Passerelle de filtrage web : la CNIL lance une consultation publique sur son projet de recommandation

Qu’est-ce qu’une passerelle web filtrante ?

Une passerelle web filtrante, souvent appelée proxy web filtrant, est un dispositif ou un service utilisé pour contrôler et surveiller les accès Internet en filtrant le contenu web selon des politiques prédéfinies. Son rôle principal est de bloquer l'accès à certains sites web ou catégories de contenu pour des raisons de sécurité et de conformité.

Pourquoi cette recommandation ?

La numérisation de l’activité économique – y compris dans le secteur public – s’est accompagnée d’une nette augmentation des menaces cyber, souvent plus efficaces et complexes. Les solutions pour y faire face ont aussi évolué. Pour renforcer la sécurité, sont désormais mobilisées des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs.

Ces solutions, comme les passerelles web filtrantes, peuvent permettre de répondre à l’obligation de sécurité des données (article 32 du RGPD). Cependant, elles reposent sur des traitements de données dont la conformité au RGPD doit aussi être assurée.

Afin d’accompagner les professionnels, la CNIL travaille sur un projet de recommandation sur les passerelles web filtrantes, communément appelées proxy web, qu’elle soumet à consultation publique. L’objectif est de sécuriser juridiquement les responsables de traitement – utilisateurs de ces solutions – et d’encourager les fournisseurs à adopter une approche de protection de la vie privée dès la conception.

Quel est le périmètre du projet de recommandation ?

Ce projet de recommandation vise les responsables de traitement, qui, en tant qu’employeurs, déploient une passerelle web filtrante (filtrage d’URL et détection et blocage des charges malveillantes) pour sécuriser la navigation internet sur leur système d’information. Sont visées les navigations des employés, agents, prestataires ou visiteurs externes.

Le périmètre se limite au cadre professionnel. Il ne traite pas de l’usage de passerelles web filtrantes par les responsables de traitement mettant à disposition un accès internet via un Wifi public ouvert à tous (hotspot Wifi), comme c’est le cas de commerçants, de médiathèques ou d’autres organismes, publics comme privés.

Consulter le projet de recommandation

À qui s’adresse cette consultation ?

Cette consultation s’adresse :

• aux responsables de traitements et aux sous-traitants, notamment à leurs délégués à la protection des données (DPO), à leurs responsables de la sécurité des systèmes d’information (RSSI) ainsi qu’à leurs équipes ;
   
• et aux fournisseurs de solutions de passerelles web filtrantes.

La CNIL souhaite donner au plus grand nombre d’acteurs, qu’il s’agisse ou non de spécialistes de la sécurité des systèmes d’information, la possibilité de s’exprimer sur les enjeux de protection des droits et libertés liés à l’usage de passerelles web filtrantes en milieu professionnel.

Quel est le calendrier de la consultation ?

Cette consultation publique prendra fin le 30 septembre 2025.

Les réponses à la consultation publique peuvent être collectives et se faire par le biais de fédérations, associations, etc.

Il n’est pas nécessaire de formuler des observations sur l’ensemble des fiches pour répondre à la consultation publique.

Participer à la consultation

Quelles sont les prochaines étapes ?

Les contributions seront analysées à l’issue de la consultation publique pour permettre la publication de la recommandation définitive, après son adoption par le Collège de la CNIL.

Cette publication s’inscrit dans le cadre du plan d’action cyber de la CNIL. Elle sera suivie d’autres travaux portant sur de nouvelles techniques ou solutions du secteur de la sécurité des systèmes d’information.