Cloudflare et la conformité avec le Privacy Act

Cloudflare est une société spécialisée dans la sécurité, les performances et la fiabilité dont le siège social se trouve aux États-Unis et qui comporte un bureau en Australie. Nous fournissons une large gamme de services réseau aux entreprises de toutes tailles partout dans le monde. Nous contribuons à les rendre plus sûres, à améliorer les performances de leurs applications stratégiques et éliminons les coûts et la complexité liés à la gestion du matériel réseau individuel. Le réseau global de Cloudflare, qui repose sur plus de 200 serveurs périphériques dans le monde entier, comme il est décrit ici, sert de fondation sur laquelle nous pouvons rapidement développer et déployer nos produits pour nos clients.

Cloudflare n'a pas accès aux données que nos clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache par le biais de notre réseau global, et nous n'avons aucun contrôle sur ces données. Dans un certain nombre de cas limités, les produits de Cloudflare peuvent être utilisés pour le stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau global de Cloudflare.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare qui sont mis en œuvre. La grande majorité des données qui transitent par notre réseau restent sur les serveurs périphériques de Cloudflare, tandis que les métadonnées relatives à cette activité sont traitées pour le compte de nos clients dans nos principaux datacenters aux États-Unis et en Europe.

Cloudflare conserve des données de journaux sur les événements de son réseau. Certaines de ces données de journaux comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés des domaines, réseaux, sites web, interfaces de programmation d'applications (API) ou applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe, pendant une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, avec généralement un train d'avance sur le reste de l'industrie. Grâce à ces outils, nos clients peuvent notamment chiffrer facilement le contenu des communications via Universal SSL, chiffrer les métadonnées dans les communications à l'aide de DNS-over-HTTPS ou DNS-over-TLS et SNI chiffré, et contrôler où sont conservées leurs clés SSL et où leur trafic est inspecté.

Nous disposons d'un programme de sécurité qui va au-delà des normes du secteur. Il comprend la tenue à jour de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Nous assumons actuellement les validations suivantes : conformité ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II et PCI DSS niveau 1. Pour en savoir plus sur nos certifications et nos rapports, cliquez ici.

Pour consulter les mesures de sécurité que nous proposons pour la protection des données personnelles, y compris celle des données personnelles transférées depuis l'Australie vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre ATD standard.

Le Privacy Act (loi de protection des données personnelles) stipule que les organisations cherchant à divulguer des informations personnelles auprès d'un destinataire en dehors de l'Australie doivent vérifier que celui-ci est en conformité avec les APP (Australian Privacy Principles). L'Addendum relatif au traitement des données (ATD) de Cloudflare, qui aborde nos obligations en matière de traitement des données personnelles au nom de nos clients et est intégré à titre de référence dans notre contrat de service de niveau Entreprise et notre contrat d'abonnement libre-service, est considéré comme une mesure raisonnable par l'OAIC (office of the australian information commissioner) pour légitimer les transferts transfrontaliers conformément à l'article 13 de l'APP.

Conformément aux directives émises par l'OAIC, notre ATD respecte les APP et décrit :

• les catégories de données transférées ;

• les mécanismes de gestion des plaintes ;

• le plan de réponse en cas de violation de données ;

• les outils de protection technique et opérationnelle adéquats.

Cloudflare a publié notre tout premier rapport de transparence en 2014 pour une procédure légale reçue en 2013, nous nous sommes alors engagés à exiger une procédure légale avant de fournir des données sur les clients à toute entité gouvernementale en dehors d'une situation d'urgence, et à informer nos clients de toute procédure légale demandant des informations sur leurs clients ou sur la facturation avant de divulguer ces informations, sauf interdiction légale. Nous avons déclaré publiquement n'avoir jamais remis de clés de chiffrement à quelque gouvernement que ce soit, pas plus que nous leur avons fourni un flux de contenu transitant par notre réseau, ni déployé d'équipements à usage répressif sur notre réseau. S'il nous était demandé de nous astreindre à l'une de ces procédures, nous nous sommes également engagés à épuiser tous les recours légaux afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an, et les avons même élargis, dans nos rapports de transparence.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige si nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté légalement une lettre de sécurité nationale (« NSL ») émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale concernant des données personnelles enfreignant les lois sur la confidentialité du pays de résidence d'une personne devrait être légalement contestée. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête aux autorités américaines concernant des données personnelles en fonction d'un tel conflit de lois.

Nous avons mis à jour notre addendum relatif au traitement des données (« ATD ») pour que nos clients puissent désormais intégrer les mesures de protection supplémentaires décrites ci-dessus comme engagements contractuels. Vous pouvez consulter ces engagements contractuels dans la section 7 de notre ATD.

Cloudflare a développé la Data Localization Suite, qui aide les entreprises à bénéficier des avantages de notre réseau mondial en matière de sécurité et de performances, tout en leur permettant d'établir facilement des règles et des mesures de contrôle en périphérie concernant l'endroit où les données sont stockées et protégées.

La Data Localisation Suite regroupe certaines offres existantes avec de nouvelles fonctionnalités :

• Services régionaux. Cloudflare possède des datacenters dans plus de 270 villes réparties dans plus de 100 pays. Les services régionaux, avec notre solution Geo Key Manager, permettent aux clients de choisir les emplacements des datacenters où les clés TLS sont stockées et où la terminaison TLS a lieu. Le trafic est intégré au niveau mondial, par l'application de mesures d'atténuation des attaques DDoS des couches 3 et 4, tandis que les fonctions de sécurité, de performances et de fiabilité (WAF, RDC, atténuation des attaques DDoS, etc.) sont appliquées uniquement dans des datacenters Cloudflare désignés.

• SSL sans clé. SSL sans clé permet à un client de stocker et de gérer ses propres clés privées SSL pour les utiliser avec Cloudflare. Les clients peuvent utiliser divers systèmes pour leur magasin de clés, notamment des modules sécurité matérielle (HSM), des serveurs virtuels et des équipements fonctionnant sous Unix/Linux et Windows, hébergés dans des environnements contrôlés par les clients.

• Geo key Manager. Nous disposons d'une clientèle véritablement internationale, et nous avons appris que les clients du monde entier ont des exigences réglementaires et statutaires différentes, ainsi que des profils de risque différents, concernant le placement de leurs clés privées. Avec cette philosophie en tête, nous avons décidé de concevoir un système très flexible pour décider où conserver les clés. Geo Key Manager permet aux clients de limiter l'exposition de leurs clés privées à certains emplacements. Cet outil est similaire au SSL sans clé, mais, au lieu d'intégrer un serveur de clés à votre infrastructure, Cloudflare héberge des serveurs de clés aux endroits de votre choix.