Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Varnish

Que fait Varnish ?

Varnish est un accélérateur HTTP open source et reverse proxy cache initialement développé par Poul Henning Kamp pour le journal norvégien VG, désormais maintenu par le projet open source Varnish Cache et la société Varnish Software AS. Il s'intercale entre le client et le serveur d'origine, met en cache les réponses HTTP selon des règles VCL, et sert le contenu cacheé sans solliciter le backend. Côté privacy, Varnish est un logiciel serveur : pas de cookies client, mais des journaux d'accès contenant adresses IP et métadonnées de requête.

Qu''est-ce que Varnish ?

Varnish est un accélérateur HTTP haute performance et reverse proxy cache. Il a été écrit en 2006 par Poul Henning Kamp pour le journal norvégien VG afin de gérer les pics de trafic, et il est aujourd''hui maintenu par le projet open source Varnish Cache et par la société Varnish Software AS (Norvège, Suède, Allemagne). Varnish se place devant un ou plusieurs serveurs d''origine, met en cache les réponses HTTP selon le langage de configuration VCL, et sert les réponses cachées directement aux clients, réduisant drastiquement la charge du backend et la latence. Il est très utilisé par les éditeurs, l''e commerce, le streaming vidéo et les API SaaS.

Quelles données Varnish génère-t-il ?

Varnish ne dépose ni ne lit de cookies client. Il peut faire transiter les cookies depuis le client vers l''origine (ou les supprimer en VCL), mais ces cookies appartiennent aux backends, pas à Varnish. Ce que Varnish produit, ce sont des journaux détaillés via varnishlog (tracing complet requête/réponse) et varnishncsa (Combined Log Format), contenant IP client, horodatage, méthode, URL, statut, temps de réponse et en-têtes. Ces journaux sont des données personnelles au sens du RGPD. Varnish stocke aussi les corps de réponse en mémoire partagée le temps du cache, ce qui peut brièvement contenir des données personnelles depuis des réponses API ou HTML.

Implications RGPD et ePrivacy

Comme Varnish ne stocke ni ne lit d''informations sur le terminal du visiteur, l''article 5(3) de la directive ePrivacy (consentement cookies) ne s''applique pas à Varnish. Le cache et les journaux d''accès sont régis par le RGPD et reposent sur l''intérêt légitime de l''art. 6(1)(f) : la mise en cache est une activité opérationnelle attendue, et les logs sont nécessaires pour régler le cache, sécuriser et stabiliser. La rétention doit être courte par défaut, les logs de cache n''étant pas typiquement utilisés pour l''investigation long terme.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Patterns VCL privacy positifs

Varnish est livré avec un VCL par défaut qui supprime les cookies des requêtes GET cachables pour maximiser le hit ratio. C''est un défaut privacy positif puisque les cookies de tracking n''atteignent pas les chemins de contenu cachables. L''opérateur peut aussi configurer varnishncsa pour anonymiser les IP par troncature du dernier octet, ou utiliser un Combined Log Format avec anonymisation custom. La construction des clés de cache peut être réglée pour éviter d''y inclure des identifiants de session, ce qui préserve l''efficacité du cache et limite le risque de mise en cache involontaire de données de session.

Transferts et hébergement

Varnish Cache, logiciel open source, ne transfère aucune donnée par lui-même. Le régime de transfert dépend de la localisation de l''hébergement choisi par l''opérateur. Varnish Software AS, l''entité commerciale, a son siège en Norvège (reconnue adéquate sous RGPD) avec des bureaux en Suède et en Allemagne ; si l''opérateur achète Varnish Enterprise ou la SaaS Controlled Edge, la relation de support est régie par un contrat norvégien avec résidence UE/EEE par défaut.

Mise en pratique

Inscrire Varnish dans le registre des traitements comme couche de cache opérationnel sous intérêt légitime. Régler la rétention varnishncsa à 7 à 30 jours, rotation des logs avec logrotate, stockage des logs sur infrastructure UE. Configurer le VCL pour supprimer les cookies de tracking sur les chemins cachables, anonymiser les IP là où c''est possible, omettre les query strings des logs sur les routes portant des jetons. En cas d''achat de Varnish Enterprise ou Controlled Edge, signer le DPA Varnish Software. Varnish n''a pas à figurer sur la bannière cookies puisqu''il ne dépose pas de cookies, mais l''opérateur peut mentionner la couche cache dans la section technologie de la politique de confidentialité par transparence.

Categorie de consentement RGPD

Autre

Les sites web utilisant Varnish doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (GDPR Art. 6(1)(f)) for server access logs and cache operations, justified by performance, security and operational stability. ePrivacy Directive Art. 5(3) does not apply because Varnish does not read or write information on the client device.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive (only for cookies that the operator chooses to set or pass through via VCL, not Varnish itself), German TTDSG, French CNIL guidance on server logs

Considerations AIPD

Varnish ne nécessite pas d'AIPD en lui-même, c'est un logiciel de cache serveur sans tracking client. Ses logs (varnishlog, varnishncsa) écrivent des entrées avec IP, URLs et codes, donc des données personnelles au sens du RGPD. Points clés : (1) les logs de cache ont une rétention plus courte que les logs applicatifs complets puisqu'ils servent au réglage du cache plutôt qu'à l'investigation long terme, 7 à 30 jours suffisent ; (2) les URLs de requête peuvent transporter des jetons ou des données personnelles en query string, à prendre en compte dans la rétention et les contrôles d'accès ; (3) Varnish peut être configuré pour strip les cookies sur le chemin de requête (pour maximiser le hit ratio) et de réponse, défaut privacy positif ; (4) Varnish Software AS, l'entité commerciale, est basée en UE (Norvège HQ), ce qui limite l'exposition Schrems II pour les clients enterprise ; (5) le cache lui-même stocke les corps de réponse en mémoire partagée, ce qui peut brièvement contenir des données personnelles, relevant de l'intérêt légitime opérationnel.

Exemple de texte de consentement

Nous utilisons Varnish Cache comme accélérateur HTTP et reverse proxy sur notre infrastructure. Varnish ne dépose pas de cookies sur votre appareil. Comme tout intermédiaire HTTP, il écrit des journaux d'accès contenant votre adresse IP, la page demandée, les en-têtes et le code de réponse. Ces journaux servent à l'optimisation de performance, à l'investigation sécurité et à la stabilité opérationnelle au titre de notre intérêt légitime. Les logs sont conservés [XX] jours puis anonymisés ou supprimés.

Details techniques

Methode de suiviServer side HTTP accelerator and reverse proxy cache. Varnish sits between the client and the origin server, caches HTTP responses according to its VCL (Varnish Configuration Language) rules and serves cached content directly without hitting the backend. It does not set any client side cookie or pixel of its own. Like any HTTP intermediary it generates request logs (varnishlog, varnishncsa) containing IP addresses, request URLs and headers.

Localisation des serveursOperator controlled. Varnish is open source software (Varnish Cache) that runs wherever the operator hosts it. Varnish Software AS (Norway, Sweden, Germany) offers Varnish Enterprise and the Varnish Controlled Edge SaaS, with EU data residency available.

Suivi sans cookie disponibleOui

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Varnish dépose-t-il des cookies ?

Non. Varnish ne dépose ni ne lit de cookies sur l'appareil du visiteur. Il peut faire transiter ou supprimer les cookies en VCL, mais ces cookies appartiennent aux backends applicatifs derrière Varnish.

Le consentement est-il requis pour Varnish ?

Non. Comme Varnish ne stocke ni ne lit d'informations sur le terminal du visiteur, l'article 5(3) de la directive ePrivacy ne s'applique pas. Le cache et les journaux d'accès sont régis par le RGPD et reposent sur l'intérêt légitime.

Quelle base légale pour le traitement Varnish ?

Intérêt légitime sous l'art. 6(1)(f), justifié par le cache pour la performance, la sécurité et la stabilité, et par la rétention des logs pour le tuning et l'exploitation.

Varnish transfère-t-il des données vers les États-Unis ?

Varnish Cache open source ne transfère pas de données. L'hébergement détermine le risque. Varnish Software AS, l'entité commerciale, a son siège en Norvège (adéquate sous RGPD) avec des bureaux en Suède et en Allemagne.

Faut-il une AIPD pour Varnish ?

Une AIPD n'est pas requise pour Varnish en lui-même. Elle peut l'être pour l'architecture globale de cache et de journalisation si les logs sont traités pour de l'analytics sécurité avancée ou exportés hors UE.

Comment configurer Varnish en mode privacy friendly ?

Conserver le VCL par défaut qui supprime les cookies sur les GET cachables. Configurer varnishncsa avec un log_format qui anonymise les IP et omet les query strings sur les routes portant des jetons. Faire tourner les logs avec logrotate et une rétention courte (7 à 30 jours). Éviter d'inclure des IDs de session dans la clé de cache.

Quelles alternatives à Varnish ?

Autres couches de cache HTTP et reverse proxies : Nginx (proxy_cache), Apache (mod_cache), Squid, Traefik, HAProxy, Caddy. CDN cloud (Cloudflare, Fastly, Akamai, Bunny.net, EdgeOne) qui apportent leurs propres considérations privacy et résidence.

Comment mettre à jour la politique cookies ou de confidentialité ?

Varnish ne doit pas figurer sur la bannière cookies puisqu'il ne dépose pas de cookies. Dans la politique de confidentialité, vous pouvez mentionner que le site utilise un cache HTTP et reverse proxy pour la performance et la stabilité, la base légale, les catégories de données, la durée et les destinataires.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min