Cloudflare et conformité APPI

Cloudflare est une société spécialisée dans la sécurité, la performance et la fiabilité dont le siège social se trouve aux États-Unis et qui comporte un bureau au Japon. Nous fournissons une large gamme de services réseau aux entreprises de toutes tailles partout dans le monde. Nous contribuons à les rendre plus sûres, à améliorer les performances de leurs applications stratégiques et éliminons les coûts et la complexité liés à la gestion du matériel réseau individuel. Le réseau global de Cloudflare, qui repose sur plus de 270 serveurs Edge dans le monde entier, comme décrit ici, sert de fondation sur laquelle nous pouvons rapidement développer et déployer nos produits pour nos clients

Cloudflare n'a pas accès aux données que nos clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache par le biais de notre réseau global, et nous n'avons aucun contrôle sur ces données. Dans un certain nombre de cas limités, les produits de Cloudflare peuvent être utilisés pour le stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau global de Cloudflare.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare qui sont implémentés. La grande majorité des données qui transitent par notre réseau restent sur les serveurs Edge de Cloudflare, tandis que les métadonnées relatives à cette activité sont traitées pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe.

Cloudflare conserve des données de journaux sur les événements de son réseau. Certaines de ces données de journaux comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés des domaines, réseaux, sites web, interfaces de programmation d'applications (API) ou applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe, pendant une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, avec généralement un train d'avance sur le reste de l'industrie. Grâce à ces outils, nos clients peuvent notamment chiffrer facilement le contenu des communications via Universal SSL, chiffrer les métadonnées dans les communications à l'aide de DNS-over-HTTPS ou DNS-over-TLS et SNI chiffré, et contrôler où sont conservées leurs clés SSL et où leur trafic est inspecté.

Nous maintenons un programme de sécurité conforme aux normes de l'industrie. Il comprend le maintien de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Tous les employés de Cloudflare suivent une formation à la sécurité des informations et à la confidentialité lors de leur embauche et au moins une fois par an.

Nous maintenons actuellement les validations suivantes : ISO 27001, ISO 27701, SOC 2 Type II et PCI DSS niveau 1. Nous tenons également à jour un rapport SOC 3. Pour en savoir plus sur nos certifications, cliquez ici.

Pour consulter les mesures de sécurité que nous proposons pour la protection des données personnelles, y compris les données personnelles transférées depuis le Japon vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre ATD standard.

L'Addendum relatif au traitement des données (ATD) de Cloudflare, qui aborde nos obligations en matière de traitement des données personnelles au noms de nos clients et est intégré à titre de référence dans notre contrat d'abonnement Entreprise et notre contrat d'abonnement libre-service, est considéré comme un équivalent standard légitimant les transferts transfrontaliers conformément à l'article 24 de l'APPI. De plus :

• Pays de transfert : Cloudflare traite les données dans son réseau global, et les métadonnées peuvent être stockées dans nos datacenters aux États-Unis et dans l'Union Européenne. Les transferts vers le datacenter aux États-Unis sont limités aux métadonnées de trafic des zones des clients, si nécessaire pour fournir bon nombre de nos services de sécurité.

• Mesures de sécurité : les mesures de sécurité de Cloudflare figurent en Annexe 2 de notre ATD ;

• Confirmation : Cloudflare valide régulièrement ses mesures de sécurité, comme en témoignent les certifications dont nous disposons, décrites ci-dessus ;

• Limitation de l'objet : nous traitons uniquement les données personnelles conformément aux instructions de nos clients ; nous ne vendons pas, ne conservons pas, n'utilisons pas et ne divulguons pas les données personnelles dans aucun autre objectif que de fournir les services de Cloudflare, et nous ne procédons à aucun profilage, suivi ou utilisation des données personnelles de nos clients à des fins de marketing ou publicitaires ;

• Notification de violation : Cloudflare notifie dans les meilleurs délais les clients en cas de violation de données personnelles (définie dans notre ATD) et fournit à ses clients une coopération et une assistance raisonnables pour faire face à cette violation de données personnelles.

• Sous-traitants : nos sous-traitants incluent nos filiales, à l'exception de notre filiale chinoise. Les données de nos clients ou de notre réseau mondial ne sont pas accessibles aux employés de notre filiale chinoise.

Les États-Unis ne disposent pas d'une législation complète en matière de confidentialité au niveau fédéral. Les États-Unis adoptent plutôt une approche sectorielle de la confidentialité et de la protection des données. Par exemple, ils disposent d'une législation fédérale régissant la confidentialité des informations de santé (la loi HIPAA, ou Health Insurance Portability and Accountability Act), des informations traitées par les institutions financières (la loi GLBA, ou Gramm-Leach-Bliley Act), et de celles traitées par les établissements d'enseignement (la loi FERPA, ou Family Educational Rights and Privacy Act). En outre, la Federal Trade Commission (FTC) des États-Unis dispose de l'autorité nécessaire pour enquêter et mettre en œuvre des mesures de protection des consommateurs contre les pratiques commerciales déloyales et mensongères. Ce pouvoir de la FTC a été utilisé pour intenter une action en justice contre des entreprises qui n'avaient pas mis en œuvre de mesures raisonnables de sécurité des données, et qui avaient fait des déclarations matériellement inexactes ou trompeuses en matière de confidentialité et de sécurité, y compris dans les politiques de confidentialité.

Cloudflare publie un rapport de transparence qui détaille les demandes de divulgation de données que nous recevons, ainsi que la façon dont nous y répondons. En règle générale, si nous recevons une demande émanant des forces de l'ordre ou d'une agence gouvernementale concernant les données de nos clients, notre ADT nous engage à en informer le client, à moins que la loi ne l'interdise. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation des données personnelles. Si nous identifions que cette demande présente un conflit de lois, par exemple si le sujet de la demande est résident d'une juridiction non américaine, notre ADT nous engage à rejeter ces demandes et à exercer un recours juridique.

Section 702. La section 702 de la Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.

Comme nous l'avons indiqué dans notre rapport sur la transparence, nous n'avons généralement pas accès à ce type de contenu traditionnel des clients pour les services principaux de Cloudflare. En outre, nous nous sommes engagés publiquement depuis de nombreuses années à ne jamais fournir à aucun gouvernement un flux de contenu de nos clients transitant par notre réseau, et à épuiser tous les recours juridiques s'il nous était demandé de le faire afin de protéger nos clients de ce que estimons être des demandes illégales ou inconstitutionnelles.

Executive Order 12333. L'Executive Order 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.

Nous nous sommes engagés de longue date à exiger une procédure légale avant de fournir à une entité gouvernementale l'accès aux données de nos clients en dehors d'une situation d'urgence. Par conséquent, nous ne nous conformerions pas aux demandes volontaires de données en vertu de l'Executive Order 12333. En outre, nous avons joué un rôle de premier plan en encourageant une sécurité accrue des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles contre tout type de regard indiscret. En 2014, par exemple, nous avons lancé Universal SSL, rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. La semaine où nous l'avons lancé, nous avons doublé la taille du web chiffré. En raison du nombre croissant de lois qui tentent de cibler le chiffrement, nous avons assuré ne jamais avoir affaibli, compromis ou subverti nos chiffrements à la demande d'un gouvernement ou d'un autre tiers.

CLOUD Act. La loi CLOUD n'étend pas le pouvoir d'investigation des États-Unis. Les exigences strictes auxquelles doivent satisfaire les forces de l'ordre pour obtenir un mandat valide restent inchangées. La loi CLOUD s'applique également à l'accès aux contenus, que nous ne stockons généralement pas, comme décrit ci-dessus. Il est important de noter que les forces de l'ordre chercheront généralement à obtenir des données auprès de l'entité disposant d'un contrôle effectif des données (c'est-à-dire nos clients), plutôt qu'auprès des fournisseurs de cloud.

La loi CLOUD fournit des mécanismes aux fournisseurs pour demander à un tribunal d'annuler ou de modifier une demande juridique qui pose un tel conflit de droit. Ce processus permet également aux fournisseurs de révéler l'existence d'une telle demande à un gouvernement étranger dont le citoyen est concerné, si ce gouvernement a signé un accord avec les États-Unis au titre du CLOUD Act. Nous nous sommes engagés à contester légalement toute ordonnance qui pose ce type de conflit de lois. À ce jour, nous n'avons reçu aucune ordonnance que nous avons identifiée comme posant un tel conflit.

Enfin, n'oubliez pas que notre ATD nous engage à ce que, sauf interdiction légale, nous informions les clients si nous sommes en mesure d'identifier que la procédure juridique d'un tiers demandant des données personnelles que nous traitons au nom de ce client entraîne un conflit de lois. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation des données personnelles.

Parce que nous estimons qu'il est essentiel de gagner et de conserver la confiance des clients, nous avons mis en place des garanties de protection des données bien avant les amendements APPI de 2022. Lorsque nous avons publié notre tout premier rapport de transparence en 2014 pour une procédure légale reçue en 2013, nous nous sommes engagés à exiger une procédure légale avant de fournir des données sur les clients à toute entité gouvernementale en dehors d'une situation d'urgence, et à informer nos clients de toute procédure légale demandant des informations sur leurs clients ou sur la facturation avant de divulguer ces informations, sauf interdiction légale. Nous avons déclaré publiquement n'avoir jamais remis ni clés de chiffrement à quelque gouvernement que ce soit, pas plus que nous leur avons fourni un flux de contenu transitant par notre réseau, ni déployé d'équipements à usage répressif sur notre réseau. S'il nous était demandé de nous astreindre à l'une de ces procédures, nous nous sommes également engagés à épuiser tous les recours légaux afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an, et les avons même étendus, dans nos rapports de transparence.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige si nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté légalement une lettre de sécurité nationale (NSL) émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale concernant des données personnelles enfreignant les lois sur la confidentialité du pays de résidence d'une personne devrait être légalement contestée. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête aux autorités américaines concernant des données personnelles en fonction d'un tel conflit de lois.

Nous avons mis à jour notre addendum relatif au traitement des données (ATD) pour que nos clients puissent désormais intégrer les mesures de protection supplémentaires décrites ci-dessus comme engagements contractuels. Vous pouvez consulter ces engagements contractuels dans la section 7 de notre ATD.