Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Akamai est l'un des plus anciens et plus vastes réseaux de diffusion de contenu au monde, utilisé pour l'accélération de contenu, le pare feu applicatif, la lutte contre les bots et le real user monitoring. Au regard du RGPD, Akamai agit en sous traitant et traite des adresses IP, des métadonnées de requête, des signaux de sécurité et, si mPulse est activé, des télémétries de performance pour le compte des éditeurs.
Akamai exploite l''un des plus vastes réseaux de diffusion de contenu et de sécurité à la périphérie au monde, avec des centaines de milliers de serveurs dans plus de 130 pays. La plateforme Intelligent Edge se place entre les visiteurs et les origines des éditeurs et propose l''accélération de contenu statique et dynamique via Ion, Adaptive Media Delivery et Download Delivery, la protection applicative et d''API via App and API Protector, la lutte avancée contre les bots via Bot Manager Premier et Account Protector, et le real user monitoring via mPulse. De nombreux sites d''entreprise, portails bancaires et plateformes publiques font transiter chaque requête par Akamai avant de joindre l''origine.
Akamai traite l''adresse IP du visiteur, l''URL demandée, la méthode HTTP, les en têtes (User Agent, Referer et cookies transmis), les paramètres TLS, la géolocalisation dérivée et le noeud d''edge choisi. Lorsque Bot Manager ou App and API Protector sont activés, il calcule également des empreintes comportementales et matérielles, pose des cookies de sécurité comme _abck et bm_sz, évalue des scores de risque et stocke la télémétrie nécessaire au rejeu et au paramétrage. Lorsque mPulse est activé, Akamai collecte des balises Real User Monitoring détaillées : timings de navigation, Core Web Vitals, erreurs JavaScript et identifiant de session.
Les adresses IP, les empreintes matérielles et les scores de risque comportementaux sont des données à caractère personnel au sens du RGPD. Akamai agit en sous traitant pour l''éditeur et en responsable pour des finalités limitées d''exploitation et de threat intelligence. La diffusion de contenu et les cookies de sécurité strictement nécessaires à la protection du service peuvent s''appuyer sur l''intérêt légitime au sens de l''article 6, paragraphe 1, point f) du RGPD et sur l''exemption ePrivacy. mPulse, Identity Cloud et toute fonction analytique ou d''empreinte optionnelle dépassent ce cadre et requièrent un consentement éclairé au sens de l''article 6, paragraphe 1, point a) du RGPD et de l''article 5, paragraphe 3 de la directive ePrivacy.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Même avec des serveurs d''edge en Europe, Akamai gère centralement la configuration, la threat intelligence, le support client et certaines télémétries depuis les États Unis et d''autres régions. Les transferts s''appuient sur l''Addendum Akamai au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, complétés par TLS 1.3, chiffrement au repos, ISO 27001, ISO 27017, ISO 27018, PCI DSS et SOC 2 Type II. Pour des besoins de résidence stricts, Akamai propose des configurations Datastream et Bot Manager qui conservent les journaux dans des entrepôts régionaux.
Signez l''Addendum Akamai au traitement, inscrivez Akamai dans votre registre des activités de traitement et mettez à jour la politique de confidentialité pour mentionner le réseau d''edge, les cookies de sécurité (_abck, bm_sz, ak_bmsc) et la destination américaine. Réservez mPulse et les autres fonctions analytiques aux visiteurs ayant consenti via une plateforme de gestion du consentement, définissez des durées de conservation courtes pour les journaux Datastream, et vérifiez que les règles Bot Manager ne consignent pas de corps de requête bruts contenant des données personnelles. Consultez périodiquement le portail de confiance Akamai pour les certifications et rapports d''audit les plus récents.
Les sites web utilisant Akamai doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Akamai est déployé avec Bot Manager Premier, Account Protector, EdgeWorkers exécutant une logique de personnalisation, mPulse Real User Monitoring ou Identity Cloud, ou lorsque des ressources sensibles (services financiers, secteur public, santé) sont protégées. La simple diffusion de contenu via Ion ou Adaptive Media Delivery ne nécessite pas normalement d'AIPD.
Exemple de texte de consentement
Ce site est diffusé et protégé par Akamai, un fournisseur américain de CDN et de sécurité opéré par Akamai Technologies Inc. Akamai traite votre adresse IP, des signaux de sécurité et des métadonnées de requête. Lorsque mPulse ou les fonctions d'empreinte sont activées, des données de performance supplémentaires sont collectées. En acceptant, vous autorisez ces traitements sur des serveurs Akamai, y compris aux États Unis, sous Clauses Contractuelles Types européennes.
Domaines tiers contactes
akamai.netakamai.netakamaihd.netakamaihd.netakamaiedge.netakamaiedge.netakamaized.netakamaized.netedgekey.netakamaitechnologies.comedgesuite.netedgekey.netedgesuite.netmpulse.netgo-mpulse.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _abck | First party (Akamai Bot Manager) | 1 year | Stores the bot detection state for the visitor, used by Bot Manager to remember whether the browser has passed the challenge |
| _abck | Strictly necessary (security) | 12 months | Akamai Bot Manager cookie. Stores a signed token used to evaluate whether the visitor is a legitimate user or an automated bot during subsequent requests. |
| bm_sz | First party (Akamai Bot Manager) | 4 hours | Session token used during the Bot Manager challenge to associate the proof of work with the right session |
| bm_sz | Strictly necessary (security) | 4 hours | Akamai Bot Manager session cookie. Stores short lived risk signals and ensures that repeated requests within a session can be correlated for bot scoring. |
| ak_bmsc | Strictly necessary (security) | 2 hours | Bot Manager session token used to track whether a session has passed Bot Manager checks. Helps avoid challenging the same legitimate session multiple times. |
| ak_bmsc | First party (Akamai Edge Server) | 12 hours | Edge session affinity cookie that keeps the visitor on the same Akamai edge cluster for the session |
| akacd_* | First party (Akamai Edge Server) | Configurable (seconds to days) | Cache directive marker used internally by the Akamai edge to coordinate cache invalidation and surrogate keys |
| ak_bmsc_ssn | Strictly necessary (security) | Session | Bot Manager session continuation cookie used together with ak_bmsc to maintain session integrity during navigation. |
| bm_mi | First party (Akamai Bot Manager Premier) | 2 hours | Mobile intelligence cookie used by Bot Manager Premier when device based bot detection is enabled |
| bm_lso | Strictly necessary (security) | 2 hours | Bot Manager local storage observer cookie. Used to detect tampering with browser storage that could indicate automated behaviour. |
| RT | Analytics (mPulse, after consent) | 7 days | Akamai mPulse Real User Monitoring cookie. Stores a session identifier used to correlate page navigations, Core Web Vitals and error reports. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Les cookies Akamai sont principalement déposés par Bot Manager et Edge Server: _abck (1 an, état de détection de bot), bm_sz (4 heures, jeton de session du challenge), ak_bmsc (12 heures, affinité de session edge) et akacd_* (configurable, directive de cache). Aucun n'est marketing. Ils sont écrits automatiquement quand Bot Manager ou Edge Server est actif sur le domaine.
Akamai Bot Manager et App and API Protector posent des cookies de sécurité strictement nécessaires comme _abck, bm_sz, ak_bmsc, ak_bmsc_ssn et bm_lso, qui stockent les signaux de risque bot et l'intégrité de session. mPulse ajoute des cookies analytiques (RT, mp_rid) qui stockent les identifiants Real User Monitoring. Akamai ne pose pas en propre de cookies publicitaires ou marketing.
Pour la pile CDN et sécurité standard (cache, WAF, DDoS, Bot Manager), non. Ces cookies sont strictement nécessaires au sens de l'article 5(3) ePrivacy et la CNIL les exempte. Le consentement est requis pour les produits Akamai qui profilent les visiteurs (Audience Insights, Predictive Personalization, Bot Manager Premier au delà de la sécurité pure).
Aucun consentement n'est requis pour la diffusion de contenu et pour les cookies de sécurité strictement nécessaires (_abck, bm_sz, ak_bmsc), qui relèvent de l'intérêt légitime et de l'exemption ePrivacy. Un consentement est requis pour mPulse, Identity Cloud et toute fonction d'empreinte avancée optionnelle qui dépasse le strict nécessaire à l'exploitation du service.
Article 6(1)(b) RGPD (exécution du contrat, le visiteur a demandé la page) et article 6(1)(f) (intérêt légitime à la sécurité et la livraison) pour la pile CDN et sécurité. Article 6(1)(a) consentement pour les produits de profilage. L'article 28 RGPD régit la relation de sous traitance entre l'éditeur et Akamai.
La diffusion de contenu, la mitigation des dénis de service, le pare feu applicatif, la gestion basique des bots et la protection des comptes relèvent de l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD. mPulse Real User Monitoring, l'analyse comportementale, la gestion d'identité et la personnalisation optionnelle s'appuient sur le consentement au sens de l'article 6, paragraphe 1, point a) du RGPD recueilli via une plateforme de gestion du consentement.
Oui. Le trafic UE est normalement servi par les points de présence européens, mais le SOC Akamai et la security intelligence accèdent aux journaux centralement depuis les États Unis, l'Inde et le Costa Rica. Akamai est certifié au titre du EU US Data Privacy Framework avec les clauses contractuelles types 2021 en repli. Une analyse d'impact des transferts (recommandation 01/2020 CEPD) est exigée.
Akamai signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD avec ses clients via son Addendum au traitement et confirme son adhésion au Data Privacy Framework UE États Unis. Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, ISO 27001, ISO 27017, ISO 27018, PCI DSS Niveau 1, SOC 2 Type II et la possibilité de conserver les journaux Datastream dans des entrepôts régionaux.
Pas pour le CDN standard. Exigée pour Akamai Bot Manager Premier avec empreinte d'appareil, Akamai Audience Insights, Predictive Personalization ou Edge Auth. L'AIPD doit décrire les flux, l'accès SOC depuis des pays tiers et la conservation des journaux WAF.
Une AIPD est recommandée dès qu'Akamai est déployé avec Bot Manager Premier, Account Protector, mPulse Real User Monitoring, Identity Cloud ou EdgeWorkers exécutant une logique de personnalisation, et lorsqu'il protège des ressources à risque élevé : services financiers, portails du secteur public, applications de santé. La diffusion de base via Ion ne nécessite pas en général d'AIPD.
Signer l'addendum sous traitance avec engagement de résidence UE, lister les cookies strictement nécessaires dans la mention d'information sans gating, gater Audience Insights et produits de profilage similaires derrière consentement, configurer la rétention des journaux WAF au plus court, former les équipes au portail DSAR Akamai et documenter la chaîne au registre.
Signez l'Addendum Akamai au traitement, inscrivez Akamai dans votre registre des activités, documentez les cookies de sécurité dans la politique cookies et mentionnez explicitement la destination américaine. Intégrez mPulse et les autres options à une plateforme de gestion du consentement pour qu'elles ne collectent qu'après consentement, limitez la durée de conservation des Datastream et vérifiez que les règles Bot Manager ne capturent pas de corps de requête sensibles (mots de passe, données de paiement).
Les alternatives européennes incluent OVHcloud Edge (France), Gcore (Luxembourg), Bunny.net (Slovénie) et StackPath (centres UE) côté CDN, ainsi que Cloudflare avec l'option de résidence des données européenne. Pour la Bot Management spécifiquement, Imperva et Radware proposent des déploiements européens. Le bon choix dépend de la couverture d'edge, des fonctionnalités de sécurité et des engagements contractuels sur la résidence des données.
Cloudflare (US avec Regional Services UE), Fastly (US avec Compute@Edge UE), Bunny.net (Slovénie, EU first), Gcore (Luxembourg), Stackpath, Edgio (anciennement Limelight), CloudFront (US avec régions UE) et Microsoft Azure Front Door. Aucun n'est totalement UE au niveau corporate; Bunny.net et Gcore sont les plus centrés UE.
Lister les cookies strictement nécessaires (_abck, bm_sz, ak_bmsc, akacd_*) dans la section sécurité de la mention, déclarer Akamai comme sous traitant avec résidence UE, mentionner la certification EU US Data Privacy Framework, faire un lien vers l'Akamai Trust Center et expliquer pourquoi ces cookies ne peuvent pas être refusés sans casser le service.
Listez Akamai Technologies Inc. comme sous traitant pour les services CDN et de sécurité, décrivez les cookies de sécurité strictement nécessaires (_abck, bm_sz, ak_bmsc, ak_bmsc_ssn, bm_lso), précisez que les cookies mPulse (RT, mp_rid) ne se chargent qu'après consentement, mentionnez la destination américaine sous CCT et Data Privacy Framework, et renvoyez vers la déclaration de confidentialité d'Akamai.