Cette traduction est fournie à des fins de commodité uniquement et pourrait ne pas refléter le sens du document original en anglais avec exactitude. Le sens des conditions et déclarations énoncées aux présentes est soumis à leurs définitions et interprétations en anglais. En cas de contradiction ou de conflit entre la version anglaise de ce texte et toute traduction, la version anglaise prévaudra.

AVENANT AU TRAITEMENT DES DONNÉES CLOUDFLARE

Version 4.3, applicable le 7 mars 2022

Cloudflare, Inc. (« Cloudflare ») et le cocontractant acceptant ces conditions (« Client ») ont conclu un Accord d’abonnement d’entreprise, un Accord d’abonnement libre-service ou tout autre accord écrit ou électronique pour les Services fournis par Cloudflare (« Accord principal »).Le présent Avenant au traitement des données, y compris les annexes (l’« ATD »), fait partie de l’Accord principal.

Le présent ATD entrera en vigueur, annulera et remplacera toutes les conditions précédemment applicables relatives à son objet (y compris toute modification, tout accord ou tout avenant au traitement des données en rapport avec les Services), à compter de la date à laquelle le Client a signé ou les parties ont convenu autrement du présent ATD (la « Date d’entrée en vigueur de l’ATD »).

Si vous acceptez le présent ATD au nom du Client, vous garantissez que : (a) vous êtes pleinement autorisé à engager le Client en vertu du présent ATD ; (b) vous avez lu et compris le présent ATD ; et (c) vous acceptez, au nom du Client, le présent ATD. Veuillez ne pas accepter le présent ATD si vous n’êtes pas légalement autorisé à engager le Client.

CONDITIONS DU TRAITEMENT DES DONNÉES

Le présent ATD s’applique lorsque Cloudflare traite les Données à caractère personnel en tant que Sous-traitant (ou Sous-traitant ultérieur, selon le cas) pour le compte du Client et que ces Données à caractère personnel sont soumises aux Lois applicables sur la protection des données (telles que définies ci-dessous).

Les parties ont convenu de conclure le présent ATD afin de veiller à ce que des mesures de protection appropriées soient mises en place relativement à la protection des Données à caractère personnel comme l’exigent les Lois applicables sur la protection des données. Par conséquent, Cloudflare accepte de se conformer aux dispositions suivantes concernant toute Donnée à caractère personnel qu’elle traite en tant que Sous-traitant (ou Sous-traitant ultérieur, selon le cas) pour le compte du Client

1. Définitions

1.1 Les définitions suivantes sont utilisées dans le présent ATD :

a) « Pays adéquat » désigne un pays ou territoire reconnu en vertu des Lois européennes sur la protection des données comme fournissant une protection appropriée des Données à caractère personnel.

b) « Société affiliée » désigne, relativement à une partie, toute entité morale qui, de manière directe ou indirecte, Contrôle, est Contrôlée par, ou est sous le Contrôle commun avec cette partie (mais uniquement pour autant que ce Contrôle existe).

c) « Lois applicables sur la protection des données » désigne l’ensemble des lois et règlements applicables au traitement des Données à caractère personnel en vertu de l’Accord principal, y compris les Lois européennes sur la protection des données et la CCPA.

d) « CCPA » désigne la loi de Californie concernant la confidentialité des consommateurs (« California Consumer Privacy Act ») de 2018 (Code civil de Californie § 1798.100 - 1798.199, 2018).

e) « Groupe Cloudflare » désigne Cloudflare et l’une de ses Sociétés affiliées.

f) « Responsable du traitement » désigne une entité qui détermine les finalités et les moyens du traitement des Données à caractère personnel.

g) « Groupe du Client » désigne le Client et l’une quelconque de ses Sociétés affiliées.

h) « Lois européennes sur la protection des données » désigne l’ensemble des lois et règlements de l’Union européenne, de l’Espace économique européen, de leurs États membres, de la Suisse et du Royaume-Uni applicables au traitement des Données à caractère personnel en vertu de l’Accord principal (y compris, le cas échéant, (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (le « RGPD de l’UE ») ; (ii) le RGPD de l’UE tel qu’incorporé en droit britannique en vertu de l’article 3 de la Loi sur la protection des données du Royaume-Uni (Retrait) de 2018 (le « RGPD du Royaume-Uni ») ; (iii) la directive de l’UE Vie privée et communications électroniques (Directive 2002/58/CE) ; et (iv) toutes les lois nationales applicables à la protection des données prises en vertu, conformément à ou qui s’appliquent conjointement aux points (i), (ii) ou (iii)).

i) « Données à caractère personnel » désigne toutes les données qui sont définies comme des « données à caractère personnel », des « informations à caractère personnel » ou des « informations personnellement identifiables » (ou un terme analogue) en vertu des Lois applicables sur la protection des données.

j) « traitement », « personne concernée » et « autorité de contrôle » auront le sens qui leur est attribué dans la Loi européenne sur la protection des données.

k) « Sous-traitant » désigne une entité qui traite des Données à caractère personnel pour le compte du Responsable du traitement, y compris une entité à laquelle une autre entité divulgue les informations à caractère personnel d’une personne physique à des fins commerciales en vertu d’un contrat écrit qui exige que l’entité recevant ces informations conserve, utilise ou divulgue des Données à caractère personnel uniquement aux fins de fourniture des Services.

l) « Services » désignera toutes les solutions cloud proposées, commercialisées ou vendues par Cloudflare ou ses partenaires autorisés qui sont conçues pour accroître la performance, la sécurité et la disponibilité des propriétés, applications et réseaux internet, ainsi que tous les logiciels, kits de développement de logiciels et interfaces de programmation d’application (« API ») mis à disposition en lien avec ce qui précède.

m) « CCT » désigne : (i) lorsque le RGPD de l’UE ou la Loi fédérale suisse sur la protection des données s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (« CCT de l’UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, des clauses types de protection des données adoptées ou autorisées en vertu de l’article 46 du RGPD du Royaume-Uni (« CCT du Royaume-Uni »).

n) « Transfert restreint » désigne : (i) lorsque le RGPD de l’UE ou la Loi fédérale suisse sur la protection des données s’applique, un transfert de Données à caractère personnel depuis l’Espace économique européen ou la Suisse (selon le cas) vers un pays en dehors de l’Espace économique européen ou de la Suisse (selon le cas) qui n’est pas soumis à une décision d’adéquation par la Commission européenne ou le Commissaire fédéral suisse à la protection des données et à l’information (le cas échéant) ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel depuis le Royaume-Uni vers tout autre pays qui n’est pas fondé sur des règles d’adéquation en vertu de l’Article 17A de la Loi britannique sur la protection des données de 2018.

1.2 Une entité « Contrôle » une autre entité si elle : (a) détient la majorité des droits de vote de celle-ci ; (b) est un membre ou actionnaire de celle-ci et a le droit de révoquer la majorité de son conseil d’administration ou de son organe de direction équivalent ; (c) est un membre ou actionnaire de celle-ci et contrôle seule ou en vertu d’une convention avec d’autres actionnaires ou membres, la majorité des droits de vote y afférents ; ou (d) a le droit d’exercer une influence dominante sur celle-ci en vertu de ses documents constitutifs ou en vertu d’un contrat ; et deux entités sont traitées comme étant sous « Contrôle commun » si l’une contrôle l’autre (directement ou indirectement) ou si les deux sont contrôlées (directement ou indirectement) par la même entité.

2. Qualification des parties

2.1 Le type de Données à caractère personnel traitées en vertu du présent ATD, l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de personnes concernées, sont décrits en Annexe 1.

2.2 Chaque partie garantit en ce qui concerne les Données à caractère personnel qu’elle respectera les Lois applicables sur la protection des données. Entre les parties, le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel et des moyens par lesquels le Client a acquis des Données à caractère personnel.

2.3 En ce qui concerne les droits et obligations des parties en vertu du présent ATD concernant les Données à caractère personnel, les parties reconnaissent et conviennent que le Client est le Responsable du traitement (ou un Sous-traitant traitant des Données à caractère personnel pour le compte d’un Responsable du traitement tiers), et que Cloudflare est un Sous-traitant (ou un Sous-traitant ultérieur, selon le cas).

2.4 Si le Client est un Sous-traitant, le Client garantit à Cloudflare que les instructions et actions du Client concernant les Données à caractère personnel, y compris sa désignation de Cloudflare en tant qu’autre Sous-traitant et, le cas échéant, la conclusion des CCT, ont été (et continueront d’être, pour la durée de cet ATD) autorisées par le Responsable du traitement tiers concerné.

3. Obligations de Cloudflare

3.1 En ce qui concerne toutes les Données à caractère personnel qu’elle traite en sa qualité de Sous-traitant ou Sous-traitant ultérieur, Cloudflare garantit que celle-ci :

(a) traitera uniquement les Données à caractère personnel afin de fournir le Service et d’agir en conformité avec : (i) les instructions écrites du Client telles qu’énoncées par l’Accord principal et le présent ATD, sauf si le droit applicable de l'Union ou des États membres auquel Cloudflare est soumise l'exige, et (iii) les exigences des Lois applicables sur la protection des données. Dans le cas où Cloudflare est tenue de traiter des Données à caractère personnel en vertu des Lois Applicables sur la protection des données, Cloudflare informera le Client de cette obligation juridique avant le traitement, à moins que cette loi n'interdise une telle information pour des motifs importants d'intérêt public ;

(b) ne vendra, ne conservera, n’utilisera ni ne divulguera les Données à caractère personnel à d’autres fins que dans le but spécifique d’exécuter le Service, y compris à des fins commerciales autres que la fourniture du Service. Cloudflare n’utilisera pas les Données à caractère personnel à des fins de commercialisation ou de publicité. L’exécution du Service par Cloudflare peut inclure la divulgation de Données à caractère personnel aux Sous-traitants ultérieurs dans le respect de l’article 4 du présent ATD ;

(c) informera le Client si, de l'avis de Cloudflare, les instructions fournies par le Client en vertu de l’article 3.1(a) contreviennent aux Lois applicables sur la protection des données ;

(d) mettra en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques que présentent le traitement des Données à caractère personnel, en particulier la protection contre la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux Données à caractère personnel. Ces mesures comprennent, sans s’y limiter, les mesures de sécurité énoncées à l’Annexe 2 « Mesures de sécurité »). Le Client reconnaît que les Mesures de sécurité font l’objet d’avancées et de développements techniques et que Cloudflare peut mettre à jour ou modifier les Mesures de sécurité à tout moment, à condition que ces mises à jour et modifications ne dégradent ni ne diminuent la sécurité globale du Service ;

(e) s’assurera que seul le personnel autorisé a accès à ces Données à caractère personnel et que toute personne qu’elle autorise à accéder aux Données à caractère personnel est soumise à des obligations de confidentialité contractuelles ou légales ;

(f) informera sans délai le Client de tout incident de sécurité entraînant la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel transmises, stockées ou autrement traitées aux fins de fournir les Services au Client par Cloudflare, ses Sous-traitants ultérieurs, ou tout autre tiers identifié ou non identifié (une « Violation de Données à caractère personnel ») et apporte au Client une coopération et une assistance raisonnables en ce qui concerne cette Violation de Données à caractère personnel, y compris toutes les informations raisonnables en possession de Cloudflare concernant cette Violation de Données à caractère personnel dans la mesure où elle affecte les Données à caractère personnel ;

(g) ne fera aucune annonce publique concernant une Violation de Données à caractère personnel (une « Notification de violation ») sans le consentement écrit préalable du Client, sauf si la loi applicable l’exige ;

(h) dans la mesure où Cloudflare est en mesure de vérifier qu’une personne concernée est associée au Client, informera rapidement le Client en cas de réception d’une demande d’une personne concernée d’exercer des droits en matière de protection des données (y compris les droits d’accès, de rectification ou d’effacement) concernant les Données à caractère personnel de cette personne concernée (une « Demande de la personne concernée »). Cloudflare ne répondra pas à une Demande de la personne concernée sans le consentement écrit préalable du Client, sauf pour confirmer que cette demande concerne le Client, ce que le Client accepte par la présente ;

(i) dans la mesure où Cloudflare en est en mesure, et conformément au droit applicable, apportera une assistance raisonnable au Client pour répondre à une demande d’une personne concernée d’exercer tout droit de protection des données (y compris les droits d’accès, de rectification ou d’effacement) dans le cadre des Données à caractère personnel de cette personne concernée si le Client n’a pas la capacité de répondre à une Demande de la personne concernée sans l’assistance de Cloudflare. Le Client est responsable de vérifier que le demandeur est la personne concernée dont les Données à caractère personnel font l’objet de la demande. Cloudflare n’assume aucune responsabilité pour les informations fournies en toute bonne foi au Client sur la base de ce paragraphe. Le Client prendra en charge tous les frais encourus par Cloudflare dans le cadre de sa fourniture de cette assistance ;

(j) sauf dans la mesure nécessaire pour se conformer à la loi applicable, après la résiliation ou l’expiration de l’Accord principal ou la réalisation du Service, au choix du Client, supprimera ou restituera toutes les Données à caractère personnel (y compris leurs copies) traitées en vertu du présent ATD ;

(k) compte tenu de la nature du traitement et des informations mises à la disposition de Cloudflare, fournira l’assistance au Client, raisonnablement demandée par celui-ci, relativement aux obligations de Cloudflare en vertu des Lois applicables sur la protection des données en ce qui concerne :

(i) les analyses d’impact sur la protection des données et les consultations préalables (telles que ces termes sont définis dans les Lois applicables sur la protection des données) ;

(ii) les notifications à l’autorité de contrôle en vertu des Lois applicables sur la protection des données et/ou communications aux personnes concernées par le Client en réponse à toute Violation de Données à caractère personnel ; et

(iii) la conformité du Client à ses obligations en vertu des Lois applicables sur la protection des données en ce qui concerne la sécurité du traitement ;

à condition que le Client prenne en charge tous les frais encourus par Cloudflare dans le cadre de sa fourniture de cette assistance.

4. Traitement ultérieur

4.1 Cloudflare divulguera les Données à caractère personnel aux Sous-traitants ultérieurs uniquement aux fins spécifiques de la réalisation du Service. Cloudflare ne vend ni ne divulgue de Données à caractère personnel à des tiers à des fins commerciales.

4.2 Le Client accorde une autorisation générale et écrite : (a) à Cloudflare pour désigner d’autres membres du Groupe Cloudflare en qualité de Sous-traitants ultérieurs, et (b) à Cloudflare et à d’autres membres du Groupe Cloudflare pour désigner des exploitants de centres de données tiers, ainsi que des prestataires gestion des affaires, d’ingénierie et d’assistance à la clientèle en tant que Sous-traitants ultérieurs afin de soutenir l'exécution du Service.

4.3 Cloudflare tiendra à jour une liste des Sous-traitants ultérieurs sous https://www.cloudflare.com/gdpr/subprocessors/ et ajoutera les noms des Sous-traitants ultérieurs nouveaux et de substitution à la liste au moins trente (30) jours avant la date à laquelle ces Sous-traitants ultérieurs commencent à traiter les Données à caractère personnel. Si le Client a une objection raisonnable à l’égard de tout Sous-traitant ultérieur nouveau ou de substitution, celui-ci devra informer Cloudflare de cette objection par écrit dans les dix (10) jours suivant la notification et les parties chercheront à régler la question en toute bonne foi. Si Cloudflare est raisonnablement en mesure de fournir le Service au Client conformément à l’Accord principal sans recourir au Sous-traitant ultérieur et décide, à sa discrétion, d’en faire ainsi, le Client ne disposera alors d’aucun autre droit en vertu du présent article 4.3 en ce qui concerne l’utilisation proposée du Sous-traitant ultérieur. Si Cloudflare, à sa discrétion, exige l’utilisation du Sous-traitant ultérieur et n’est pas en mesure de répondre à l’objection du Client concernant l’utilisation proposée du Sous-traitant ultérieur nouveau ou de substitution, le Client peut alors résilier le Bon de commande applicable à compter de la date à laquelle Cloudflare commence à utiliser ce Sous-traitant ultérieur nouveau ou de substitution uniquement en ce qui concerne le ou les Service(s) qui utiliseront le nouveau Sous-traitant ultérieur proposé pour le traitement des Données à caractère personnel. Si le Client ne s’oppose pas en temps opportun à tout Sous-traitant ultérieur nouveau ou de substitution conformément au présent article 4.3, le Client sera réputé avoir consenti au Sous-traitant ultérieur et renoncé à son droit d’objection.

4.4 Cloudflare s’assurera que tout Sous-traitant ultérieur que celle-ci engage pour fournir un aspect du Service pour son compte dans le cadre du présent ATD ne le fasse que sur la base d’un contrat écrit qui impose à ce Sous-traitant ultérieur des conditions (c'est-à-dire des obligations en matière de protection des données) non moins protectrices des Données à caractère personnel que celles imposées à Cloudflare dans le présent ATD (les « Conditions pertinentes »). Cloudflare s’assurera de l’exécution par ce Sous-traitant ultérieur des Conditions pertinentes et sera responsable envers le Client de toute violation par ce Sous-traitant ultérieur de l’une des Conditions pertinentes.

5. Audit et registres

5.1 Conformément aux Lois applicables sur la protection des données, Cloudflare mettra à la disposition du Client les informations en possession ou sous le contrôle de Cloudflare que le Client pourra raisonnablement demander en vue de démontrer le respect par Cloudflare des obligations des Sous-traitants en vertu des Lois applicables sur la protection des données relativement à son traitement des Données à caractère personnel.

5.2 Cloudflare peut se conformer au droit d’audit du Client en vertu des Lois applicables sur la protection des données en ce qui concerne les Données à caractère personnel, en fournissant :

(a) un rapport d’audit n’ayant pas plus de treize (13) mois, préparé par un auditeur externe indépendant démontrant que les mesures techniques et organisationnelles de Cloudflare sont suffisantes et conformes aux normes d’audit reconnues par le secteur ; et

(b) des informations supplémentaires en possession ou sous le contrôle de Cloudflare à une autorité de contrôle de la protection des données lorsque celle-ci demande ou nécessite des informations supplémentaires concernant le traitement des Données à caractère personnel effectué par Cloudflare en vertu du présent ATD ; et

(c) dans la mesure où les Données à caractère personnel du Client sont soumises aux CCT et que les informations mises à disposition en vertu du présent article 5.2 sont insuffisantes, selon l’avis raisonnable du Client, pour confirmer le respect par Cloudflare de ses obligations en vertu du présent ATD ou des Lois applicables sur la protection des données, alors Cloudflare devra permettre au Client de demander un audit sur place par période annuelle pendant la Durée (telle que définie dans l’Accord principal) afin de vérifier le respect par Cloudflare de ses obligations en vertu du présent ATD conformément à l’article 5.3.

5.3 Les conditions supplémentaires suivantes s’appliquent aux audits demandés par le Client :

(a) Le Client doit envoyer toute demande d’examen des rapports d’audit de Cloudflare à compliance@cloudflare.com.

(b) Après réception par Cloudflare d’une demande d’audit en vertu de l’article 5.2(c), Cloudflare et le Client discuteront et conviendront à l’avance de la date de début, de la portée, de la durée et des contrôles de sécurité et de confidentialité raisonnables applicables à tout audit en vertu de l’article 5.2(c). Dans la mesure du possible, les éléments probants d’un tel audit se limiteront aux éléments probants recueillis lors de l’audit tiers le plus récent de Cloudflare.

(c) Cloudflare peut facturer des frais (sur la base des coûts raisonnables de Cloudflare) pour tout audit en vertu de l’article 5.2(c). Cloudflare fournira au Client d’autres détails sur les frais applicables, ainsi que la base de son calcul, avant tout audit. Le Client sera responsable de tous les frais facturés par tout auditeur désigné par le Client pour exécuter un tel audit.

(d) Cloudflare peut s’opposer par écrit à un auditeur désigné par le Client pour effectuer tout audit en vertu de l’article 5.2(c) si l’auditeur est, de l’avis raisonnable de Cloudflare, non dûment qualifié ou indépendant, un concurrent de Cloudflare, ou autrement manifestement inadapté (c'est-à-dire un auditeur dont la désignation peut avoir des conséquences dommageables pour l'activité de Cloudflare, comparables aux éléments susmentionnés). Une telle objection de la part de Cloudflare exigera du Client qu’il nomme un autre auditeur ou procède lui-même à l’audit.Si les CCT s’appliquent, rien dans le présent article 5.3 ne change ou ne modifie les CCT ni n’affecte les droits d’une autorité de contrôle ou d’une personne concernée en vertu des CCT.

6. Transferts de données de l’EEE, de la Suisse et du Royaume-Uni

6.1 Relativement au Service, les parties prévoient que Cloudflare (et ces Sous-traitants ultérieurs) peut/peuvent traiter hors de l’Espace économique européen (« EEE »), de la Suisse et du Royaume-Uni, certaines Données à caractère personnel protégées par les Lois européennes sur la protection des données à l’égard desquelles le Client ou tout membre du Groupe du Client peut être un Responsable du traitement (ou un Sous-traitant pour le compte d’un Responsable du traitement tiers, selon le cas).

6.2 Les parties conviennent que lorsque le transfert de Données à caractère personnel protégées par les Lois européennes sur la protection des données du Client ou de tout membre du Groupe du Client à Cloudflare est un Transfert restreint, il sera alors soumis aux CCT appropriées comme suit :

(a) en ce qui concerne les Données à caractère personnel protégées par le RGPD de l’UE, les CCT de l’UE s’appliqueront comme suit :

(i) Le Module Deux s’appliquera lorsque le Client (ou le membre concerné du Groupe du Client) est un Responsable du traitement et le Module Trois s’appliquera lorsque le Client (ou le membre concerné du Groupe du Client) est un Sous-traitant ;

(ii) à l’article 7, la clause d’adhésion facultative s’appliquera ;

(iii) à l’article 9, l’option 2 s’appliquera, et le délai de notification préalable des modifications apportées au Sous-traitant ultérieur sera celui indiqué à l’article 4.3 du présent ATD ;

(iv) à l’article 11, la clause facultative ne s’appliquera pas ;

(v) à l’article 17, l’option 2 s’appliquera, et si l’État membre de l’exportateur de données ne permet pas les droits de tiers bénéficiaires, alors le droit allemand s’appliquera ;

(vi) à l’article 18(b), les litiges sont résolus devant les tribunaux de la juridiction régissant l’Accord principal entre les parties ou bien, si cette juridiction n’est pas un État membre de l’UE, les tribunaux de Munich, en Allemagne. En tout état de cause, les articles 17 et 18 (b) seront cohérents en ce sens que le choix de la juridiction compétente dépendra du pays de la loi applicable ;

(vii) L’Annexe I des CCT de l’UE est réputée complétée par les informations figurant à l’Annexe 1 du présent ATD ; et

(viii) L’Annexe II des CCT de l’UE est réputée complétée par les informations figurant à l’Annexe 2 du présent ATD ;

(b) en ce qui concerne les Données à caractère personnel protégées par le RGPD du Royaume-Uni, les CCT du Royaume-Uni s’appliqueront comme suit :

(i) Tant qu’il est légalement autorisé à se fonder sur les clauses contractuelles types pour le transfert de Données à caractère personnel aux Sous-traitants énoncés dans la décision 2010/87/UE de la Commission européenne du 5 février 2010 (« CTT antérieures de transfert du Responsable du traitement au Sous-traitant ») pour les transferts de Données à caractère personnel depuis le Royaume-Uni, les CTT antérieures de transfert du Responsable du traitement au Sous-traitant s’appliquent entre le Client (ou le membre concerné du Groupe du Client) et Cloudflare sur la base suivante :

(A) L’Annexe 1 sera complétée par les informations pertinentes figurant à l’annexe 1 du présent ATD ;

(B) L’Annexe 2 sera complétée par les informations pertinentes figurant à l’Annexe 2 du présent ATD ; et

(C) la clause d’indemnisation indicative facultative ne s’appliquera pas.

(ii) Lorsque le sous-article (b)(i) ci-dessus ne s’applique pas, mais que le Client (ou le membre concerné du Groupe du Client) et Cloudflare sont légalement autorisés à se fier aux CCT de l’UE pour les transferts de Données à caractère personnel depuis le Royaume-Uni sous réserve de la conclusion d’un « Avenant pour le Royaume-Uni aux Clauses contractuelles types de l’UE » (« Avenant pour le Royaume-Uni ») publié par le Bureau du Commissaire à l’information en vertu de l’art.119A(1) de la Loi de 2018 sur la protection des données :

(A) Les CCT de l’UE, complétées comme indiqué ci-dessus à l’article 6.2(a) du présent ATD, s’appliqueront également aux transferts de ces Données à caractère personnel, sous réserve du sous-article (B) ci-dessous ;

(B) L’Avenant pour Royaume-Uni sera réputé signé entre le Client cédant (ou le membre concerné du Groupe du Client) et Cloudflare, et les CCT de l’UE seront réputées comme étant modifiées de la manière spécifiée par l’Avenant pour le Royaume-Uni concernant le transfert de ces Données à caractère personnel.

(iii) Si ni le sous-article (b)(i) ni le sous-article (b)(ii) ne s’applique, le Client et Cloudflare coopéreront alors de bonne foi pour mettre en œuvre des garanties appropriées pour les transferts desdites Données à caractère personnel, comme l’exige ou l’autorise le RGPD du Royaume-Uni dans les meilleurs délais.

(c) en ce qui concerne les Données à caractère personnel protégées par la Loi fédérale suisse sur la protection des données (telle que modifiée ou remplacée), les CCT de l’UE, complétées conformément à l’article 6.2(a) du présent ATD, s’appliquent aux transferts de ces Données à caractère personnel, hormis le fait que :

(i) l’autorité de contrôle compétente en ce qui concerne ces Données à caractère personnel sera le Préposé fédéral suisse à la protection des données et à l’information ;

(ii) à l’article 17, le droit applicable sera le droit suisse ;

(iii) les références à « État(s) membre(s) » dans les CCT de l’UE doivent être interprétées comme faisant référence à la Suisse, et les personnes concernées situées en Suisse seront habilitées à exercer et à faire respecter leurs droits en vertu des CCT de l’UE en Suisse ; et

(iv) les références au « Règlement général sur la protection des données », « Règlement 2016/679 » ou « RGPD » dans les CCT s’entendent comme des références à la Loi fédérale suisse sur la protection des données (telle que modifiée ou remplacée).

(d) Les conditions suivantes s’appliquent aux CCT :

(i) Le Client peut exercer son droit d’audit en vertu des CCT comme indiqué à l’article 5 du présent ATD, et sous réserve des exigences de celui-ci ; et

(ii) Cloudflare peut désigner des Sous-traitants ultérieurs comme énoncé aux articles 4 et 6.3 du présent ATD et sous réserve des exigences de ces articles, et le Client peut exercer son droit d’objection aux Sous-traitants ultérieurs en vertu des CCT de la manière énoncée à l’article 4.3 du présent ATD ; et

(e) en cas de contradiction directe ou indirecte de l’une quelconque des dispositions du présent ATD avec les CCT, les CCT prévaudront.

6.3 En ce qui concerne les Transferts restreints effectués à Cloudflare en vertu de l’article 6.2, Cloudflare ne devra pas participer (ni permettre à un Sous-traitant ultérieur de participer) à tout autre Transfert restreint de Données à caractère personnel (que ce soit en tant qu’« exportateur » ou « importateur » des Données à caractère personnel) à moins que ce Transfert restreint ultérieur ne soit effectué en parfaite conformité avec les Lois européennes sur la protection des données et conformément aux CCT mis en œuvre entre l’exportateur et l’importateur des Données à caractère personnel ou qu’un Mécanisme alternatif de transfert (tel que défini à l’article 6.5) adopté par l’importateur s’applique.

6.4 Dans l’hypothèse où le Client chercherait à analyser l’adéquation des CCT pour les transferts vers tout pays particulier ou toute région particulière, Cloudflare apportera, dans la mesure du possible, une assistance raisonnable au Client aux fins d’une telle analyse, à condition que le Client prenne en charge tous les frais encourus par Cloudflare dans le cadre de sa fourniture de cette assistance.

6.5 Dans la mesure où Cloudflare adopte un mécanisme alternatif d’exportation de données (y compris toute nouvelle version ou tout successeur au « Privacy Shield » adopté en vertu des Lois européennes applicables sur la protection des données) pour le transfert de Données à caractère personnel non décrites dans le présent ATD (le « Mécanisme alternatif de transfert »), le Mécanisme alternatif de transfert s’appliquera au lieu de tout mécanisme de transfert applicable décrit dans le présent ATD (mais uniquement dans la mesure où ce Mécanisme alternatif de transfert est conforme aux Lois européennes sur la protection des données et s’étend aux territoires vers lesquels les Données à caractère personnel sont transférées), et le Client accepte de signer tout autre document complémentaire et de prendre toute mesure supplémentaire raisonnablement nécessaire pour conférer des effets juridiques à ce Mécanisme alternatif de transfert.

7. Demandes d’accès aux données de tiers

7.1 Si Cloudflare prend connaissance d’une quelconque procédure judiciaire de tiers demandant des Données à caractère personnel que Cloudflare traite pour le compte du Client dans son rôle de Sous-traitant ou Sous-traitant ultérieur (selon le cas) alors Cloudflare :

(a) informera immédiatement le Client de la demande, à moins qu’une telle notification ne soit légalement interdite ;

(b) informera le tiers que celle-ci est un Sous-traitant ou Sous-traitant ultérieur (le cas échéant) des Données à caractère personnel et n’est pas autorisée à divulguer les Données à caractère personnel sans le consentement du Client ;

(c) divulguera au tiers les coordonnées minimales nécessaires du Client afin de permettre au tiers de contacter le Client et de donner instruction au tiers d’adresser sa demande de données au Client ; et

(d) Si Cloudflare fournit un accès ou divulgue des Données à caractère personnel en réponse à une procédure judiciaire de tiers, que ce soit avec l’autorisation du Client ou en raison d’une contrainte légale obligatoire, Cloudflare divulguera alors le minimum de Données à caractère personnel, et ce dans la mesure requise par la loi et conformément à une procédure judiciaire applicable.

7.2 Dans le cadre du rôle de Cloudflare en tant que Sous-traitant ou Sous-traitant ultérieur, selon le cas, elle peut faire l’objet d’une procédure judiciaire de tiers initiée par une autorité publique (y compris une autorité judiciaire) et demandant l’accès à ou la divulgation de Données à caractère personnel. Si Cloudflare prend connaissance de toute procédure judiciaire d’un tiers initiée par une autorité publique (y compris une autorité judiciaire) demandant des Données à caractère personnel que Cloudflare traite pour le compte du Client dans son rôle de Sous-traitant ou Sous-traitant ultérieur (le cas échéant), alors, dans la mesure où Cloudflare examine la demande en fournissant des efforts raisonnables et où, en conséquence, est en mesure d’identifier que cette procédure judiciaire de tiers demandant des Données à caractère personnel soulève un conflit de lois, Cloudflare :

(a) prendra toutes les mesures identifiées à l’article 7.1 ci-dessus ;

(b) intentera des recours juridiques avant de produire des Données à caractère personnel jusqu’à un niveau d’appel ; et

(c) ne divulguera les Données à caractère personnel qu’après y avoir été tenue (et uniquement dans la mesure requise) en vertu des règles de procédure applicables.

7.3 Les articles 7.1 et 7.2 ne s’appliquent pas dans l’hypothèse où Cloudflare croit, en toute bonne foi, que la demande de l'autorité publique est nécessaire en raison d’une urgence impliquant un danger de mort ou des blessures physiques graves pour une personne physique. Dans ce cas, Cloudflare informera le Client de la divulgation des données dès que possible après la divulgation et communiquera au Client tous les détails de cette divulgation, sauf si cette divulgation est interdite par la loi.

7.4 Cloudflare fournira au Client des mises à jour régulières concernant la procédure judiciaire de tiers demandant des Données à caractère personnel sous la forme d'un Rapport semestriel de transparence de Cloudflare, disponible à l’adresse https://www.cloudflare.com/transparency/.

7.5 À la date à laquelle le Client a conclu le présent ATD avec Cloudflare, Cloudflare prend les engagements énumérés ci-dessous. Cloudflare mettra à jour ces engagements selon les besoins à l’adresse https://www.cloudflare.com/transparency/:

(a) Cloudflare n’a jamais remis à quiconque ses clés de chiffrement ou d’authentification ou les clés de chiffrement ou d’authentification de ses clients.

(b) Cloudflare n’a jamais installé aucun logiciel ou équipement provenant des forces de l'ordre, où que ce soit sur notre réseau.

(c) Cloudflare n’a jamais fourni aux forces de l’ordre un flux du contenu de nos clients transitant sur notre réseau.

(d) Cloudflare n’a jamais diminué, compromis ou détourné son chiffrement à la demande des forces de l’ordre ou d’un autre tiers.

8. Informations générales

8.1 Le présent ATD est sans préjudice des droits et obligations des parties en vertu de l’Accord principal qui demeureront pleinement en vigueur. En cas de conflit entre les termes du présent ATD et les termes de l’Accord principal, les termes du présent ATD prévaudront dans la mesure où l’objet concerne le traitement des Données à caractère personnel.

8.2 La responsabilité de Cloudflare en vertu du présent ATD, y compris en vertu des CCT, est soumise aux exclusions et limitations de responsabilité contenues dans l’Accord principal. En aucun cas, Cloudflare ne limite ou n’exclut sa responsabilité vis-à-vis des personnes concernées ou des autorités compétentes en matière de protection des données.

8.3 Sauf dans les cas et dans la mesure expressément prévus dans les CCT ou les Lois applicables sur la protection des données l’exigent, le présent ATD ne confère aucun droit à un tiers bénéficiaire ; celui-ci est destiné au bénéfice des parties aux présentes et à leurs successeurs et ayants droit autorisés respectifs, et n’est pas au profit d’une autre personne, et aucune disposition des présentes ne pourra être appliquée par une autre personne.

8.4 Le présent ATD et toute action y afférente seront régis et interprétés conformément aux lois spécifiées à l’Accord principal, sans donner effet aux principes de conflit de lois. Les parties conviennent de la compétence personnelle et du for des tribunaux spécifiés à l’Accord principal.

8.5 Si une disposition du présent ATD est, pour quelque raison que ce soit, déclarée invalide ou inapplicable, les autres dispositions de l’ATD resteront exécutoires. Sans limiter la généralité de ce qui précède, le Client convient que l’article 8.2 (Limitation de responsabilité) restera en vigueur nonobstant l’inapplicabilité de toute autre disposition du présent ATD.

8.6 Le présent ATD est l’accord définitif, complet et exclusif des parties relativement à l’objet des présentes et remplace et fusionne toutes discussions et tous accords antérieurs entre les parties en ce qui concerne cet objet.

Annexe 1

Description du traitement des données

La présente Annexe 1 fait partie intégrante de l’ATD et décrit le traitement que Cloudflare effectuera pour le compte du Client.

A. LISTE DES PARTIES

Data exporter(s): Customer to complete the right-hand column.

Name:
Customer and any Customer Affiliates
described in the Main Agreement.
As stated in the Main Agreement
Address:
Addresses of Customer and any
Customer Affiliates described in the Main Agreement.
(or otherwise notified by Customer to Cloudflare
As stated in the Main Agreement
Contact person’s name, position and contact details:
As stated in the Main Agreement
Activities relevant to the data transferred under this DPA and SCCs:
Use of the Service pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Controller (or Processor on behalf of a third-party Controller).

Data importer(s):

Name:
Cloudflare, Inc.
Address:
101 Townsend Street
San Francisco, CA 94107
USA
Contact person’s name, position and contact details:
Emily Hancock
Data Protection Officer
legal@cloudflare.com
Activities relevant to the data transferred under this DPA and SCCs:
Processing necessary to provide the Service to Customer, pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Processor (or sub-Processor)

B. DESCRIPTION OF DATA PROCESSING AND TRANSFER

Categories of data subjects whose Personal Data is transferred:
Natural persons that (i) access or use Customer’s domains, networks, websites, application programming interfaces (“APIs”), and applications, or (ii) Customers’ employees, agents, or contractors who access or use the Services, such as Cloudflare Zero Trust end users, (together, “End Users”).
Natural persons with login credentials for a Cloudflare account and/or those who administer any of the Services for a Customer (“Administrators”).
Categories of Personal Data transferred:
In relation to End Users:
Any Personal Data processed in Customer Logs, such as IP addresses, and in the case of Cloudflare Zero Trust, Cloudflare Zero Trust end user names and email addresses. “Customer Logs” means any logs of End Users’ interactions with Customer’s Internet Properties and the Service that are made available to Customer via the Service dashboard or other online interface during the Term by Cloudflare.
Any Personal Data processed in Customer Content, the extent of which is determined and controlled by the Customer in its sole discretion. “Customer Content” means any files, software, scripts, multimedia images, graphics, audio, video, text, data, or other objects originating or transmitted from or processed by any Internet Properties owned, controlled or operated by Customer or uploaded by Customer through the Service, and routed to, passed through, processed and/or cached on or within, Cloudflare’s network or otherwise transmitted or routed using the Service by Customer.
In relation to Administrative Users:
Any Personal Data processed in Administrative User audit logs, such as IP addresses and email addresses.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures:
Customer, its End Users, Administrators, and/or other partners may upload content to Customer's online properties which may include special categories of data, the extent of which is determined and controlled by the Customer in its sole discretion.
Such special categories of data include, but may not be limited to, information revealing racial or ethnic origins, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning an individual’s health or sex life.
Any such special categories of data shall be protected by applying the security measures described in Annex 2.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis):
Continuous for the duration of the Main Agreement.
Nature of the processing:
Processing necessary to provide the Service to Customer, pursuant to the Main Agreement.
Purpose(s) of the data transfer and further processing:
Processing necessary for the provision of the Service.
The period for which the Personal Data will be retained, or, if that is not possible, the criteria used to determine that period:
Until the earliest of (i) expiry/termination of the Main Agreement, or (ii) the date upon which processing is no longer necessary for the purposes of either party performing its obligations under the Main Agreement (to the extent applicable).
For transfers to (sub-) Processors, also specify subject matter, nature and duration of the processing:
The subject matter, nature and duration of the processing shall be as specified in the Main Agreement.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance (e.g. in accordance with Clause 13 of the SCCs)
In respect of the EU SCCs, means the competent supervisory authority determined in accordance with Clause 13 of the EU SCCs.
In respect of the UK SCCs, means the UK Information Commissioner's Office.

Annexe 2

Mesures de sécurité techniques et organisationnelles

Cloudflare a mis en œuvre et maintiendra un programme de sécurité de l’information conformément aux normes ISO/IEC 27000. Le programme de sécurité de Cloudflare comprendra :

Mesures de chiffrement des Données à caractère personnel

Cloudflare met en œuvre le chiffrement pour protéger de manière adéquate les Données à caractère personnel à l’aide :

  • de protocoles de chiffrement de pointe destinés à assurer une protection efficace contre les attaques actives et passives avec des ressources notoirement connues comme étant à la disposition des pouvoirs publics ;

  • d’autorités de certification et d’infrastructures de clés publics de confiance ;

  • d’algorithmes de chiffrement et paramétrage efficaces, tels qu’un minimum de longueur de clé de 128 bits pour le chiffrement symétrique, et au moins 2048 bits RSA ou 256 bits de longueur de clé ECC pour les algorithmes asymétriques.

Mesures visant à assurer la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement

Cloudflare améliore la sécurité des systèmes et des services de traitement dans les environnements de production en :

  • utilisant un processus d’examen des codes afin d’accroître la sécurité du code utilisé pour fournir les Services ; et en testant les vulnérabilités du code et des systèmes avant et pendant l’utilisation ;

  • maintenant un programme externe de récompense en cas de détection d’erreurs (« bug bounty program ») ;

  • utilisant des contrôles pour valider l’intégrité des données chiffrées, et

  • utilisant une détection d’intrusion préventive et réactive.

Cloudflare déploie des systèmes à haute disponibilité dans des centres de données distribués géographiquement.

Cloudflare met en œuvre des mesures de contrôle des saisies pour protéger et préserver la confidentialité des Données à caractère personnel, y compris :

  • une politique d’autorisation pour la saisie, la lecture, l’altération et la suppression des données ;

  • l’authentification du personnel autorisé à l’aide d’identifiants d’authentification uniques (mots de passe) et des jetons durs ;

  • la déconnexion automatique des identifiants utilisateur après une période d’inactivité ;
    la protection de la saisie des données, ainsi que de la lecture, de l’altération et de la suppression des données stockées ; et

  • le fait d’exiger que les installations de traitement de l’information (les salles abritant le matériel informatique et les équipements associés) soient fermées à clé et sécurisées.

Mesures permettant de rétablir la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique

Cloudflare met en œuvre des mesures pour s’assurer que les Données à caractère personnel sont protégées contre toute destruction ou perte accidentelle, y compris en maintenant :

  • des plans et procédures de reprise après un sinistre et de continuité des activités ;
    des centres de données distribués géographiquement ;

  • des infrastructures redondantes, y compris les alimentations électriques et la connectivité internet ;

  • des sauvegardes stockées dans des sites alternatifs et disponibles pour la restauration en cas de défaillance des systèmes principaux ; et

  • des procédures de gestion des incidents qui sont régulièrement testées.

Processus réguliers de test et d’évaluation de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement

Les mesures techniques et organisationnelles de Cloudflare sont régulièrement testées et évaluées par des auditeurs tiers externes dans le cadre du Programme de conformité en matière de sécurité et de confidentialité de Cloudflare. Il peut s’agir d’audits annuels ISO/IEC 27001 ; AICPA SOC 2 Type II ; PCI DSS Niveau 1 et autres audits externes. Les mesures sont également régulièrement testées par des audits internes, ainsi que des évaluations annuelles et ciblées des risques.

Mesures d’identification et d’autorisation des utilisateurs

Cloudflare met en œuvre des mesures efficaces d’authentification des utilisateurs et de gestion des privilèges en :

  • appliquant une politique obligatoire de contrôle d’accès et d’authentification ;

  • appliquant un modèle d’identification et d’autorisation sans confiance par défaut ;

  • authentifiant le personnel autorisé à l’aide d’identifiants d’authentification uniques et d’une authentification forte à plusieurs facteurs, y compris en exigeant l’utilisation de jetons physiques durs ;

  • attribuant et en gérant les privilèges appropriés en fonction des rôles, des autorisations et de la gestion des exceptions ; et

  • appliquant le principe du moindre privilège d’accès.

Mesures de protection des données lors de la transmission

Cloudflare met en œuvre des mesures efficaces pour protéger les Données à caractère personnel contre la lecture, la copie, l’altération ou la suppression par des parties non autorisées au cours de la transmission, notamment en:

  • utilisant des protocoles de chiffrement en transit de pointe destinés à assurer une protection efficace contre les attaques actives et passives avec des ressources notoirement connues comme étant à la disposition des pouvoirs publics ;

  • utilisant des autorités de certification et des infrastructures de clés publics de confiance ;

  • mettant en œuvre des mesures de protection contre les attaques actives et passives sur les systèmes d’envoi et de réception permettant le chiffrement en transit, tels que les pare-feu adéquats, le chiffrement TLS mutuel, l’authentification API et le chiffrement afin de protéger les passerelles et les circuits par lesquels les données circulent, ainsi qu’en testant les vulnérabilités logicielles et d’éventuels moyens détournés ;

  • utilisant des algorithmes de chiffrement et un paramétrage efficace, tel qu’un minimum de longueur de clé de 128 bits pour le chiffrement symétrique, et au moins 2048 bits RSA ou 256 bits de longueur de clé ECC pour les algorithmes asymétriques ;

  • utilisant des logiciels correctement mis en œuvre et correctement entretenus, couverts dans le cadre d’un programme de gestion de la vulnérabilité, et dont la conformité est testée par un audit ;

  • appliquant des mesures sécurisées pour générer, gérer, stocker et protéger de façon fiable les clés de chiffrement ; et

  • journalisant l’audit, surveillant et suivant les transmissions de données.

Mesures de protection des données pendant le stockage

Cloudflare met en œuvre des mesures efficaces pour protéger les Données à caractère personnel pendant le stockage, le contrôle et la limitation de l’accès aux systèmes de traitement des données, et en :

  • utilisant des protocoles de chiffrement de pointe conçus pour assurer une protection efficace contre les attaques actives et passives avec des ressources notoirement connues comme étant à la disposition des pouvoirs publics ;

  • utilisant des autorités de certification et des infrastructures de clés publics de confiance ;

  • testant les vulnérabilités logicielles et les éventuels moyens détournés des systèmes de stockage des données ;

  • utilisant des algorithmes de chiffrement et un paramétrage efficaces, comme le fait d’exiger que tous les disques stockant les Données à caractère personnel soient chiffrés avec AES-XTS à l’aide d’une longueur de clé de 128 bits ou plus ;

  • utilisant des logiciels correctement mis en œuvre et correctement entretenus, couverts dans le cadre d’un programme de gestion de la vulnérabilité, et dont la conformité est testée par un audit ;

  • appliquant des mesures sécurisées pour générer, gérer, stocker et protéger de façon fiable les clés de chiffrement ;

  • identifiant et autorisant les systèmes et les utilisateurs ayant accès aux systèmes de traitement des données ;

  • déconnectant automatiquement les utilisateurs après une période d’inactivité ; et
    en journalisant l’audit, surveillant et suivant l’accès aux systèmes de traitement et de stockage des données.

Cloudflare met en œuvre des contrôles d’accès à des domaines spécifiques des systèmes de traitement des données afin de s’assurer que seuls les utilisateurs autorisés sont en mesure d’accéder aux Données à caractère personnel dans le cadre et dans la mesure couverte par leur autorisation d’accès respective et que les Données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation. Pour ce faire, diverses mesures doivent être prises, notamment :

  • des politiques relatives aux employés et une formation en ce qui concerne les droits d’accès de chaque employé aux Données à caractère personnel ;

  • l’application d’un modèle d’identification et d’autorisation de l’utilisateur sans confiance par défaut ;

  • l’authentification du personnel autorisé à l’aide d’identifiants d’authentification uniques et d’une authentification forte à plusieurs facteurs, y compris en exigeant l’utilisation de jetons physiques durs ;

  • le suivi des actions des personnes autorisées à supprimer, ajouter ou modifier les Données à caractère personnel ;

  • la diffusion de données uniquement aux personnes autorisées, y compris l’attribution de droits d’accès et de rôles différenciés ; et

  • le contrôle de l’accès aux données, avec destruction contrôlée et documentée des données.

Mesures visant à assurer la sécurité physique des lieux de traitement des Données à caractère personnel

Cloudflare maintient et met en œuvre des politiques et des mesures efficaces pour contrôler l’accès physique afin d’empêcher les personnes non autorisées d’accéder à l’équipement de traitement des données (à savoir les bases de données, les serveurs d’application et le matériel associé) où les Données à caractère personnel sont traitées ou utilisées, notamment en :

  • établissant des zones de sécurité ;

  • protégeant et restreignant les voies d’accès ;

  • établissant des autorisations d’accès pour les employés et les tiers, y compris les documents respectifs ;

  • journalisant, surveillant et suivant tous les accès aux centres de données où des Données à caractère personnel sont hébergées  ; et

  • sécurisant par des systèmes d’alarme de sécurité et d’autres mesures de sécurité appropriées les centres de données où les Données à caractère personnel sont hébergées.

Mesures pour assurer la journalisation des événements

Cloudflare a mis en place un programme de journalisation et de surveillance pour journaliser, surveiller et suivre l’accès aux données à caractère personnel, y compris par les administrateurs système et pour s’assurer que les données sont traitées conformément aux instructions reçues. Pour ce faire, diverses mesures sont prises, notamment :

  • l’authentification du personnel autorisé à l’aide d’identifiants d’authentification uniques et d’une authentification forte à plusieurs facteurs, y compris en exigeant l’utilisation de jetons physiques durs ;

  • l’application d’un modèle d’identification et d’autorisation de l’utilisateur sans confiance par défaut ;

  • la tenue de listes de données d’identification des administrateurs système ;

  • l’adoption de mesures de détection, d’évaluation et de réponse aux anomalies à risque élevé ;

  • la tenue de journaux d’accès à l’infrastructure de traitement sécurisés, exacts et non modifiés pendant douze mois ; et

  • le fait de tester la configuration de journalisation, le système de surveillance, le processus d’alerte et de réponse aux incidents au moins une fois par an.

Mesures visant à assurer la configuration du système, y compris la configuration par défaut

Cloudflare maintient des référentiels de configuration pour tous les systèmes supportant l’environnement de traitement des données de production, y compris les systèmes tiers. Les référentiels de configuration doivent être alignés sur les meilleures pratiques du secteur, comme les références de niveau 1 du Centre de sécurité internet (CIS). Des mécanismes automatisés doivent être utilisés pour appliquer les configurations de base sur les systèmes de production et prévenir les changements non autorisés. Les modifications apportées aux référentiels sont limitées à un petit nombre de membres du personnel de Cloudflare autorisés et doivent suivre les processus de contrôle des changements. Les modifications doivent être vérifiables et vérifiées régulièrement pour détecter les écarts par rapport aux configurations de base.

Cloudflare configure les référentiels pour le système d’information à l’aide du principe du moindre privilège. Par défaut, les configurations d’accès sont définies en « tout refuser », et les mots de passe par défaut doivent être modifiés pour respecter les politiques de Cloudflare avant l’installation de l’appareil sur le réseau Cloudflare, ou immédiatement après l’installation du logiciel ou du système d’exploitation. Les systèmes sont configurés pour synchroniser les horloges horaires du système en fonction du Temps atomique international ou du temps universel coordonné (UTC) et l’accès à la modification des données de temps est limité au personnel autorisé.

Mesures informatiques internes et de gouvernance et mesures de gestion de la sécurité informatique

Cloudflare maintient des politiques internes sur l’utilisation acceptable des systèmes informatiques et la sécurité générale de l’information. Cloudflare exige que tous les employés suivent une formation générale en matière de sécurité et de sensibilisation à la vie privée au moins tous les ans. Cloudflare limite et protège le traitement des Données à caractère personnel, et a documenté et mis en œuvre :

  • un Système officiel de gestion de la sécurité de l’information (SGSI) afin de protéger la confidentialité, l’intégrité, l’authenticité et la disponibilité des systèmes de données et d’information de Cloudflare, et d’assurer l’efficacité des contrôles de sécurité sur les données et les systèmes d’information qui appuient les opérations ; et

  • un Système officiel de gestion de l’information sur la vie privée (PIMS) afin de protéger la vie privée, l’intégrité, l’authenticité et la disponibilité des politiques et procédures soutenant le réseau mondial géré par Cloudflare, en tant que sous-traitant et responsable du traitement des informations clients.

Cloudflare conservera la documentation des mesures techniques et organisationnelles en cas d’audit et pour la conservation des preuves. Cloudflare prendra des mesures raisonnables pour s’assurer que les personnes qu’elle emploie et d’autres personnes sur le lieu de travail en question aient connaissance de et se conforment aux mesures techniques et organisationnelles énoncées dans la présente Annexe 2.

Mesures de certification/garantie des processus et produits

La mise en œuvre du SGSI de Cloudflare et des processus de gestion des risques liés à la sécurité a fait l’objet d’une certification externe conformément à la norme du secteur ISO/IEC 27001. La mise en œuvre du PIMS complet de Cloudflare a fait l’objet d’une certification externe conformément à la norme du secteur ISO/IEC 27701, à la fois en tant que sous-traitant et responsable du traitement des informations du client.

Cloudflare maintient la conformité au PCI DSS niveau 1 pour laquelle Cloudflare fait l’objet d’un audit chaque année par un évaluateur tiers de sécurité qualifié. Cloudflare a effectué d’autres certifications telles que la certification AICPA SOC 2 Type II conformément aux Critères de service fiduciaire AICPA, et les détails de celles-ci et d’autres certifications que Cloudflare peut entreprendre de temps à autre seront disponibles sur le site web de Cloudflare.

Pour les transferts vers des Sous-traitants (ultérieurs), décrire également les mesures techniques et organisationnelles spécifiques que doit prendre le Sous-traitant (ultérieur) pour être en mesure de fournir une assistance au Responsable du traitement (et, pour les transferts d’un Sous-traitant à un Sous-traitant ultérieur, à l’exportateur de données).

Measure
Description
Self-service access to meet data subject rights of access, erasure, rectification etc.
Ability to login to review and edit Personal Data via the Cloudflare dashboard.