Cloudflare et la conformité avec l'IT Act

Cloudflare est une société spécialisée dans la sécurité, les performances et la fiabilité dont le siège social se trouve aux États-Unis et qui comporte un bureau en Inde. Nous fournissons une large gamme de services réseau aux entreprises de toutes tailles partout dans le monde. Nous contribuons à les rendre plus sûres, à améliorer les performances de leurs applications stratégiques et éliminons les coûts et la complexité liés à la gestion du matériel réseau individuel. Le réseau global de Cloudflare, qui repose sur plus de 200 serveurs périphériques dans le monde entier, comme il est décrit ici, sert de fondation sur laquelle nous pouvons rapidement développer et déployer nos produits pour nos clients.

Cloudflare n'a pas accès aux données que nos clients choisissent de transmettre, d'acheminer, de commuter et de mettre en cache par le biais de notre réseau global, et nous n'avons aucun contrôle sur ces données. Dans un certain nombre de cas limités, les produits de Cloudflare peuvent être utilisés pour le stockage de contenu. Toutefois, quels que soient les services Cloudflare qu'ils utilisent, nos clients sont entièrement tenus de respecter la législation applicable et leurs dispositions contractuelles indépendantes concernant les données qu'ils choisissent de transmettre, d'acheminer, de commuter, de mettre en cache ou de stocker par le biais du réseau global de Cloudflare.

Les types de données personnelles que Cloudflare traite pour le compte d'un client dépendent des services Cloudflare qui sont mis en œuvre. La grande majorité des données qui transitent par notre réseau restent sur les serveurs périphériques de Cloudflare, tandis que les métadonnées relatives à cette activité sont traitées pour le compte de nos clients dans nos principaux datacenters aux États-Unis et en Europe.

Cloudflare conserve des données de journaux sur les événements de son réseau. Certaines de ces données de journaux comprendront des informations sur les visiteurs et/ou les utilisateurs autorisés des domaines, réseaux, sites web, interfaces de programmation d'applications (API) ou applications d'un client, y compris le produit Cloudflare Zero Trust, le cas échéant. Ces métadonnées contiennent des données personnelles extrêmement limitées, le plus souvent sous forme d'adresses IP. Nous traitons ce type d'informations pour le compte de nos clients dans notre principal datacenter aux États-Unis et en Europe, pendant une période limitée.

Nous considérons la sécurité comme un élément essentiel pour garantir la confidentialité des données. Depuis le lancement de Cloudflare en 2010, nous avons mis sur le marché un certain nombre de technologies de pointe qui améliorent la protection de la vie privée, avec généralement un train d'avance sur le reste de l'industrie. Grâce à ces outils, nos clients peuvent notamment chiffrer facilement le contenu des communications via Universal SSL, chiffrer les métadonnées dans les communications à l'aide de DNS-over-HTTPS ou DNS-over-TLS et SNI chiffré, et contrôler où sont conservées leurs clés SSL et où leur trafic est inspecté.

Nous disposons d'un programme de sécurité qui va au-delà des normes du secteur. Il comprend la tenue à jour de politiques et de procédures de sécurité formelles, l'établissement de contrôles d'accès logiques et physiques appropriés et l'application de mesures de protection techniques dans les environnements d'entreprise et de production, y compris l'établissement de configurations, transmissions et connexions sécurisées, la journalisation, la surveillance et la mise en place de technologies de chiffrement adéquates pour les données personnelles.

Nous assumons actuellement les validations suivantes : conformité ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II et PCI DSS niveau. Pour en savoir plus sur nos certifications et nos rapports, cliquez ici.

Pour consulter les mesures de sécurité proposées par Cloudflare pour la protection des données personnelles, y compris les données personnelles transférées depuis l'Inde vers les États-Unis, nous vous invitons à consulter l'Annexe 2 de notre addendum relatif au traitement des données (« ATD ») standard.

L'ATD standard de Cloudflare est intégré à titre de référence dans notre contrat de service de niveau Entreprise et notre contrat d'abonnement libre-service. Les engagements en matière de protection des données que nous prenons dans notre ATD offrent le même niveau de protection que celui établi par l'IT Act, précisent clairement les données personnelles traitées et l'objectif de ces traitements et mentionnent les mesures de sécurité adéquates. La définition par Cloudflare des « données personnelles » comprend les « données sensibles » telles qu'elles sont définies dans les règles SPDI.

Lorsque nous avons publié notre tout premier rapport de transparence en 2014 pour une procédure légale reçue en 2013, nous nous sommes engagés à exiger une procédure légale avant de fournir des données sur les clients à toute entité gouvernementale en dehors d'une situation d'urgence, et à informer nos clients de toute procédure légale demandant des informations sur leurs clients ou sur la facturation avant de divulguer ces informations, sauf interdiction légale. Nous avons déclaré publiquement n'avoir jamais remis ni clés de chiffrement à quelque gouvernement que ce soit, pas plus que nous leur avons fourni un flux de contenu transitant par notre réseau, ni déployé d'équipements à usage répressif sur notre réseau. S'il nous était demandé de nous astreindre à l'une de ces procédures, nous nous sommes également engagés à épuiser tous les recours légaux afin de protéger nos clients de demandes que nous estimons illégales ou inconstitutionnelles ». Depuis les débuts de Cloudflare, nous avons réaffirmé ces engagements deux fois par an, et les avons même étendus, dans nos rapports de transparence.

Nous avons également démontré notre conviction en matière de transparence et notre engagement à protéger nos clients en déposant un litige lorsque c'était nécessaire. En 2013, avec l'aide de l'Electronic Frontier Foundation, nous avons contesté légalement une lettre de sécurité nationale (« NSL ») émise par l'administration américaine pour protéger les droits de nos clients, en raison de dispositions qui permettaient au gouvernement de nous empêcher de divulguer des informations sur la NSL au client concerné. Nous n'avons fourni aucune donnée client en réponse à cette requête, mais les dispositions de non-divulgation sont restées en vigueur jusqu'à ce qu'un tribunal lève les restrictions en 2016.

Nous avons souvent déclaré que toute demande gouvernementale concernant des données personnelles enfreignant les lois sur la confidentialité du pays de résidence d'une personne devrait être légalement contestée. (Consultez, par exemple, notre Rapport de transparence et notre livre blanc intitulé Les politiques de Cloudflare en matière de confidentialité des données et de traitement des demandes émanant des forces de l'ordre sur ce sujet.) Conformément à la législation en vigueur aux États-Unis et aux cadres statutaires, nous pouvons demander aux tribunaux américains d'annuler une requête aux autorités américaines concernant des données personnelles en fonction d'un tel conflit de lois.

Notre ATD client standard ajoute les mesures décrites ci-dessus aux engagements contractuels. Vous pouvez consulter ces engagements contractuels dans la section 7 de notre ATD.

Section 702. La section 702 de la Foreign Intelligence Surveillance Act (FISA) est une autorité qui permet au gouvernement américain de demander les communications de citoyens non américains situés en dehors des États-Unis à des fins de renseignement étranger. Le gouvernement américain utilise la section 702 pour recueillir le contenu des communications par le biais de « sélecteurs » spécifiques, tels que les adresses électroniques, qui sont associés à des cibles de renseignement étranger spécifiques. Étant donné que l'autorité est généralement utilisée pour recueillir le contenu des communications, les « fournisseurs de services de communications électroniques » invités à se conformer à la section 702 sont généralement des fournisseurs de messagerie électronique ou d'autres fournisseurs ayant accès au contenu des communications.

Comme nous l'avons indiqué dans notre rapport sur la transparence, Cloudflare n'a généralement pas accès à ce type de contenu de clients dans le cadre des services essentiels de Cloudflare. En outre, Cloudflare s'est engagée publiquement, depuis de nombreuses années, à ne jamais fournir à aucun gouvernement un flux des contenus de ses clients transitant sur son réseau, et à épuiser tous les recours juridiques s'il lui était demandé de le faire, afin de protéger ses clients de ce que nous estimons être des demandes illégales ou inconstitutionnelles.

Executive Order 12333. L'Executive Order 12333 régit la collecte de renseignements étrangers par les agences de renseignement américaines ciblant les citoyens non américains en dehors des États-Unis. Il ne contient pas de dispositions obligeant les entreprises américaines à prêter leur concours.

Nous nous sommes engagés depuis longtemps à exiger une procédure légale avant de fournir à une entité gouvernementale l'accès aux données de nos clients en dehors d'une situation d'urgence. Par conséquent, nous ne nous conformerions pas aux demandes volontaires de données en vertu du décret 12333. En outre, nous avons joué un rôle de premier plan en encourageant une sécurité accrue des données en transit, tant pour le contenu que pour les métadonnées, afin de protéger les données personnelles contre tout type de regard indiscret. En 2014, par exemple, nous avons lancé Universal SSL, rendant le chiffrement (auparavant coûteux et difficile) gratuit pour tous nos clients. La semaine où nous l'avons lancé, nous avons doublé le volume du web chiffré. En raison du nombre croissant de lois qui tentent de cibler le chiffrement, nous avons assuré ne jamais avoir affaibli, compromis ou sapé nos chiffrements à la demande d'un gouvernement ou d'un autre tiers.

CLOUD Act. La loi CLOUD n'étend pas le pouvoir d'investigation des États-Unis. Les exigences strictes auxquelles doivent satisfaire les forces de l'ordre pour obtenir un mandat valide restent inchangées. La loi CLOUD s'applique également à l'accès aux contenus, que nous ne stockons généralement pas, comme décrit ci-dessus. Il est important de noter que les forces de l'ordre chercheront généralement à obtenir des données auprès de l'entité disposant d'un contrôle effectif des données (c'est-à-dire nos clients), plutôt qu'auprès des fournisseurs de cloud.

La loi CLOUD fournit des mécanismes aux fournisseurs pour demander à un tribunal d'annuler ou de modifier une demande juridique qui pose un tel conflit de droit. Ce processus permet également aux fournisseurs de révéler l'existence d'une telle demande à un gouvernement étranger dont le citoyen est concerné, si ce gouvernement a signé un accord avec les États-Unis au titre du CLOUD Act. Nous nous sommes engagés à contester légalement toute ordonnance qui pose ce type de conflit de lois. À ce jour, nous n'avons reçu aucune ordonnance que nous avons identifiée comme posant un tel conflit.

Enfin, n'oubliez pas que notre ATD nous engage à ce que, sauf interdiction légale, nous informions les clients si nous sommes en mesure d'identifier que la procédure juridique d'un tiers demandant des données personnelles que nous traitons au nom de ce client entraîne un conflit de lois. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation des données personnelles. Les clients informés d'une demande légale en attente pour leurs données personnelles peuvent chercher à intervenir pour empêcher la divulgation des données personnelles.

Selon les directives de la Banque de réserve de l'Inde (RBI), les fournisseurs de systèmes de paiement ainsi que leurs prestataires, intermédiaires, fournisseurs tiers et autres entités de l'écosystème du paiement doivent faire en sorte que l'ensemble des données associées aux systèmes de paiement dont ils ont la responsabilité soient stockées en Inde. Les données des systèmes de paiement comprennent des détails et des informations sur tous les aspects de transactions correspondant à un paiement ou un règlement et qui sont réunies, transmises et traitées dans le cadre d'un message ou d'une instruction concernant un paiement. Il peut s'agir de données client (nom, numéro de téléphone portable, e-mail, numéro Aadhaar, Numéro PAN, etc.) ; de données sensibles liées à un paiement (détails sur le compte du client et du bénéficiaire) ; de données d'identification liées à un paiement (mot de passe à usage unique, numéro personnel d'identification, mots de passe, etc.) ; et de données sur la transaction (informations sur les systèmes d'origine et réceptionnaire, référence de transaction, horodatage, montant, etc.).

Pour les clients qui utilisent les services de couche applicative les plus populaires de Cloudflare, tels que notre Réseau de diffusion de contenu (CDN), Cloudflare ne stocke aucun contenu client. Cloudflare ne conserve que les données de journalisation, à savoir les métadonnées concernant l'interaction entre l'utilisateur final, Cloudflare et le serveur d'origine. Concrètement, ces données correspondent à des informations sur l'heure de la requête, le type de navigateur, le temps de réponse, et les adresses IP du client et du serveur. Au regard de ce mode de fonctionnement, il nous semble que les clients utilisant les services de Cloudflare sont en conformité avec les directives de la RBI. Pour certains clients, les directives de la RBI exigent une régionalisation des données et nous en sommes conscients. Notre Data Localization Suite, décrite ci-dessous, peut y contribuer.

Nous sommes conscients de ce que nos clients indiens préfèrent que certains types de données soumis à des règlements restent en Inde et ne soient pas transférés aux États-Unis à des fins de traitement. À cet effet, nous avons créé la Data Localization Suite de Cloudflare. Cette solution aide les entreprises à bénéficier des avantages de notre réseau mondial en matière de sécurité et de performances, tout en leur permettant de définir facilement des règles et des mesures de contrôle en périphérie concernant l'endroit où leurs données sont traitées et stockées.

La Data Localisation Suite regroupe certaines offres existantes avec de nouvelles fonctionnalités :

• Services régionaux. Cloudflare possède des datacenters dans plus de 270 villes réparties dans plus de 100 pays. Les services régionaux, avec notre solution Geo Key Manager, permettent aux clients de choisir les emplacements des datacenters où les clés TLS sont stockées et où la terminaison TLS a lieu. Le trafic est intégré au niveau mondial, par l'application de mesures d'atténuation des attaques DDoS des couches 3 et 4, tandis que les fonctions de sécurité, de performances et de fiabilité (WAF, RDC, atténuation des attaques DDoS, etc.) sont appliquées uniquement dans des datacenters Cloudflare désignés.

• SSL sans clé. SSL sans clé permet à un client de stocker et de gérer ses propres clés privées SSL pour les utiliser avec Cloudflare. Les clients peuvent utiliser divers systèmes pour leur magasin de clés, notamment des modules sécurité matérielle (HSM), des serveurs virtuels et des équipements fonctionnant sous Unix/Linux et Windows, hébergés dans des environnements contrôlés par les clients.

• Geo key Manager. Cloudflare dispose d'une clientèle véritablement internationale, et nous avons appris que les clients du monde entier ont des exigences réglementaires et statutaires différentes, ainsi que des profils de risque différents, concernant le placement de leurs clés privées. Avec cette philosophie en tête, nous avons décidé de concevoir un système très flexible pour décider où conserver les clés. Geo Key Manager permet aux clients de limiter l'exposition de leurs clés privées à certains emplacements. Cet outil est similaire au SSL sans clé, mais, au lieu d'intégrer un serveur de clés à votre infrastructure, Cloudflare héberge des serveurs de clés aux endroits de votre choix.