Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
DataDome est une plateforme française de protection contre les bots à l'edge. Détecte et bloque bots malveillants, credential stuffing, scraping et fraude via un challenge JavaScript et un cookie de première partie strictement nécessaire. S'appuie sur l'intérêt légitime, sans consentement pour la sécurité.
DataDome est une plateforme de détection de bots et de protection contre la fraude en ligne en temps réel. Le produit se déploie comme module CDN ou serveur web (Cloudflare Workers, Fastly Compute@Edge, AWS Lambda@Edge, Akamai EdgeWorkers, Nginx, Apache, connecteurs cloud natifs) et comme tag JavaScript côté client. Chaque requête est scorée en 2 millisecondes à partir de plus de 5 000 milliards de signaux par jour; les bots sont challengés, autorisés, bloqués ou envoyés vers un CAPTCHA. La plateforme propose aussi Account Protection (authentification continue), API Protection et Online Fraud detection en complément de la mitigation de base.
DataDome écrit un unique cookie de première partie nommé datadome (1 an, HTTPOnly, Secure) sur le domaine de l''éditeur. Le cookie stocke un jeton de session chiffré que l''edge DataDome utilise pour reconnaître le visiteur entre requêtes. Le tag JavaScript collecte une empreinte d''appareil (canvas, user agent, écran, audio context, WebGL) qui est envoyée aux serveurs de détection DataDome pour la décision bot. L''empreinte et l''IP ne sont conservées que le temps nécessaire à la décision sécurité et aux analytics de threat intelligence.
Le cookie datadome et l''empreinte bénéficient de l''exemption de stricte nécessité de l''article 5(3) ePrivacy au titre des recommandations CNIL (2020) sur les cookies de sécurité et des lignes directrices 2/2023 du CEPD. Le traitement repose sur l''intérêt légitime au titre de l''article 6(1)(f) RGPD: la protection contre bots, credential stuffing, scraping et fraude est un objectif légitime de l''éditeur, et le visiteur peut raisonnablement attendre la présence d''une telle mesure. Le consentement n''est requis que si DataDome est utilisé au delà de la pure sécurité, par exemple pour alimenter un tableau de bord analytics ou fraude publicitaire.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
DataDome propose un déploiement uniquement UE où le cluster de détection, les journaux et l''agrégation de threat intelligence restent en UE (Paris, Francfort, Irlande). Les équipes customer success et threat research à New York et Singapour peuvent accéder à des signatures bot anonymisées. Les clauses contractuelles types 2021 couvrent tout transfert incident et DataDome figure au EU US Data Privacy Framework. Comme société française, DataDome est directement soumis au RGPD avec la CNIL comme autorité chef de file.
Signer l''addendum sous traitance DataDome, demander le déploiement uniquement UE, lister le cookie datadome dans la mention d''information dans la catégorie strictement nécessaire, documenter la mise en balance d''intérêt légitime, customiser la page challenge DataDome avec votre branding pour la transparence, configurer la rétention des journaux au minimum nécessaire et documenter le traitement de détection de bots au registre des traitements au titre de l''article 30 RGPD.
Les sites web utilisant DataDome doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD n'est généralement pas requise pour le cas d'usage standard de détection de bots car le flux de données est limité et le cookie strictement nécessaire. Elle est recommandée lorsque DataDome est utilisé avec le module Account Protection qui réalise une authentification continue, avec le module Online Fraud ou lorsque les signatures bot alimentent un SIEM externe. L'AIPD doit couvrir l'étendue du fingerprint de l'appareil, la rétention des journaux, l'engagement de déploiement uniquement UE et toute exportation de scores bot vers les systèmes publicitaires.
Exemple de texte de consentement
Notre site est protégé par DataDome, un service français de détection des bots. DataDome dépose un cookie strictement nécessaire (datadome) sur votre appareil pour reconnaître les visiteurs légitimes et challenger le trafic suspect. Ce cookie est exempté de consentement au titre des recommandations CNIL sur les cookies de sécurité. Vos données sont traitées dans l'Union Européenne sur la base de l'intérêt légitime (article 6(1)(f) RGPD). DataDome n'utilise pas ces données à des fins publicitaires ou de profilage.
Domaines tiers contactes
datadome.coapi.datadome.cojs.datadome.cocaptcha-delivery.comct.captcha-delivery.comgeo.captcha-delivery.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| datadome | First party (DataDome bot protection) | 1 year | Strictly necessary security cookie containing an encrypted session token used by DataDome to recognise legitimate visitors across requests and to bypass the bot challenge for previously validated sessions |
DataDome est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Un unique cookie de première partie nommé datadome (1 an, HTTPOnly, Secure) sur le domaine de l'éditeur. Le cookie stocke un jeton de session chiffré utilisé par DataDome pour reconnaître le visiteur entre requêtes. Aucun cookie marketing, aucun identifiant tiers.
Non. Le cookie datadome et l'empreinte bénéficient de l'exemption de stricte nécessité de l'article 5(3) ePrivacy au titre des recommandations CNIL sur les cookies de sécurité (2020) et des lignes directrices 2/2023 du CEPD. Le traitement repose sur l'intérêt légitime au titre de l'article 6(1)(f) RGPD. Le consentement n'est requis que si DataDome est utilisé au delà de la pure sécurité.
Intérêt légitime au titre de l'article 6(1)(f) RGPD, car la protection contre bots, credential stuffing, scraping et fraude est un objectif légitime de l'éditeur avec une attente raisonnable du visiteur. L'article 28 RGPD régit la sous traitance entre l'éditeur et DataDome SAS.
Par défaut non avec le déploiement uniquement UE. Les clusters de détection DataDome à Paris, Francfort et Irlande traitent le trafic. Les équipes customer success et threat research à New York et Singapour peuvent accéder à des signatures bot anonymisées. CCT 2021 et EU US Data Privacy Framework couvrent tout transfert incident.
Habituellement non pour la détection de bots standard. Recommandée pour Account Protection (authentification continue), Online Fraud detection ou lorsque les scores bot alimentent un SIEM externe ou un système publicitaire. L'AIPD doit décrire l'étendue de l'empreinte d'appareil et la rétention des journaux.
Signer le DPA, demander le déploiement uniquement UE, lister le cookie datadome dans la mention d'information dans la catégorie strictement nécessaire, documenter la mise en balance d'intérêt légitime, customiser la page challenge DataDome avec votre branding, fixer la rétention minimale des journaux et documenter le traitement au registre.
Cloudflare Bot Management, Akamai Bot Manager Premier, Imperva Advanced Bot Protection, Human Security (anciennement White Ops), PerimeterX (désormais Human), Kasada, Castle et Arkose Labs. Pour l'auto hébergement: CrowdSec (France, open source), Fail2Ban, ModSecurity. DataDome et CrowdSec sont les acteurs les plus centrés UE.
Ajouter une section strictement nécessaire décrivant le cookie datadome (1 an, sécurité), indiquer la base légale (intérêt légitime), mentionner DataDome SAS à Paris comme sous traitant, faire un lien vers la politique de confidentialité DataDome et expliquer pourquoi ce cookie ne peut pas être refusé sans casser le service de sécurité.