Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Nginx

Que fait Nginx ?

Nginx est un serveur web open source haute performance, reverse proxy et load balancer initialement développé par Igor Sysoev et désormais maintenu par F5 Networks. C'est l'une des briques les plus déployées sur Internet, qui propulse plus de 30 % des sites web mondiaux. Côté privacy, Nginx est un logiciel serveur : il ne dépose aucun cookie côté client, mais écrit des journaux d'accès contenant adresses IP, URLs, user agents et referer, qui constituent des données personnelles au sens du RGPD.

Qu''est-ce que Nginx ?

Nginx est un serveur web open source haute performance, reverse proxy, load balancer, proxy mail et cache HTTP. Il a été écrit en 2004 par Igor Sysoev pour résoudre le problème C10K (gérer dix mille connexions simultanées sur un seul serveur), et il est aujourd''hui maintenu par Nginx Inc., filiale de F5 Networks. Nginx propulse plus de 30 % des sites web publics, et il est aussi très utilisé dans les conteneurs (le Nginx Ingress Controller est l''un des ingress Kubernetes les plus déployés). Point clé : Nginx est un logiciel serveur, il tourne sur l''infrastructure de l''opérateur et n''envoie aucune donnée à Nginx Inc. ou F5 par défaut.

Quelles données Nginx génère-t-il ?

Nginx ne dépose aucun cookie côté client. Les cookies que voit le visiteur dans son navigateur viennent des backends applicatifs (Express, Django, Rails, PHP) tournant derrière Nginx, ou de balises tierces chargées par le HTML. Ce que Nginx produit, ce sont des journaux d''accès : par défaut le format combined enregistre l''IP, l''horodatage, la méthode HTTP et l''URI, le code de statut, les octets envoyés, l''en-tête referer et le user agent. Ces journaux sont des données personnelles au sens du RGPD car l''IP est rattachable à une personne dans la plupart des contextes. Les journaux d''erreur ajoutent les lignes de requête, qui peuvent contenir paramètres de requête ou données POST selon la configuration.

Implications RGPD et ePrivacy

Comme Nginx ne stocke ni ne lit d''information sur le terminal du visiteur, l''article 5(3) de la directive ePrivacy (consentement cookies) ne s''applique pas à Nginx en tant que tel. Les journaux serveur sont régis par le RGPD et reposent sur l''intérêt légitime de l''art. 6(1)(f) : exploiter un site implique le droit de journaliser les accès pour la sécurité, la prévention de la fraude, le dépannage et la gestion du trafic. La CNIL accepte des durées de 6 à 12 mois pour les investigations sécurité, des durées plus courtes étant préférées et des durées plus longues nécessitant une justification documentée. Là où une loi sectorielle impose une rétention plus longue (télécoms, finance, anti blanchiment), l''obligation légale de l''art. 6(1)(c) s''applique en plus.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Configuration de conformité pratique

Configurer Nginx pour anonymiser les IP là où le cas d''usage le permet. Pattern courant : définir un log_format custom qui masque le dernier octet IPv4 ou les 80 derniers bits IPv6, puis l''utiliser dans la directive access_log sur les serveurs face visiteur, en gardant l''IP complète uniquement pour les endpoints d''administration. Configurer log_format pour omettre les query strings sur les routes qui transportent des jetons ou des données personnelles. Mettre access_log off; sur les assets statiques qui n''ont pas besoin d''audit. Piper les journaux dans logrotate avec une politique alignée sur la durée documentée. Si les logs partent vers un SIEM externe, ce SIEM doit figurer dans le registre des traitements et le mécanisme de transfert doit être documenté.

Transferts et choix d''hébergement

Nginx en lui-même ne transfère pas de données. Le régime de transfert applicable dépend de la localisation de l''infrastructure de l''opérateur. Un hébergement UE (OVH, Scaleway, Hetzner, Ionos, etc.) maintient les journaux en UE. AWS, Google Cloud et Azure proposent des régions UE, mais l''opérateur doit aussi considérer l''exposition au CLOUD Act américain lorsque le fournisseur de cloud est basé aux États-Unis. F5 Networks (Nginx Plus, support commercial) a sa propre politique de confidentialité avec des mécanismes de transfert US (CCT, EU US Data Privacy Framework), pertinents uniquement si l''opérateur achète du Nginx commercial.

Ce qu''il faut documenter dans la politique de confidentialité

Indiquer que vous exploitez un serveur web (Nginx) qui journalise les données d''accès pour la sécurité et l''exploitation, les catégories de données (IP, URL de requête, user agent, referer), la base légale (intérêt légitime, éventuellement obligation légale), la durée de conservation et les destinataires (hébergeur, SIEM, partenaires sécurité). Vous n''avez pas à nommer Nginx spécifiquement, mais vous devez documenter le traitement sous jacent. Nginx n''a pas à figurer sur la bannière cookies car il n''en dépose pas.

Categorie de consentement RGPD

Autre

Les sites web utilisant Nginx doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest (GDPR Art. 6(1)(f)) for server access logs, justified by security, fraud prevention, traffic management and abuse detection. Legal obligation (Art. 6(1)(c)) for retention required by telecommunications or anti fraud law where applicable.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive (only for cookies that the operator chooses to set through Nginx configuration, not Nginx itself), German TTDSG, French CNIL guidance on server logs, EDPB guidelines 8/2020 on targeting

Considerations AIPD

Nginx en lui-même ne nécessite pas d'AIPD car c'est un logiciel d'infrastructure serveur. Ses journaux d'accès méritent toutefois attention : (1) le format combined par défaut contient l'adresse IP complète, donnée personnelle au sens du RGPD ; (2) la durée de conservation doit se limiter à ce qui est nécessaire pour la sécurité et l'exploitation (typiquement 30 à 90 jours pour l'investigation, plus long uniquement avec justification documentée) ; (3) l'anonymisation IP peut être configurée au niveau Nginx (log_format personnalisé avec masquage du dernier octet) là où la sécurité le permet ; (4) les journaux peuvent être traités par des outils aval (Splunk, Elastic, Datadog) avec leurs propres implications privacy ; (5) si Nginx fait reverse proxy devant des backends qui posent des cookies, ces cookies doivent être évalués pour eux-mêmes, pas comme cookies Nginx. Une AIPD est généralement requise pour l'architecture de logs et de sécurité globale, pas pour Nginx spécifiquement.

Exemple de texte de consentement

Nous exploitons Nginx comme serveur web et reverse proxy sur notre propre infrastructure. Nginx ne dépose pas de cookies sur votre appareil. Comme tout serveur web, il écrit des journaux d'accès contenant votre adresse IP, la page demandée, le type de navigateur et la page de renvoi. Ces journaux servent à exploiter le site, enquêter sur les incidents de sécurité et satisfaire les obligations légales de conservation. Ils sont conservés [XX] jours puis supprimés ou anonymisés, et vous disposez d'un droit d'accès à vos données journalisées sur demande.

Details techniques

Methode de suiviServer side software: Nginx runs on the operator's own infrastructure as a reverse proxy, web server and load balancer. It does not set any client side cookie or pixel by default. It does, however, write access logs that contain the visitor's IP address, requested URL, user agent string, referer header and response status, which qualify as personal data under the GDPR.

Localisation des serveursOperator controlled. Nginx itself is open source software that runs wherever the operator hosts it (on premises, EU cloud, US cloud). The data location is therefore determined by the operator's hosting choice, not by Nginx.

Suivi sans cookie disponibleOui

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Nginx dépose-t-il des cookies ?

Non. Nginx en lui-même ne dépose ni ne lit de cookies sur l'appareil du visiteur. Les cookies visibles dans le navigateur viennent des backends applicatifs tournant derrière Nginx, ou de balises tierces chargées par le HTML. Si l'opérateur configure Nginx pour ajouter des cookies (proxy_set_header, add_header), ces cookies doivent être évalués pour eux-mêmes.

Le consentement est-il requis pour Nginx ?

Non. Comme Nginx ne stocke ni ne lit d'informations sur le terminal du visiteur, l'article 5(3) de la directive ePrivacy (consentement cookies) ne s'applique pas. Les journaux serveur sont régis par le RGPD et reposent sur l'intérêt légitime pour la sécurité et l'exploitation.

Quelle base légale pour les journaux d'accès Nginx ?

Intérêt légitime sous l'art. 6(1)(f) RGPD, justifié par la sécurité, la prévention de la fraude, le dépannage et la gestion du trafic. Lorsque la loi sectorielle impose une rétention (télécoms, finance, anti blanchiment), l'obligation légale (art. 6(1)(c)) s'ajoute. La durée doit se limiter au nécessaire, typiquement 30 à 90 jours pour la sécurité.

Nginx transfère-t-il des données vers les États-Unis ?

Pas en lui-même. Nginx est un logiciel open source qui tourne là où l'opérateur l'héberge. Si l'opérateur utilise un cloud américain, le transfert d'hébergement s'applique (à évaluer pour le cloud, pas pour Nginx). F5 Networks détient le Nginx commercial ; si l'opérateur achète Nginx Plus ou un support, la politique de F5 et ses CCT s'appliquent à cette relation.

Faut-il une AIPD pour Nginx ?

Une AIPD n'est pas requise pour Nginx en lui-même, infrastructure serveur. Elle peut l'être pour l'architecture globale de logs et de sécurité si les logs sont traités pour de la détection de fraude, de l'analyse comportementale ou du profilage à risque élevé, ou s'ils sont exportés vers des systèmes hors UE. Inscrire Nginx dans le registre des traitements avec catégories de logs, durée et destinataires.

Comment configurer Nginx en mode privacy friendly ?

Utiliser un log_format custom qui anonymise les IP là où c'est possible (masquer le dernier octet IPv4 ou les 80 derniers bits IPv6). Omettre les query strings des routes qui transportent des jetons. Mettre access_log off; sur les assets statiques. Tourner les logs agressivement avec logrotate. Éviter de logger les corps de requête par défaut. Régler le niveau d'error_log en production. Envoyer les logs uniquement à des SIEM inscrits au registre.

Quelles alternatives à Nginx ?

Autres serveurs web et reverse proxy open source : Apache HTTP Server, Caddy (HTTPS automatique, origine UE friendly), HAProxy (load balancer), Traefik (cloud native, origine UE), Envoy (proxy moderne). Tous génèrent des journaux d'accès similaires avec les mêmes considérations RGPD. L'architecture d'hébergement et de logs compte plus que le logiciel serveur lui-même.

Comment mettre à jour la politique cookies ou de confidentialité ?

Nginx ne doit pas figurer sur la bannière cookies puisqu'il ne dépose pas de cookies. Dans la politique de confidentialité, indiquer que le site est servi par un serveur web (Nginx) qui journalise les données d'accès pour la sécurité et l'exploitation, lister les catégories, la base légale, la durée et les destinataires. Nommer Nginx n'est pas obligatoire, sauf transparence sur la stack technique.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min