Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
AWS CloudFront est le réseau de diffusion de contenu (CDN) d'Amazon Web Services. Il met en cache pages, scripts, images et flux vidéo sur des centaines de points de présence répartis dans le monde et les sert au visiteur le plus proche. Au regard du RGPD, CloudFront traite des adresses IP, des en têtes HTTP et des journaux d'accès optionnels en tant que sous traitant, sous le contrôle d'AWS Inc. établi aux États Unis.
AWS CloudFront est le réseau de diffusion de contenu (CDN) d''Amazon Web Services. Il met en cache pages HTML, bundles JavaScript et CSS, images, polices, segments vidéo et réponses d''API sur des centaines de points de présence répartis dans le monde, puis les sert depuis l''emplacement le plus proche de chaque visiteur. Pour les éditeurs de sites établis dans l''Union européenne, CloudFront est le plus souvent déployé en proxy inverse devant un bucket S3, un Application Load Balancer ou une origine tierce, afin de réduire la latence, d''absorber les pics de trafic et de soulager l''origine.
CloudFront reçoit chaque requête HTTP et HTTPS émise par le navigateur du visiteur. Pour servir la réponse, il traite l''adresse IP source, l''URL demandée, la méthode HTTP, les en têtes de requête et de réponse (User Agent, Referer et cookies transmis par l''origine), la version TLS et le chiffrement négocié, la géolocalisation déduite de l''IP et le point de présence choisi. Lorsque les journaux d''accès ou les journaux temps réel sont activés, ces informations sont stockées dans un bucket S3 ou transmises à Kinesis. CloudFront ne pose pas en propre de cookies analytiques ou publicitaires, mais peut transmettre et mettre en cache les cookies, les paramètres d''URL et les en têtes définis dans la politique de cache.
Les adresses IP traitées par CloudFront constituent des données à caractère personnel au sens du RGPD. Amazon Web Services Inc. agit en qualité de sous traitant pour le compte de l''éditeur et de responsable de traitement pour des finalités limitées d''exploitation du service. La maison mère étant établie aux États Unis, chaque requête vers une distribution CloudFront est susceptible d''être observée par une infrastructure américaine. La base légale d''une diffusion de contenu courante est l''intérêt légitime au sens de l''article 6, paragraphe 1, point f) du RGPD. La directive ePrivacy n''impose un consentement préalable qu''à la lecture ou à l''écriture d''informations sur le terminal du visiteur, ce qui n''est pas déclenché par la simple diffusion de contenu mais l''est en revanche dès lors que CloudFront est associé à des cookies marketing, à des balises publicitaires ou à des techniques d''empreinte.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Même lorsqu''un point de présence européen sert la réponse, AWS peut transférer ou répliquer des données opérationnelles vers les États Unis. Ces transferts s''appuient sur l''Addendum AWS au RGPD, les Clauses Contractuelles Types de l''Union au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, complétés par un chiffrement en transit (TLS 1.3) et au repos, des clés gérées par le client via AWS KMS et un contrôle d''accès strict. L''éditeur doit inscrire AWS dans son registre des activités de traitement et informer les visiteurs de cette destination américaine dans la politique de confidentialité.
Signez l''Addendum AWS RGPD, documentez CloudFront dans le registre des traitements et mettez à jour la politique de confidentialité pour mentionner le réseau d''edge AWS et la destination américaine. Définissez des politiques de cache qui retirent les cookies et paramètres non essentiels, activez des règles AWS WAF qui n''enregistrent pas inutilement les adresses IP brutes, et fixez une durée de conservation pour les journaux d''accès. Lorsque CloudFront sert des ressources chargées en même temps que des scripts analytiques ou publicitaires, conditionnez ces scripts tiers à une plateforme de gestion du consentement, de sorte qu''aucune balise marketing ne se déclenche avant l''acceptation du visiteur.
Les sites web utilisant AWS CloudFront doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas nécessaire pour une simple diffusion d'actifs statiques via CloudFront. Une AIPD est recommandée lorsque CloudFront est combiné avec AWS WAF, Lambda@Edge, des journaux en temps réel ou des techniques d'empreinte qui surveillent systématiquement le comportement des visiteurs, ou lorsque du contenu sensible (santé, finance, secteur public) est servi à des utilisateurs européens.
Exemple de texte de consentement
Nous utilisons Amazon CloudFront, un réseau de diffusion de contenu exploité par Amazon Web Services Inc. (États Unis), pour accélérer et fiabiliser ce site. CloudFront traite votre adresse IP et les métadonnées de votre requête. En acceptant, vous autorisez ce transfert vers les serveurs AWS, y compris aux États Unis, encadré par les Clauses Contractuelles Types européennes et le Data Privacy Framework UE États Unis.
Domaines tiers contactes
cloudfront.netamazonaws.comaws.amazon.coms3.amazonaws.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| aws-waf-token | Security | Up to 24 hours (configurable) | Set by AWS WAF Bot Control or Captcha challenges when integrated with CloudFront. Stores a signed token attesting that the visitor has passed a bot or captcha challenge so that subsequent requests are not blocked. |
| CloudFront-Key-Pair-Id | Functional | Session or until logout | Used by CloudFront signed cookies to authorise access to private content (videos, downloads). Carries the key pair ID that identifies the signing keys used by the distribution. |
| CloudFront-Policy | Functional | Defined by the signing policy (typically minutes to hours) | Stores the base64 encoded policy that defines which resources the signed cookie authorises and until when. Read by CloudFront edge servers to validate access to restricted distributions. |
| CloudFront-Signature | Functional | Same lifetime as CloudFront-Policy | Stores the cryptographic signature that proves the CloudFront-Policy was issued by an authorised signer. Used together with CloudFront-Key-Pair-Id and CloudFront-Policy to grant access to private content. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
CloudFront ne pose en propre aucun cookie de mesure, d'analyse ou de publicité. Il peut en revanche transmettre et mettre en cache les cookies envoyés par votre origine si la politique de cache est configurée pour les inclure. Les cookies marketing ou analytiques observés sur un site servi par CloudFront proviennent d'autres couches (votre application, les défis AWS WAF, des scripts embarqués) et doivent être traités selon les règles propres à ces couches.
Non. La simple diffusion de contenu via CloudFront relève de l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD et ne déclenche pas la règle d'ePrivacy relative au stockage, car aucune information n'est écrite ou lue sur le terminal à cette fin. Un consentement explicite n'est obligatoire que si CloudFront sert des balises marketing, des créations publicitaires ou des scripts d'empreinte qui exigent eux mêmes le consentement de l'article 6, paragraphe 1, point a) du RGPD.
La base légale est l'intérêt légitime au sens de l'article 6, paragraphe 1, point f) du RGPD : exploiter un CDN pour diffuser son propre site répond à un intérêt commercial et de sécurité reconnu. Le traitement doit rester proportionné, la conservation des journaux d'accès doit être limitée et les visiteurs doivent être informés du réseau d'edge AWS et de la destination américaine dans la politique de confidentialité.
AWS publie un Addendum RGPD relatif au traitement des données qui inclut les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD et confirme l'adhésion au Data Privacy Framework UE États Unis. Les mesures complémentaires comprennent TLS 1.3 en transit, le chiffrement au repos, les clés gérées par le client AWS KMS, des certifications d'audit (ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II) et un contrôle d'accès strict.
Pour une simple diffusion d'actifs statiques, aucune AIPD n'est requise. Une AIPD est recommandée lorsque CloudFront est combiné avec AWS WAF, Lambda@Edge, des journaux en temps réel ou des techniques d'empreinte qui surveillent systématiquement le visiteur, lorsque la ressource protégée traite des données sensibles (santé, finance, secteur public) ou lorsque du trafic provenant de mineurs européens est attendu.
Signez l'Addendum AWS RGPD, ajoutez AWS à votre registre des activités de traitement, mettez à jour la politique de confidentialité pour mentionner la destination américaine, et configurez des politiques de cache et de requête d'origine qui retirent les cookies non essentiels. Limitez la rétention des journaux d'accès, restreignez la journalisation des IP brutes par WAF au strict nécessaire et conditionnez tout script tiers chargé via CloudFront à une plateforme de gestion du consentement.
Oui. Des CDN européens comme BunnyCDN (enregistré en Slovénie), KeyCDN (Suisse), Gcore (Luxembourg) ou OVHcloud (France) gardent leurs noeuds et leur contrôle juridique en Europe, ce qui réduit le volume des transferts vers les États Unis. Cloudflare propose également une option de résidence des données limitée à l'Union. Le bon choix dépend de la couverture géographique, des fonctionnalités avancées (WAF, edge compute) et de l'intégration avec le reste de la stack.
Listez AWS Inc. comme sous traitant du service CDN, mentionnez les zones du réseau d'edge AWS pertinentes pour votre trafic, indiquez que des données dont l'adresse IP peuvent être transférées aux États Unis sous CCT et Data Privacy Framework, renvoyez vers la notice de confidentialité d'AWS et précisez la durée de conservation retenue pour les journaux d'accès CloudFront.