Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Microsoft Azure est la plateforme cloud publique exploitee par Microsoft Corporation. Elle propose App Service, Functions, Azure SQL, Cosmos DB, Front Door pour la diffusion globale, Application Gateway pour la repartition de charge HTTP, Application Insights pour la telemetrie, Microsoft Entra ID pour l'identite et des dizaines d'autres services utilises par les sites europeens pour heberger, securiser et accelerer leurs applications. Comme Azure appartient a une societe americaine, chaque deploiement europeen doit traiter les transferts internationaux et le consentement parallelement a l'engagement EU Data Boundary de Microsoft.
Microsoft Azure est la plateforme cloud publique exploitee par Microsoft Corporation, dont le siege se trouve a Redmond, Washington. Sur un site europeen, Azure se manifeste typiquement sous la forme d''Azure App Service hebergeant l''application, Azure Front Door distribuant le contenu mondialement, Azure Application Gateway repartissant le trafic HTTP, Azure SQL ou Cosmos DB stockant les donnees utilisateurs, Microsoft Entra ID gerant l''authentification et Application Insights capturant la telemetrie. Azure alimente egalement des services superieurs comme Microsoft Clarity, Power BI Embedded, Azure OpenAI et Communication Services.
Microsoft offre l''engagement EU Data Boundary, qui maintient le stockage et la majeure partie du traitement des donnees clients et donnees personnelles pseudonymes des services en ligne au sein de l''UE et de l''AELE. Certains processus de support, telemetrie ou identite peuvent encore toucher des systemes americains, et Microsoft Corporation reste soumis aux lois extraterritoriales des Etats-Unis.
Au niveau infrastructure, Azure pose surtout des cookies d''affinite de session. Azure App Service et Front Door utilisent ARRAffinity et ARRAffinitySameSite pour maintenir un visiteur sur la meme instance. Application Gateway utilise ApplicationGatewayAffinity et ApplicationGatewayAffinityCORS. Azure Front Door peut egalement poser AzureAppProxyAccessCookie quand l''authentification est activee. Ces cookies sont generalement classes strictement necessaires.
En plus, Application Insights stocke un identifiant utilisateur (ai_user) et un identifiant de session (ai_session) dans le stockage navigateur pour mesurer l''usage. Microsoft Entra ID pose des cookies d''authentification (ESTSAUTH, ESTSAUTHPERSISTENT) sur le domaine de connexion. Des produits superieurs comme Microsoft Clarity deposent des cookies analytiques supplementaires necessitant un opt-in prealable.
Microsoft agit en sous-traitant au titre du Microsoft Products and Services Data Protection Addendum (DPA). Le DPA integre les clauses contractuelles types de la Commission europeenne, liste les sous-traitants et engage Microsoft sur des controles ISO 27001, ISO 27018, ISO 27701, SOC 2 et EU Cloud Code of Conduct. L''editeur du site reste responsable de traitement et de chaque cookie depose par un composant Azure.
Au titre de la directive ePrivacy transposee nationalement (TTDSG en Allemagne, LCEN en France, LSSI-CE en Espagne), les cookies d''affinite de session sont generalement exemptes de consentement prealable car strictement necessaires, contrairement aux cookies de telemetrie Application Insights ou Clarity.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Microsoft Corporation est certifie sous le EU-US Data Privacy Framework, base d''adequacite pour les transferts vers les Etats-Unis. Le EU Data Boundary, deploye en 2024, maintient les donnees clients et les donnees pseudonymes pour Azure, Microsoft 365, Dynamics 365 et Power Platform en UE et AELE. Apres Schrems II, une evaluation d''impact des transferts et des mesures supplementaires comme des cles client Azure Key Vault HSM restent recommandees.
Pour l''infrastructure pure (hebergement, repartition de charge, distribution, securite), l''interet legitime (article 6, paragraphe 1, point f du RGPD) est la base habituelle. Pour les fonctionnalites analytiques et de personnalisation comme Application Insights ou Microsoft Clarity, un opt-in prealable via une CMP est obligatoire avant le declenchement des scripts.
Signer le DPA Microsoft, activer le perimetre EU Data Boundary, epingler les ressources aux regions UE, activer les cles client Azure Key Vault, restreindre les roles Microsoft Entra ID, configurer la retention des logs, lister Microsoft dans la politique de confidentialite, documenter l''evaluation d''impact des transferts, activer le masquage IP dans Application Insights et integrer chaque cookie non strictement necessaire dans la CMP.
Les sites web utilisant Microsoft Azure doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandee lorsque Azure heberge des donnees personnelles a grande echelle, des donnees sensibles, ou combine App Service, Application Gateway, Front Door et Application Insights avec des identifiants utilisateurs. L'AIPD doit couvrir la region, la portee du EU Data Boundary, les cles client, les acces conditionnels, la retention, les sous-traitants et la reponse aux demandes des autorites americaines sous FISA 702.
Exemple de texte de consentement
Nous utilisons Microsoft Azure pour heberger et delivrer ce site. Azure peut deposer des cookies techniques d'affinite de session (ARRAffinity, ApplicationGatewayAffinity) et traiter votre adresse IP. Certains flux transitent par les Etats-Unis sous le EU-US Data Privacy Framework et les clauses contractuelles types, dans le cadre du EU Data Boundary. En cliquant sur Accepter, vous autorisez les fonctionnalites d'analytique et de personnalisation reposant sur Azure.
Domaines tiers contactes
azure.comazureedge.netazurewebsites.netwindows.netmsftauth.netazurefd.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| ARRAffinity | HTTP cookie | Session | Azure App Service and Front Door session affinity: keeps a visitor on the same backend instance. |
| ARRAffinitySameSite | HTTP cookie | Session | SameSite compliant variant of ARRAffinity used in modern browsers. |
| ApplicationGatewayAffinity | HTTP cookie | Session | Azure Application Gateway sticky session for HTTP backends. |
| ApplicationGatewayAffinityCORS | HTTP cookie | Session | Cross-origin variant of ApplicationGatewayAffinity. |
| ESTSAUTH | HTTP cookie | Session | Microsoft Entra ID authentication cookie set on the login domain (login.microsoftonline.com). |
| ai_user | localStorage | 1 year | Application Insights anonymous user identifier for telemetry. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Azure pose principalement des cookies d'affinite de session. Azure App Service et Front Door deploient ARRAffinity et ARRAffinitySameSite (session). Application Gateway pose ApplicationGatewayAffinity et ApplicationGatewayAffinityCORS. Microsoft Entra ID ajoute des cookies d'authentification (ESTSAUTH, ESTSAUTHPERSISTENT) sur son domaine de connexion. Application Insights stocke ai_user et ai_session en local storage. Microsoft Clarity, deploye sur Azure, pose ses propres cookies analytiques.
Les cookies d'affinite de session (ARRAffinity, ApplicationGatewayAffinity) sont generalement consideres strictement necessaires et exemptes de consentement prealable au titre de la directive ePrivacy. Les fonctionnalites de telemetrie comme Application Insights et Microsoft Clarity exigent un opt-in eclaire avant declenchement.
L'interet legitime (article 6, paragraphe 1, point f du RGPD) est la base habituelle pour l'hebergement, la securite et l'optimisation des performances. Le consentement (article 6, paragraphe 1, point a) s'applique a l'analytique, la publicite et la personnalisation. La necessite contractuelle (article 6, paragraphe 1, point b) peut s'appliquer lorsqu'Azure fait fonctionner une fonctionnalite a laquelle le visiteur s'est expressement abonne.
Oui, meme si une region UE est choisie, certains processus de support, d'identite et de services globaux peuvent transiter par les Etats-Unis. Microsoft Corporation est certifiee sous le EU-US Data Privacy Framework et le DPA Microsoft inclut les clauses contractuelles types. Le EU Data Boundary conserve la majorite des donnees clients et des donnees personnelles pseudonymes dans les centres UE/AELE.
Une AIPD est recommandee lorsque Azure traite des donnees personnelles a grande echelle, des donnees sensibles ou agrege plusieurs services (App Service, Application Gateway, Front Door, Application Insights) lies a des identifiants utilisateurs. Documenter la region, le perimetre EU Data Boundary, les cles client, la retention, les sous-traitants et le plan de reponse aux demandes FISA 702.
Signer le DPA Microsoft, activer le EU Data Boundary, epingler les services aux regions UE, activer des cles client, restreindre les acces conditionnels Entra ID, conserver les logs au minimum, lister Microsoft et ses sous-traitants, documenter l'evaluation d'impact des transferts, activer le masquage IP dans Application Insights et passer chaque cookie non strictement necessaire par la CMP.
Pour les charges de travail europeennes, OVHcloud Public Cloud, Scaleway, Hetzner Cloud, IONOS Compute Engine et Open Telekom Cloud (T-Systems) sont des options UE. Pour les exigences de souverainete (GAIA-X), regarder Outscale, Cleura ou le futur cloud souverain Bleu en France. L'aptitude depend de votre mix de services et de vos certifications.
Mentionner Microsoft Corporation comme sous-traitant, decrire les services Azure utilises, documenter les cookies techniques (ARRAffinity, ApplicationGatewayAffinity, ESTSAUTH), expliquer le EU Data Boundary et le EU-US Data Privacy Framework, lier le DPA Microsoft et indiquer un point de contact pour les demandes des personnes concernees.