La CNIL publie une recommandation sur l'usage des proxy web filtrants

Publiée ce 13 mars 2026, la recommandation de la CNIL sur les serveurs mandataires web filtrants (ou proxy web filtrants) vient combler un manque : ces outils de cybersécurité omniprésents dans les entreprises et administrations reposent eux-mêmes sur des traitements de données personnelles et à ce titre, ils doivent être conformes au RGPD.

Un proxy web filtrant intercepte le trafic internet des employés pour bloquer les sites malveillants, illicites ou interdits par la politique interne.

La CNIL reconnaît pleinement leur légitimité, notamment au regard de l’obligation de sécurité imposée par l’article 32 du RGPD tout en fixant des lignes directrices pour encadrer leur usage et limiter les risques de dérives et notamment :

• base légale applicable,
• minimisation des données collectées,
• durées de conservation,
• droits des personnes concernées,
• points de vigilance sur le déchiffrement HTTPS avec mise en œuvre d’une liste d’exceptions,
• modalités de déploiement,
• sécurité de la solution de journalisation.

La recommandation, non contraignante, s’applique aux employeurs publics et privés déployant une telle solution. Elle est disponible sur le site de la CNIL et s’appuie sur la délibération n° 2026-022 du 29 janvier 2026.