Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Cloudflare

Que fait Cloudflare ?

Cloudflare est une entreprise mondiale d'infrastructure internet fournissant CDN, protection DDoS, DNS, WAF (pare-feu d'applications web), gestion des bots et services de sécurité. Ses services d'infrastructure de base ne nécessitent pas de consentement aux cookies — les cookies de sécurité (__cf_bm, cf_clearance) sont strictement nécessaires pour la protection contre les bots. Des options de localisation des données EU sont disponibles. Cloudflare est certifié dans le cadre du EU-US Data Privacy Framework.

Qu''est-ce que Cloudflare ?

Cloudflare est une entreprise mondiale d''infrastructure internet dont les produits se placent entre les visiteurs du site web et le serveur d''origine, fournissant : la livraison de contenu (CDN), la protection DDoS, un pare-feu d''applications web (WAF), la gestion des bots, les services DNS et les Cloudflare Workers (informatique sans serveur). Plus de 20% d''Internet utilise Cloudflare comme couche CDN et de sécurité.

Cookies Cloudflare et RGPD

Cloudflare dépose deux cookies de sécurité : __cf_bm (gestion des bots, 30 minutes) et cf_clearance (autorisation de défi de sécurité, 1 jour). Tous deux sont strictement nécessaires aux fonctions de sécurité de Cloudflare — ils sont techniquement requis pour que le WAF et la protection contre les bots fonctionnent. Ces cookies ne nécessitent pas de consentement selon la directive ePrivacy car ils sont strictement nécessaires au service de sécurité légitime.

Localisation des données EU

Cloudflare propose le Data Localisation Suite pour les clients enterprise, permettant de restreindre le traitement des données aux points de présence EU. Pour les déploiements standard, le réseau Anycast de Cloudflare peut router le trafic via des centres de données non-EU. Cloudflare est certifié dans le cadre du EU-US Data Privacy Framework et fournit des CCT dans son accord de traitement.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Étapes pratiques de mise en conformité

Signez l''accord de traitement Cloudflare (disponible dans le tableau de bord Cloudflare). Classifiez __cf_bm et cf_clearance comme strictement nécessaires dans votre politique de cookies — aucun consentement requis. Divulguez Cloudflare comme sous-traitant CDN et de sécurité dans votre politique de confidentialité. Pour les déploiements enterprise nécessitant un traitement uniquement en Europe, configurez le Data Localisation Suite.

Categorie de consentement RGPD

Autre

Les sites web utilisant Cloudflare doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (Art. 6(1)(f)) for CDN, DDoS protection, WAF, and security services as strictly necessary infrastructure. Cloudflare does not set advertising or tracking cookies for its core infrastructure services. The __cf_bm and cf_clearance cookies are strictly necessary for bot protection and security.

Niveau de risquelow

Reglementations applicablesGDPR, SCCs for US transfers. Cloudflare DPA available. EU-US Data Privacy Framework certified.

Considerations AIPD

Une AIPD n'est généralement pas requise pour les déploiements CDN et de sécurité Cloudflare standard. Elle peut devenir pertinente pour les déploiements Cloudflare Workers ou R2 traitant des volumes importants de données personnelles.

Exemple de texte de consentement

Ce site web utilise Cloudflare pour la sécurité et les performances. Cloudflare dépose des cookies strictement nécessaires (__cf_bm, cf_clearance) pour la protection contre les bots. Ceux-ci ne nécessitent pas de consentement car ils sont essentiels à la sécurité du site web.

Details techniques

Methode de suiviCDN, DDoS protection, DNS, WAF, Bot Management, Cloudflare Analytics, Workers, Pages, R2 storage

Localisation des serveursGlobal network including European Union data centres

Suivi sans cookie disponibleOui

Donnees transferees hors UECloudflare is a US company (San Francisco) with a global network including EU data centres. Standard Cloudflare deployments may route traffic through non-EU points of presence. Cloudflare offers EU data localisation options for certain products. Cloudflare provides a GDPR-compliant DPA and is certified under the EU-US Data Privacy Framework.

Domaines tiers contactes

cloudflare.comchallenges.cloudflare.comcdnjs.cloudflare.com

Cookies deposes

Nom	Type	Duree	Finalite
__cf_bm	session	30 minutes	Cloudflare bot management cookie distinguishing legitimate users from automated bots — strictly necessary
cf_clearance	persistent	1 day	Cloudflare security challenge clearance cookie confirming the visitor passed the security check — strictly necessary

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Les cookies Cloudflare nécessitent-ils un consentement RGPD ?

Non. Les cookies de sécurité de Cloudflare (__cf_bm, cf_clearance) sont strictement nécessaires pour la protection contre les bots et les services de sécurité. Ils ne nécessitent pas de consentement selon la directive ePrivacy. Classifiez-les comme strictement nécessaires dans votre politique de cookies.

Que fait Cloudflare avec les adresses IP des visiteurs ?

Cloudflare traite les adresses IP dans le cadre de ses services CDN et de sécurité. Les adresses IP sont des données personnelles selon le RGPD. L'intérêt légitime de Cloudflare couvre ce traitement comme un service d'infrastructure nécessaire. Cloudflare conserve les logs pendant des périodes définies.

Cloudflare propose-t-il la localisation des données EU ?

Oui. Le Data Localisation Suite de Cloudflare (enterprise) restreint le traitement des données aux points de présence EU. Pour les déploiements standard, le réseau Anycast de Cloudflare peut utiliser des centres de données non-EU. Cloudflare est certifié EU-US Data Privacy Framework et fournit des CCT pour les transferts hors EU.

Cloudflare est-il sous-traitant ou responsable du traitement ?

Les deux, selon le contexte. Pour les services CDN, WAF et de sécurité pour le compte des opérateurs de sites web, Cloudflare est sous-traitant. Signez l'accord de traitement Cloudflare qui couvre la relation de sous-traitant.

Dois-je signer un accord de traitement avec Cloudflare ?

Oui. Signez l'avenant de traitement de données Cloudflare disponible dans le tableau de bord Cloudflare sous Paramètres du compte. Cela couvre le traitement par Cloudflare des données personnelles (y compris les adresses IP des visiteurs) en tant que fournisseur d'infrastructure.

Cloudflare Analytics collecte-t-il des données personnelles ?

Cloudflare Web Analytics est axé sur la confidentialité : il n'utilise pas de cookies, ne suit pas les individus sur différents sites et ne stocke pas les adresses IP au-delà du traitement des requêtes. Il est sans cookies et conforme au RGPD.

Qu'est-ce que le cookie __cf_bm ?

__cf_bm est un cookie de gestion des bots Cloudflare (session de 30 minutes). Il distingue le trafic humain légitime du trafic automatisé. Il est strictement nécessaire au service de protection contre les bots de Cloudflare et ne nécessite pas de consentement.

Cloudflare peut-il être utilisé sans préoccupations RGPD ?

Les services principaux de Cloudflare (CDN, DDoS, WAF) peuvent être déployés avec une friction RGPD minimale : cookies strictement nécessaires, intérêt légitime pour la sécurité et un accord de traitement signé. C'est l'un des services d'infrastructure les plus simples du point de vue RGPD disponibles.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min