Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
CFML (ColdFusion Markup Language) est un langage de script côté serveur et une plateforme applicative utilisés pour développer applications web, intranets et API. Les deux principales implémentations sont Adobe ColdFusion et le moteur open source Lucee. CFML n'est pas un traceur : il s'exécute entièrement sur l'infrastructure de l'opérateur et ne dépose que des cookies de session techniques (CFID, CFTOKEN, JSESSIONID) que la directive ePrivacy classe comme strictement nécessaires, ce qui dispense ces cookies précis de consentement préalable. Les obligations de confidentialité concernent les données collectées par l'application développée au dessus de CFML.
CFML (ColdFusion Markup Language) est un langage à balises et à script qui s''exécute sur une machine virtuelle Java. Les deux principales implémentations sont Adobe ColdFusion (commerciale) et Lucee (open source). Le moteur reçoit la requête HTTP, exécute la page ou le composant CFML, interroge les bases via ORM ou cfquery et renvoie HTML, JSON ou XML au navigateur. Comme chaque exécution se fait côté opérateur, aucun point de terminaison tiers n''est sollicité par défaut et aucune donnée comportementale ne quitte le réseau de l''opérateur.
Par défaut, une application CFML dépose deux cookies first party, CFID et CFTOKEN, qui identifient la session côté serveur, plus le cookie standard JSESSIONID lorsque les sessions J2EE sont activées. Ces cookies contiennent des identifiants opaques, sont HttpOnly et sont indispensables pour maintenir l''authentification et protéger les formulaires contre la CSRF. Ils relèvent de l''exemption « strictement nécessaire » de l''article 5(3) ePrivacy. Tout cookie supplémentaire posé par le code applicatif (analytics, AB testing, marketing) est sous la responsabilité de l''opérateur et doit être classé séparément.
La CNIL, l''AEPD, l''ICO et le CEPD considèrent les cookies d''authentification et de gestion de session comme strictement nécessaires : ils peuvent être déposés sans consentement préalable tant que leur durée se limite à la session et qu''ils ne sont pas réutilisés à des fins comportementales. La base légale du traitement sous jacent est l''exécution du contrat (article 6(1)(b) RGPD) lorsque l''utilisateur est connecté, et l''intérêt légitime (article 6(1)(f)) pour la robustesse technique sur les pages publiques. L''application doit néanmoins faire figurer ces cookies dans la politique de confidentialité et l''inventaire cookies.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
CFML s''exécute là où l''opérateur déploie son moteur : datacenter on premises, région cloud UE, région cloud US. Les obligations de transfert international dépendent donc de la topologie choisie. Les opérateurs qui souhaitent maintenir les données européennes dans l''EEE doivent retenir une région UE pour le serveur applicatif et la base de données, et désactiver la télémétrie « Adobe Server Auto Lockdown » ou les statistiques d''usage Lucee si ces fonctions sont activées par défaut dans leur profil d''installation.
Pour respecter les principes RGPD d''intégrité, de confidentialité et de minimisation, les applications CFML doivent activer HttpOnly, Secure et SameSite=Lax (ou Strict) sur tous les cookies de session, faire pivoter CFID et CFTOKEN à la connexion et à la déconnexion, restreindre la portée des cookies au domaine applicatif, désactiver le browsing de répertoires, limiter CFADMIN aux réseaux internes, appliquer les bulletins de sécurité Adobe ou les correctifs Lucee, et activer une journalisation applicative purgée des données personnelles.
Documentez CFID, CFTOKEN et JSESSIONID comme cookies techniques strictement nécessaires dans votre politique cookies. Vérifiez qu''aucune balise tierce n''est chargée par la page CFML elle même avant le consentement. Cartographiez chaque intégration cfhttp, cfldap, cfmail ou REST pour identifier les flux sortants et les ajouter au registre des activités de traitement. Tenez à jour le serveur CFML et la JVM, séparez la base de production de CFML avec des comptes à privilèges minimaux et pseudonymisez les données personnelles conservées dans le scope application ou session.
Les sites web utilisant CFML doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD spécifique à CFML n'est pas nécessaire car le moteur n'effectue ni décision automatisée ni profilage à grande échelle. Une AIPD peut toutefois être requise pour l'application développée sur CFML si elle traite des catégories particulières de données, score des individus, surveille des salariés ou des visiteurs, ou s'interconnecte à des traceurs externes. L'analyse doit porter sur la logique applicative, les magasins de données accessibles depuis CFML (cfquery, ORM, uploads), la région d'hébergement du serveur CFML et les contrôles d'accès protégeant CFADMIN et le conteneur de servlets.
Exemple de texte de consentement
Notre site est développé en CFML et utilise des cookies techniques strictement nécessaires (CFID, CFTOKEN, JSESSIONID) pour maintenir votre session, vous identifier et protéger les formulaires contre la falsification de requêtes intersites. Ces cookies ne nécessitent pas de consentement au titre des règles européennes sur les cookies. Les éventuels cookies optionnels d'analyse, de marketing ou de personnalisation sont listés séparément dans la bannière et chargés uniquement après votre choix explicite.
Domaines tiers contactes
www.adobe.comhelpx.adobe.comlucee.orgcfunited.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| CFID | first_party | Session (or up to 30 days when persistence is enabled) | Identifies the server side ColdFusion or Lucee session that holds variables, login state and shopping cart. Strictly necessary for the application to function. |
| CFTOKEN | first_party | Session (or up to 30 days when persistence is enabled) | Companion of CFID, validates the session integrity to prevent session hijacking. Strictly necessary technical cookie. |
| JSESSIONID | first_party | Session | Java servlet container session identifier issued when J2EE sessions are enabled in CFML. Strictly necessary for keeping authenticated users logged in. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Par défaut, une application CFML dépose deux cookies first party, CFID et CFTOKEN, ainsi que le cookie Java standard JSESSIONID lorsque les sessions J2EE sont activées. Ils stockent des identifiants opaques utilisés pour rattacher une requête HTTP à une session serveur. Les installations Lucee qui utilisent LuceeSession reprennent le même modèle sous les noms cfid et cftoken. Le code applicatif peut ajouter d'autres cookies, à classer séparément.
Non. Ce sont des cookies de session et d'authentification considérés comme strictement nécessaires au sens de l'article 5(3) de la directive ePrivacy et des Lignes directrices 2/2023 du CEPD sur les cookies techniques. Ils peuvent être déposés sans consentement préalable tant que leur durée se limite à la session ou à la persistance légitime de l'authentification et qu'ils ne sont pas réutilisés à des fins analytiques ou publicitaires.
La base légale dépend du cas d'usage : article 6(1)(b) RGPD (exécution du contrat) lorsque l'utilisateur est connecté, article 6(1)(f) (intérêt légitime) pour la sécurité et l'intégrité, article 6(1)(c) (obligation légale) pour les logs comptables ou d'audit. Les données particulières exigent une condition au titre de l'article 9, par exemple le consentement explicite ou l'intérêt public important.
Pas par lui même. CFML s'exécute sur l'infrastructure de l'opérateur, donc les transferts ne surviennent que si l'opérateur choisit une région cloud US ou intègre des services externes. Adobe ColdFusion peut contacter les serveurs Adobe pour la licence et la recherche de mises à jour : cette télémétrie est à examiner et des CCT à exiger si nécessaire. Lucee est totalement autonome et ne renvoie rien sauf activation explicite des statistiques d'usage.
Une AIPD sur le langage n'est pas requise. Elle peut l'être sur l'application développée en CFML si celle ci effectue une surveillance systématique à grande échelle, traite des données particulières, score automatiquement des personnes ou combine plusieurs sources de tracking, conformément à l'article 35 du RGPD et à la liste locale d'AIPD obligatoires.
Activez HttpOnly, Secure et SameSite sur les cookies de session, faites pivoter les identifiants à la connexion, hébergez le serveur CFML dans une région UE pour les données européennes, appliquez rapidement les patches Adobe ColdFusion ou Lucee, restreignez CFADMIN aux réseaux internes, documentez CFID et CFTOKEN comme strictement nécessaires et faites passer toute balise optionnelle d'analyse ou de marketing par une CMP.
Des stacks serveur équivalentes incluent Java avec Spring Boot, .NET (C#) avec ASP.NET Core, Python avec Django ou FastAPI, PHP avec Laravel ou Node.js avec NestJS. Du point de vue de la conformité, tout langage serveur se comporte de manière similaire : la posture de confidentialité dépend surtout de la conception applicative, de la région d'hébergement et de la stratégie cookies, pas du langage.
Listez CFID, CFTOKEN et JSESSIONID comme cookies techniques strictement nécessaires dans la politique cookies, avec finalité (gestion de session, authentification), durée (session ou durée du navigateur) et portée first party. Ajoutez séparément tout cookie applicatif. Précisez de façon transparente que ces cookies strictement nécessaires ne requièrent pas de consentement, et mettez la politique à jour à chaque évolution applicative.