# Sécurité

### 1. Vision Synoptique de l'Architecture

L'architecture proposée repose sur une approche **"Privacy-by-Design"**. Elle interpose un sas de sécurité européen entre le terminal de l'utilisateur et les plateformes de destination (GA4, Meta, etc.).

#### Schéma Logique des Flux

```
[ UTILISATEUR / NAVIGATEUR ]
          |
          | (1) Flux HTTPS (First-Party)
          |     Domaine: metrics.votre-site.com
          v
+-------------------------------------------------------------+
| ZONE TAMPON & SÉCURITÉ (Bunny.net)                          |
| ----------------------------------------------------------- |
| [ CDN / EDGE ]  <-- Terminaison SSL & Optimisation          |
| [ WAF ]         <-- Filtrage (Anti-DDoS, Bad Bots)          |
|                                                             |
| * Config: Global (Performance) OU Tier-1 EU (Souveraineté)  |
+-------------------------------------------------------------+
          |
          | (2) Flux Sécurisé (Tunnel chiffré)
          |     Origine protégée (IP masquée)
          v
+-------------------------------------------------------------+
| INFRASTRUCTURE DE TRAITEMENT (GTM Server-Side)              |
| ----------------------------------------------------------- |
| Hébergeur : SCALEWAY / HETZNER                              |
| Localisation : EUROPE (France / Allemagne)                  |
|                                                             |
| [ LOGIQUE GTM ]                                             |
| -> Réception de la requête                                  |
| -> Nettoyage / Pseudonymisation (IP, User Agent)            |
| -> Enrichissement (si nécessaire)                           |
+-------------------------------------------------------------+
          |
          | (3) Envoi API Server-to-Server (Egress)
          |     Donnée maîtrisée & Pseudonymisée
          +-----------------------+-----------------------+
          |                       |                       |
          v                       v                       v
 [ GOOGLE GA4 ]          [ META CAPI ]          [ AUTRES TIERS ]
 (États-Unis)            (États-Unis)           (Selon vendor)
```

### 2. Analyse détaillée des flux

#### Flux (1) : Navigateur ↔ Bunny.net (Entrée)

* Protocole : HTTPS chiffré.
* Contexte : "First-party". Le navigateur dialogue avec `metrics.votre-site.com`.
* Sécurité : Bunny.net agit comme un bouclier (Reverse Proxy). Il absorbe le trafic et bloque les attaques courantes (injections, botnets) via son WAF avant qu'elles ne touchent le serveur de traitement.

#### Flux (2) : Bunny.net ↔ Serveurs GTM (Interne)

* Infrastructure : Conteneurs GTM hébergés sur des instances dédiées chez Scaleway et Hetzner (fournisseurs exclusivement européens).
* Chiffrement : Le transport est chiffré de bout en bout.
* Rôle : Traitement de la donnée à la volée ; aucune donnée n'est stockée à long terme sur ces serveurs.

#### Flux (3) : Serveurs GTM ↔ Partenaires (Sortie)

* Gouvernance : Contrairement au tracking classique, c'est votre serveur GTM qui décide des données à envoyer selon vos paramétrages.
* Pseudonymisation : Suppression de l'adresse IP réelle et nettoyage des paramètres d'URL (PII) avant l'envoi vers les USA pour protéger l'identité de l'utilisateur.

***

### 3. Stratégie de Souveraineté (Bunny.net)

Pour répondre aux exigences de localisation des données, nous appliquons une stratégie hybride :

* Performance : Configuration CDN Global par défaut pour une vitesse maximale.
* Conformité stricte : Activation possible de l'option "Tier-1 EU Providers Only" sur demande du DPO.
* Impact : Routage exclusif via des nœuds situés dans l'Union Européenne.

***

### 4. Impacts et Prérequis Techniques

L'intégration est conçue pour être légère pour vos équipes techniques :

* DNS : Délégation NS ou simple enregistrement CNAME.
* Certificats SSL : Gestion automatisée (provisionnement et renouvellement) par Sirdata.
* Pare-feu : \* Whitelister le sous-domaine `metrics.votre-site.com` dans vos politiques CSP.
  * Aucune ouverture de port complexe requise (standard Port 443).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://server-side.docs.sirdata.net/sirdata-server-side/f.a.q-server-side/securite.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.