Serveur mandataire web filtrant : les recommandations de la CNIL

Qu'est-ce qu'un serveur mandataire web filtrant ?

Un serveur mandataire web filtrant, souvent appelé proxy web filtrant, est un dispositif ou un service utilisé pour sécuriser les accès internet en filtrant le contenu web selon des politiques prédéfinies. Son rôle principal est de bloquer l'accès à certains sites web ou catégories de contenu pour des raisons de sécurité et de conformité.

Pourquoi cette recommandation ?

La numérisation croissante de l'activité économique, y compris dans le secteur public, s'accompagne d'une nette augmentation des menaces cyber, qui se professionnalisent. Les solutions pour y faire face ont évolué vers une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d'informations diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs pour les plus avancées.

Ces solutions, comme les serveurs mandataires web filtrants, peuvent notamment contribuer à répondre à l'obligation de sécurité des données (article 32 du règlement général sur la protection des données ou RGPD). Cependant, elles reposent elles-mêmes sur des traitements de données dont la conformité au RGPD doit aussi être assurée.

Quel est l'objectif de cette recommandation ?

Après une consultation publique menée en 2025, la CNIL publie sa recommandation sur le déploiement d'un serveur mandataire web filtrant. Le but est de sécuriser les responsables de traitement- utilisateurs de telles solutions - et d'encourager les fournisseurs à adopter une approche de protection des données dès la conception.

Cette recommandation vise en particulier à éclairer les responsables de traitement :

• sur le respect des principes du RGPD dans le cadre du recours à un serveur mandataire web filtrant, notamment la détermination d'une base légale, la minimisationdes données collectées, les durées de conservation et le respect de l'exercice des droits par les personnes concernées ;
• sur les points d'attention relatifs à l'usage du déchiffrement HTTPS et la mise en œuvre d'une liste d'exceptions ;
• sur les modalités de déploiement ;
• sur la sécurité de la solution de filtrage et de journalisation des accès.

Quel est le périmètre de cette recommandation ?

Cette recommandation s'applique aux responsables de traitement, employeurs publics ou privés, qui déploient un serveur mandataire web filtrant pour l'accès à internet professionnel de leurs employés, agents ou prestataires. Elle s'applique également dans le cadre d'un accès Wi-Fi professionnel mis à disposition, dans leurs locaux, au bénéfice de personnes externes (consultants externes ou partenaires), y compris lorsque ces dernières ne peuvent être identifiées (visiteurs par exemple).

En revanche, elle ne s'applique pas aux accès internet publics ouverts à tous, notamment mis en place par des commerçants, des médiathèques ou d'autres organismes (publics comme privés) à destination du public.

À qui s'adresse cette recommandation ?

Cette recommandation s'adresse :

• aux responsables de traitements et aux sous-traitants, notamment à leurs délégués à la protection des données (DPO), aux responsables de la sécurité des systèmes d'information (RSSI) ainsi qu'à leurs équipes ;
• aux fournisseurs de solutions.

Lire la recommandation

Comment cette recommandation a-t-elle été conçue ?

Pour élaborer cette recommandation, la CNIL a consulté en 2025 les acteurs concernés sur un projet de recommandation. Les réponses obtenues ont permis d'améliorer le projet au regard de la réalité du terrain et de l'expérience des acteurs concernés.

Les 14 contributions provenant d'acteurs issus de divers secteurs d'activité, ont notamment permis à la CNIL :

• de rappeler, au titre des finalités du traitement, que la mise en œuvre de ces traitements ne doit pas conduire à une surveillance excessive de l'activité des salariés qui serait contraire, notamment, au RGPD ;
• de réaffirmer le rôle central du DPO comme partie prenante dans le déploiement d'une telle solution.

Consulter la synthèse des contributions