Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
FingerprintJS est une bibliothèque d'identification de navigateur et d'appareil qui génère un identifiant visiteur stable sans cookies. Elle est largement utilisée pour la prévention de la fraude, la protection des comptes et la détection des bots. Comme elle combine des signaux de navigateur, d'appareil et de réseau pour singulariser un utilisateur, elle est considérée comme une technologie d'identification à haut risque au titre du RGPD et de la directive ePrivacy, et nécessite un consentement éclairé dans l'Union européenne.
FingerprintJS est une plateforme commerciale d''identification de navigateur éditée par FingerprintJS, Inc. (Chicago, États Unis). Elle propose un SDK JavaScript qui collecte une large gamme de signaux de navigateur et d''appareil pour produire un visitorId stable. La bibliothèque open source FingerprintJS retourne un hash calculé entièrement côté client, tandis que le service FingerprintJS Pro repose sur un traitement serveur pour offrir une précision supérieure et déduplique les identifiants entre sessions, appareils et fenêtres de navigation privée. FingerprintJS est principalement utilisé pour la détection de fraude, la prévention des prises de contrôle de compte, le scoring de risque de paiement, la lutte contre les bots et l''anti scraping.
FingerprintJS lit une combinaison de signaux stables : User Agent, polices installées, rendu canvas et WebGL, contexte audio, résolution et profondeur de couleur, fuseau horaire, en têtes de langue, plateforme, concurrence matérielle, mémoire de l''appareil, plugins, support tactile, fonctionnalités math et DOM. FingerprintJS Pro traite également l''adresse IP du visiteur, des signaux comportementaux et des vecteurs de persistance (localStorage, IndexedDB, stockage Service Worker) afin de maintenir l''identité après une suppression de cookies. Le visitorId obtenu est un identifiant probabiliste considéré comme une donnée à caractère personnel au sens du RGPD car il permet de singulariser une personne physique.
Bien que FingerprintJS n''utilise pas strictement de cookies, il entre dans le champ de l''article 5(3) de la directive ePrivacy : la lecture d''informations depuis le terminal de l''utilisateur à des fins d''identification nécessite un consentement préalable éclairé, sauf si l''accès est strictement nécessaire à un service explicitement demandé par l''utilisateur. Les lignes directrices EDPB 2/2023 confirment que les techniques de fingerprinting sont traitées comme des cookies du point de vue du consentement. Les cas d''usage antifraude peuvent parfois s''appuyer sur l''exemption de stricte nécessité, mais le seuil est étroit : l''identification doit se limiter à la sécurité, être proportionnée au risque, et ne pas servir à du marketing, de l''analytics ou du profilage.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour la plupart des déploiements commerciaux, la base légale est le consentement (art. 6(1)(a) RGPD) combiné à l''exigence de consentement ePrivacy. Pour des cas d''usage strictement sécuritaires (prévention de fraude sur un parcours de connexion ou de paiement explicitement initié par l''utilisateur), certains responsables s''appuient sur l''intérêt légitime (art. 6(1)(f) RGPD) documenté par une analyse d''intérêt légitime. Même dans ce cas, la transparence est obligatoire : les utilisateurs doivent être informés dans la politique de confidentialité de l''usage du fingerprinting, des données collectées, de la durée de conservation et de leur droit d''opposition.
Par défaut, FingerprintJS Pro traite les données aux États Unis. Les clients situés dans l''UE doivent configurer l''endpoint région UE pour conserver les données d''identification visiteurs dans l''EEE. Les transferts vers les États Unis sont couverts par les Clauses Contractuelles Types au titre de l''article 46(2)(c) RGPD et exigent une analyse d''impact des transferts tenant compte du FISA 702 et de l''Executive Order 14086. L''accord de traitement (DPA) de FingerprintJS définit les obligations responsable et sous traitant et fait référence aux CCT.
Pour un déploiement conforme : conditionnez le SDK à votre CMP afin que le script ne soit chargé qu''après recueil du consentement (ou uniquement sur les parcours sensibles si vous vous appuyez sur l''intérêt légitime) ; activez la région UE pour FingerprintJS Pro ; documentez le traitement dans votre registre des activités de traitement ; menez une AIPD lorsque le fingerprinting est combiné à des décisions automatisées ou à du profilage à grande échelle ; signez le DPA FingerprintJS et conservez les CCT signées ; mettez à jour votre politique de confidentialité avec une description claire de la technologie de fingerprinting, de la durée de conservation du visitorId et des droits des utilisateurs, y compris le droit d''opposition et le droit à l''effacement.
Les sites web utilisant FingerprintJS doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
FingerprintJS combine des dizaines de signaux de navigateur et d'appareil (canvas, audio, WebGL, polices, écran, plugins, réseau) pour produire un visitorId persistant qui ré identifie l'utilisateur même après suppression des cookies ou en navigation privée. Points clés pour l'AIPD : (1) le fingerprinting est expressément visé par l'article 5(3) de la directive ePrivacy et par les lignes directrices EDPB 2/2023, un consentement préalable et éclairé est requis avant la lecture du moindre signal ; (2) le visitorId est une donnée personnelle au sens du considérant 30 du RGPD car il permet d'isoler une personne physique entre les sessions ; (3) FingerprintJS Pro transfère par défaut les données vers les États Unis, ce qui exige des CCT et une analyse d'impact des transferts, ou la sélection de la région UE ; (4) la technologie peut déjouer la suppression des cookies et la navigation privée, ce qui pose des obligations de loyauté et de transparence (art. 5(1)(a) RGPD) ; (5) le risque élevé pour les droits et libertés déclenche en pratique une AIPD obligatoire (art. 35 RGPD), notamment lorsque le fingerprinting est combiné à du profilage ou à des décisions automatisées de scoring antifraude.
Exemple de texte de consentement
Nous utilisons FingerprintJS pour détecter les activités frauduleuses et protéger votre compte. FingerprintJS lit des signaux techniques de votre navigateur et de votre appareil (taille d'écran, polices, contexte audio, empreinte graphique) afin de générer un identifiant visiteur unique. Cet identifiant et les signaux associés sont transférés à FingerprintJS, Inc. aux États Unis ou dans l'Union européenne selon la configuration. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
api.fpjs.iofpnpmcdn.neteu.api.fpjs.iometrics.fpjs.iocdn.fpjs.ioCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _iidt | localStorage / first party persistence | Up to 1 year | Stores the FingerprintJS Pro visitor identifier on the client to maintain identity across sessions and reduce reliance on cookies. |
| visitorId (cached) | IndexedDB | Up to 1 year | Caches the latest FingerprintJS visitorId returned by the API to limit unnecessary calls on subsequent page loads. |
| fpjs_* | Local Storage | Persistent | Internal configuration and cache values used by the FingerprintJS Pro Agent (region selection, integration version, last identification timestamp). |
FingerprintJS utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Aucun cookie classique n'est posé par la bibliothèque open source, qui calcule un hash de fingerprint dans le navigateur. FingerprintJS Pro peut écrire dans localStorage, IndexedDB et le stockage Service Worker pour maintenir le visitorId entre sessions. Même sans cookies, ces mécanismes de persistance relèvent de l'article 5(3) ePrivacy et nécessitent un consentement.
Oui, dans l'UE un consentement préalable éclairé est requis dans la majorité des cas car la lecture de signaux pour singulariser un utilisateur est couverte par l'article 5(3) ePrivacy. Les lignes directrices EDPB 2/2023 confirment que les techniques de fingerprinting sont traitées comme des cookies. Une exemption étroite de stricte nécessité peut s'appliquer aux usages purement sécuritaires.
Pour du marketing, de l'analytics ou de l'identification générale, la base légale est le consentement (art. 6(1)(a) RGPD). Pour la prévention de fraude sur des parcours explicitement initiés par l'utilisateur, les responsables peuvent s'appuyer sur l'intérêt légitime (art. 6(1)(f) RGPD) documenté par une analyse d'intérêt légitime et une information claire dans la politique de confidentialité.
Par défaut oui. FingerprintJS Pro traite les données aux États Unis sauf si l'endpoint UE est sélectionné. Les transferts internationaux sont encadrés par les CCT au titre de l'art. 46(2)(c) RGPD. Les clients UE doivent activer la région UE et compléter une analyse d'impact des transferts pour tout transfert résiduel.
Une AIPD au titre de l'art. 35 RGPD est fortement recommandée et souvent obligatoire : le fingerprinting figure sur la plupart des listes des autorités de contrôle requérant une AIPD, en particulier lorsqu'il est combiné à du profilage, à des décisions automatisées ou à un traitement à grande échelle pour le scoring antifraude.
Conditionnez le SDK à votre CMP, sélectionnez la région UE pour FingerprintJS Pro, signez l'accord de traitement et les CCT, documentez le traitement dans votre registre, menez une AIPD et mettez à jour votre politique de confidentialité avec une section dédiée au fingerprinting, à la durée de conservation du visitorId et aux droits des utilisateurs.
Parmi les alternatives respectueuses de la vie privée : cookies de session first party pour les parcours authentifiés, hCaptcha ou Cloudflare Turnstile pour la lutte contre les bots, authentification basée sur le risque s'appuyant uniquement sur des signaux serveur. Les autres fournisseurs commerciaux de fingerprinting (SEON, Sift, ThreatMetrix) posent les mêmes questions juridiques et requièrent les mêmes démarches.
Ajoutez une entrée dédiée mentionnant FingerprintJS comme technologie de fingerprinting, les catégories de signaux collectés, la relation responsable et sous traitant avec FingerprintJS Inc., la durée de conservation du visitorId, le mécanisme de transfert et un lien direct pour retirer le consentement via votre CMP.