Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Sucuri

Que fait Sucuri ?

Sucuri est une suite américaine de sécurité web (filiale de GoDaddy) combinant un pare, feu applicatif cloud (WAF), un CDN, le scan et la suppression de malware, et la supervision d'uptime. Sucuri proxifie tout le trafic entrant via son réseau edge mondial, inspecte les requêtes et sert le contenu en cache. Largement utilisé par les sites WordPress, Joomla et Magento pour le hardening et la réponse à incident.

Présentation de Sucuri

Sucuri est une plateforme américaine de sécurité de site web fondée en 2010 et rachetée par GoDaddy en 2017. Elle réunit un pare, feu applicatif cloud (WAF), un CDN mondial, le scan et la suppression de malware, la supervision d'uptime et des services de réponse à incident. Le site protégé pointe son DNS vers l'edge Sucuri, qui proxifie tout le trafic HTTP, applique les règles WAF et sert le contenu en cache. Sucuri est très utilisé sur WordPress, Joomla et Magento, dans l'UE comme aux États, Unis.

Données traitées par Sucuri

Au niveau WAF/CDN : chaque requête HTTP vers le site protégé, incluant adresse IP, user agent, URI, en, têtes de requête et, lorsque le logging complet est activé, le corps de la requête. Au niveau plan de gestion : identité du propriétaire, résultats de scan, détections malware et historique de configuration. Le plugin WordPress (sucuri, scanner) traite l'inventaire des fichiers cœur, l'activité administrateur et les événements de sécurité sur le serveur hôte.

Implications RGPD et ePrivacy

Les adresses IP sont des données personnelles. Le traitement relève de l'exemption sécurité du considérant 49 RGPD et repose sur l'intérêt légitime (art. 6, 1, f). Les cookies posés par Sucuri (sucuri_cloudproxy_uuid, etc.) sont fonctionnels et liés à la logique du WAF, ils relèvent en général de l'exemption stricte de fourniture de service de l'art. 5, 3 ePrivacy. Une analyse d'intérêt légitime (LIA) doit être documentée pour étayer la nécessité et la proportionnalité.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux de données

Sucuri opère un CDN mondial avec des PoP européens, mais le plan de gestion, les logs et la threat intelligence sont centralisés aux États, Unis sous contrôle GoDaddy. Les transferts depuis l'UE s'appuient sur les CCT au titre de l'art. 46, 2, c RGPD et sur la certification Data Privacy Framework UE, US de GoDaddy. Une TIA est recommandée pour les sites de secteurs sensibles.

Étapes pratiques de conformité

Signez la DPA Sucuri/GoDaddy, confirmez les CCT et le DPF, conduisez une LIA, documentez une AIPD courte si vous activez le logging complet, configurez le cache pour bypasser les pages authentifiées contenant des données personnelles, excluez les formulaires de paiement du cache, mentionnez Sucuri dans la politique de confidentialité comme sous, traitant sécurité avec transfert US et documentez le plugin WordPress dans le RoPA.

Categorie de consentement RGPD

Autre

Les sites web utilisant Sucuri doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (Art. 6(1)(f) GDPR), with the security exemption of Recital 49 GDPR for network and information security

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive (Cookie Law), Recital 49 GDPR, CCPA, PCI DSS (where the site processes payments)

Considerations AIPD

Sucuri inspecte chaque requête HTTP vers le site protégé, traitant adresses IP, payloads de requêtes, user agents et, via le plugin, l'activité administrateur WordPress. Points clés pour l'AIPD : (1) le WAF peut journaliser le corps des POST, qui inclut incidemment des données personnelles soumises via les formulaires ; (2) les IP sont traitées de manière systématique, avec une rétention configurable ; (3) la threat intelligence centralisée est hébergée aux États, Unis sous contrôle opérationnel GoDaddy ; (4) le CDN met en cache les réponses, qui peuvent inclure des données personnelles sur les pages authentifiées si elles ne sont pas exclues ; (5) le plugin WordPress (sucuri, scanner) requiert un accès admin et traite l'inventaire des fichiers. Une AIPD est recommandée pour les sites à fort trafic ou lorsque le logging complet est activé.

Exemple de texte de consentement

Notre site est protégé par Sucuri, service américain de sécurité web (groupe GoDaddy). Tout le trafic entrant transite par Sucuri pour détecter et bloquer les attaques. Pour cela, Sucuri traite votre adresse IP, votre user agent et les détails de requête. Le traitement repose sur notre intérêt légitime à la sécurité du site (art. 6, 1, f RGPD, considérant 49). Les transferts vers les États, Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework UE, États, Unis.

Details techniques

Methode de suiviCloud-based Web Application Firewall (WAF) and CDN proxying all traffic, plus optional WordPress plugin (sucuri-scanner) for server-side scanning

Localisation des serveursUnited States (Sucuri Inc., a GoDaddy company, headquartered in Menifee, California) with a global edge network for the firewall and CDN tier

Donnees transferees hors UESucuri proxies all visitor traffic through its global CDN, with PoPs in multiple regions including the EU. Logs, threat intelligence, and management plane data are centralised in the United States. As a GoDaddy company, processing is subject to GoDaddy data protection terms. Transfers from the EU rely on Standard Contractual Clauses under Art. 46(2)(c) GDPR and on the EU-US Data Privacy Framework.

Domaines tiers contactes

sucuri.netwww.sucuri.netcloudproxy.sucuri.netfirewall.sucuri.netsitecheck.sucuri.net

Cookies deposes

Nom	Type	Duree	Finalite
sucuri_cloudproxy_uuid	Functional / Security	1 year	Unique identifier set by the Sucuri Web Application Firewall to recognise a returning visitor and apply consistent firewall rules and rate limits across requests.
sucuri_protect_*	Functional / Security	Session	Short-lived session cookies used by the Sucuri WAF to confirm that a request comes from a previously challenged browser, avoiding repeated CAPTCHAs.
sucuri_session	Functional / Security	Session	Maintains the security session between the visitor browser and the Sucuri edge for the duration of the visit.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Sucuri pose, t, il ?

Sucuri pose un petit nombre de cookies fonctionnels (sucuri_cloudproxy_uuid, sucuri_protect_*) utilisés pour reconnaître un visiteur récurrent et appliquer les règles WAF de manière cohérente. Ces cookies sont fonctionnels et liés à la finalité de sécurité.

Sucuri nécessite, t, il un consentement ?

En général non. Les cookies relèvent de l'exemption stricte de fourniture de service de l'art. 5, 3 ePrivacy et le traitement repose sur l'intérêt légitime au titre du considérant 49 RGPD. Documentez la LIA et mentionnez Sucuri dans la politique de confidentialité.

Quelle base légale pour Sucuri ?

Intérêt légitime (art. 6, 1, f RGPD), avec l'exemption sécurité du considérant 49. Documentez une LIA courte couvrant nécessité, proportionnalité et droits des personnes.

Sucuri transfère, t, il des données vers les États, Unis ?

Oui. Le plan de gestion et les logs sont hébergés aux États, Unis sous contrôle opérationnel GoDaddy. Les transferts s'appuient sur les CCT au titre de l'art. 46, 2, c RGPD et sur le Data Privacy Framework UE, États, Unis.

Faut, il une AIPD pour Sucuri ?

Pour les déploiements typiques, non. Documentez une AIPD si vous activez le logging complet du corps des requêtes (qui peut capter des données personnelles depuis les formulaires) ou si vous êtes dans un secteur sensible (santé, secteur public, finance).

Comment déployer Sucuri en conformité ?

Signez la DPA GoDaddy, confirmez les CCT et le DPF, configurez les règles de cache CDN pour bypasser les pages authentifiées contenant des données personnelles, excluez les formulaires de paiement du cache, documentez la LIA, mentionnez Sucuri dans la politique de confidentialité et documentez le périmètre du plugin WordPress dans le RoPA.

Quelles alternatives à Sucuri ?

Alternatives européennes ou EU, friendly : Cloudflare WAF (US, PoP UE), Imperva Cloud WAF, Akamai Web Application Protector, Fastly Next, Gen WAF, Patchstack (Estonie), Wordfence (US), et ModSecurity auto, hébergé avec OWASP Core Rule Set.

Comment mettre à jour la politique cookies pour Sucuri ?

Listez les cookies fonctionnels Sucuri dans la section strictement nécessaires ou sécurité de la politique cookies, avec nom, finalité, durée et mention du transfert US avec CCT et DPF. Précisez que le consentement n'est pas requis car le traitement repose sur l'intérêt légitime avec exemption sécurité.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min