![SASETY - Intégrateur de services managés SASE [Secure Access Service Edge]](https://lirp.cdn-website.com/ddfd3f83/dms3rep/multi/opt/Logo+Sasety+sans+Baseline-1920w.png "SASETY - Intégrateur de services managés SASE [Secure Access Service Edge]")
Tribune : CNIL, filtrage web et RGPD –
Quand le droit rencontre la technologie
Une interview de Gaëlle TILLOY, Avocate à la Cour, spécialiste des nouvelles technologies et des données personnelles et Jérôme BEAUFILS, CEO de SASETY, opérateur de services managés SASE et partenaire stratégique de Cato Networks.
Le 28 juillet 2025, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié un projet de recommandation sur le filtrage web, soumis à consultation publique.
La CNIL souhaite émettre des recommandations afin que les solutions de cybersécurité de plus en plus complexes respectent la règlementation sur les données.
Ce projet ne se limite pas à de simples conseils techniques : il met l’accent sur le fait que les solutions techniques de cybersécurité nécessitent du traitement de données et qu’il convient de penser ces solutions en prenant en compte le RGPD.
Sécuriser un système d’information ne peut plus se faire sans intégrer pleinement les exigences du RGPD : minimiser la collecte, limiter la conservation des données, sécuriser les accès et garantir la confidentialité.
Pour comprendre les enjeux et les réponses concrètes, Gaëlle Tilloy et Jérôme Beaufils livrent une interview croisée.
« Un projet qui fixe un nouveau standard »
Qu’est-ce que ce projet de la CNIL change pour les entreprises ?
Gaëlle Tilloy :
«Jusqu’ici, le filtrage web était perçu avant tout comme un outil de sécurité informatique : bloquer les sites malveillants, contrôler l’usage des ressources, assurer une traçabilité des accès.
La CNIL rappelle que ces dispositifs impliquent nécessairement un traitement de données personnelles. Une adresse IP, une URL consultée, l’heure d’accès… ce sont des données qui, une fois corrélées, peuvent identifier un individu.
Dès lors, les principes du RGPD s’appliquent pleinement :
- Minimisation : ne collecter que l’essentiel (IP, domaine, horodatage, catégorie, action).
- Durée limitée de conservation.
- Sécurisation : chiffrement, authentification multi facteurs, contrôle des accès aux journaux.
- Responsabilité : les fournisseurs ne doivent pas avoir la possibilité d’identifier les utilisateurs finaux.
Cela oblige les employeurs à repenser leurs pratiques, sous peine de se retrouver en non-conformité. »
« Ce n’est pas qu’une contrainte, c’est aussi un cadre protecteur »
Ces exigences ne risquent-elles pas de complexifier le quotidien des DSI et RSSI ?
Gaëlle Tilloy :
« C’est vrai que cela ajoute une couche de complexité, notamment pour les DSI qui gèrent déjà des environnements hybrides avec de multiples solutions de sécurité. Mais ce n’est pas qu’une contrainte : c’est aussi un cadre protecteur.
On sait que les contentieux liés à la surveillance excessive des salariés ou à la mauvaise gestion des logs se multiplient. Avec ce projet de recommandation, la CNIL fournit une grille claire pour éviter ces écueils.
En réalité, il s’agit de renforcer la sécurité by design. Les entreprises doivent s’assurer que leurs outils de filtrage n’ouvrent pas la porte à des dérives, par exemple l’utilisation des journaux de navigation pour contrôler abusivement les collaborateurs. »
« Cato Networks intègre la conformité dans la technologie »
Concrètement, comment une technologie comme celle de Cato Networks permet-elle de répondre à ces obligations ?
Jérôme Beaufils :
« L’avantage de
Cato Networks est d’avoir conçu sa plateforme SASE Cloud comme un service global, unifiant le réseau et la sécurité. Les fonctions de filtrage web y sont intégrées nativement, et déjà pensées pour la conformité.
Prenons quelques exemples :
- Les logs : ils se limitent par défaut aux champs essentiels (IP, domaine, horodatage). Rien d’excessif.
- La durée de conservation : configurable, avec une limite recommandée à six mois pour coller aux prescriptions de la CNIL.
- L’inspection TLS : sélective, avec des listes blanches dynamiques. Pas besoin de déchiffrer inutilement le trafic bancaire ou médical, ce qui réduit le risque de traiter des données sensibles.
- La sécurité d’accès : tout administrateur doit s’authentifier en multi-facteurs, et les rôles RBAC permettent d’attribuer des droits au plus juste.
- L’anonymisation : en mode SaaS, les identifiants utilisateurs sont hachés de manière irréversible. Même Cato ne peut remonter à l’utilisateur final.
Ce n’est pas du bricolage a posteriori : la conformité est intégrée au design de la solution. »
« La cybersécurité conforme par défaut »
Et côté sécurité opérationnelle, quelles garanties supplémentaires ?
Jérôme Beaufils :
«
Cato applique un chiffrement fort à tous les flux et aux journaux. Les logs peuvent être exportés vers un SIEM d’entreprise, mais toujours dans un format standardisé et filtré.
L’architecture même est un gage de sécurité : plus de 85 points de présence dans le monde, garantissant que le filtrage s’opère au plus près de l’utilisateur, avec une latence minimale et une haute disponibilité native.
Cela permet aux RSSI et aux DSI de ne pas avoir à arbitrer entre sécurité et performance : les deux sont garanties. »
« SASETY transforme la technologie en conformité opérationnelle »
Quel rôle joue SASETY dans ce dispositif ?
Jérôme Beaufils :
« Notre valeur ajoutée, c’est de traduire ces capacités technologiques en conformité exploitable et auditable. Nous intervenons sur plusieurs plans :
- Audit initial : identifier quels flux sont collectés, vérifier leur proportionnalité, cadrer avec l’article 32 du RGPD.
- Politiques de filtrage : définir des règles adaptées aux métiers, car un service RH n’a pas les mêmes besoins qu’une équipe IT ou qu’un sous-traitant.
- Journalisation conforme : paramétrer la durée de conservation, activer l’anonymisation, configurer les listes blanches pour limiter l’inspection TLS.
- Sécurisation opérationnelle : MFA obligatoire, gestion stricte des rôles, signature de clauses de confidentialité par les administrateurs.
- Supervision continue : nous surveillons les flux, détectons les anomalies, et produisons des rapports de conformité que le DPO ou la direction peut utiliser directement en cas de contrôle CNIL.
En clair, nous faisons en sorte que l’entreprise puisse démontrer à tout moment que sa cybersécurité est conforme par défaut. »
« Contrainte ou opportunité ? »
Finalement, est-ce une contrainte ou une opportunité pour les entreprises ?
Gaëlle Tilloy :
« Les deux à la fois. C’est une contrainte parce qu’il faudra adapter les pratiques, revoir certaines architectures, et peut-être investir dans de nouveaux outils. Mais c’est aussi une formidable opportunité de montrer sa maturité numérique.
Une entreprise qui applique ces recommandations renforce la confiance de ses collaborateurs, de ses clients et de ses partenaires. Dans un contexte où la donnée est un actif stratégique, cette confiance devient un avantage compétitif. »
Pour aller plus loin :
-
https://www.cnil.fr/sites/default/files/2025-07/projet_reco_deploiement_solution_filtrage_web.pdf
Communiqués de presse associés👇
