Nous continuerons à mettre les SCC et les mesures supplémentaires à la disposition de nos clients dont les données sont soumises au RGPD. Nous suivons de près les développements dans ce domaine, ainsi qu'en ce qui concerne les mécanismes de transfert alternatifs.
Nous comprenons qu'à la lumière de l'affaire Schrems II, nos clients recherchent des garanties supplémentaires pour que les données soumises au RGPD et transférées aux États-Unis bénéficient d'une protection adéquate en vertu du RGPD. Nous avons discuté de ces garanties supplémentaires ci-dessus.
Étant donné que la CJUE a pris en considération un certain nombre d'autorités américaines de sécurité nationale dans son analyse de l'affaire Schrems II, nous avons vu certaines questions concernant l'application de ces autorités aux responsables du traitement des données américains. Pour expliquer si ces autorités sont pertinentes, ou comment elles sont pertinentes, pour un transfert de données, certaines explications supplémentaires des autorités auxquelles la CJUE fait référence sont nécessaires.
Section 702. La section 702 de la Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.
Comme nous l'avons indiqué dans notre rapport sur la transparence, Cloudflare n'a généralement pas accès à ce type de contenu de clients dans le cadre des services essentiels de Cloudflare. En outre, Cloudflare s'est engagée publiquement, depuis de nombreuses années, à ne jamais fournir à aucun gouvernement un flux des contenus de ses clients transitant sur son réseau, et à épuiser tous les recours juridiques s'il lui était demandé de le faire, afin de protéger ses clients de ce que nous estimons être des demandes illégales ou inconstitutionnelles.
Executive Order 12333. L'Executive Order 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.
Nous nous sommes engagés de longue date à exiger une procédure légale avant de fournir à une entité gouvernementale l'accès aux données de nos clients en dehors d'une situation d'urgence. Par conséquent, nous ne nous conformerions pas aux demandes volontaires de données en vertu de l'Executive Order 12333. En outre, nous avons joué un rôle de premier plan en encourageant une sécurité accrue des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles contre tout type de regard indiscret. En 2014, par exemple, nous avons lancé Universal SSL, rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. La semaine où nous l'avons lancé, nous avons doublé la taille du web chiffré. En raison du nombre croissant de lois qui tentent de cibler le chiffrement, nous avons assuré ne jamais avoir affaibli, compromis ou subverti nos chiffrements à la demande d'un gouvernement ou d'un autre tiers.