Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 4 juillet 2026
RGPD

Cloudflare et RGPD : guide de conformité 2026

Cloudflare est-il conforme au RGPD ? DPA, transferts hors UE, Data Localization Suite et checklist de mise en conformité pour votre site.

Cloudflare protège une part considérable du trafic web mondial : CDN, protection anti-DDoS, WAF, DNS, gestion des certificats TLS. Si votre site utilise Cloudflare — et c’est le cas de dizaines de milliers de sites français — alors chaque visite génère un flux de données personnelles qui transite par l’infrastructure d’une société américaine. La question n’est donc pas théorique : Cloudflare est-il conforme au RGPD, et surtout, que devez-vous faire de votre côté pour l’être ?

La réponse courte : Cloudflare fournit les outils contractuels et techniques nécessaires à la conformité, mais la conformité ne se « souscrit » pas — elle se configure et se documente. Ce guide analyse la qualification juridique de Cloudflare, le vrai point de friction (les transferts hors UE), les mécanismes de localisation des données, et la checklist concrète pour mettre votre usage en règle.

Cloudflare, sous-traitant au sens de l’article 28 du RGPD

La première clarification est juridique. Lorsque Cloudflare traite les données de vos visiteurs pour vous fournir ses services de sécurité et de performance, il agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Vous restez le responsable de traitement : c’est vous qui déterminez les finalités (proposer un site accessible, sécurisé, performant) et les moyens.

Cette qualification emporte une conséquence directe : l’article 28(3) impose qu’un contrat de sous-traitance encadre la relation. Cloudflare propose à cet effet un Data Processing Addendum (DPA) qui reprend l’ensemble des mentions obligatoires — objet, durée, nature et finalité du traitement, obligations de confidentialité, mesures de sécurité, assistance au responsable de traitement, sort des données en fin de contrat, et droit d’audit.

Point pratique souvent négligé : sur les offres en libre-service (Free, Pro, Business), le DPA de Cloudflare est intégré aux conditions générales et s’applique automatiquement. Vous n’avez pas de document à signer manuellement, mais vous devez être en mesure de le produire en cas de contrôle de la CNIL. Téléchargez-en une copie datée et archivez-la avec votre documentation de conformité. Cette logique est la même que celle que nous détaillons dans notre guide du contrat de sous-traitance RGPD.

Le vrai enjeu : les transferts de données hors UE

Le point de conformité le plus sensible avec Cloudflare n’est pas le contrat — c’est la localisation des traitements. Cloudflare est une société américaine dont le réseau anycast s’étend sur plus de 300 villes dans le monde. Par conception, le trafic est routé vers le point de présence le plus proche, ce qui signifie qu’une partie des traitements peut avoir lieu hors de l’Union européenne, et que Cloudflare Inc. (États-Unis) intervient dans la chaîne.

Adresses IP et logs : des données personnelles

Certains responsables de traitement pensent, à tort, que Cloudflare « ne voit que du trafic technique ». C’est inexact. Cloudflare traite nécessairement les adresses IP des visiteurs — indispensables au routage et au filtrage anti-DDoS — ainsi que des métadonnées de trafic : URL demandées, horodatages, en-têtes, événements de pare-feu applicatif.

Or l’adresse IP est une donnée personnelle. La Cour de justice de l’Union européenne l’a jugé de longue date dans son arrêt Breyer (CJUE, 19 octobre 2016, C-582/14), et la CNIL le rappelle constamment. Les logs de trafic générés par Cloudflare relèvent donc pleinement du RGPD, et leur transfert éventuel vers les États-Unis doit être encadré. C’est un point commun à tous les CDN et hébergeurs américains, que nous abordons aussi pour AWS et Google Cloud.

Le mécanisme de transfert : Data Privacy Framework et clauses contractuelles types

Depuis l’invalidation du Privacy Shield par l’arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18), tout transfert vers les États-Unis doit reposer sur un mécanisme valide du chapitre V du RGPD. Cloudflare s’appuie aujourd’hui sur deux fondements complémentaires :

  • La certification au Data Privacy Framework (DPF) UE–États-Unis, adopté par la décision d’adéquation de la Commission européenne du 10 juillet 2023. Cloudflare figure parmi les organisations certifiées, ce qui offre une base d’adéquation pour les transferts vers Cloudflare Inc.
  • Les clauses contractuelles types (CCT) de la Commission, intégrées au DPA de Cloudflare, qui constituent un fondement de repli robuste — utile si l’adéquation DPF venait à être remise en cause, comme l’histoire récente le laisse craindre.

En complément, Cloudflare décrit dans sa documentation les mesures techniques et organisationnelles supplémentaires exigées par l’EDPB dans ses recommandations 01/2020 sur les transferts. Concrètement, pour votre analyse de conformité, retenez : appuyez votre transfert sur le DPF et conservez la trace des CCT comme garantie subsidiaire. Pour le cadre général, consultez notre guide sur les transferts de données hors UE.

La Data Localization Suite : garder les données en Europe

C’est ici que Cloudflare se distingue de la plupart des CDN. Pour les responsables de traitement soumis à des exigences fortes de résidence des données — secteur santé, secteur public, données sensibles — Cloudflare propose la Data Localization Suite (DLS), un ensemble d’outils permettant de contraindre la localisation des traitements à l’Union européenne.

Trois briques sont particulièrement pertinentes pour la conformité RGPD :

  • Regional Services : la terminaison TLS — le moment où le trafic HTTPS chiffré est déchiffré pour que Cloudflare puisse inspecter et appliquer vos règles de sécurité — n’a lieu qu’à l’intérieur de la région configurée. En sélectionnant la région « European Union », vous garantissez que le déchiffrement et l’inspection du trafic restent en Europe.
  • Customer Metadata Boundary (CMB) : les logs clients (métadonnées de trafic susceptibles d’identifier vos utilisateurs finaux) sont stockés exclusivement dans la région choisie, UE ou États-Unis. Configuré sur l’UE, il maintient vos logs sur le sol européen.
  • Geo Key Manager / Keyless SSL : permet de contrôler où sont stockées vos clés de chiffrement privées, en les confinant à des centres de données européens.

Attention à une réalité commerciale : la Data Localization Suite est une option payante réservée aux offres Enterprise. Elle n’est pas disponible sur les plans Free, Pro ou Business. Si votre traitement justifie une localisation stricte en UE (par exemple un hébergeur de données de santé, ou une contrainte contractuelle client), il faut budgéter l’offre Enterprise et activer explicitement ces fonctionnalités — elles ne sont jamais activées par défaut.

Les certifications de Cloudflare : un élément de preuve, pas une dispense

Cloudflare met en avant plusieurs certifications utiles à documenter votre choix de sous-traitant au titre de l’article 28(1), qui impose de ne recourir qu’à des sous-traitants présentant des « garanties suffisantes » : ISO/IEC 27001, ISO/IEC 27018 (protection des données personnelles dans le cloud), le référentiel allemand C5, et l’adhésion au EU Cloud Code of Conduct, code de conduite approuvé au titre de l’article 40 du RGPD.

Ces certifications sont un signal fort, mais ne vous exonèrent d’aucune de vos obligations propres. Elles servent à étayer votre évaluation du sous-traitant, à conserver dans votre dossier de conformité — pas à la remplacer.

Mettre Cloudflare en conformité : la checklist opérationnelle

Dans mon expérience de conseil, la non-conformité vient rarement de Cloudflare lui-même : elle vient de responsables de traitement qui utilisent l’outil sans documenter quoi que ce soit. Voici les actions concrètes.

  1. Récupérez et archivez le DPA de Cloudflare, daté. C’est votre preuve de contrat de sous-traitance au sens de l’article 28(3).
  2. Inscrivez Cloudflare au registre des traitements comme sous-traitant, en précisant les catégories de données (adresses IP, métadonnées de navigation) et la localisation des traitements. Notre modèle de registre prévoit une colonne dédiée aux sous-traitants.
  3. Documentez le mécanisme de transfert : mentionnez la certification DPF de Cloudflare et les CCT du DPA dans votre analyse des transferts.
  4. Mentionnez Cloudflare dans votre politique de confidentialité, au titre de l’information des personnes (articles 13 et 14). Indiquez le recours à un CDN/prestataire de sécurité et l’existence de transferts encadrés. Voir notre guide sur la politique de confidentialité.
  5. Configurez la durée de conservation des logs au strict nécessaire et, si votre traitement l’exige, activez la Data Localization Suite (offre Enterprise) pour confiner les données en UE.
  6. Vérifiez vos autres sous-traitants : Cloudflare peut recourir à ses propres sous-traitants ultérieurs, dont il publie et met à jour la liste. Surveillez les notifications de changement prévues par le DPA.

Pour une vue d’ensemble de la sous-traitance cloud, notre analyse comparée AWS, Azure et Google Cloud face au RGPD resitue Cloudflare dans un paysage plus large.

C’est précisément ce travail de cartographie des sous-traitants, de suivi des transferts et de tenue du registre que Legiscope automatise, pour éviter que la documentation ne prenne du retard sur la réalité technique.

Ce qu’il faut retenir

  • Cloudflare agit comme sous-traitant (article 28 du RGPD) : vous restez responsable de traitement et devez disposer de son DPA, qui s’applique automatiquement sur les offres en libre-service mais doit être archivé.
  • Le vrai enjeu est le transfert hors UE : Cloudflare traite les adresses IP et les logs de vos visiteurs, des données personnelles au sens de la jurisprudence Breyer.
  • Les transferts reposent sur la certification DPF UE–États-Unis et, en repli, sur les clauses contractuelles types intégrées au DPA.
  • La Data Localization Suite (Regional Services, Customer Metadata Boundary, Geo Key Manager) permet de confiner les traitements en Europe, mais c’est une option Enterprise payante à activer explicitement.
  • La conformité se documente : DPA archivé, Cloudflare inscrit au registre, transferts justifiés, mention dans la politique de confidentialité.

FAQ

Cloudflare est-il conforme au RGPD ?

Cloudflare fournit les outils contractuels (DPA, clauses contractuelles types) et techniques (Data Localization Suite, certifications ISO 27018, EU Cloud Code of Conduct) permettant un usage conforme. Mais la conformité dépend aussi de votre configuration et de votre documentation : signer le DPA, tenir votre registre et justifier les transferts relèvent de votre responsabilité de responsable de traitement.

Où Cloudflare stocke-t-il les données de mes visiteurs ?

Par défaut, le trafic est routé vers le point de présence le plus proche du visiteur, ce qui peut inclure des traitements hors UE. Pour garantir une localisation en Europe (déchiffrement TLS, logs, clés), il faut activer la Data Localization Suite, disponible uniquement sur les offres Enterprise.

Dois-je signer un contrat de sous-traitance avec Cloudflare ?

Oui, l’article 28(3) l’impose. Sur les offres Free, Pro et Business, le DPA est intégré aux conditions générales et s’applique automatiquement ; il suffit d’en archiver une copie datée. Sur les offres Enterprise, un DPA négocié peut être mis en place.

L’adresse IP traitée par Cloudflare est-elle une donnée personnelle ?

Oui. La CJUE (arrêt Breyer, C-582/14) et la CNIL considèrent l’adresse IP comme une donnée personnelle. Les logs de trafic générés par Cloudflare relèvent donc du RGPD et leur transfert éventuel hors UE doit être encadré.