Proxy web filtrant RGPD : ce que dit la CNIL CNIL recommande un proxy web filtrant conforme au RGPD, avec sécurité, minimisation des données et information des utilisateurs. Le proxy web filtrant RGPD est au cœur d'un équilibre entre sécurité et respect de la vie privée.
Le proxy web filtrant RGPD est au cœur d'un équilibre entre sécurité et respect de la vie privée. La CNIL publie une recommandation destinée à guider le déploiement d'un proxy tout en protégeant les droits des utilisateurs. L'enjeu n'est pas uniquement technique: il faut aussi clarifier les finalités, les bases légales et la durée de conservation des données.
Qu'est-ce qu'un proxy web filtrant et pourquoi il concerne le RGPD
Un proxy, aussi appelé serveur mandataire web filtrant, agit comme relais entre l'équipement client et les sites consultés sur Internet. Son rôle principal est de bloquer ou restreindre l'accès à certains sites ou catégories de contenus. La CNIL rappelle que ce type de dispositif peut répondre à des obligations de sécurité prévues par le RGPD, mais qu'il implique des traitements de données personnelles qui doivent être conformes au cadre du RGPD.
Selon la CNIL, ce dispositif peut aider à sécuriser les données et prévenir les cybermenaces tout en imposant une attention particulière à la vie privée des salariés. La finalité est légitime mais ne doit pas conduire à une surveillance excessive.
Ce que dit la recommandation de la CNIL
- Finalités légitimes : respect des exigences de cybersécurité, protection des systèmes d'information et prévention d'accès à des sites illégaux ou malveillants.
- Base légale : l'intérêt légitime peut être invoqué, mais le responsable de traitement doit équilibrer ses intérêts avec ceux des personnes concernées.
- Proportionnalité et durée de conservation : la durée de conservation doit être raisonnable et justifiée; une durée au-delà de 6 mois à 1 an doit être documentée.
- Minimisation des données : ne collecter et traiter que les données strictement nécessaires pour les finalités, notamment pour les fonctionnalités de filtrage et de journalisation.
Déchiffrement HTTPS et information des personnes concernées
La CNIL met en garde sur le déchiffrement des requêtes HTTPS, soulignant que l URL complète peut révéler des données personnelles.
Elle précise que, lorsque le déchiffrement est nécessaire, il ne doit être effectué que pour les domaines non listés dans les listes d'exceptions et que les données échangées dans les requêtes HTTPS ne doivent pas être conservées, sauf en cas de détection d'une activité malveillante.
Ce que cela change pour les responsables et les employés
La CNIL insiste sur l'information des personnes concernées. L'affichage doit être individuel et passer par des dispositifs tels que le règlement intérieur et une charte informatique.
En matière de logs, seules les informations utiles à l'analyse doivent être remontées: par exemple les noms de domaine des sites bloqués et non catégorisés, sans rattachement à la personne concernée.
Pour terminer
En résumé, l'utilisation d'un proxy filtrant peut renforcer la sécurité tout en imposant des garde-fous sur l'usage des données et l'information des utilisateurs. Le sujet mérite une mise en œuvre mesurée et bien documentée.
