Introduction : un contexte de menace cyber accrue
L’évolution rapide des technologies de l’information, conjuguée à la généralisation du télétravail et à l’interconnexion permanente des systèmes, a profondément transformé le paysage des risques numériques.
Dans ce contexte, les passerelles de filtrage web — ou web proxies — se sont imposées comme des outils de maîtrise des flux internet, capables de bloquer l’accès à des contenus malveillants ou non conformes.
Le 28 juillet 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique sur son projet de recommandation relatif à l’usage de ces dispositifs en environnement professionnel.
Ouverte jusqu’au 30 septembre 2025, cette initiative s’inscrit dans le plan d’action cyber de l’institution et vise à établir des normes de cybersécurité pertinentes et obligatoires, conformes au RGPD.
L’enjeu est double : garantir la sécurité des systèmes d’information, tout en préservant les droits fondamentaux des personnes, notamment leur droit à la vie privée et à la protection de leurs données personnelles.
1. Objet et portée de la consultation
La recommandation en cours d’élaboration précise les exigences légales et techniques liées à l’implémentation de passerelles web filtrantes dans les environnements professionnels. Ces dispositifs jouent un rôle clé dans le contrôle et le filtrage du trafic internet sortant et entrant, pouvant aller jusqu’à l’analyse fine des requêtes et des contenus.
Le texte s’adresse en priorité :
-
aux responsables de traitement : employeurs du secteur privé, administrations, organismes publics, lorsqu’ils filtrent la navigation internet de leurs salariés, agents, prestataires ou visiteurs disposant d’un accès réseau ;
-
aux fournisseurs de solutions de filtrage, soumis aux obligations de privacy by design et de sécurité dès la conception.
En revanche, la recommandation ne concernera pas les acteurs qui fournissent un accès internet libre au public (commerçants, espaces culturels, réseaux ouverts), lesquels relèvent d’autres régimes réglementaires.
2. Fondements juridiques : entre obligation de sécurité et protection des libertés
Ce projet de recommandation s’ancre dans plusieurs textes fondamentaux :
-
l’article 32 du RGPD, qui impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ;
-
l’article 25 du RGPD, qui consacre le principe de privacy by design et by default ;
-
la loi « Informatique et Libertés » de 1978 modifiée, qui encadre le traitement des données personnelles et confère à la CNIL ses pouvoirs de contrôle et de sanction.
Le défi est clair : concilier une surveillance nécessaire à la sécurité avec le respect du droit à la vie privée et de la liberté de communication. La CNIL cherche ici à définir un équilibre précis et opérationnel.
3. Un jalon dans une tendance déjà amorcée
Cette consultation s’inscrit dans un mouvement continu de normalisation des pratiques de cybersécurité et de protection des données.
Ces dernières années, la CNIL a déjà conduit plusieurs consultations publiques significatives :
-
Applications mobiles (2023) : consultation ayant conduit à la publication de recommandations en 2024, suivie en 2025 de contrôles ciblés ;
-
Authentification multifacteur (2024) : renforcement de la robustesse des méthodes d’authentification, tout en intégrant le principe de vie privée par conception ;
-
Sécurité des systèmes à risque majeur (2023-2024) : élaboration de bonnes pratiques spécifiques aux traitements présentant un risque élevé.
Ces initiatives traduisent la volonté de constituer progressivement un corpus cohérent de recommandations, couvrant plusieurs volets de la sécurité numérique et offrant aux acteurs économiques une sécurité juridique renforcée.
4. Objectifs opérationnels de la recommandation
La consultation invite les acteurs concernés à se prononcer sur plusieurs questions clés :
-
comment garantir la proportionnalité du filtrage et éviter toute collecte excessive de données ?
-
comment informer clairement les utilisateurs des mesures mises en place ?
-
quels standards techniques adopter pour prévenir les détournements ou les fuites de données ?
Ces interrogations visent à préciser un cadre qui soit à la fois efficace sur le plan technique et respectueux des libertés fondamentales.
5. Mesures prioritaires pour les entreprises
Si cette consultation n’a pas d’effet contraignant à ce stade, elle met néanmoins en lumière l’importance de veiller dès à présent au respect des obligations de sécurité et de conformité déjà prévues par le RGPD et la loi “Informatique et Libertés”.
Dans cette perspective, il est pertinent de :
-
Cartographier les passerelles ou proxies déployés (sur site, cloud, SASE),
-
Vérifier la conformité des bases juridiques et l’information donnée aux salariés,
-
Revoir les paramètres de filtrage et les durées de conservation des logs,
-
Sécuriser l’administration des dispositifs (MFA, habilitations, journalisation),
-
Mettre à jour les documents internes : PSSI, registre, DPIA si nécessaire,
-
Intégrer le sujet dans la gouvernance cyber globale et les processus de sécurité existants.
La recommandation définitive à venir devrait, dans un futur proche, préciser et harmoniser ces pratiques, renforçant ainsi la sécurité juridique des responsables de traitement.
6. Analyse critique et perspectives
Cette consultation illustre la déclinaison, dans un domaine technique précis, d’une logique déjà inscrite au cœur du RGPD : anticiper les risques et encadrer les outils dès leur conception (privacy by design, analyse d’impact, privacy by default).
Ici, la CNIL applique cette approche préventive aux passerelles de filtrage web — un dispositif stratégique à l’heure du télétravail, du cloud et des architectures SASE — mais qui, jusqu’à présent, n’avait pas fait l’objet d’une recommandation détaillée en France.
Certaines limites sont néanmoins à souligner : le champ d’application restreint, qui exclut les accès publics ; la complexité technique liée à la diversité des environnements réseau et cloud ; ou encore le risque de sur-surveillance, qui impose de rester fidèle aux principes de nécessité et de proportionnalité.
La CNIL a annoncé que cette consultation serait suivie d’autres travaux sur des “techniques ou solutions du secteur de la sécurité des systèmes d’information”.
Conclusion
Les passerelles web, bien qu’ayant une fonction avant tout technique, s’inscrivent désormais pleinement dans un cadre où la cybersécurité et la protection des données personnelles avancent de concert. Cette consultation publique ne constitue pas une révolution normative, mais un jalon supplémentaire dans l’effort continu d’encadrement des dispositifs numériques,
