Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Okta

Que fait Okta ?

Okta est l'une des principales plateformes de gestion des identités et des accès, utilisée par les entreprises pour le SSO, la MFA, la gestion du cycle de vie utilisateur, la fédération et l'identité client (via la marque Auth0 également exploitée par Okta). Elle repose sur un flux d'authentification hébergé qui pose des cookies de session et émet des tokens OAuth/OIDC. Les tenants Okta peuvent être déployés en cellule UE (Francfort, Dublin), mais Okta, Inc. reste responsable américain pour la plateforme.

Qu''est ce qu''Okta

Okta est une plateforme mondiale de gestion des identités et des accès exploitée par Okta, Inc., dont le siège est à San Francisco. Son Workforce Identity Cloud fournit aux collaborateurs SSO, MFA, gestion du cycle de vie et revues d''accès sur des centaines d''applications professionnelles. Son Customer Identity Cloud, qui inclut Auth0 racheté en 2021, sécurise la connexion d''applications grand public et B2B avec login social, sans mot de passe, anti brute force, détection d''anomalies et MFA adaptative. Les deux produits passent par un flux d''authentification hébergé sur des sous domaines okta.com ou auth0.com et un large éventail de SDK.

Quelles données et cookies Okta collecte

Okta collecte nom d''utilisateur, mot de passe (haché, jamais en clair), email, téléphone, facteurs MFA (secrets OTP, clés WebAuthn), empreinte d''appareil, IP, User Agent, pays, journaux d''audit de chaque authentification, session et changement de configuration et toute claim personnalisée. Côté visiteur, le flux hébergé pose un cookie de session sid et plusieurs cookies techniques (DT, JSESSIONID, t) de protection CSRF. Auth0 ajoute son propre cookie auth0 et des signaux optionnels de détection d''anomalies.

Implications RGPD et ePrivacy

Les cookies d''authentification Okta sont strictement nécessaires à la connexion au service demandé et sont exemptés de l''article 5(3) ePrivacy. Le traitement des identifiants, MFA et journaux d''audit s''appuie sur l''exécution du contrat (art. 6(1)(b)), les obligations légales (art. 6(1)(c) pour la sécurité et la conservation comptable) et l''intérêt légitime à prévenir la fraude. Toute fonction de détection d''anomalies ou de scoring comportemental allant au delà du strict nécessaire doit être évaluée séparément. La politique doit lister Okta ou Auth0 comme sous traitant.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Le consentement est il requis

Non pour les cookies d''authentification strictement nécessaires et les jetons de sécurité. Oui pour toute fonction optionnelle au delà de l''authentification : analytics sur la page de login, widgets marketing, fournisseurs sociaux soumis à consentement, reconnaissance d''appareil persistante à des fins marketing. L''utilisateur doit toujours être informé qu''Okta ou Auth0 intervient dans le flux de connexion.

Transferts et destinataires

Avec une cellule UE (Francfort ou Dublin) choisie à la création du tenant, les données persistantes restent en UE. Okta, Inc. (USA) reste responsable de la plateforme et accède aux données pour le support, la sécurité et la réponse aux incidents. Okta est certifié au Data Privacy Framework UE États Unis, propose les CCT via le Master Subscription Agreement et le DPA Okta et publie une liste de sous traitants régulièrement mise à jour. Auth0 suit le même régime sous l''ombrelle Okta. Pour les secteurs régulés, Okta fournit FedRAMP, ISO 27001, ISO 27018, SOC 2 Type II et HIPAA.

Étapes pratiques de conformité

Choisissez une cellule UE à la création du tenant, signez le DPA Okta avec annexe CCT, listez Okta, Inc. et Auth0 comme destinataires avec mécanisme de transfert (DPF et CCT), configurez la rétention des audit logs au minimum permis par vos obligations de sécurité et légales, restreignez l''accès admin via SSO et MFA et envisagez le Bring Your Own Key pour les tenants sensibles. Documentez l''intégration au registre article 30.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Okta doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract (Art. 6(1)(b) GDPR) for authenticating the user into the customer's application, legal obligation (Art. 6(1)(c)) for security and audit logs, legitimate interest (Art. 6(1)(f)) for fraud and bot detection; consent (Art. 6(1)(a) and Art. 5(3) ePrivacy) for any optional analytics, marketing or persistent recognition features

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, eIDAS for strong customer authentication scenarios, NIS2 for essential operators, TTDSG, LIL, DORA for regulated financial entities

Considerations AIPD

Okta traite identifiants, facteurs MFA, journaux d'audit et (avec Auth0 Hooks) attributs comportementaux optionnels. Une AIPD est recommandée pour les déploiements customer identity à grande échelle (B2C des millions d'utilisateurs, administrations, secteurs régulés). Elle doit couvrir le choix de cellule, le mécanisme de transfert UE États Unis, la rétention des audit logs et la liste des sous traitants.

Exemple de texte de consentement

Nous utilisons Okta pour vous connecter à notre application. Des cookies d'authentification et des jetons de sécurité sont posés par Okta. Okta est exploité par Okta, Inc. (USA) avec les données de notre tenant hébergées en cellule UE.

Details techniques

Methode de suiviHosted authentication flow (Okta Identity Engine) with redirect or embedded widget (Okta Sign In Widget), OAuth 2.0 / OpenID Connect tokens, SAML 2.0 federation, SCIM provisioning, optional Auth0 (Okta Customer Identity) JavaScript SDKs and Universal Login

Localisation des serveursRegion selected by the customer at tenant provisioning: EU (Frankfurt, Dublin), US, AU, IN, JP cells. Okta, Inc. is headquartered in San Francisco; the Auth0 product line is operated by Okta and inherited the Auth0 EU and US regions.

Donnees transferees hors UECustomer data persists in the chosen Okta cell. Okta, Inc. (USA) operates the service globally and accesses tenant data for support, security and incident response. Okta is self certified under the EU US Data Privacy Framework, lists EU sub processors with their regions in the Okta Trust portal, and offers EU Standard Contractual Clauses through the Okta Master Subscription Agreement.

Domaines tiers contactes

okta.com<tenant>.okta.com<tenant>.oktapreview.comokta-emea.comoktacdn.comauth0.com<tenant>.eu.auth0.com<tenant>.us.auth0.com

Cookies deposes

Nom	Type	Duree	Finalite
sid	third party	Session	Okta authenticated session cookie set after successful sign in; strictly necessary for the authenticated experience.
DT	third party	1 year	Device token used by Okta to recognise a known device during sign in and to power device based MFA policies.
JSESSIONID	third party	Session	Back end application server session cookie for the Okta sign in service.
t	third party	Session	CSRF protection token used during the Okta sign in flow.
proximity_<...>	third party	30 days	Optional Okta cookie used by Okta FastPass and proximity based authentication features.
auth0	third party	Session	Auth0 session cookie set on the Auth0 hosted login page (.auth0.com) for the duration of an authentication session.
auth0_compat	third party	Session	Compatibility session cookie used by older Auth0 SDKs when the SameSite=None policy cannot be enforced on the main auth0 cookie.

Okta est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies pose Okta ?

Okta pose sid (session), DT (device token), JSESSIONID (session backend) et t (protection CSRF) sur son domaine d'authentification hébergé. Ces cookies sont strictement nécessaires à la connexion et exemptés de consentement. Auth0 ajoute des cookies auth0 et auth0_compat.

Faut il un consentement pour Okta ?

Pas pour les cookies et jetons d'authentification eux mêmes, strictement nécessaires. Oui pour tout widget analytics ou marketing sur la page de login et pour les fonctions de risque comportemental allant au delà du strictement nécessaire.

Quelle base légale pour Okta ?

Exécution du contrat (art. 6(1)(b) RGPD) pour le service d'authentification, obligation légale (art. 6(1)(c)) pour la conservation des audit logs imposée par les référentiels (ISO 27001, NIS2, eIDAS), intérêt légitime (art. 6(1)(f)) pour la prévention de la fraude et des bots.

Y a t il des transferts hors UE ?

Avec une cellule UE, les données persistantes restent en UE. Okta, Inc. (USA) conserve un accès support et sécurité. Les transferts s'appuient sur la certification DPF, les CCT UE du DPA Okta et une liste publique de sous traitants.

Une AIPD est elle nécessaire avant un déploiement Okta ?

Pour un workforce identity sur de petits effectifs, une AIPD légère suffit. Pour un customer identity à grande échelle, une administration publique ou un secteur régulé, menez une AIPD complète couvrant cellule, transferts, audit logs et signaux de risque personnalisés.

Comment déployer Okta de manière conforme ?

Choisissez une cellule UE, signez le DPA Okta, configurez SSO et MFA pour les accès admin, limitez la rétention des audit logs au strict nécessaire, mentionnez Okta et Auth0 comme sous traitants dans la politique et désactivez les fonctions de risque comportemental non évaluées.

Quelles alternatives à Okta ?

Alternatives UE : Ory (Allemagne), FusionAuth (open source US, auto hébergeable en UE), Keycloak (open source, Red Hat), Microsoft Entra ID (avec région UE), implémentations OIDC sur WSO2 ou Authentik. Pour le consumer identity, Auth0 reste le concurrent direct, en région UE.

Comment décrire Okta dans la politique cookies ?

Listez les cookies Okta (sid, DT, JSESSIONID, t) en Strictement nécessaire avec fournisseur Okta, Inc. (USA), finalité (authentification et gestion de session), durée (session à quelques heures) et mécanisme de transfert (Data Privacy Framework et CCT).

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min