicatifs. Atlas collecte des métadonnées opérationnelles incluant les journaux de connexion, les métriques de performance, la configuration des clusters et les comptes utilisateur de la console.

Implications RGPD et ePrivacy

Pour les déploiements auto hébergés, l''organisation est à la fois responsable du traitement et sous traitant. Pour Atlas, MongoDB Inc. fournit un DPA avec CCT et détient les certifications SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, HIPAA et PCI DSS. Atlas permet de configurer des régions de données UE. Le chiffrement au repos est activé par défaut, et le chiffrement de niveau champ (Client Side Field Level Encryption) est disponible pour les données particulièrement sensibles.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement et base juridique

MongoDB en tant que moteur de base de données n''interagit pas directement avec les utilisateurs finaux et ne dépose pas de cookies, les exigences ePrivacy ne s''appliquent donc pas à la base elle même. La base juridique du stockage dépend de l''application : exécution du contrat (Art. 6(1)(b)) ou intérêt légitime (Art. 6(1)(f)). Les cookies d''analyse de la console Atlas nécessitent le consentement. Les organisations doivent implémenter leurs propres mécanismes de consentement au niveau applicatif et concevoir le schéma pour supporter les droits des personnes concernées.

Transferts internationaux de données

Les déploiements auto hébergés conservent les données où l''organisation les déploie. Pour Atlas, des régions de cluster UE sont disponibles (Irlande, Francfort, Amsterdam, Paris, Stockholm). Cependant, les opérations du plan de gestion Atlas, la facturation et le support peuvent impliquer des systèmes américains. Les transferts sont couverts par le DPA avec CCT. Les organisations doivent documenter leur choix de région Atlas dans le RAT.

Étapes pratiques de mise en conformité

Pour Atlas : exécutez le DPA, sélectionnez une région UE, activez le chiffrement au repos et en transit, configurez le chiffrement de niveau champ, implémentez le RBAC, activez la journalisation d''audit, restreignez l''accès réseau et vérifiez la résidence des sauvegardes. Pour l''auto hébergement : activez l''authentification, configurez TLS, le chiffrement au repos, le RBAC et les journaux d''audit. Pour tous les déploiements : concevez le schéma pour supporter les droits RGPD, implémentez des politiques de conservation avec des index TTL, réalisez une AIPD si nécessaire.

Categorie de consentement RGPD

Autre

Les sites web utilisant MongoDB doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance for database service provision (Art. 6(1)(b)), legitimate interest for security, monitoring, and infrastructure operations (Art. 6(1)(f)), consent required for Atlas web console analytics cookies (Art. 6(1)(a))

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, UK GDPR, CCPA/CPRA, HIPAA (Atlas with BAA), PCI DSS, SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018

Considerations AIPD

Une AIPD est recommandée pour les déploiements MongoDB stockant des données personnelles à grande échelle. Les points clés incluent : volume et sensibilité des données stockées, configuration du chiffrement au repos et en transit, contrôles d'accès et authentification, journalisation d'audit, pour Atlas : transferts internationaux et sous traitance cloud, résidence des sauvegardes, et intégrations tierces accédant à la base de données.

Exemple de texte de consentement

Cette application utilise MongoDB pour stocker et traiter des données. Vos données personnelles peuvent être stockées dans une base de données MongoDB hébergée sur une infrastructure cloud. Le traitement est effectué conformément aux réglementations applicables en matière de protection des données. Pour plus d'informations, consultez notre politique de confidentialité.

Details techniques

Methode de suiviserver side database engine (self hosted) or cloud managed service (Atlas) with cookies on web console, connection logging, audit trails

Localisation des serveursSelf hosted: customer controlled. Atlas: Global (AWS, Azure, GCP with configurable regions including EU)

Suivi sans cookie disponibleOui

Donnees transferees hors UEMongoDB Inc. is headquartered in New York, US. Self hosted MongoDB deployments keep data entirely on customer infrastructure. MongoDB Atlas (cloud service) offers configurable data regions including EU only deployments on AWS, Azure, or GCP. Atlas management plane metadata may be processed in the US. Transfers covered by SCCs via MongoDB's DPA.

Domaines tiers contactes

cloud.mongodb.comaccount.mongodb.comwww.mongodb.comrealm.mongodb.comdata.mongodb-api.com

Cookies deposes

Nom	Type	Duree	Finalite
mdb_session	authentication	Session	Maintains the authenticated session for the MongoDB Atlas web management console.
mdb_csrf	security	Session	CSRF protection for Atlas console operations and account management actions.
_ga	analytics	2 years	Google Analytics cookie tracking visitor behaviour on the MongoDB website and Atlas console.
mdb_prefs	functionality	1 year	Stores user interface preferences for the Atlas console including cluster view mode and notification settings.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies sont déposés par MongoDB ?

MongoDB en tant que moteur de base de données ne dépose pas de cookies. Cependant, la console web Atlas et le site mongodb.com déposent des cookies d'authentification, des jetons de session, des cookies CSRF et des cookies d'analyse. Les utilisateurs finaux des applications construites sur MongoDB ne reçoivent aucun cookie de MongoDB lui même.

Le consentement est il requis pour MongoDB au titre du RGPD ?

Le consentement n'est pas requis pour le moteur de base de données car il n'interagit pas directement avec les utilisateurs. Les applications construites sur MongoDB doivent implémenter leurs propres mécanismes de consentement. La console Atlas nécessite le consentement pour les cookies d'analyse. Les organisations doivent gérer le consentement au niveau applicatif.

Quelle est la base juridique du traitement via MongoDB ?

La base juridique dépend de l'application. Typiquement : exécution du contrat (Art. 6(1)(b)) pour les comptes utilisateurs, intérêt légitime (Art. 6(1)(f)) pour la journalisation de sécurité, consentement (Art. 6(1)(a)) pour les données marketing. Pour Atlas, la relation est régie par le DPA où MongoDB agit comme sous traitant.

MongoDB transfère t il des données vers les États Unis ?

Pour l'auto hébergement, aucun transfert. Pour Atlas, MongoDB Inc. est basé aux US mais les clusters peuvent être déployés en UE (Irlande, Francfort, Amsterdam, Paris, Stockholm). Les métadonnées du plan de gestion peuvent impliquer des systèmes US. Le DPA avec CCT couvre les transferts.

Une AIPD est elle nécessaire pour MongoDB ?

Recommandée si le déploiement stocke des données personnelles à grande échelle ou des données sensibles. L'évaluation doit se concentrer sur la couche applicative : quelles données sont stockées, comment elles sont sécurisées, les pratiques de conservation, et pour Atlas, les garanties de transfert international.

Comment mettre en œuvre la conformité RGPD pour MongoDB ?

Pour Atlas : exécutez le DPA, déployez en région UE, activez le chiffrement, configurez le CSFLE pour les champs sensibles, implémentez le RBAC, activez l'audit et restreignez l'accès réseau. Pour l'auto hébergement : activez l'authentification, TLS, le chiffrement et l'audit. Concevez le schéma pour supporter les droits des personnes concernées et implémentez des index TTL.

Existe t il des alternatives respectueuses de la vie privée ?

MongoDB Community auto hébergé offre un contrôle total. Alternatives : PostgreSQL (relationnel open source), CouchDB (documents open source), SurrealDB (multi modèle open source). Pour des options cloud européennes : Scaleway ou Hetzner avec MongoDB auto géré.

Comment mettre à jour ma politique de cookies pour MongoDB ?

Pour la plupart des applications, MongoDB opère au niveau infrastructure et n'est pas visible pour les utilisateurs finaux. Votre politique de confidentialité doit néanmoins mentionner que les données sont stockées dans une base cloud (nommant le fournisseur et la région) et référencer le DPA et les garanties de transfert.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min