Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Cloudflare Bot Management est le produit payant de détection de bots de Cloudflare. Il inspecte chaque requête HTTP au niveau du edge Cloudflare, applique des modèles d'apprentissage automatique pour calculer un score bot, et permet à l'opérateur de bloquer, challenger ou rate limiter le trafic indésirable. Il dépose le cookie __cf_bm sur l'appareil du visiteur (durée 30 minutes par défaut) pour relier les requêtes successives à la même session. Cloudflare positionne le cookie comme strictement nécessaire pour la sécurité, les interprétations des autorités varient.
Cloudflare Bot Management est le produit payant de détection de bots dans la suite Cloudflare, disponible sur les plans Pro, Business et Enterprise. Il s''appuie sur la position de Cloudflare comme reverse proxy et CDN devant le site de l''opérateur pour inspecter chaque requête HTTP entrante au edge Cloudflare. Des modèles d''apprentissage automatique entraînés sur le graphe global de requêtes de Cloudflare (plus de 50 millions de sites selon les estimations publiques) calculent un score bot de 1 (presque certainement un bot) à 99 (presque certainement un humain). L''opérateur écrit ensuite des règles firewall qui bloquent, challengent ou rate limitent en fonction du score. Bot Management est très utilisé par l''e commerce, la banque, le secteur public et la billetterie contre le credential stuffing, le scraping, l''accaparement de stocks et le DDoS.
Bot Management dépose le cookie __cf_bm sur le domaine de l''opérateur (durée glissante 30 minutes par défaut), contenant un jeton chiffré que Cloudflare utilise pour reconnaître la session et affiner son score. Au niveau requête, Cloudflare inspecte : l''IP source, l''empreinte TLS (JA3/JA4), les en-têtes HTTP, le motif temporel des requêtes, l''URL demandée et les signaux de la Cloudflare JavaScript Detection si activée. Les métadonnées agrégées alimentent les modèles. Le corps de la requête n''est pas inspecté sauf activation explicite de fonctionnalités examinant le payload (Page Shield, détection bot sur payload).
Le cookie __cf_bm est positionné par Cloudflare comme cookie de sécurité strictement nécessaire, relevant de l''exemption ePrivacy art. 5(3) pour les cookies nécessaires à la délivrance d''un service expressément demandé. La CNIL accepte cette position pour des cookies de sécurité similaires, mais la DSK allemande et d''autres autorités ont réclamé un consentement granulaire lorsque des cookies de sécurité sont mêlés à de l''analytics comportementale plus large. Sous RGPD, la base de traitement du score bot et de la valeur du cookie est l''intérêt légitime (art. 6(1)(f)), justifié par la finalité sécurité et prévention de la fraude, l''opérateur réalisant un balancing test. Les IP, métadonnées de requête et scores bot sont des données personnelles à inscrire dans le registre des traitements.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Le trafic des visiteurs UE est traité en edge UE (Francfort, Amsterdam, Paris, Londres, Madrid, Milan, etc.). La gestion de configuration, le pipeline d''entraînement ML, les tableaux de bord clients et les journaux d''audit sont partiellement aux États-Unis. Cloudflare s''auto certifie sous le EU US Data Privacy Framework et utilise des Clauses Contractuelles Types en repli. Cloudflare étant une société américaine, l''exposition au CLOUD Act US est à évaluer indépendamment de la certification. La Data Localisation Suite, en Enterprise, épingle l''inspection des requêtes, le stockage des clés et la livraison des journaux dans des régions UE, réduisant le risque résiduel.
La JavaScript Detection ajoute un challenge exécutable parfois chargé avant consentement, acceptable sous l''exemption sécurité mais à signaler dans la politique de confidentialité. Bot Management interagit avec Turnstile (CAPTCHA Cloudflare) et Page Shield, chacun ayant sa propre posture privacy. L''opérateur peut journaliser les métadonnées complètes à des fins forensiques ou seulement des compteurs agrégés : la journalisation complète pèse davantage et doit être limitée au nécessaire. En Enterprise, activer la Data Localisation Suite pour garder l''inspection et le matériel cryptographique en UE.
Inscrire Bot Management dans le registre des traitements comme activité de sécurité sous intérêt légitime. Lister __cf_bm dans la politique cookies comme cookie de sécurité strictement nécessaire, durée 30 minutes, finalité détection de bots. Signer le DPA et les CCT Cloudflare. Évaluer l''exposition au CLOUD Act US dans l''analyse d''impact des transferts, documenter le risque résiduel et les mitigations (Data Localisation Suite, identifiants hachés, rétention de logs limitée). Activer la Data Localisation Suite en Enterprise si possible. Décider si le consentement est requis pour Bot Management selon l''appétit pour le risque et la position du superviseur national.
Les sites web utilisant Cloudflare Bot Management doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Cloudflare Bot Management écrit le cookie __cf_bm (durée 30 minutes par défaut) sur le domaine de l'opérateur, contenant un jeton chiffré que Cloudflare utilise pour corréler les requêtes et alimenter ses modèles. Points clés AIPD : (1) l'identifiant du cookie est un identifiant en ligne persistant au sens du RGPD, qualifiable de donnée personnelle même sans identification directe ; (2) le score bot et les métadonnées de requête sont traités au edge Cloudflare, typiquement en UE pour les visiteurs UE, mais les données d'entraînement et les tableaux de bord peuvent être aux États-Unis ; (3) Cloudflare est une société américaine soumise au CLOUD Act US, à évaluer quel que soit le statut DPF ; (4) le cookie est positionné comme strictement nécessaire pour la sécurité, position acceptée par la CNIL dans de nombreux cas (exemption cookies de sécurité ePrivacy art. 5(3)), mais la DSK allemande et d'autres ont demandé un consentement granulaire ; (5) pour les sites à fort trafic, la Data Localisation Suite en Enterprise épingle l'inspection et les clés en UE. Une AIPD est recommandée pour les déploiements à fort enjeu (finance, e commerce, secteur public), surtout couplés à Workers ou Page Shield.
Exemple de texte de consentement
Nous utilisons Cloudflare Bot Management pour protéger notre site contre les abus automatisés, le scraping et le credential stuffing. Cloudflare dépose un petit cookie first party (__cf_bm) sur votre appareil pour une durée maximale de 30 minutes afin de reconnaître les visiteurs légitimes et les distinguer des bots. La détection s'effectue dans les datacenters européens de Cloudflare, avec des données limitées partagées avec Cloudflare Inc. aux États-Unis pour l'analyse sécurité. Nous nous appuyons sur l'intérêt légitime pour la sécurité (art. 6(1)(f) RGPD). Plus d'informations dans notre politique de sécurité et de confidentialité.
Domaines tiers contactes
challenges.cloudflare.comstatic.cloudflareinsights.comcdnjs.cloudflare.comcloudflare.comworkers.devCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| __cf_bm | Strictly Necessary / Security | 30 minutes | Set by Cloudflare Bot Management on the operator's first party domain. Contains an encrypted token used by Cloudflare to recognise the same browser session, correlate requests at the edge and refine the bot score machine learning model. Refreshed on every page load (sliding lifetime). |
| _cfuvid | Strictly Necessary / Security | Session | Set by Cloudflare on the operator's domain when Rate Limiting or Bot Management is active. Used to bypass cookie based rate limiting for the same browser session. |
| cf_clearance | Strictly Necessary / Security | 30 days | Set by Cloudflare after a successful Cloudflare challenge (Managed Challenge, Interactive Challenge, JavaScript Challenge or Turnstile). Acts as a security pass for the browser, exempting it from further challenges for the duration of the cookie. |
| __cflb | Strictly Necessary / Functional | 24 hours | Set by Cloudflare Load Balancing when used together with Bot Management. Pins the visitor to the same origin server for session affinity, which can be important for bot detection consistency. |
Cloudflare Bot Management est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Cloudflare Bot Management dépose le cookie __cf_bm sur le domaine de l'opérateur, durée glissante 30 minutes par défaut, contenant un jeton chiffré utilisé par Cloudflare pour reconnaître la même session navigateur et affiner son score. La JavaScript Detection peut utiliser du stockage côté client à courte durée. Les cookies sont first party sur le domaine de l'opérateur.
Cloudflare positionne __cf_bm comme cookie de sécurité strictement nécessaire sous l'exemption ePrivacy art. 5(3). La CNIL accepte cette position dans de nombreux cas, surtout pour les sites confrontés à de réelles menaces de bots. La DSK allemande et plusieurs autres autorités demandent un consentement granulaire lorsque le bot management est mêlé à des analytics plus larges. L'opérateur doit évaluer la position de son superviseur national et documenter l'approche retenue.
Intérêt légitime (art. 6(1)(f) RGPD), justifié par la finalité légitime de prévention des abus automatisés, du credential stuffing, du scraping et du DDoS. L'opérateur doit conduire un balancing test pesant les attentes raisonnables du visiteur contre le besoin de sécurité, et documenter l'analyse. Le consentement n'est généralement pas requis pour la finalité sécurité, mais la transparence sur le cookie doit figurer dans la politique de confidentialité.
Les requêtes des visiteurs UE sont typiquement traitées dans des datacenters edge UE, mais la gestion de configuration, le pipeline d'entraînement ML, les tableaux de bord et les journaux d'audit sont partiellement aux États-Unis. Cloudflare s'auto certifie sous le EU US Data Privacy Framework et utilise des CCT en repli. En tant que société US, Cloudflare est exposée au CLOUD Act, signalé par les superviseurs européens. La Data Localisation Suite (Enterprise) épingle l'inspection et le matériel cryptographique en UE.
Une AIPD est recommandée pour les déploiements à l'échelle, en particulier dans la banque/finance, l'e commerce, le secteur public, la billetterie et tout contexte où le profilage automatique a un impact matériel sur l'accès. L'AIPD doit couvrir le traitement du score bot, la finalité du cookie, la base légale (balancing test intérêt légitime), le mécanisme de transfert et toute combinaison avec Workers, Page Shield ou Turnstile.
Inscrire Bot Management dans le registre des traitements comme activité de sécurité sous intérêt légitime. Lister __cf_bm dans la politique cookies comme cookie de sécurité strictement nécessaire, durée 30 minutes. Signer le DPA et les CCT Cloudflare. Réaliser une analyse d'impact des transferts couvrant l'exposition au CLOUD Act US. Activer la Data Localisation Suite en Enterprise. Documenter toute combinaison avec Turnstile, Workers ou Page Shield comme traitements séparés.
Autres produits de bot management : DataDome (France), Imperva Advanced Bot Protection, Akamai Bot Manager, F5 Distributed Cloud Bot Defense, Kasada et HUMAN BotGuard. Les options européennes comme DataDome traitent les données uniquement en UE par défaut, ce qui simplifie l'analyse de transfert RGPD.
Lister __cf_bm parmi les cookies de sécurité strictement nécessaires, durée 30 minutes, finalité détection de bots. Dans la politique de confidentialité, mentionner Cloudflare Inc. (Bot Management) comme sous traitant, la finalité sécurité, la base légale (intérêt légitime), la résidence (edge UE pour l'inspection, partie US pour l'entraînement ML), et toute configuration Data Localisation Suite. Mettre à jour le registre des risques pour acter le risque de transfert résiduel.