Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Service d'identité AWS qui gère l'inscription, la connexion, l'authentification multi facteurs, la récupération de mot de passe et la fédération avec des fournisseurs d'identité sociaux ou d'entreprise pour les applications web et mobiles.
Amazon Cognito est le service d''identité d''AWS. Il fournit des user pools pour inscrire et authentifier des utilisateurs finaux par e mail, téléphone, connexions sociales (Google, Facebook, Apple, SAML, OIDC), authentification multi facteurs et récupération de mot de passe, ainsi que des identity pools qui délivrent des identifiants AWS temporaires pour appeler des APIs AWS au nom de l''utilisateur.
Cognito traite des attributs de compte (e mail, téléphone, claims personnalisés), des mots de passe, des secrets MFA, des jetons OAuth et OIDC, des adresses IP, des empreintes d''appareils (avec la sécurité avancée activée) et l''activité de connexion. L''UI hébergée pose des cookies first party sur le domaine d''authentification (jeton XSRF, cookie de session) et l''application client stocke en général les jetons ID, accès et refresh dans des cookies ou le stockage navigateur.
Les cookies et jetons servant à maintenir la session de l''utilisateur sont strictement nécessaires au sens de l''article 5(3) de la directive ePrivacy et ne requièrent pas de consentement préalable. AWS agit comme sous traitant via l''AWS Data Processing Addendum, qui inclut les Clauses Contractuelles Types et renvoie au EU US Data Privacy Framework. Les fonctions de sécurité avancée (authentification adaptative, contrôle des identifiants compromis) effectuent un profilage par risque qui doit être expliqué dans la politique de confidentialité.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Vous n''avez pas besoin de consentement pour authentifier un utilisateur avec Cognito. Vous en avez besoin lorsque le flux de connexion charge des widgets de fédération sociale qui posent des cookies de tracking (Google, Facebook, Apple), et vous devez informer l''utilisateur que se connecter via un fournisseur social transmet certains identifiants à ce fournisseur.
Les user pools et identity pools stockent les données dans la région AWS que vous choisissez. Pour limiter les transferts, déployez en eu west 1 (Irlande), eu central 1 (Francfort), eu west 3 (Paris), eu south 1 (Milan), eu north 1 (Stockholm) ou eu west 2 (Londres). Les métadonnées administratives, le support et la télémétrie opérationnelle peuvent néanmoins être traités par AWS aux États Unis sous CCT et EU US Data Privacy Framework.
Signez le DPA AWS, choisissez une région UE, imposez une politique de mot de passe forte et le MFA, fixez une durée de vie raisonnable aux jetons, encadrez les actions admin par des rôles IAM, journalisez CloudTrail et les événements Cognito, documentez les workflows de droits des personnes (export, suppression via AdminDeleteUser) et réalisez une AIPD lorsque la sécurité avancée ou un traitement d''identité à grande échelle sont activés.
Les sites web utilisant Amazon Cognito doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque Cognito est utilisé pour de l'authentification à grande échelle, lorsqu'il traite des catégories sensibles (santé, identité publique), lorsqu'il fédère plusieurs fournisseurs d'identité tiers, ou lorsque les fonctionnalités de sécurité avancées profilent les appareils et IP des utilisateurs.
Exemple de texte de consentement
Nous utilisons Amazon Cognito (Amazon Web Services) pour gérer les comptes utilisateurs, la connexion et l'authentification. Les cookies et jetons d'authentification sont strictement nécessaires pour vous maintenir connecté. Si vous choisissez de vous connecter via un fournisseur tiers (Google, Facebook, Apple), ces fournisseurs peuvent recevoir vos identifiants selon leurs propres conditions.
Domaines tiers contactes
auth.<region>.amazoncognito.comcognito-idp.<region>.amazonaws.comcognito-identity.<region>.amazonaws.comamazoncognito.comamazonaws.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| XSRF-TOKEN | http | Session | CSRF protection for the Cognito Hosted UI login forms. |
| cognito-fl | http | Session | Flag cookie used by the Hosted UI to track multi step login flows. |
| csrf-state | http | 10 minutes | Stores the state parameter used during OAuth and federation flows to prevent replay attacks. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.idToken | http | 1 hour (configurable) | Stores the OpenID Connect ID token issued to the authenticated user. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.accessToken | http | 1 hour (configurable) | Stores the OAuth 2.0 access token used to call protected APIs. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.refreshToken | http | 30 days (configurable, up to 10 years) | Allows the client to obtain new access and ID tokens without re authentication. |
| CognitoIdentityServiceProvider.<clientId>.LastAuthUser | http | Persistent | Stores the username of the last user signed in on this device. |
Amazon Cognito est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
L'UI hébergée dépose XSRF-TOKEN, csrf-state et un cookie de flux sur son propre domaine auth.<region>.amazoncognito.com. Une fois l'utilisateur authentifié, l'application client stocke les jetons ID, accès et refresh, généralement sous forme de cookies CognitoIdentityServiceProvider.* ou dans le stockage navigateur.
Non pour l'authentification elle même : les cookies de session et les jetons sont strictement nécessaires. Oui pour tout bouton de connexion sociale qui charge les SDK Google, Facebook ou Apple posant leurs propres cookies de tracking, et oui si la sécurité avancée crée un profil comportemental au delà des besoins de sécurité.
L'article 6(1)(b) du RGPD (exécution du contrat) couvre la création de compte, la connexion et la gestion du mot de passe. L'article 6(1)(f) (intérêt légitime) couvre la prévention de la fraude, la lutte contre les abus et les journaux de sécurité. Le consentement (article 6(1)(a)) est requis pour la fédération optionnelle qui expose des données à des tiers.
Les données clients restent dans la région AWS que vous sélectionnez. Les métadonnées administratives, le support et la télémétrie peuvent être traités aux États Unis par AWS, sous Clauses Contractuelles Types et EU US Data Privacy Framework, tel que décrit dans le DPA AWS.
Une AIPD est recommandée (et peut être obligatoire au sens de l'article 35 du RGPD) pour un traitement d'identité à grande échelle, l'identité du secteur public, des secteurs sensibles (santé, finance), ou lorsque l'authentification adaptative et le profilage par risque sont activés.
Choisissez une région AWS UE, signez le DPA AWS, imposez le MFA, limitez la durée des jetons, gérez les accès admin par rôles IAM, journalisez via CloudTrail, exposez les flux de droits des personnes (export et AdminDeleteUser) et limitez les attributs utilisateur collectés au strict nécessaire.
Parmi les autres fournisseurs d'identité : Auth0, Okta Customer Identity, Microsoft Entra External ID, Keycloak (auto hébergé), FusionAuth, Ory Hydra/Kratos, Clerk, WorkOS et Supabase Auth. Chaque solution a son propre profil de résidence, tarification et intégration à évaluer séparément.
Lancez un scan ciblé sur les pages d'authentification et de callback, listez les cookies Cognito strictement nécessaires (XSRF-TOKEN, csrf-state, stockage des jetons), précisez qu'ils sont first party sur votre domaine d'auth, et documentez les éventuels cookies tiers de connexion sociale chargés à l'action de l'utilisateur.