● Next INpact Télécom 📅 17/03/2026 à 09:14

Cybersécurité 👤 Sébastien Gavois

🏷️ Tags : cert rag rte surveillance

Intérêt légitime n’empêche pas d’informer, au contraire ! Un proxy permet à une entreprise de renforcer sa sécurité en filtrant le contenu venant d’Internet. Sa mise en place, qui peut avoir un intérêt légitime, soulève des questions au titre du RGPD. La CNIL publie sa recommandation sur les bonnes pratiques et informations à donner aux utilisateurs. Depuis plusieurs mois, la CNIL consulte et travaille sur une recommandation pour le déploiement d’un serveur mandataire web filtrant (alias un proxy). Un projet a été soumis à consultation entre juillet et fin septembre 2025 ; la version finale est désormais en ligne, comme en atteste sa publication au Journal officiel. Le but est d’« accompagner les utilisateurs et les fournisseurs de serveurs mandataires web filtrants ». La Commission ajoute néanmoins que cette recommandation « n’a pas de caractère contraignant et ne préjuge pas des obligations légales applicables aux responsables de traitement ». C’est quoi un serveur mandataire web filtrant (proxy) La recommandation de huit pages (pdf) commence par rappeler la définition d’un mandataire web filtrant, aussi appelé proxy. Il s’agit d’« un dispositif ou un service relais entre l’équipement client (poste de travail) et le serveur web (sur Internet). Son rôle principal est de bloquer ou restreindre l’accès à certains sites web ou catégories de contenus ». Bien évidemment, les autorisations diffèrent suivant les employés. Ce genre de service peut être une réponse à l’obligation de sécurisation des données (article 32 du RGPD), mais repose aussi « sur des traitements de données dont la conformité au RGPD doit aussi être assurée ». C’est sur ce point que la CNIL revient en détail. Intérêt légitime, proportionnalité, minimisation… Sur les finalités de traitement, certaines mesures sont considérées comme légitimes : « le respect des exigences réglementaires en matière de cybersécurité (notamment l’article 32 du RGPD) ; la protection des systèmes d’information contre les cybermenaces ; la prévention des accès à des sites web illégaux, non conformes à la politique de l’organisme ou à des sites malveillants ». La CNIL prend bien soin de préciser que cela « ne doit pas conduire à une surveillance excessive de l’activité des salariés ». Sur la base légale du traitement, l’intérêt légitime peut être invoqué, explique la CNIL. Il s’agit pour rappel de l’une « des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnels ». Attention, « Il appartiendra alors notamment au responsable de traitement de mettre en balance ses intérêts propres et ceux des personnes concernées ». Le responsable doit aussi s’assurer de la proportionnalité du traitement. La durée de conservation aussi doit être étudiée ; « une durée supérieure aux préconisations de la CNIL (6 mois à 1 an) doit être justifiée et documentée ». La minimisation des données est aussi dans la recommandation. Le but est de restreindre l’utilisation des données à caractère personnel à celles strictement nécessaires au regard de chaque finalité, c’est-à-dire les fonctionnalités de filtrage et de journalisation. Illustration : Flock Une analyse d’impact ? C’est une « bonne pratique » La CNIL donne quelques exemples de données qui peuvent en principe être collectées et traitées : « l’identité de l’utilisateur (gestion des accès web des utilisateurs ou authentification sur le proxyweb filtrant) ; l’adresse IP du poste de l’utilisateur ; tout ou partie de l’URL consultée ; l’horodatage de l’accès ; la catégorie de site visité ; l’action (autorisé, bloqué, forcé et/ou ajout demandé – si ces dernières possibilités sont offertes aux utilisateurs) ». Faut-il une analyse d’impact relative à la protection des données (AIPD), se demande la CNIL ? Ça dépend « de plusieurs facteurs liés aux fonctionnalités retenues et à leurs usages », indique-t-elle prudemment. Si deux des critères suivants sont remplis, alors l’AIPD devrait être réalisée : « collecte de données sensibles ou données à caractère hautement personnel ; collecte de données personnelles à large échelle ; personnes vulnérables ; surveillance systématique ». La Commission estime que, dans tous les cas, une AIPD « devrait être une bonne pratique ». Attention au déchiffrement HTTPS La CNIL prend les devants sur le HTTPS en rappelant que « l’URL complète, accessible lors d’un déchiffrement HTTPS, est susceptible de donner accès à des données à caractère personnel ». Il faut donc prendre des précautions. La Commission consacre un encadré au déchiffrement HTTPS : « lorsqu’un déchiffrement est nécessaire, celui-ci ne devrait être réalisé que sur les domaines non listés dans les listes d’exceptions et les données échangées dans les requêtes HTTPS ne devraient pas être conservées (à moins qu’une charge malveillante soit détectée) ». Enfin, la Commission rappelle que toutes les personnes concernées par le traitement de leurs données, aussi bien employés que visiteurs, doivent être informées, par exemple via le règlement intérieur sous forme d’une charte informatique. « L’information [doit] être individuelle », rappelle aussi la gardienne des libertés. Enfin, une partie concerne la gestion des logs et les informations qui y sont remontées. Par exemple, elle recommande que « seuls les noms de domaine des sites web bloqués et non catégorisés soient remontés à l’éditeur en vue de leur analyse, sans rattachement à la personne concernée par la tentative d’accès au site ».

🔗 Lire l'article original 👁️ 1 lecture