L’engagement de Cloudflare en matière de conformité au RGPD

Cloudflare est une société spécialisée dans la sécurité, la performance et la fiabilité dont le siège social se trouve aux États-Unis et qui dispose d'opérations mondiales, dont cinq bureaux en Europe. Nous fournissons une large gamme de services réseau aux entreprises de toutes tailles partout dans le monde. Nous contribuons à les rendre plus sûres, à améliorer les performances de leurs applications stratégiques et éliminons les coûts et la complexité liés à la gestion du matériel réseau individuel. Le réseau global de Cloudflare, qui repose sur plus de 200 serveurs Edge dans le monde entier, comme décrit ici, sert de fondation sur laquelle nous pouvons rapidement développer et déployer nos produits pour nos clients

Cloudflare n'a pas accès aux données que nos clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache par le biais de notre réseau global, et nous n'avons aucun contrôle sur ces données. Dans un certain nombre de cas limités, les produits de Cloudflare peuvent être utilisés pour le stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau global de Cloudflare.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare qui sont implémentés. La grande majorité des données qui transitent par notre réseau restent sur les serveurs Edge de Cloudflare, tandis que les métadonnées relatives à cette activité sont traitées pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe.Cloudflare conserve des données de journaux sur les événements de son réseau. Certaines de ces données de journaux comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés des domaines, réseaux, sites web, interfaces de programmation d'applications (API) ou applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe, pendant une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, avec généralement un train d'avance sur le reste de l'industrie. Grâce à ces outils, nos clients peuvent notamment chiffrer facilement le contenu des communications via Universal SSL, chiffrer les métadonnées dans les communications à l'aide de DNS-over-HTTPS ou DNS-over-TLS et SNI chiffré, et contrôler où sont conservées leurs clés SSL et où leur trafic est inspecté.

Nous disposons d'un programme de sécurité qui va au-delà des normes du secteur. Il comprend la tenue à jour de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Nous assumons actuellement les validations aux normes suivantes : conformité ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II et PCI DSS niveau 1. Pour en savoir plus sur nos certifications et nos rapports, cliquez ici.

Pour consulter les mesures de sécurité que nous proposons pour la protection des données à caractère personnel, y compris les données personnelles transférées depuis l'Espace économique européen (EEE) vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre ATD standard.

Le règlement général sur la protection des données de l'UE (RGPD) fournit un certain nombre de mécanismes juridiques pour veiller à ce que les garanties appropriées, les droits applicables et les recours juridiques efficaces soient disponibles pour les personnes concernées européennes dont des données personnelles sont transférées de l'EEE vers un pays tiers (un pays non couvert par le RGPD ou considéré comme ayant des lois adéquates en matière de protection des données).

Ces mécanismes sont les suivants :

• La Commission européenne décide qu'un pays tiers assure un niveau de protection adéquat après avoir évalué son état de droit, son respect des droits de l'homme et des libertés fondamentales, ainsi qu'un certain nombre d'autres facteurs ;

• Un contrôleur de données ou un responsable du traitement des données met en place des règles d'entreprise contraignantes ;

• Un contrôleur de données ou un responsable du traitement des données met en place des clauses types de protection des données adoptées par la Commission ; ou

• Un contrôleur de données ou un responsable du traitement des données met en place un code de conduite approuvé ou un mécanisme de certification approuvé.

Cloudflare s'appuie sur les clauses contractuelles types (SCC) de la Commission européenne et sur des mesures complémentaires comme mécanisme juridique pour transférer des données personnelles de l'EEE vers les États-Unis. Cependant, la Cour de justice de l'Union européenne (CJUE) a invalidé en juillet 2020 le paradigme du bouclier de protection des données entre l'UE et les États-Unis dans l'affaire « Schrems II » (affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland et Maximillian Schrems). L'invalidation du bouclier de protection des données ne modifie pas les solides protections de confidentialité des données que Cloudflare a mises en place pour les données personnelles que nous traitons au nom de nos clients, et nous continuerons à suivre les principes de protection des données que nous nous sommes engagés à respecter lorsque nous avons été certifiés dans le cadre du bouclier de protection des données.En mars 2022, la Commission européenne et le ministère américain du commerce se sont engagés à mettre en place un nouveau cadre transatlantique de protection des données qui régirait les transferts de données de l'EEE vers les États-Unis. Nous suivons ces développements de près et déterminerons si et comment nous nous appuierons sur ce cadre lorsque nous aurons plus de détails sur sa mise en œuvre.

Parce que nous estimons qu'il est essentiel de gagner et de conserver la confiance des clients, nous avons mis en place des garanties de protection des données bien avant l'affaire Schrems II. Lorsque nous avons publié notre tout premier rapport de transparence en 2014 pour une procédure légale reçue en 2013, nous nous sommes engagés à exiger une procédure légale avant de fournir des données sur les clients à toute entité gouvernementale en dehors d'une situation d'urgence, et à informer nos clients de toute procédure légale demandant des informations sur leurs clients ou sur la facturation avant de divulguer ces informations, sauf interdiction légale. Nous avons déclaré publiquement que nous n'avons jamais remis de clés de chiffrement à quelque gouvernement que ce soit, fourni à quelque gouvernement que ce soit un flux de contenu transitant par notre réseau, ni déployé d'équipements à usage répressif sur notre réseau. S'il nous était demandé de faire l'une de ces choses, nous nous sommes également engagés à épuiser tous les recours légaux afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an, et les avons même étendus, dans nos rapports de transparence.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige si nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté légalement une lettre de sécurité nationale (« NSL ») émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale concernant des données à caractère personnel enfreignant les lois sur la confidentialité du pays de résidence d'une personne devrait être légalement contestée. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Le Comité européen de la protection des données a reconnu que le RGPD pourrait poser un tel conflit dans cette évaluation. Notre engagement à nous conformer au RGPD signifie que nous étudierons les recours légaux avant de produire des données identifiées comme étant soumises au RGPD en réponse à une demande de données du gouvernement américain. Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête aux autorités américaines concernant des données à caractère personnel en fonction d'un tel conflit de lois.

Nous avons mis à jour notre addendum relatif au traitement des données (« ATD ») pour que nos clients puissent désormais intégrer les mesures de protection supplémentaires décrites ci-dessus comme engagements contractuels. Vous pouvez consulter ces engagements contractuels dans la section 7 de notre ATD.

Nous considérons que les demandes de données personnelles émanant du gouvernement américain concernant un individu non américain, lorsqu'elles enfreignent les lois relatives à la protection de la confidentialité dans le pays de résidence de cet individu (à l'image du RGPD, au sein de l'UE), doivent faire l'objet d'une contestation juridique.

La loi CLOUD n'étend pas le pouvoir d'investigation des États-Unis. Les exigences strictes auxquelles doivent satisfaire les forces de l'ordre pour obtenir un mandat valide restent inchangées. La loi CLOUD s'applique également à l'accès aux contenus, que nous ne stockons généralement pas, comme décrit ci-dessus. En outre, la loi CLOUD ne modifie pas les pratiques existantes lorsque les forces de l'ordre américaines cherchent à accéder aux données des entreprises. Il est important de noter que les forces de l'ordre chercheront généralement à obtenir des données auprès de l'entité disposant d'un contrôle effectif des données (c'est-à-dire nos clients), plutôt qu'auprès des fournisseurs de cloud.

Nous continuerons à mettre les SCC et les mesures supplémentaires à la disposition de nos clients dont les données sont soumises au RGPD. Nous suivons de près les développements dans ce domaine, ainsi qu'en ce qui concerne les mécanismes de transfert alternatifs.

Nous comprenons qu'à la lumière de l'affaire Schrems II, nos clients recherchent des garanties supplémentaires pour que les données soumises au RGPD et transférées aux États-Unis bénéficient d'une protection adéquate en vertu du RGPD. Nous avons discuté de ces garanties supplémentaires ci-dessus.

Étant donné que la CJUE a pris en considération un certain nombre d'autorités américaines de sécurité nationale dans son analyse de l'affaire Schrems II, nous avons vu certaines questions concernant l'application de ces autorités aux responsables du traitement des données américains. Pour expliquer si ces autorités sont pertinentes, ou comment elles sont pertinentes, pour un transfert de données, certaines explications supplémentaires des autorités auxquelles la CJUE fait référence sont nécessaires.Section 702. La section 702 de la loi Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.

Comme nous l'avons indiqué dans notre rapport sur la transparence, nous n'avons généralement pas accès à ce type de contenu habituel des clients pour les services principaux opérés par Cloudflare. En outre, nous nous sommes engagés publiquement depuis de nombreuses années à ne jamais fournir à aucun gouvernement un flux de contenu de nos clients transitant par notre réseau, et à épuiser tous les recours juridiques s'il nous était demandé de le faire afin de protéger nos clients de ce que nous estimons être des demandes illégales ou inconstitutionnelles.

Décret 12333. Le décret 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.

Nous nous sommes engagés de longue date à exiger une procédure légale avant de fournir à une entité gouvernementale l'accès aux données de nos clients en dehors d'une situation d'urgence. Par conséquent, nous ne nous conformerions pas aux demandes volontaires de données en vertu de l'Executive Order 12333. En outre, nous avons joué un rôle de premier plan en encourageant une sécurité accrue des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles contre tout type de regard indiscret. En 2014, par exemple, nous avons lancé Universal SSL, rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. La semaine où nous l'avons lancé, nous avons doublé la taille du web chiffré. En raison du nombre croissant de lois qui tentent de cibler le chiffrement, nous avons assuré ne jamais avoir affaibli, compromis ou subverti nos chiffrements à la demande d'un gouvernement ou d'un autre tiers.

Cloudflare se repose déjà sur plusieurs des garanties supplémentaires recommandées par le CEPD dans son projet d'orientations (Recommandations 01/2020 sur les mesures complétant les outils de transfert pour assurer la conformité vis-à-vis du niveau de protection des données personnelles de l'UE adopté le 18 juin 2021). Cloudflare a des engagements forts en matière de transparence et de responsabilisation s'agissant du traitement des données personnelles tel que décrit ci-dessus. Nous avons déjà mis à jour notre ATD pour rendre plusieurs de nos engagements contraignants d'un point de vue contractuel. Nous continuons également à publier notre Rapport de transparence. Enfin, nous avons mis en place des mesures de sécurité et des protocoles de chiffrement solides, qui peuvent être consultés à l'annexe 2 de notre ATD.

Comme toujours, nous continuons à suivre les évolutions dans ce domaine et nous veillerons à rester conformes aux Articles 44 et 46 du RGPD. Pendant cette période, nous continuerons à respecter nos engagements en vertu de nos ATD et des CCT.

Notre Contrat d'abonnement en libre-service intègre notre ATD standard pour référence. Dans la mesure où les données personnelles que nous traitons au nom d'un client en libre-service sont régies par le RGPD, notre ATD intègre les clauses contractuelles types de l'UE pour ces données. Aucune action n'est donc requise pour s'assurer que les clauses contractuelles types sont en place. Notre ATD intègre également les garanties supplémentaires décrites ci-dessus.

L'ATD est intégré pour référence. Néanmoins, nous avons également rendu accessible notre ATD standard dans le tableau de bord du client. Lorsque vous êtes dans votre tableau de bord, allez sur l'onglet Configurations, puis dans Préférences pour consulter et accepter l'ATD.

Notre Contrat d'abonnement Enterprise (le « CAE ») incorpore notre ATD standard pour référence. Par conséquent, aucune action n'est requise pour ces clients. Dans la mesure où les données à caractère personnel que nous traitons pour le compte du client sont régies par le RGPD, notre ATD intègre les clauses contractuelles types de l'UE. Notre ATD standard intègre également les garanties supplémentaires décrites ci-dessus.

Les clients Enterprise sont soumis à notre CAE standard s'ils ont conclu un accord avec Cloudflare le 8 août 2019 ou ultérieurement, et qu'ils n'ont pas d'accord personnalisé. Toutefois, les clients Enterprise qui utilisent des versions plus anciennes de notre CAE ou des CAE ou ATD personnalisés peuvent ne pas disposer des clauses contractuelles standard de l'UE de 2021. Nous contactons ces clients pour nous assurer qu'ils disposent des clauses contractuelles les plus récentes. Ces clients peuvent accepter notre ATD standard disponible dans le tableau de bord du client, car il comprend les clauses contractuelles standard de l'UE 2021 ainsi que nos clauses de sauvegarde supplémentaires. Les clients qui s'appuyaient auparavant sur les certifications de Cloudflare au titre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis doivent aussi accepter notre ATD à jour disponible dans le tableau de bord du client. Lorsque vous êtes dans votre Tableau de bord, rendez-vous sur l'onglet Configurations, puis dans Préférences. Veuillez alors lire et accepter l'ATD.

Les clients Enterprise peuvent contacter leur Customer Success Manager pour toute question concernant leur ATD.

Nous avons intégré les nouvelles CCT de la Commission européenne publiées le 4 juin 2021 dans tous les nouveaux contrats clients soumis au RGPD. Ces dernières prévoient une période de transition de 18 mois pour leur mise en œuvre, que nous comptons mettre à profit afin de préparer le passage aux nouvelles CCT pour nos clients actuels.

Nous sommes conscients que certains de nos clients préfèrent que les données personnelles soumises au RGPD restent dans l'UE et ne soient pas transférées aux États-Unis à des fins de traitement. À cet effet, nous avons adopté la Data Localization Suite de Cloudflare. Cette solution aidera les entreprises à bénéficier des avantages de notre réseau mondial en termes de sécurité et de performances, tout en leur permettant de définir facilement des règles et des mesures de contrôle en périphérie concernant l'endroit où leurs données sont traitées et stockées.

La Data Localisation Suite regroupe certaines offres existantes avec de nouvelles fonctionnalités :

• Services régionaux. Nous possédons des datacenters dans plus de 200 villes réparties dans plus de 100 pays. Les services régionaux, avec notre solution Geo Key Manager, permettent aux clients de choisir les emplacements des datacenters où les clés TLS sont stockées et où la terminaison TLS a lieu. Le trafic est intégré au niveau mondial, par l'application de mesures d'atténuation des attaques DDoS des couches 3 et 4, tandis que les fonctions de sécurité, de performances et de fiabilité (WAF, RDC, atténuation des attaques DDoS, etc.) sont appliquées uniquement dans des datacenters Cloudflare désignés.

• Isolement géographique des métadonnées. L'isolement géographique des métadonnées du client permet de s'assurer que l'ensemble des métadonnées du trafic susceptibles d'identifier un client restent dans l'UE. L'opération inclut tous les journaux et résultats d'analyse visibles par un client. Pour ce faire, nous veillons à ce que les métadonnées de l'utilisateur final susceptibles d'identifier un client circulent à travers un service unique en périphérie de notre réseau, avant d'être transmises à l'un de nos datacenters. Lorsque l'isolement géographique des métadonnées est activé pour un client, notre périphérie s'assure que les messages de journaux susceptibles de permettre l'identification d'un client (c'est-à-dire les messages qui contiennent l'ID de compte de ce client) ne sont pas envoyés hors de l'UE. Elles ne seront envoyées qu'à notre datacenter principal situé dans l'UE.

• SSL sans clé. SSL sans clé permet à un client de stocker et de gérer ses propres clés privées SSL pour les utiliser avec Cloudflare. Les clients peuvent utiliser divers systèmes pour leur magasin de clés, notamment des modules de sécurité matérielle (HSM), des serveurs virtuels et des équipements fonctionnant sous Unix/Linux et Windows, hébergés dans des environnements contrôlés par les clients.

• Geo key Manager. Nous disposons d'une clientèle véritablement internationale, et nous avons appris que les clients du monde entier ont des exigences réglementaires et statutaires différentes, ainsi que des profils de risque différents, concernant le placement de leurs clés privées. Avec cette philosophie en tête, nous avons décidé de concevoir un système très flexible pour décider où conserver les clés. Geo Key Manager permet aux clients de limiter l'exposition de leurs clés privées à certains emplacements. Cet outil est similaire au SSL sans clé, mais, au lieu d'intégrer un serveur de clés à votre infrastructure, Cloudflare héberge des serveurs de clés aux endroits de votre choix.

Comme indiqué dans notre rapport de transparence, nous exigeons une procédure juridique valide avant de fournir les données personnelles de nos clients à des entités gouvernementales ou à des demandeurs civils, sauf en cas d'urgence. Nous ne fournissons pas les données personnelles de nos clients aux fonctionnaires gouvernementaux en réponse à des demandes qui n'incluent pas de procédure légale.

Afin de garantir que nos clients aient la possibilité de faire valoir leurs droits, notre politique consiste à informer nos clients d'une citation à comparaître ou de toute autre procédure légale demandant leurs informations avant de les divulguer, que la procédure légale provienne du gouvernement ou de parties privées impliquées dans un litige civil, sauf interdiction légale. Plus précisément, notre ATD nous engage à ce que, sauf interdiction légale, nous informions les clients si nous sommes en mesure d'identifier que la procédure juridique d'un tiers demandant des données personnelles que nous traitons au nom de ce client entraîne un conflit de lois, par exemple lorsque les données personnelles sont régies par le RGPD. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation des données personnelles.

En outre, la législation américaine prévoit des mécanismes permettant aux entreprises de contester les ordonnances qui posent des conflits de lois potentiels, comme une demande légale de données soumises au RGPD. Le CLOUD Act (Clarifying Lawful Overseas Use of Data), fournit des mécanismes aux fournisseurs pour demander à un tribunal d'annuler ou de modifier une demande juridique qui pose un tel conflit de droit. Ce processus permet également aux fournisseurs de révéler l'existence d'une telle demande à un gouvernement étranger dont le citoyen est concerné, si ce gouvernement a signé un accord avec les États-Unis au titre du CLOUD Act. Nous nous sommes engagés à contester légalement toute ordonnance qui pose ce type de conflit de lois. À ce jour, nous n'avons reçu aucune ordonnance que nous avons identifiée comme posant un tel conflit.

Nous sommes particulièrement attentifs aux changements opérés par le Royaume-Uni dans le domaine de la protection des données depuis sa sortie de l'Union européenne. Cloudflare continuera à utiliser le mécanisme des CCT de l'UE associé à l'addendum de transfert de données du Royaume-Uni, qui sont inclus dans notre ATD standard pour transférer des données personnelles en dehors du Royaume-Uni et de l'EEE. Veuillez lire nos instructions ci-dessus pour vous assurer d'être doté de l'ATD qui convient. Nous continuons à suivre les évolutions dans ce domaine et nous veillerons à rester conformes aux réglementations britanniques et mondiales en matière de protection des données.