Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Cloudflare Stream est une plateforme gérée d'hébergement, d'encodage et de diffusion vidéo opérée par Cloudflare Inc. Les éditeurs téléversent leurs vidéos, Cloudflare les transcode automatiquement en HLS/DASH adaptatif et les diffuse via un lecteur iframe servi depuis son CDN mondial. Par défaut, aucun traceur publicitaire inter-sites n'est utilisé, mais l'adresse IP du visiteur est traitée pour le routage et des statistiques de lecture basiques, et quelques cookies opérationnels sont déposés sur le domaine du lecteur.
Cloudflare Stream est un service SaaS de vidéo opéré par Cloudflare Inc. depuis San Francisco. L''éditeur téléverse ses sources via le tableau de bord ou l''API, Cloudflare les transcode en plusieurs qualités HLS et DASH, et les visiteurs reçoivent le flux depuis le data center le plus proche parmi les 300+ points de présence Cloudflare. L''intégration de référence est un iframe first-party pointant vers iframe.cloudflarestream.com ou customer-<accountId>.cloudflarestream.com ; les utilisateurs avancés peuvent aussi utiliser le Stream Player open-source ou tout lecteur HLS. Chaque lecture déclenche de nombreuses requêtes HTTPS qui transportent l''IP du visiteur, l''URL du segment et le user-agent, lesquels constituent une donnée personnelle au sens de l''article 4(1) du RGPD.
Même sans traceurs publicitaires intégrés par défaut, le chargement de l''iframe déclenche les cookies CDN classiques de Cloudflare sur cloudflarestream.com : __cf_bm pour la gestion des bots, cf_clearance après un challenge CAPTCHA et parfois _cfuvid pour des statistiques visiteurs. L''article 5(3) de la directive ePrivacy impose un consentement préalable et éclairé pour tout dépôt ou lecture d''information sur le terminal qui n''est pas strictement nécessaire au service demandé par l''utilisateur. Comme l''iframe est intégré à l''initiative de l''éditeur et non du visiteur, la CNIL et ses homologues européens considèrent généralement qu''il requiert un opt-in, sauf si un mécanisme de click-to-load est utilisé.
La Data Localisation Suite de Cloudflare (Regional Services, Customer Metadata Boundary, Geo Key Manager) permet de cantonner la diffusion des segments vidéo, les clés cryptographiques et les métadonnées clients à l''UE, réduisant fortement les transferts vers les États-Unis. Pour Stream, cette localisation est offerte sous forme d''option Regional Services à activer par zone. Sans cette option, les segments et logs peuvent être servis depuis les bordures US, UK ou APAC en fonction de la position du visiteur. Les éditeurs concernés par Schrems II doivent combiner la Data Localisation Suite, le DPA article 28 et les CCT déjà intégrées par Cloudflare.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare Inc. agit en tant que sous-traitant pour le compte de l''éditeur. Le Data Processing Addendum public est intégré automatiquement pour les clients payants ; il fait référence aux nouvelles CCT européennes (2021/914) module 2, à l''addendum UK IDTA et aux ajustements suisses. Cloudflare est par ailleurs auto-certifié sous l''EU-US Data Privacy Framework, qui constitue un outil de transfert complémentaire. Les éditeurs doivent malgré tout réaliser une Transfer Impact Assessment (TIA) couvrant la section 702 FISA et l''EO 12333, car Cloudflare Inc. relève de la qualification d''''electronic communication service provider'' aux États-Unis.
L''API Stream expose des statistiques par vidéo : minutes regardées, audience unique, répartition par pays et erreurs de lecture, dérivées des logs serveur et du cookie de lecture. Les URLs signées permettent d''injecter un userId personnalisé, qui devient alors un identifiant pseudonyme et augmente le profil de risque. L''éditeur doit l''inscrire au registre des traitements, mentionner Cloudflare dans son bandeau cookies et sa politique de confidentialité, et respecter les droits des personnes (accès, effacement) ; Cloudflare publie un contact privacy et désigne un représentant UE.
Pour limiter l''exposition aux États-Unis, plusieurs alternatives méritent évaluation : Vimeo OTT (US, mode respect de la vie privée), Bunny Stream (slovène, UE par construction), Mux Video (US, orienté développeurs), MediaCMS ou PeerTube pour un auto-hébergement complet et fédéré, ou un stockage objet OVH/Scaleway couplé à un lecteur Video.js ou Plyr auto-hébergé. Le bon choix dépend du volume d''audience, du caractère critique de la résidence UE, et des fonctionnalités attendues (direct, DRM, statistiques en temps réel).
Les sites web utilisant Cloudflare Stream doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée si Cloudflare Stream est intégré sur des pages destinées aux mineurs, sur des contenus sensibles (santé, opinions politiques) ou si les statistiques vidéo sont enrichies avec un identifiant utilisateur signé. Documenter : les données traitées (IP, localisation approximative, user-agent, événements de lecture, identifiant utilisateur signé optionnel), la base légale (consentement pour le chargement de l'iframe et le cookie de lecture), la chaîne des sous-traitants (centres de données Cloudflare dans le monde), l'outil de transfert (CCT + EU-US DPF, suite de localisation des données optionnelle), la durée de conservation (logs bruts généralement <30 jours, statistiques agrégées plus longues), les droits des personnes, ainsi que les risques résiduels liés à Schrems II et FISA 702.
Exemple de texte de consentement
Cette page contient une vidéo hébergée par Cloudflare Stream (Cloudflare Inc., États-Unis). À la lecture, votre adresse IP, votre user-agent et les événements de lecture sont transmis à Cloudflare pour la diffusion et des statistiques agrégées, et un petit cookie de lecture peut être déposé sur votre appareil. Cliquez sur « Accepter » pour charger la vidéo et consentir à ce traitement, ou sur « Refuser » pour la maintenir bloquée.
Domaines tiers contactes
cloudflarestream.comcustomer-<accountid>.cloudflarestream.comvideodelivery.netiframe.cloudflarestream.comupload.cloudflarestream.comcloudflareinsights.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| cf_clearance | http | 1 year | Set by Cloudflare after a successful CAPTCHA / Managed Challenge to indicate that the visitor has cleared the bot check and may continue to access the protected resource (including the Stream player). Persistent HttpOnly cookie scoped to the Cloudflare-protected domain. |
| __cf_bm | http | 30 minutes | Cloudflare bot management cookie used to distinguish between humans and automated traffic on requests to the Stream player domain. Strictly operational in Cloudflare's view; EU regulators may still require consent when set by a third-party iframe. |
| _cfuvid | http | Session | Cloudflare visitor cookie used for rate limiting and aggregated visitor analytics. Set on a per-session basis when Stream is delivered through certain Cloudflare features. Not set on every deployment. |
Cloudflare Stream utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Dans la plupart des déploiements européens, oui. Le lecteur iframe par défaut sur cloudflarestream.com se charge automatiquement, dépose au moins un cookie CDN Cloudflare (__cf_bm et éventuellement _cfuvid) et transmet l'adresse IP du visiteur à Cloudflare Inc. L'article 5(3) de la directive ePrivacy exige un consentement préalable pour tout dépôt non strictement nécessaire sur le terminal, et les autorités européennes considèrent qu'un iframe tiers chargé automatiquement requiert le consentement. Le motif click-to-load avec une notice claire est la valeur par défaut recommandée ; un mode totalement sans cookie n'est pas disponible nativement.
Sans la Data Localisation Suite, les originaux sont stockés et les segments mis en cache sur le réseau anycast mondial de Cloudflare (300+ data centers dans 100+ pays, dont les États-Unis). La diffusion se fait depuis la bordure la plus proche du visiteur. Avec l'option Regional Services pour Stream, le traitement et le stockage peuvent être restreints à l'UE uniquement, et le Customer Metadata Boundary maintient les logs et métadonnées en Europe. C'est la configuration à privilégier pour les éditeurs sensibles aux transferts vers les États-Unis.
Les cookies les plus fréquents sur le domaine du lecteur sont __cf_bm (gestion des bots Cloudflare, ~30 minutes), cf_clearance (clearance CAPTCHA, jusqu'à un an, posé uniquement après un challenge) et parfois _cfuvid (statistiques visiteurs Cloudflare, session). Cloudflare considère __cf_bm comme strictement nécessaire ; de nombreuses autorités européennes contestent ce qualificatif dès lors que le cookie est posé par un iframe tiers et non par le domaine first-party. Par défaut, considérez qu'ils requièrent un consentement, sauf analyse contraire formalisée par votre DPO.
Oui. Cloudflare publie un Data Processing Addendum (DPA) au sens de l'article 28 RGPD, intégré automatiquement aux contrats payants. Il intègre les Clauses Contractuelles Types européennes (module 2, responsable vers sous-traitant) pour les transferts hors EEE, l'UK IDTA et la LPD suisse. Cloudflare Inc. est par ailleurs auto-certifié sous l'EU-US Data Privacy Framework, qui sert d'outil de transfert complémentaire. Les éditeurs doivent malgré tout réaliser une analyse d'impact des transferts, Cloudflare étant qualifié d''electronic communication service provider' au sens de la FISA 702.
Par défaut, Stream expose des métriques par vidéo : minutes regardées, audience unique, pourcentage visionné, pays et erreurs de lecture, calculées à partir des logs serveur (IP, user-agent, URL de segment) et du cookie de lecture. Lorsque l'éditeur utilise des URLs signées avec un userId, cet identifiant pseudonyme est associé aux événements de lecture et accessible via l'API Stream. Aucun profil publicitaire first-party, aucun identifiant inter-sites ni connexion par défaut à des écosystèmes publicitaires.
En grande partie, oui, à condition d'activer la Data Localisation Suite (Regional Services pour Stream, Customer Metadata Boundary, Geo Key Manager) sur les zones concernées, ce qui est une option payante. Dans cette configuration, le traitement vidéo, le matériel cryptographique et les métadonnées restent en UE. Cloudflare Inc. demeure cependant une société américaine soumise au droit américain : un risque Schrems II résiduel persiste, à documenter dans l'analyse d'impact des transferts et à mettre en balance avec les garanties techniques et contractuelles en place.
Vimeo OTT propose un mode do-not-track mais reste basé aux États-Unis. Bunny Stream est slovène et stocke par défaut dans des régions européennes, ce qui facilite la conformité Schrems II. Mux Video est américain et orienté développeurs, avec des préoccupations de transfert similaires à Cloudflare. PeerTube et MediaCMS sont open-source et auto-hébergeables, donnant le plein contrôle à l'éditeur au prix d'un effort opérationnel (encodage, scalabilité, monitoring). Cloudflare Stream se situe au milieu : commodité gérée et CDN mondial, mais des risques de transfert sérieux et configurables.
Réaliser une AIPD couvrant les catégories de données, finalités, durées de conservation et risques. Mettre à jour le registre des traitements et la politique de confidentialité pour mentionner Cloudflare Inc. comme sous-traitant, l'outil de transfert international utilisé (CCT + DPF, éventuellement résidence UE) et les cookies posés par le lecteur. Configurer le bandeau cookies pour bloquer Cloudflare Stream jusqu'au consentement, idéalement avec un placeholder click-to-load. Documenter la TIA, activer la Data Localisation Suite quand c'est possible, et conserver la preuve d'acceptation du DPA Cloudflare.