Cloudflare et la conformité au RGPD

Cloudflare est une société spécialisée dans la sécurité, la performance et la fiabilité dont le siège social se trouve aux États-Unis et qui dispose d'opérations mondiales, dont cinq bureaux en Europe. Nous fournissons une large gamme de services réseau aux entreprises de toutes tailles partout dans le monde. Nous contribuons à les rendre plus sûres, à améliorer les performances de leurs applications stratégiques et éliminons les coûts et la complexité liés à la gestion du matériel réseau individuel. Le réseau global de Cloudflare, qui repose sur plus de 200 serveurs Edge dans le monde entier, comme décrit ici, sert de fondation sur laquelle nous pouvons rapidement développer et déployer nos produits pour nos clients

Cloudflare n'a pas accès aux données que nos clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache par le biais de notre réseau global, et nous n'avons aucun contrôle sur ces données. Dans un certain nombre de cas limités, les produits de Cloudflare peuvent être utilisés pour le stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau global de Cloudflare.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare qui sont mis en œuvre. La grande majorité des données qui transitent par notre réseau restent sur les serveurs périphériques de Cloudflare, tandis que les métadonnées relatives à cette activité sont traitées pour le compte de nos clients dans nos principaux datacenters aux États-Unis et en Europe.

Cloudflare conserve des données de journaux sur les événements de son réseau. Certaines de ces données de journaux comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés des domaines, réseaux, sites web, interfaces de programmation d'applications (API) ou applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe, pendant une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, avec généralement un train d'avance sur le reste de l'industrie. Grâce à ces outils, nos clients peuvent notamment chiffrer facilement le contenu des communications via Universal SSL, chiffrer les métadonnées dans les communications à l'aide de DNS-over-HTTPS ou DNS-over-TLS et SNI chiffré, et contrôler où sont conservées leurs clés SSL et où leur trafic est inspecté.

Nous disposons d'un programme de sécurité qui va au-delà des normes du secteur. Il comprend la tenue à jour de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Nous assumons actuellement les validations aux normes suivantes : conformité ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II et PCI DSS niveau 1. Pour en savoir plus sur nos certifications et nos rapports, cliquez ici.

Pour consulter les mesures de sécurité que nous proposons pour la protection des données à caractère personnel, y compris les données personnelles transférées depuis l'Espace économique européen (EEE) vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre ATD standard.

Le règlement général sur la protection des données de l'UE (RGPD) fournit un certain nombre de mécanismes juridiques pour veiller à ce que les garanties appropriées, les droits applicables et les recours juridiques efficaces soient disponibles pour les personnes concernées européennes dont des données personnelles sont transférées de l'EEE vers un pays tiers (un pays non couvert par le RGPD ou considéré comme ayant des lois adéquates en matière de protection des données).

Ces mécanismes sont les suivants :

• La Commission européenne décide qu'un pays tiers assure un niveau de protection adéquat après avoir évalué son état de droit, son respect des droits de l'homme et des libertés fondamentales, ainsi qu'un certain nombre d'autres facteurs ;

• Un contrôleur de données ou un responsable du traitement des données met en place des règles d'entreprise contraignantes ;

• Un contrôleur de données ou un responsable du traitement des données met en place des clauses types de protection des données adoptées par la Commission ; ou

• Un contrôleur de données ou un responsable du traitement des données met en place un code de conduite approuvé ou un mécanisme de certification approuvé.

Cloudflare s'appuie sur les clauses contractuelles types (SCC) de la Commission européenne et sur des mesures complémentaires comme mécanisme juridique pour transférer des données personnelles de l'EEE vers les États-Unis. Cependant, la Cour de justice de l'Union européenne (CJUE) a invalidé en juillet 2020 le paradigme du bouclier de protection des données entre l'UE et les États-Unis dans l'affaire « Schrems II » (affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland et Maximillian Schrems). L'invalidation du bouclier de protection des données ne modifie pas les solides protections de confidentialité des données que Cloudflare a mises en place pour les données personnelles que nous traitons au nom de nos clients, et nous continuerons à suivre les principes de protection des données que nous nous sommes engagés à respecter lorsque nous avons été certifiés dans le cadre du bouclier de protection des données.

En mars 2022, la Commission européenne et le ministère américain du commerce se sont engagés à mettre en place un nouveau cadre transatlantique de protection des données qui régirait les transferts de données de l'EEE vers les États-Unis. Nous suivons ces développements de près et déterminerons si et comment nous nous appuierons sur ce cadre lorsque nous aurons plus de détails sur sa mise en œuvre.

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

Parce que nous estimons qu'il est essentiel de gagner et de conserver la confiance des clients, nous avons mis en place des garanties de protection des données bien avant l'affaire Schrems II. Lorsque nous avons publié notre tout premier rapport de transparence en 2014 pour une procédure légale reçue en 2013, nous nous sommes engagés à exiger une procédure légale avant de fournir des données sur les clients à toute entité gouvernementale en dehors d'une situation d'urgence, et à informer nos clients de toute procédure légale demandant des informations sur leurs clients ou sur la facturation avant de divulguer ces informations, sauf interdiction légale. Nous avons déclaré publiquement que nous n'avons jamais remis de clés de chiffrement à quelque gouvernement que ce soit, fourni à quelque gouvernement que ce soit un flux de contenu transitant par notre réseau, ni déployé d'équipements à usage répressif sur notre réseau. S'il nous était demandé de faire l'une de ces choses, nous nous sommes également engagés à épuiser tous les recours légaux afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an, et les avons même étendus, dans nos rapports de transparence.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige lorsque c'était nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté légalement une lettre de sécurité nationale (« NSL ») émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale concernant des données à caractère personnel enfreignant les lois sur la confidentialité du pays de résidence d'une personne devrait être légalement contestée. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Le Comité européen de la protection des données a reconnu que le RGPD pourrait poser un tel conflit dans cette évaluation. Notre engagement à nous conformer au RGPD signifie que nous étudierons les recours légaux avant de produire des données identifiées comme étant soumises au RGPD en réponse à une demande de données du gouvernement américain. Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête aux autorités américaines concernant des données à caractère personnel en fonction d'un tel conflit de lois.

Nous avons mis à jour notre addendum relatif au traitement des données (« ATD ») pour que nos clients puissent désormais intégrer les mesures de protection supplémentaires décrites ci-dessus comme engagements contractuels. Vous pouvez consulter ces engagements contractuels dans la section 7 de notre ATD.

Nous considérons que les demandes de données personnelles émanant du gouvernement américain concernant un individu non américain, lorsqu'elles enfreignent les lois relatives à la protection de la confidentialité dans le pays de résidence de cet individu (à l'image du RGPD, au sein de l'UE), doivent faire l'objet d'une contestation juridique.

La loi CLOUD n'étend pas le pouvoir d'investigation des États-Unis. Les exigences strictes auxquelles doivent satisfaire les forces de l'ordre pour obtenir un mandat valide restent inchangées. La loi CLOUD s'applique également à l'accès aux contenus, que nous ne stockons généralement pas, comme décrit ci-dessus. En outre, la loi CLOUD ne modifie pas les pratiques existantes lorsque les forces de l'ordre américaines cherchent à accéder aux données des entreprises. Il est important de noter que les forces de l'ordre chercheront généralement à obtenir des données auprès de l'entité disposant d'un contrôle effectif des données (c'est-à-dire nos clients), plutôt qu'auprès des fournisseurs de cloud.

Nous continuerons à mettre les SCC et les mesures supplémentaires à la disposition de nos clients dont les données sont soumises au RGPD. Nous suivons de près les développements dans ce domaine, ainsi qu'en ce qui concerne les mécanismes de transfert alternatifs.

Nous comprenons qu'à la lumière de l'affaire Schrems II, nos clients recherchent des garanties supplémentaires pour que les données soumises au RGPD et transférées aux États-Unis bénéficient d'une protection adéquate en vertu du RGPD. Nous avons discuté de ces garanties supplémentaires ci-dessus.

Étant donné que la CJUE a pris en considération un certain nombre d'autorités américaines de sécurité nationale dans son analyse de l'affaire Schrems II, nous avons vu certaines questions concernant l'application de ces autorités aux responsables du traitement des données américains. Pour expliquer si ces autorités sont pertinentes, ou comment elles sont pertinentes, pour un transfert de données, certaines explications supplémentaires des autorités auxquelles la CJUE fait référence sont nécessaires.

Section 702. La section 702 de la Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.

Comme nous l'avons indiqué dans notre rapport sur la transparence, Cloudflare n'a généralement pas accès à ce type de contenu de clients dans le cadre des services essentiels de Cloudflare. En outre, Cloudflare s'est engagée publiquement, depuis de nombreuses années, à ne jamais fournir à aucun gouvernement un flux des contenus de ses clients transitant sur son réseau, et à épuiser tous les recours juridiques s'il lui était demandé de le faire, afin de protéger ses clients de ce que nous estimons être des demandes illégales ou inconstitutionnelles.

Executive Order 12333. L'Executive Order 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.

Nous nous sommes engagés de longue date à exiger une procédure légale avant de fournir à une entité gouvernementale l'accès aux données de nos clients en dehors d'une situation d'urgence. Par conséquent, nous ne nous conformerions pas aux demandes volontaires de données en vertu de l'Executive Order 12333. En outre, nous avons joué un rôle de premier plan en encourageant une sécurité accrue des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles contre tout type de regard indiscret. En 2014, par exemple, nous avons lancé Universal SSL, rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. La semaine où nous l'avons lancé, nous avons doublé la taille du web chiffré. En raison du nombre croissant de lois qui tentent de cibler le chiffrement, nous avons assuré ne jamais avoir affaibli, compromis ou subverti nos chiffrements à la demande d'un gouvernement ou d'un autre tiers.

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

Notre Contrat d'abonnement en libre-service intègre notre ATD standard pour référence. Dans la mesure où les données personnelles que nous traitons au nom d'un client en libre-service sont régies par le RGPD, notre ATD intègre les clauses contractuelles types de l'UE pour ces données. Aucune action n'est donc requise pour s'assurer que les clauses contractuelles types sont en place. Notre ATD intègre également les garanties supplémentaires décrites ci-dessus.

L'ATD est intégré pour référence. Néanmoins, nous avons également rendu accessible notre ATD standard dans le tableau de bord du client. Lorsque vous êtes dans votre tableau de bord, allez sur l'onglet Configurations, puis dans Préférences pour consulter et accepter l'ATD.

Notre Contrat d'abonnement Enterprise (le « CAE ») incorpore notre ATD standard pour référence. Par conséquent, aucune action n'est requise pour ces clients. Dans la mesure où les données à caractère personnel que nous traitons pour le compte du client sont régies par le RGPD, notre ATD intègre les clauses contractuelles types de l'UE. Notre ATD standard intègre également les garanties supplémentaires décrites ci-dessus.

Les clients Enterprise sont soumis à notre CAE standard s'ils ont conclu un accord avec Cloudflare le 8 août 2019 ou ultérieurement, et qu'ils n'ont pas d'accord personnalisé. Toutefois, les clients Enterprise qui utilisent des versions plus anciennes de notre CAE ou des CAE ou ATD personnalisés peuvent ne pas disposer des clauses contractuelles standard de l'UE de 2021. Nous contactons ces clients pour nous assurer qu'ils disposent des clauses contractuelles les plus récentes. Ces clients peuvent accepter notre ATD standard disponible dans le tableau de bord du client, car il comprend les clauses contractuelles standard de l'UE 2021 ainsi que nos clauses de sauvegarde supplémentaires. Les clients qui s'appuyaient auparavant sur les certifications de Cloudflare au titre du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis doivent aussi accepter notre ATD à jour disponible dans le tableau de bord du client. Lorsque vous êtes dans votre Tableau de bord, rendez-vous sur l'onglet Configurations, puis dans Préférences. Veuillez alors lire et accepter l'ATD.

Les clients Enterprise peuvent contacter leur Customer Success Manager pour toute question concernant leur ATD.

Nous avons intégré les nouvelles CCT de la Commission européenne publiées le 4 juin 2021 dans tous les nouveaux contrats clients soumis au RGPD. Ces dernières prévoient une période de transition de 18 mois pour leur mise en œuvre, que nous comptons mettre à profit afin de préparer le passage aux nouvelles CCT pour nos clients actuels.

Nous sommes particulièrement attentifs aux changements opérés par le Royaume-Uni dans le domaine de la protection des données depuis sa sortie de l'Union européenne. Cloudflare continuera à utiliser le mécanisme des CCT de l'UE associé à l'addendum de transfert de données du Royaume-Uni, qui sont inclus dans notre ATD standard pour transférer des données personnelles en dehors du Royaume-Uni et de l'EEE. Veuillez lire nos instructions ci-dessus pour vous assurer d'être doté de l'ATD qui convient. Nous continuons à suivre les évolutions dans ce domaine et nous veillerons à rester conformes aux réglementations britanniques et mondiales en matière de protection des données.