Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Auth0 Lock

Que fait Auth0 Lock ?

Widget JavaScript embarqué d'Auth0 (groupe Okta) qui affiche une interface configurable d'inscription, de connexion et de MFA et dépose des cookies de session d'authentification.

Qu''est ce qu''Auth0 Lock

Auth0 Lock est le widget JavaScript embarqué d''Auth0, désormais filiale d''Okta, qui affiche une interface configurable d''inscription, de connexion et de MFA dans un site ou une application single page. Il se connecte à un tenant Auth0 via OAuth 2.0 et OpenID Connect et délègue à la plateforme Auth0 le stockage des identifiants, la MFA, la détection d''anomalies et la fédération sociale.

Cookies et données collectées

Une fois la session ouverte, Auth0 pose plusieurs cookies sur le domaine du tenant (auth0, did, did_compat, auth0_compat) et éventuellement un cookie d''état sur l''origine de l''application lors du callback OAuth. Le widget collecte aussi des signaux d''empreinte d''appareil, l''IP, le user agent et la géolocalisation pour alimenter la détection d''anomalies et de bots.

Implications RGPD et ePrivacy

Les cookies d''authentification strictement nécessaires à la fourniture du service de connexion sont exemptés de consentement au titre de l''article 82 de la Loi Informatique et Libertés. En revanche, l''empreinte d''appareil, le profilage par anomaly detection et tout identifiant persistant au delà de la session relèvent du régime du consentement, et une information transparente sur chaque cookie est requise.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux

Les tenants Auth0 peuvent être hébergés aux US, dans l''UE, en AU ou au JP, mais Okta Inc. reste un sous traitant américain qui gère la détection d''anomalies, la télémétrie et le support global. Les transferts s''appuient sur les clauses contractuelles types, le Data Privacy Framework et des règles d''entreprise contraignantes. Un tenant UE réduit fortement les transferts récurrents sans les supprimer.

Étapes pratiques de conformité

Choisissez la région UE pour les utilisateurs européens, signez l''accord de traitement Okta, activez les custom domains pour des cookies first party, désactivez les analyses marketing optionnelles, documentez l''attack protection et la détection d''anomalies dans la politique et le registre des traitements.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Auth0 Lock doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleAuthentication cookies and the session needed to deliver the login service the user requested are strictly necessary and exempt from consent. However, optional features such as analytics, marketing redirects, social login persistent identifiers beyond the session, and persistent cross device tracking through device fingerprinting require either consent (Art. 6(1)(a) GDPR) or a documented legitimate interest balancing test (Art. 6(1)(f) GDPR).

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive (Cookie Law), CCPA, HIPAA (with BAA), SOC 2

Considerations AIPD

Une AIPD est recommandée lorsque Auth0 est l'identité principale d'un service grand public, lorsque la MFA mobilise des données biométriques ou de télémétrie, ou lorsque le tenant est aux États Unis pour des utilisateurs européens. Évaluez le profilage par anomaly detection, la conservation des journaux, l'attack protection et les connexions sociales ou entreprise.

Exemple de texte de consentement

Nous utilisons Auth0 Lock d'Okta pour gérer la création de compte, la connexion et l'authentification multi facteurs. Les cookies de session strictement nécessaires sont posés automatiquement. Avec votre accord, des signaux complémentaires d'empreinte d'appareil sont traités pour détecter les activités suspectes.

Details techniques

Methode de suiviEmbeddable JavaScript widget (auth0-lock and the related Auth0.js / auth0-spa-js libraries) that renders a configurable login and signup UI on top of an Auth0 tenant. The widget orchestrates redirect or popup flows to Auth0 hosted endpoints, sets authentication cookies in the Auth0 tenant domain (auth0, did, did_compat, auth0_compat) when a session is established, may set a state cookie at the application origin during the OAuth callback, and forwards device fingerprinting and bot detection signals to Auth0 anomaly detection.

Localisation des serveursUnited States (Okta, Inc., headquartered in San Francisco). Auth0 tenants can be provisioned in the US (default), EU (Frankfurt and Dublin), AU (Sydney), or JP (Tokyo) regions on AWS. Tenant region pins user database, session and log data, but anomaly detection, support, and product telemetry are processed centrally by Okta in the US.

Donnees transferees hors UEEven with an EU tenant, Okta Inc. (the parent company in the United States) acts as a sub processor for anomaly detection, telemetry, support and the unified Customer Identity Cloud back office. Auth0 relies on Standard Contractual Clauses, the EU US Data Privacy Framework, and binding corporate rules. Some integrations (Auth0 Marketplace add ons, social connections) may add further transfers.

Domaines tiers contactes

*.auth0.com*.eu.auth0.com*.us.auth0.comcdn.auth0.comcdn.eu.auth0.comsentry.io

Cookies deposes

Nom	Type	Duree	Finalite
auth0	HTTP cookie	Session	Stores the Auth0 single sign on session for the tenant domain after a successful login.
did	HTTP cookie	1 year	Device identifier used by Auth0 for attack protection, anomaly detection and bot detection.
did_compat	HTTP cookie	1 year	Same device identifier issued without the SameSite attribute for legacy browser compatibility.
auth0_compat	HTTP cookie	Session	Legacy SSO session cookie used by older browsers that do not handle SameSite=None correctly.
a0_state	HTTP cookie	10 minutes	Stores the OAuth state and nonce values during the authorization code callback to prevent CSRF.
_legacy_auth0.is.authenticated	localStorage	Persistent	Used by auth0-spa-js to mark a returning user as authenticated for silent token renewal flows.

Auth0 Lock est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Auth0 Lock dépose t il ?

Auth0 pose des cookies de session sur le domaine du tenant (auth0, did, did_compat, auth0_compat) ainsi que des cookies d'état et de nonce sur l'origine de l'application lors du callback OAuth. Les custom domains permettent de conserver ces cookies en first party.

Le consentement est il requis ?

Les cookies de session strictement nécessaires à l'authentification sont exemptés au titre de l'article 82 de la Loi Informatique et Libertés. L'empreinte d'appareil, le profilage par détection d'anomalies et les identifiants persistants cross device exigent un consentement.

Quelle base légale ?

L'exécution du contrat (article 6(1)(b) du RGPD) couvre la création de compte et la connexion. La détection d'anomalies relève de l'intérêt légitime (article 6(1)(f) du RGPD) et toute analyse optionnelle exige le consentement (article 6(1)(a) du RGPD).

Y a t il des transferts vers les États Unis ?

Oui. Même avec un tenant UE, Okta Inc. aux États Unis est sous traitant pour la détection d'anomalies, la télémétrie et le support. Les transferts reposent sur les clauses contractuelles types, le Data Privacy Framework et des règles d'entreprise contraignantes.

Faut il une AIPD ?

Une AIPD est recommandée pour les services grand public à forte audience, la MFA biométrique et tout tenant US servant des utilisateurs européens. Documentez le profilage par anomaly detection, la conservation des journaux, l'attack protection et les connexions sociales ou entreprise.

Comment déployer Auth0 Lock en conformité ?

Choisissez la région UE, activez les custom domains, signez l'accord de traitement Okta, n'intégrez les fonctions non essentielles qu'après consentement, configurez la conservation des journaux et désactivez les analyses marketing optionnelles dans le tenant.

Existe t il des alternatives ?

Des fournisseurs d'identité européens existent : Keycloak (auto hébergé, open source), Ory, FusionAuth (auto hébergeable), Frontegg, ou des offres gérées comme Microsoft Entra External ID ou Curity hébergés dans l'UE.

Comment mettre à jour la politique cookies ?

Ajoutez une entrée Auth0 Lock, listez les cookies de session (auth0, did, did_compat, auth0_compat), les finalités (authentification, attack protection, détection d'anomalies), les durées, les transferts US et un lien vers la politique de confidentialité et l'accord de traitement Okta.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min