La CNIL publie sa recommandation sur le proxy web filtrant

Le 13 mars 2026, la Commission Nationale de l’Informatique et des Libertés (ci-après : « la CNIL ») a rendu publique sa recommandation relative au déploiement d’un serveur mandataire web filtrant ¹, adoptée par délibération n° 2026-022 du 29 janvier 2026 ², à l’issue d’une consultation publique menée en 2025 ayant recueilli quatorze contributions.

Un serveur mandataire web filtrant (ou proxy web filtrant) est un dispositif interposé entre le poste de l’utilisateur et le serveur web distant, dont la fonction principale est de bloquer l’accès à certains sites ou catégories de contenus, de détecter les charges malveillantes (notamment par déchiffrement du trafic HTTPS) et de journaliser les navigations. Si ces fonctions répondent utilement à l’obligation de sécurité posée par l’article 32 du RGPD ³, elles impliquent en retour des traitements de données personnelles dont la conformité doit être assurée.

La recommandation s’adresse aux responsables de traitement, employeurs publics ou privés, déployant un tel dispositif pour l’accès à Internet professionnel de leurs employés, agents, prestataires ou visiteurs. Elle ne couvre en revanche pas les accès Internet publics ouverts à tous.

Sur le fond, la CNIL apporte les précisions suivantes.

La base légale mobilisable est l’intérêt légitime du responsable de traitement au sens de l’article 6.1.f du RGPD, sous réserve d’une mise en balance documentée. Elle exclut explicitement que les articles 5.1.f et 32 du RGPD, qui posent une obligation générale de sécurité, suffisent à fonder une obligation légale de déploiement.

La réalisation d’une AIPD est requise dès lors que le traitement remplit au moins deux critères parmi :

• collecte de données sensibles ou données à caractère hautement personnel ;
• collecte de données personnelles à large échelle ;
• personnes vulnérables ;
• surveillance systématique.

Sur la minimisation des données, la CNIL rappelle que les données collectées doivent être strictement limitées à ce qui est nécessaire au regard de chaque finalité. Elle identifie les catégories pouvant en principe être traitées : identité de l’utilisateur, adresse IP, tout ou partie de l’URL consultée, horodatage, catégorie du site visité et action appliquée. S’agissant des données transmises à l’éditeur aux fins de catégorisation, celles-ci doivent être limitées au nom de domaine et non à l’URL complète.

Une attention particulière est portée au déchiffrement HTTPS, lequel peut donner accès à des informations très sensibles contenues dans les URL. La CNIL recommande de configurer des listes d’exceptions excluant du déchiffrement les sites bancaires, de santé et les services publics, de ne pas conserver le contenu des requêtes sauf détection avérée d’une charge malveillante, et de permettre aux employés de demander l’ajout d’URL spécifiques dans ces listes.

S’agissant de la conservation des journaux, la CNIL rappelle sa recommandation journalisation et fixe une durée comprise entre six mois et un an, toute durée supérieure devant être spécifiquement justifiée.

Enfin, la recommandation traite des modalités de déploiement, en soulignant que le recours à une solution en mode SaaS implique la conclusion d’un contrat de sous-traitance conforme à l’article 28 du RGPD, l’encadrement des transferts hors UE et la mise en place de mécanismes de pseudonymisation des données transmises au fournisseur.

Footnotes

1. https://www.cnil.fr/sites/default/files/2026-03/recommandation_serveur_mandataire_web_filtrant.pdf

2. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000053659586

3. https://eur-lex.europa.eu/eli/reg/2016/679/oj/fra

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.