Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Amazon CloudFront

Que fait Amazon CloudFront ?

Amazon CloudFront est le réseau de diffusion de contenu (CDN) d'Amazon Web Services. Il distribue le contenu web depuis l'origine de l'opérateur via plus de 450 Points de Présence répartis dans le monde, y compris une couverture européenne dense (Francfort, Paris, Dublin, Stockholm, Milan). CloudFront ne dépose pas de cookies de tracking par défaut et ne traite que les données nécessaires à la livraison (IP visiteur, User Agent, URL demandée), mais est exploité par Amazon Web Services Inc aux États Unis, soumis au CLOUD Act, ce qui impose Clauses Contractuelles Types, Data Privacy Framework UE États Unis et analyse d'impact du transfert.

Qu''est ce qu''Amazon CloudFront et comment fonctionne t il

Amazon CloudFront est le réseau de diffusion de contenu (CDN) exploité par Amazon Web Services Inc. Il met en cache et délivre du contenu web (HTML, JavaScript, CSS, images, vidéos, réponses API) depuis plus de 450 Points de Présence répartis dans le monde. Quand un visiteur ouvre un site activé sur CloudFront, sa requête est routée vers le POP le plus proche, servie depuis le cache quand c''est possible, et sinon transférée à l''origine de l''opérateur. CloudFront prend en charge la terminaison HTTPS, la signature de requêtes, les restrictions géographiques, Lambda@Edge et une intégration étroite avec les autres services AWS (S3, EC2, ALB, API Gateway, Shield, WAF).

Quelles données CloudFront traite t il

CloudFront ne dépose pas de cookies de tracking par défaut. Pour servir une requête, il traite l''adresse IP du visiteur, le User Agent, l''URL demandée, les en têtes définis par l''opérateur, la région géographique détectée par le POP et des métadonnées de timing. Les access logs CloudFront peuvent contenir l''IP visiteur et l''URL consultée. L''opérateur peut les stocker dans un bucket S3 de son choix (en région AWS UE si nécessaire) et configurer CloudFront pour anonymiser ou tronquer les identifiants. Signed Cookies et Signed URLs ne sont utilisés que pour le contenu sous accès contrôlé et relèvent d''un lien contractuel opérateur visiteur.

RGPD, ePrivacy et CLOUD Act américain

Du point de vue du visiteur, CloudFront est une infrastructure technique livrant le contenu demandé : la base légale dominante est l''article 6(1)(b) RGPD (exécution d''un contrat) avec l''article 6(1)(f) (intérêt légitime) pour la sécurité et la performance. Aucun consentement n''est requis pour la fonction CDN au sens de l''article 5(3) ePrivacy, car elle est strictement nécessaire au service. CloudFront étant toutefois exploité par Amazon Web Services Inc, société américaine soumise au FISA 702 et au CLOUD Act, l''utilisation doit être traitée comme un transfert au sens du chapitre V RGPD avec garanties documentées.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux et résidence UE

AWS fournit les Clauses Contractuelles Types via l''AWS GDPR Data Processing Addendum, est auto certifiée au Data Privacy Framework UE États Unis et propose le AWS Data Residency Add On (engagement contractuel de traiter les données dans des régions AWS sélectionnées). Pour CloudFront, les opérateurs européens peuvent restreindre l''origine et les buckets de logs aux régions AWS UE, mais les POP edge sont présents sur tous les continents et le control plane est opéré depuis des régions AWS américaines. Les positions EDPB et CNIL considèrent le risque d''accès résiduel comme significatif et imposent une analyse d''impact du transfert.

Étapes pratiques de mise en conformité

Signez l''AWS GDPR Data Processing Addendum, optez pour le AWS Data Residency Add On le cas échéant, restreignez l''origine et les buckets de logs aux régions AWS UE et désactivez toute restriction géographique forçant le trafic vers les POP américains. Documentez l''utilisation de CloudFront dans votre registre des activités, listez le dans la politique de confidentialité comme sous traitant et comme destinataire d''un transfert international, et réalisez une analyse d''impact du transfert. Pour les secteurs à haut risque exigeant une infrastructure strictement UE, envisagez Bunny CDN, Fastly avec POP UE uniquement, OVHcloud CDN, Scaleway Edge Services ou un nginx auto hébergé sur serveurs UE.

Categorie de consentement RGPD

Autre

Les sites web utilisant Amazon CloudFront doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleArticle 6(1)(b) GDPR (performance of a contract) when CloudFront serves the operator content that the visitor requests. Article 6(1)(f) GDPR (legitimate interest) for security, fraud prevention and performance optimisation. Consent is only required for any non essential cookies that the operator chooses to set through CloudFront.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, French CNIL guidance on CDN and third country transfers, German TTDSG, Spanish LSSI, Schrems II case law, US CLOUD Act, EU US Data Privacy Framework, AWS Data Residency Add On, AWS GDPR Data Processing Addendum

Considerations AIPD

Une AIPD est recommandée dès que CloudFront sert un site traitant des volumes significatifs de données de visiteurs européens, en particulier dans la santé, la finance ou le secteur public. Elle doit documenter l'AWS Data Processing Addendum, les Clauses Contractuelles Types, le statut Data Privacy Framework UE États Unis, le risque résiduel lié au CLOUD Act et au FISA 702, l'utilisation du AWS Data Residency Add On et les alternatives évaluées (Bunny CDN, Fastly avec POP UE uniquement, OVHcloud CDN, Scaleway Edge Services).

Exemple de texte de consentement

Notre site est livré via Amazon CloudFront, le CDN d'Amazon Web Services. CloudFront met en cache notre contenu public sur des serveurs edge dans le monde et traite votre adresse IP et les métadonnées de requête pour livrer les pages efficacement. CloudFront est exploité par Amazon Web Services Inc aux États Unis sous Clauses Contractuelles Types et Data Privacy Framework UE États Unis, avec un addendum contractuel de traitement des données.

Details techniques

Methode de suiviAWS edge network distributing web content (HTML, JavaScript, CSS, images, videos) and proxying requests to the operator origin. No cookies are injected by default. The operator can use CloudFront Signed Cookies or Signed URLs for access controlled content and configure Lambda@Edge or CloudFront Functions to enrich or filter requests.

Localisation des serveursAmazon Web Services Inc operates CloudFront with more than 450 edge Points of Presence worldwide, including extensive EU coverage (Frankfurt, Paris, Dublin, Stockholm, Milan). Amazon Web Services EMEA SARL in Luxembourg acts as the contracting entity for EEA customers. The control plane and logs are operated from US AWS regions.

Suivi sans cookie disponibleOui

Donnees transferees hors UECloudFront is operated by Amazon Web Services Inc (US) and Amazon Web Services EMEA SARL (Luxembourg). When a visitor accesses a CloudFront distribution, the request reaches the nearest edge Point of Presence, but logs, configuration and the control plane are processed on US infrastructure. AWS provides Standard Contractual Clauses, is self certified under the EU US Data Privacy Framework, and offers the AWS Data Residency Add On for additional contractual commitments. EDPB and CNIL still classify AWS access by US authorities (FISA 702, CLOUD Act) as a residual risk that must be documented in a transfer impact assessment.

Domaines tiers contactes

cloudfront.netamazonaws.comawsstatic.com

Cookies deposes

Nom	Type	Duree	Finalite
CloudFront-Policy	http	Configurable	CloudFront Signed Cookie carrying the access policy for protected content. Strictly necessary to deliver the operator gated resource.
CloudFront-Signature	http	Configurable	CloudFront Signed Cookie carrying the policy signature used to authenticate the request to protected content.
CloudFront-Key-Pair-Id	http	Configurable	CloudFront Signed Cookie containing the AWS key pair identifier used to verify the Signed Cookie policy.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies CloudFront dépose t il ?

Aucun par défaut. CloudFront est un CDN et n'injecte pas de cookies de tracking. L'opérateur peut configurer CloudFront Signed Cookies pour du contenu sous accès contrôlé (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id), strictement nécessaires à la ressource protégée. Tout cookie déposé par l'origine de l'opérateur est simplement transmis par CloudFront selon le cache behaviour configuré.

CloudFront nécessite t il un consentement ?

Non. La fonction CDN est strictement nécessaire à la livraison du contenu demandé par le visiteur, ce qui relève de l'exemption de l'article 5(3) ePrivacy. Le consentement n'est requis que pour les cookies que l'opérateur choisit de déposer via CloudFront et qui sont eux mêmes non essentiels (analytique, publicité, etc.).

Quelle base légale pour l'utilisation de CloudFront ?

La base légale est l'article 6(1)(b) RGPD (exécution d'un contrat) quand CloudFront sert le contenu de l'opérateur. L'article 6(1)(f) (intérêt légitime) couvre la sécurité, la prévention des fraudes et l'optimisation des performances. L'usage de CloudFront comme sous traitant doit figurer dans le registre des activités et faire l'objet d'un contrat de sous traitance.

CloudFront transfère t il des données aux États Unis ?

Oui en pratique. Même quand l'origine et les buckets de logs sont en régions AWS UE, le control plane CloudFront est opéré depuis des régions AWS américaines et les POP edge couvrent tous les continents. AWS fournit les Clauses Contractuelles Types via le AWS GDPR Data Processing Addendum, est auto certifiée au Data Privacy Framework UE États Unis et propose le AWS Data Residency Add On pour des engagements contractuels renforcés.

Faut il une AIPD pour CloudFront ?

Elle est recommandée dès que CloudFront sert un site traitant des volumes significatifs de données européennes et obligatoire dans les secteurs régulés. L'AIPD doit couvrir l'AWS Data Processing Addendum, le statut Data Privacy Framework UE États Unis, le risque résiduel CLOUD Act, l'utilisation du AWS Data Residency Add On et les alternatives évaluées (CDN exclusivement UE).

Comment déployer CloudFront en conformité ?

Signez l'AWS GDPR Data Processing Addendum, restreignez l'origine et les buckets de logs aux régions AWS UE, désactivez toute restriction géographique forçant le trafic vers les POP américains et configurez les access logs pour anonymiser ou tronquer les identifiants. Documentez la relation de sous traitance dans la politique de confidentialité et le registre des activités, et réalisez une analyse d'impact du transfert.

Quelles alternatives plus sûres à CloudFront ?

Les CDN basés en UE incluent Bunny CDN (Slovénie), Fastly configuré avec POP UE uniquement, OVHcloud CDN (France), Scaleway Edge Services (France), Hetzner CDN, KeyCDN (Suisse) et nginx auto hébergé sur serveurs UE. Les opérateurs européens avec une résidence stricte combinent souvent un CDN UE avec une origine et un stockage exclusivement en régions UE.

Comment mettre à jour ma politique de cookies pour CloudFront ?

Documentez CloudFront et Amazon Web Services comme sous traitant de la livraison du site, mentionnez Amazon Web Services Inc aux États Unis comme destinataire sous Clauses Contractuelles Types et Data Privacy Framework UE États Unis, précisez que CloudFront ne dépose pas par lui même de cookies de tracking, et liez vers l'AWS GDPR Data Processing Addendum et la politique de confidentialité AWS.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min