Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Cloudflare Turnstile

Que fait Cloudflare Turnstile ?

Cloudflare Turnstile est un service gratuit de détection des bots sans CAPTCHA de Cloudflare qui vérifie que les utilisateurs sont humains via des défis de preuve de travail invisibles, des signaux de navigateur et une analyse comportementale — sans présenter de puzzles CAPTCHA visibles. Il est conçu pour préserver la vie privée : pas de cookies de suivi persistants, pas de partage de données publicitaires et un traitement minimal des données personnelles. L'intérêt légitime soutient son utilisation pour la sécurité sans nécessiter de consentement.

Ce que fait réellement Cloudflare Turnstile

Cloudflare Turnstile est le remplacement gratuit du CAPTCHA lancé par Cloudflare en 2022. Au lieu de demander aux utilisateurs d''identifier des feux de signalisation, Turnstile exécute une série de défis JavaScript non interactifs (Private Access Tokens, tests d''intégrité du navigateur, signaux comportementaux) et renvoie un jeton que le backend de l''éditeur vérifie via challenges.cloudflare.com/turnstile/v0/siteverify. Le produit se positionne comme l''alternative privacy first à Google reCAPTCHA: aucun cookie publicitaire Google ou Cloudflare n''est déposé, le widget JavaScript est léger et la vérification est locale au navigateur lorsque possible.

Cookies et stockages déposés par Turnstile

En mode invisible par défaut, Turnstile n''écrit aucun cookie sur le domaine de l''éditeur. Le script du widget (challenges.cloudflare.com/turnstile/v0/api.js) stocke uniquement un nonce transitoire dans sessionStorage pour détecter le rejeu pendant la même session. Lorsque le visiteur doit valider un défi managé ou interactif, Cloudflare peut déposer cf_chl_persist sur .cloudflare.com (tiers, 1 heure) et cf_chl_rc_n sur le domaine de l''éditeur (first party, 1 heure) afin de mémoriser le succès. Ces cookies sont strictement nécessaires au service de sécurité.

Base légale et exemption sécurité

Turnstile s''appuie sur l''intérêt légitime de l''éditeur à protéger ses formulaires, connexions et API contre bots, scraping et credential stuffing (art. 6 1 f RGPD). La recommandation CNIL sur les cookies et les lignes directrices CEPD 2/2023 sur l''article 5(3) ePrivacy reconnaissent une exemption de consentement pour les cookies et stockages strictement nécessaires à un service de sécurité explicitement demandé par l''utilisateur. Turnstile entre dans cette exemption tant que l''éditeur ne réutilise pas les signaux à des fins marketing ou analytiques. Le principe de minimisation (art. 5 1 c RGPD) est respecté car aucun identifiant visiteur persistant n''est créé.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux

Cloudflare Inc. est établie aux États Unis et adhère au Data Privacy Framework UE États Unis depuis le 1er août 2023. Les signaux de défi sont traités sur le réseau anycast global, qui inclut les États Unis, même lorsque le visiteur se connecte à un point de présence européen. Les clients Cloudflare Enterprise ou Business avec Regional Services peuvent fixer le plan de données sur la région européenne pour conserver les signaux bruts au sein de l''UE. L''addendum de traitement Cloudflare intègre les CCT (module 2) et est signé automatiquement à l''acceptation des conditions Cloudflare.

Liste de contrôle conformité

Limitez Turnstile à des finalités réelles de protection anti bot; ne réinjectez pas le score dans des outils marketing. Documentez Cloudflare comme sous traitant dans le registre des traitements (art. 30 RGPD) et dans la politique de confidentialité. Activez Regional Services UE uniquement si une résidence stricte est requise. Vérifiez le mode d''action configuré (managed, non interactif, invisible) afin de garder la friction proportionnée. Combinez Turnstile avec rate limiting et règles WAF pour réduire le nombre de défis émis. Rafraîchissez le DPA chaque année et vérifiez la certification DPF active sur dataprivacyframework.gov.

Alternatives

Les alternatives privacy first incluent Friendly Captcha (allemand, conçu RGPD), hCaptcha (avec Privacy Pass), Altcha (open source proof of work) et MTCaptcha. Google reCAPTCHA reste le plus populaire mais dépose des cookies comportementaux sur doubleclick.net et reste incompatible avec l''exemption sécurité dans la plupart des cas.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Cloudflare Turnstile doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleLegitimate interest of the publisher in protecting the site against bots and abuse (GDPR art. 6(1)(f)). Under the CNIL exemption for security cookies and the EDPB guidelines 2/2023 on the scope of ePrivacy art. 5(3), a CAPTCHA strictly necessary to deliver the service requested by the user can run without consent, provided no advertising reuse occurs. Consent must be sought if the publisher activates the Turnstile cf_chl_persist cookie for non security purposes.

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework, EDPB guidelines 2/2023 on art. 5(3) ePrivacy, CNIL recommendation on security cookies, TTDSG (Germany), LOPDGDD (Spain), LIL (France)

Considerations AIPD

Une AIPD n'est généralement pas requise pour Turnstile : il s'agit d'une mesure de sécurité qui traite uniquement des signaux navigateur. Documentez la base légale et le flux vers Cloudflare.

Exemple de texte de consentement

Nous utilisons Cloudflare Turnstile, un remplacement privacy first du CAPTCHA, pour détecter les bots et protéger nos formulaires. Turnstile exécute un défi JavaScript non interactif dans votre navigateur; aucun cookie publicitaire n'est déposé et aucun profil comportemental n'est construit. Des signaux comme votre adresse IP, votre user agent et les temps de défi sont traités sur le réseau mondial Cloudflare, États Unis inclus, dans le cadre du Data Privacy Framework et des clauses contractuelles types. Comme Turnstile est strictement nécessaire à la protection de ce site contre la fraude, il s'exécute sans votre consentement au titre de l'exemption sécurité reconnue par la CNIL et le CEPD.

Details techniques

Methode de suiviinvisible_browser_challenge_javascript

Localisation des serveursCloudflare operates an anycast network of more than 320 points of presence. Turnstile challenges are issued and verified at the closest edge to the visitor; for EU visitors traffic stays in the European Region (Frankfurt, Paris, Amsterdam, Madrid) under the Cloudflare Regional Services configuration when activated by the customer.

Suivi sans cookie disponibleOui

Donnees transferees hors UECloudflare Inc. is established in San Francisco, California. Challenge signals (browser fingerprints, IP, timing, behaviour signals) are processed across the global Cloudflare network including the United States, even when the EU edge is preferred. Cloudflare adheres to the EU US Data Privacy Framework since 1 August 2023 and signs the EU Standard Contractual Clauses through its Data Processing Addendum. Activate Regional Services EU only for stricter data residency.

Domaines tiers contactes

challenges.cloudflare.comchallenges.cloudflare.comcloudflare.comcloudflare.comstatic.cloudflareinsights.com

Cookies deposes

Nom	Type	Duree	Finalite
cf_clearance	persistent	30 minutes	Cloudflare Turnstile clearance cookie confirming successful human verification — no advertising or tracking purpose
cf_clearance	First party (Cloudflare, optional)	30 minutes	Set only when the protected resource also uses Cloudflare Bot Management. Confirms the visitor has passed the bot challenge for the current session.
__cf_chl_*	First party (Cloudflare)	Few seconds	Short lived challenge cookie used to coordinate the Turnstile challenge in the browser. Removed immediately after the challenge completes.

Cloudflare Turnstile est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Cloudflare Turnstile nécessite-t-il un consentement ?

Généralement non. Turnstile est conçu pour la prévention des bots dans le cadre de l'intérêt légitime. Il ne dépose pas de cookies de suivi persistants, ne profile pas les utilisateurs à des fins publicitaires et collecte un minimum de données. L'intérêt légitime pour la sécurité est bien soutenu sans nécessiter de consentement.

Cloudflare Turnstile est-il vraiment sans CAPTCHA ?

Oui. Turnstile ne montre pas de puzzles d'images ou de défis à cocher à la plupart des utilisateurs. Il exécute des défis JavaScript et une attestation du navigateur de manière invisible. La plupart des utilisateurs expérimentent une vérification sans friction.

Quelles données Cloudflare Turnstile collecte-t-il ?

Turnstile collecte : les résultats des défis JavaScript, les caractéristiques du navigateur (agent utilisateur, résolution d'écran), les signaux de timing et les réponses aux défis de preuve de travail. Il ne collecte pas d'identifiants persistants pour le suivi, ne dépose pas de cookies publicitaires et ne partage pas de données avec des plateformes publicitaires tierces.

Cloudflare Turnstile transfère-t-il des données hors de l'UE ?

Cloudflare exploite un réseau mondial incluant des centres de données EU. Pour un traitement des données uniquement en Europe, Cloudflare propose des options de localisation des données. Cloudflare fournit un accord de traitement RGPD couvrant Turnstile. Acceptez l'accord de traitement Cloudflare avant d'utiliser Turnstile sur les sites européens.

Cloudflare Turnstile est-il gratuit ?

Oui. Cloudflare Turnstile dispose d'un niveau gratuit sans limites d'utilisation pour la plupart des cas d'usage. Il n'y a aucun coût pour le widget Turnstile standard.

Comment mettre en oeuvre Cloudflare Turnstile ?

Ajoutez la balise script Turnstile à votre page, ajoutez le div du widget Turnstile avec votre clé de site et validez le jeton Turnstile sur votre serveur en utilisant l'API siteverify de Cloudflare. Turnstile offre une compatibilité de remplacement avec les implémentations reCAPTCHA existantes.

Quelle est la différence entre Cloudflare Turnstile et hCaptcha ?

Les deux sont des alternatives à reCAPTCHA respectueuses de la vie privée. Différences clés : Turnstile est sans CAPTCHA (pas de puzzles visuels pour la plupart des utilisateurs) tandis que hCaptcha peut afficher des grilles d'images. Turnstile est entièrement gratuit ; hCaptcha a un niveau gratuit mais les fonctionnalités enterprise sont payantes.

Comment divulguer Cloudflare Turnstile dans ma politique de confidentialité ?

Indiquez : que les formulaires sont protégés par Cloudflare Turnstile pour la prévention des bots, que Turnstile utilise des signaux de navigateur et des défis JavaScript pour vérifier l'humanité, que cela est traité dans le cadre de l'intérêt légitime pour la sécurité, et fournissez un lien vers la politique de confidentialité de Cloudflare.

Quels cookies dépose Cloudflare Turnstile ?

Aucun par défaut. Turnstile est cookieless et n'utilise que des signaux navigateur courts. Un cookie cf_clearance peut apparaître si la ressource est aussi protégée par Cloudflare Bot Management, mais Turnstile lui même ne l'utilise pas.

Faut-il un consentement pour Turnstile ?

Non. Turnstile est une technologie de sécurité nécessaire au service demandé (considérant 30 ePrivacy, considérant 49 RGPD). Il peut être chargé avant consentement comme tout CAPTCHA anti abus. La CNIL et l'AEPD partagent cette interprétation.

Quelle est la base légale ?

Intérêt légitime (article 6.1.f du RGPD) pour protéger un service contre l'abus automatisé, la fraude, le credential stuffing, le scraping et le spam. L'intérêt est concret et proportionné.

Cloudflare Turnstile transfère-t-il des données aux États-Unis ?

Cloudflare, Inc. est établi aux États-Unis. La plupart des défis sont évalués sur le nœud Edge le plus proche, souvent en Europe. Tout transfert vers les États-Unis est couvert par le EU US Data Privacy Framework et les CCT du DPA Cloudflare.

Faut-il une AIPD ?

Pas en règle générale. Turnstile est une mesure de sécurité qui traite des signaux navigateur courts. Documentez la base légale dans le registre des traitements.

Comment implémenter Turnstile en conformité ?

Utilisez le sur les formulaires/actions où l'abus est un risque réel. Documentez le comme mesure de sécurité. Signez le DPA Cloudflare. Validez côté serveur. Privilégiez le rendu explicite ou managé pour rester transparent envers les utilisateurs.

Quelles alternatives à Turnstile ?

Alternatives privacy first : Friendly Captcha (Allemagne), Anubis (open source), MTCaptcha (Espagne), Hcaptcha (Suisse), Procaptcha (Royaume-Uni), Capy Puzzle Captcha (Japon), Geetest (Chine). Pour du Bot Management complet : Datadome (France), Reblaze.

Comment mettre à jour la politique cookies pour Turnstile ?

Aucun cookie à lister car Turnstile est cookieless. Mentionnez Cloudflare Turnstile dans la section sécurité de la politique de confidentialité : finalité (anti bot), base légale (intérêt légitime sécurité), sous traitant (Cloudflare), transfert (EU US Data Privacy Framework + CCT).

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min