Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Fortinet FortiGate est un firewall d'entreprise nouvelle generation et une plateforme SD-WAN combinant inspection avec etat, IPS, inspection SSL, filtrage Web, anti-bot et VPN. Quand il est deploye en frontal d'un site via le WAF FortiWeb, il peut deposer des cookies de challenge de securite strictement necessaires. Les appliances FortiGate tournent sur l'infrastructure du client, FortiGuard etant heberge par Fortinet aux Etats-Unis, au Canada et dans des regions UE.
Fortinet FortiGate est le firewall nouvelle generation et la plateforme SD-WAN phares de Fortinet, Inc., dont le siege est a Sunnyvale (Californie). Il combine pare-feu avec etat, IPS, inspection SSL, filtrage Web, controle applicatif, VPN, anti-malware et SD-WAN dans une appliance ou une machine virtuelle. La gamme inclut FortiWeb (WAF), FortiAnalyzer (logs), FortiManager et FortiGuard cloud de renseignement sur les menaces.
FortiGate traite les en-tetes de paquets, IPs, ports, URLs, user agents, hashes de fichiers et, en inspection SSL active, le contenu dechiffre des sessions TLS. Le WAF FortiWeb peut deposer des cookies de challenge strictement necessaires (cookiesession1, cookies de session FortiGate) lors d''un controle de securite. FortiGuard recoit des requetes (hash d''URL, IP, hash fichier) pour verifier la reputation en temps reel.
FortiGate traite des donnees personnelles (IPs, metadonnees de trafic) dans le cadre de la securite. Le client est responsable de traitement, Fortinet est sous-traitant pour les services cloud. Les cookies de challenge FortiWeb relevent de l''exemption strictement necessaire de l''art. 5(3) ePrivacy et n''exigent pas de consentement. L''inspection SSL pose des enjeux de proportionnalite : la limiter au necessaire, exclure les categories sensibles (banque, sante) et la divulguer au personnel et aux visiteurs.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aucun consentement visiteur n''est requis pour la fonction firewall ni pour les cookies de securite strictement necessaires. Il n''est pas requis non plus pour les requetes de reputation FortiGuard, essentielles au service de securite. Les utilisateurs internes dont le trafic est inspecte en SSL doivent etre informes et idealement avoir une charte d''usage en place.
L''appliance FortiGate tourne sur l''infrastructure du client : le firewall en soi ne transfere pas hors EEE. FortiGuard et FortiCloud ajoutent des transferts vers les data centres US de Fortinet, sous CCT et Data Privacy Framework UE Etats-Unis. Les clients peuvent selectionner des endpoints FortiGuard UE dans certaines configurations pour minimiser les transferts.
Signez l''Accord de traitement Fortinet pour les services cloud, configurez FortiGuard pour utiliser les endpoints UE quand disponibles, limitez l''inspection SSL par categorie d''URL pour exclure les sites sensibles, definissez les regles de retention FortiAnalyzer, documentez FortiGate dans votre Registre des activites de traitement, realisez une analyse d''interet legitime et alignez-vous sur NIS2 si vous etes entite essentielle ou importante.
Les sites web utilisant Fortinet FortiGate doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
FortiGate traite trafic reseau, IPs, URLs et user agents pour la securite. Points cles AIPD : (1) l'appliance tourne sur l'infrastructure client, les donnees ne sortent pas tant que FortiGuard cloud n'est pas interroge ; (2) les cookies de challenge FortiWeb sont strictement necessaires au sens de l'art. 5(3) ePrivacy, pas de consentement requis ; (3) l'inspection SSL dechiffre le trafic TLS pour analyser le contenu, posant des enjeux de proportionnalite et de minimisation ; (4) FortiGuard envoie des requetes de reputation (URL, IP, hash fichier) au cloud Fortinet, parfois aux Etats-Unis ; (5) FortiAnalyzer journalise IPs et metadonnees du trafic, qui peuvent etre personnelles ; (6) NIS2 impose des obligations specifiques aux entites essentielles et importantes qui exploitent FortiGate.
Exemple de texte de consentement
Notre site est protege par les appliances Fortinet FortiGate et FortiWeb. Ces outils inspectent le trafic entrant, peuvent deposer des cookies de securite strictement necessaires (cookiesession1) et interrogent la threat intelligence FortiGuard pour bloquer le trafic malveillant. Le traitement repose sur notre interet legitime de securite au sens de l'art. 6(1)(f) RGPD.
Domaines tiers contactes
fortinet.comfortiguard.comforticloud.comsupport.fortinet.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| cookiesession1 | Functional | Session | Strictly necessary security cookie set by FortiWeb WAF in front of a protected website. Used to maintain the security session and validate that the visitor has passed an anti bot or rate limiting check. |
| FGT_PERSISTENT_SESSION | Functional | Session | Set by FortiGate when the appliance acts as a captive portal or load balancer to keep the visitor anchored to a specific backend server. |
Fortinet FortiGate est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Lorsque le WAF FortiWeb est en frontal d'un site, il peut deposer des cookies de securite strictement necessaires comme cookiesession1 pour maintenir une session de securite et valider qu'un visiteur a passe un controle anti-bot. Ces cookies ne stockent pas le comportement de navigation et entrent dans le cadre strictement necessaire.
Non. Les cookies poses pour les controles de securite et la validation de session relevent de l'exemption strictement necessaire de l'art. 5(3) ePrivacy et du considerant 66, car ils sont essentiels au service de securite voulu par l'operateur. Mentionnez-les dans la politique sans bandeau de consentement.
Interet legitime (art. 6(1)(f) RGPD) pour la securite, l'anti-bot et la prevention des abus. Obligation legale (art. 6(1)(c) RGPD) pour la journalisation des incidents au titre de NIS2 ou de regles sectorielles. L'inspection SSL du trafic du personnel doit etre equilibree et divulguee ; tenez compte de l'art. 88 RGPD pour la surveillance des salaries.
L'appliance FortiGate traite le trafic sur l'infrastructure du client : le firewall en soi ne transfere rien hors EEE. FortiGuard et FortiCloud tournent sur l'infrastructure Fortinet aux Etats-Unis, au Canada et dans des regions UE, avec CCT et Data Privacy Framework UE Etats-Unis pour les transferts US.
Une AIPD est recommandee quand l'inspection SSL est activee, quand les logs sont conserves a grande echelle ou quand FortiGate est deploye par une entite essentielle ou importante au sens NIS2. Elle doit couvrir le perimetre d'inspection SSL, la retention dans FortiAnalyzer, les transferts FortiGuard et les risques pour visiteurs et salaries.
Signez l'Accord de traitement Fortinet pour les services cloud, limitez l'inspection SSL par categorie d'URL, excluez les sites sensibles (banque, sante, syndicat ou politique), selectionnez des endpoints FortiGuard UE quand disponibles, configurez la retention FortiAnalyzer, realisez une analyse d'interet legitime et alignez-vous sur les obligations de declaration NIS2.
Alternatives UE : Stormshield (France), genua (Allemagne), Rohde and Schwarz Cybersecurity (Allemagne), WatchGuard (US avec options UE) et options open source comme pfSense et OPNsense. Pour le WAF, envisagez Imperva, Cloudflare WAF ou ModSecurity open source.
Mentionnez que vous protegez votre site avec FortiGate et FortiWeb, nommez le cookie de securite strictement necessaire (cookiesession1) et son objet, expliquez que les metadonnees de trafic sont traitees au titre de l'interet legitime, mentionnez les requetes FortiGuard et les CCT et Data Privacy Framework UE Etats-Unis pour les transferts US, et liez la politique et l'Accord de traitement Fortinet.