Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Fastly est une plateforme edge cloud qui propose un CDN mondial, l'optimisation d'images, l'analytique en temps réel et l'exécution de code en périphérie. En tant que CDN, Fastly relaie le trafic entre les utilisateurs et les serveurs d'origine, accélère la diffusion et renforce la sécurité. Par défaut Fastly ne dépose pas de cookies côté client, ce qui simplifie sa posture RGPD. La journalisation des adresses IP et des métadonnées de requête reste un traitement de données personnelles qui doit être documenté.
Fastly est une plateforme edge cloud basée aux États Unis, cotée à la Bourse de New York sous le symbole FSLY. Elle exploite un réseau mondial de points de présence agissant comme reverse proxies entre les utilisateurs et les serveurs d''origine. Lorsqu''un visiteur demande une ressource, le nœud Fastly le plus proche sert la réponse mise en cache ou la récupère à l''origine, accélérant la diffusion et absorbant les pics de trafic. Fastly propose également l''optimisation d''images, l''analytique temps réel, Compute@Edge pour exécuter du code serverless et un pare feu applicatif nouvelle génération.
Par défaut Fastly ne dépose ni cookies tiers ni cookies de première partie dans le navigateur du visiteur. Le service agit comme une infrastructure transparente qui relaie les requêtes et les réponses HTTP. En vertu de l''article 5(3) de la directive ePrivacy, le consentement n''est requis que lorsqu''un service stocke ou accède à des informations sur le terminal de l''utilisateur, ce que Fastly ne fait pas par lui même. Le traitement des adresses IP et des en têtes nécessaire à la diffusion et à la sécurité relève de l''intérêt légitime de l''article 6(1)(f) RGPD, l''exemption des cookies strictement nécessaires s''appliquant aux éventuels cookies de routage de session.
Même sans cookies, Fastly traite nécessairement des métadonnées de connexion pour fournir le service. Cela inclut les adresses IP, les chaînes user agent, les URL demandées, les en têtes referer, les empreintes TLS et les codes de réponse. Les journaux peuvent être conservés à des fins de sécurité et de dépannage opérationnel. Si l''origine dépose des cookies, Fastly les relaie sans les créer. Les clients peuvent également configurer Fastly pour enrichir les journaux, hacher les IP ou supprimer des en têtes sensibles au niveau du edge.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Fastly est un responsable établi aux États Unis avec des infrastructures en Europe, en Asie, dans les Amériques et en Océanie. Le trafic des visiteurs européens peut transiter par des nœuds européens, mais les données du plan de gestion et le support atteignent les États Unis. Les transferts sont encadrés par les Clauses Contractuelles Types incluses dans l''avenant de traitement de Fastly et, lorsque Fastly s''auto certifie, par le Data Privacy Framework UE États Unis. Les responsables doivent réaliser une analyse d''impact des transferts et documenter les mesures supplémentaires telles que TLS et contrôles d''accès.
Signez l''avenant de traitement Fastly, listez Fastly dans votre politique de confidentialité en tant que sous traitant pour la diffusion de contenu, documentez l''évaluation d''intérêt légitime et limitez la conservation des journaux. Pseudonymisez ou tronquez les adresses IP dans les journaux à long terme lorsque possible. Évitez de coupler Fastly avec des fonctions d''analyse ou de gestion de tags qui en feraient une technologie de pistage. Vérifiez périodiquement les configurations pour confirmer qu''aucun cookie inattendu n''est introduit via Compute@Edge.
Si vous diffusez des zones authentifiées, des flux de paiement ou des contenus de santé via Fastly, le volume et la sensibilité des données augmentent. Réalisez alors une AIPD, restreignez la journalisation au edge, activez le TLS de bout en bout, configurez le shielding pour conserver le trafic sur des PoPs européens lorsque possible et documentez la chaîne des sous traitants. Pour du contenu public, la posture standard CDN reste à faible risque.
Les sites web utilisant Fastly doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD complète n'est généralement pas requise pour un usage purement CDN de Fastly, le traitement étant limité à la diffusion, à la mise en cache et à la sécurité. Un registre Article 30 ainsi qu'une analyse d'impact des transferts vers les points de présence américains restent recommandés. Si Fastly traite des charges utiles sensibles, gère des sessions authentifiées ou enrichit les journaux avec des identifiants utilisateurs, une AIPD doit être réalisée.
Exemple de texte de consentement
Aucune bannière de consentement préalable n'est en principe requise pour Fastly car le service fonctionne comme un réseau de diffusion de contenu strictement nécessaire à la fourniture du contenu demandé et à la sécurisation du site. La base légale est l'intérêt légitime au titre de l'article 6(1)(f) du RGPD. Les utilisateurs doivent être informés dans la politique de confidentialité que Fastly traite des métadonnées de connexion telles que les adresses IP et les en têtes de requête, et que certains flux peuvent transiter par des nœuds américains sous garanties appropriées.
Domaines tiers contactes
fastly.comfastly.netfastlylb.netglobal.ssl.fastly.neta.ssl.fastly.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| (none) | Not applicable | Not applicable | Fastly operates as a content delivery network and reverse proxy. By default it does not set first party or third party cookies on the visitor's browser. Any cookies observed in responses are set by the origin server or by application code, not by Fastly itself. |
| Fastly-Debug-* | Debug header, not a cookie | Per request | Fastly may emit response headers such as Fastly-Debug-Path or Fastly-Debug-Digest for diagnostic purposes when explicitly enabled. These are HTTP headers, not browser cookies, and they do not persist between requests. |
| fastly-session | Strictly necessary (optional, configured) | Session | Some implementations configure a session affinity cookie at the edge to keep a visitor pinned to the same backend during a session. Where used, it is strictly necessary for service routing and is exempt from consent under the ePrivacy Directive. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Fastly ne dépose en principe aucun cookie dans le navigateur du visiteur. Il agit comme réseau de diffusion de contenu et reverse proxy, intermédiant le trafic HTTP sans injecter d'identifiants côté client. Lorsque vous observez des cookies dans la réponse, ils proviennent presque toujours du serveur d'origine, de votre propre application ou d'une charge Compute@Edge que vous avez configurée. Une exception possible est un cookie d'affinité de session utilisé uniquement pour le routage vers un backend cohérent, qui relève des cookies strictement nécessaires au sens de la directive ePrivacy.
Utilisé strictement comme CDN, Fastly n'exige pas de consentement préalable. L'article 5(3) de la directive ePrivacy ne requiert le consentement que lorsque des informations sont stockées ou lues sur le terminal de l'utilisateur, ce que Fastly ne fait pas par défaut. Le traitement des adresses IP et des en têtes pour la diffusion et la sécurité est couvert par l'intérêt légitime au titre de l'article 6(1)(f) du RGPD. Mentionnez Fastly dans la politique de confidentialité et documentez l'évaluation d'intérêt légitime.
La base la plus fréquente est l'intérêt légitime au titre de l'article 6(1)(f) du RGPD, justifiée par la nécessité de diffuser le contenu efficacement, de se protéger contre les attaques et d'assurer la disponibilité. Lorsque Fastly est indispensable à l'exécution d'un contrat, par exemple pour servir une plateforme e commerce choisie par l'utilisateur, l'article 6(1)(b) relatif à l'exécution contractuelle peut également s'appliquer. Les deux bases doivent être documentées dans le registre des activités de traitement.
Oui. Fastly est basé à San Francisco et exploite des points de présence dans le monde entier. Le trafic des visiteurs européens peut être servi depuis des PoPs européens, mais le plan de gestion, le support et certaines analyses atteignent les États Unis. Les transferts s'appuient sur les Clauses Contractuelles Types de l'avenant de traitement de Fastly et, lorsque Fastly s'auto certifie, sur le Data Privacy Framework UE États Unis. Une analyse d'impact des transferts est recommandée.
Une AIPD dédiée n'est généralement pas requise lorsque Fastly sert uniquement à mettre en cache et sécuriser des contenus publics. Une AIPD devient appropriée lorsque Fastly traite des zones authentifiées, des flux de paiement, des données de santé, des journaux à grande échelle avec identifiants utilisateurs, ou lorsque Compute@Edge traite des charges utiles au delà de la simple diffusion. Sans AIPD, documentez le traitement dans votre registre Article 30 et réalisez une analyse d'impact des transferts.
Signez l'avenant de traitement Fastly, listez Fastly comme sous traitant dans votre politique de confidentialité, configurez une conservation de journaux courte, pseudonymisez ou tronquez les adresses IP lorsque possible et évitez de coupler le CDN avec des fonctions de pistage. Activez TLS vers l'origine, utilisez le shielding pour conserver le trafic européen sur des PoPs UE quand c'est possible, et revoyez le code Compute@Edge pour vous assurer qu'aucun cookie ou appel tiers inattendu n'est introduit.
Parmi les alternatives courantes figurent Cloudflare, Akamai, Amazon CloudFront, Google Cloud CDN, Microsoft Azure Front Door et des acteurs européens comme BunnyCDN, Gcore, OVHcloud ou Scaleway Edge Services. Le choix dépend de vos besoins de performance, de votre tolérance aux transferts vers les États Unis, de la maturité des fonctions edge compute et de vos relations cloud existantes. La plupart des CDNs partagent un profil de risque faible lorsqu'ils sont utilisés strictement pour la diffusion.
Même si Fastly ne dépose pas de cookies, la transparence gagne à le mentionner explicitement. Ajoutez un paragraphe dans la politique de confidentialité présentant Fastly comme sous traitant pour la diffusion et la sécurité, expliquant que les métadonnées de connexion comme les adresses IP sont traitées au titre de l'intérêt légitime, décrivant la portée géographique des nœuds edge et renvoyant aux CCT et au DPF qui encadrent les transferts. Si un cookie de routage de session est utilisé, listez le dans la catégorie strictement nécessaire.