Cloudflare a obtenu une nouvelle validation de la confidentialité selon le Code de conduite cloud de l'UE, démontrant sa conformité au RGPD, afin de renforcer la confiance dans les services cloud
Les législations en matière de protection de la confidentialité sur Internet diffèrent d'un pays à l'autre et, ces dernières années, les transferts transfrontaliers de données ont fait couler beaucoup d'encre. De nombreuses réglementations exigent que des protections adéquates soient mises en place préalablement à la circulation des données personnelles à travers le monde, comme c'est le cas du Règlement général sur la protection des données (RGPD) de l'Union européenne. La législation impose, à juste titre, des critères très stricts au regard des précautions avec lesquelles les organisations doivent traiter les données personnelles, et lorsqu'ils ont rédigé le règlement, les législateurs ont anticipé les transferts transfrontaliers de données personnelles : le chapitre V du règlement couvre spécifiquement ces transferts.
S'il est important d'imposer de la transparence concernant l'endroit où sont stockées les données personnelles, il est également crucial de définir de quelle manière les données personnelles sont traitées et comment leur sécurité est assurée. Chez Cloudflare, nous croyons en la protection de la confidentialité des données personnelles à travers le monde, et nous fournissons à nos clients un choix d'outils et de modalités leur permettant de déterminer comment et où sont traitées leurs données. En d'autres termes, nous exigeons que les données soient toujours traitées et protégées de même manière sûre et prudente, que nos clients choisissent de transférer des données aux quatre coins du monde entier ou de les conserver dans un seul pays.
Et aujourd'hui, nous sommes fiers d'annoncer que nous avons accompli notre parcours d'évaluation et avons obtenu la marque de conformité au Code de conduite cloud de l'UE, qui démontre notre conformité au RGPD et valide la protection que nous offrons aux données personnelles dans le cloud, partout dans le monde.
Les modalités de traitement des informations personnelles importent tout autant que l'endroit où elles sont sauvegardées
Les législateurs du RGPD ont également prévu que les organisations voudraient traiter et protéger les informations personnelles d'une manière cohérente, transparente et sûre. L'article 40, intitulé « Codes de conduite », commence ainsi :
« Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises. »
La mise en œuvre de codes de conduite pour démontrer le respect de la législation en matière de confidentialité des données est également plus ancienne. À l'instar du RGPD, la directive européenne de 1995 relative à la protection des données personnelles (officiellement, la Directive 95/46/CE), pionnière en la matière, prévoyait également la présentation de projets de codes communautaires aux autorités nationales, ainsi que leur approbation formelle par un organe officiel de l'Union européenne.
Un code de conduite officiel du RGPD
Il aura fallu attendre cinq ans après l'adoption du RGPD, en 2016, pour que le premier code de conduite soit officiellement approuvé. Enfin, en mai 2021, le Comité européen de la protection des données, un groupe constitué de représentants de l'ensemble des autorités nationales de protection des données de l'Union européenne, a approuvé le « Code de conduite des fournisseurs d'infrastructures cloud relatif à la protection des données », ou « Code de conduite cloud de l'UE », en tant que premier code de conduite officiel du RGPD. Le Code de conduite cloud de l'UE a été présenté au Conseil par l'autorité de contrôle belge au nom de SCOPE Europe, l'organisation qui a collaboré à l'élaboration du code au fil des années, notamment avec la contribution de la Commission européenne, de représentants de la communauté du cloud et d'autorités européennes de protection des données.
Le Code est un cadre à l'intention des acheteurs et fournisseurs de services cloud. Il permet aux acheteurs de comprendre simplement comment un fournisseur de services cloud traitera les données personnelles, tandis que les fournisseurs de services cloud doivent se soumettre à une évaluation indépendante afin de démontrer aux acheteurs de leurs services cloud que le traitement de leurs données personnelles sera assuré de manière sûre et codifiée. Dans le cas du Code de conduite cloud de l'UE, et uniquement parce que le code a fait l'objet d'une approbation formelle, les acheteurs de services cloud conformes au code sauront que le fournisseur de cloud traite les données personnelles de ses clients d'une manière conforme au RGPD.
Les aspects couverts par le code
Le code définit des exigences claires pour permettre aux fournisseurs de services cloud de mettre en œuvre l'article 28 du RGPD (« responsables du traitement des données ») et les articles connexes. Le cadre couvre les politiques de protection des données, ainsi que les mesures de sécurité techniques et organisationnelles. Certaines sections couvrent les conditions générales d'utilisation des fournisseurs, la confidentialité et la tenue de registres, les droits du client en matière d'audit, la gestion des violations potentielles de données et la gestion du sous-traitement par le fournisseur (lorsque le traitement des données personnelles est sous-traité à un tiers, conjointement au responsable principal du traitement des données) et bien d'autres aspects.
Le cadre définit également dans quel contexte un transfert international de données personnelles peut légitimement avoir lieu ; toutefois, bien que le Code de conduite cloud de l'UE garantisse que ce transfert se déroule dans le respect de la loi, le code lui-même ne constitue pas une « sauvegarde » ou un outil pour les transferts vers des pays tiers. Une mise à jour ultérieure du code pourrait développer cet aspect par l'ajout d'un module supplémentaire ; cependant, ce module est toujours en cours d'élaboration en mars 2023.
Examinons de plus près certaines exigences du Code de conduite cloud de l'UE et la manière dont il peut démontrer la conformité au RGPD.
Exemple no 1
L'une des exigences du code est la mise en place de procédures documentées afin d'aider les clients à réaliser une « analyse de l'impact sur la protection des données ». Selon le RGPD, cette démarche consiste en :
« ...une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » Article 35.1, GDPR
Un fournisseur de services cloud doit, par conséquent, disposer d'un processus écrit afin d'aider les clients à entreprendre leurs propres analyses. En apportant son aide au client dans ce contexte, le fournisseur de services démontre également son engagement à respecter les normes rigoureuses du RGPD en matière de protection des données. Cloudflare répond à cette exigence et s'engage encore davantage à promouvoir la transparence en publiant des informations détaillées concernant les sous-traitants sollicités aux fins du traitement des données personnelles et en invitant les clients à accéder aux rapports d'audit disponibles depuis le tableau de bord de Cloudflare.
Le RGPD fait également référence aux codes de conduite dans le contexte des analyses de l'impact sur la protection des données :
« Le respect... de codes de conduite approuvés... est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées... en particulier aux fins d'une analyse d'impact relative à la protection des données. » Article 35.8, RGPD
Ainsi, lors de la préparation d'une analyse de l'impact, le client d'un fournisseur de services cloud doit prendre en compte la conformité de ce dernier à un code de conduite approuvé. Une autre façon pour les fournisseurs de services cloud et leurs clients de tirer profit de l'utilisation de codes de conduite !
Exemple no 2
Un autre exemple d'exigence imposée par le code est que les fournisseurs de services cloud doivent assurer l'efficacité de la mise en œuvre des fonctionnalités de chiffrement qu'ils proposent, le cas échéant. L'exigence précise en outre que cette mise en œuvre doit être assurée au moyen de techniques de chiffrement fortes et fiables, en tenant compte de l'avancement des technologies et en prenant des dispositions adéquates pour empêcher tout accès abusif aux données personnelles des clients. Le chiffrement est essentiel pour protéger les données personnelles dans le cloud ; en l'absence de chiffrement, ou en présence d'un chiffrement affaibli ou obsolète, la confidentialité et la sécurité des données ne sont pas assurées. Ainsi, en déployant et en examinant de manière appropriée le chiffrement, les fournisseurs de services cloud contribuent à satisfaire aux exigences du GDPR en matière de protection des données personnelles de leurs clients.
Chez Cloudflare, nous sommes particulièrement fiers de notre historique : nous mettons un chiffrement efficace à la disposition de tous nos clients, gratuitement. Nous aidons nos clients à comprendre le chiffrement et, surtout, nous utilisons nous-mêmes des techniques et algorithmes de chiffrement puissants et fiables pour protéger les données personnelles de nos clients. Nous disposons d'une équipe de recherche officielle, constituée de chercheurs universitaires et de spécialistes de la cryptographie qui élaborent et déploient des protocoles de chiffrement ultra-modernes, conçus pour offrir une protection efficace contre les attaques actives et passives, notamment avec des ressources connues pour être à la disposition des autorités publiques. Enfin, nous recourons à des autorités et une infrastructure de certification à clé publique dignes de confiance. Dernièrement, ce mois-ci, nous avons annoncé que le chiffrement post-quantique devrait être gratuit, et nous le proposons donc gratuitement, pour toujours.
Informations supplémentaires
Le code contient des exigences décrites dans 87 déclarations, appelées « contrôles ». Pour en savoir plus sur le Code de conduite cloud de l'UE, télécharger une copie intégrale du code et suivre l'actualité, consultez le site https://eucoc.cloud/en/home.
L'importance pour les clients de Cloudflare
Cloudflare a participé à l'Assemblée générale du Code de conduite cloud de l'UE en mai dernier. Les membres de l'Assemblée générale entreprennent un parcours d'évaluation qui inclut la déclaration de services cloud nommés conformes au Code de conduite cloud de l'UE et, au terme d'un processus d'évaluation indépendant réalisé par l'organisme de contrôle accrédité SCOPE Europe, reçoivent la marque de conformité au Code de conduite cloud de l'UE.
Cloudflare a accompli le processus d'évaluation, et 47 services cloud ont été validés.
Services Cloudflare concernés par le code de conduite cloud de l'UE :
Validation de la conformité des services au Code de conduite cloud de l'UE
Verification-ID : 2023LVL02SCOPE4316.
Pour plus d'informations, veuillez consulter le site https://eucoc.cloud/en/public-register
Et nous ne comptons pas nous arrêter en si bon chemin…
Le Code de conduite cloud de l'UE représente la plus récente des validations sur notre liste croissante de certifications de confidentialité des données. Il y a deux ans de cela, Cloudflare a été l'une des premières organisations de son secteur de l'industrie à obtenir la nouvelle certification ISO en matière de confidentialité, ISO/CEI 27701:2019, ainsi que la première entreprise spécialiste des solutions d'amélioration des performances et de la sécurité d'Internet à recevoir cette certification. L'année dernière, Cloudflare a été certifiée conforme à une deuxième norme internationale en matière de confidentialité relative au traitement des données personnelles, ISO/CEI 27018:2019. Dernièrement, en janvier de cette année, Cloudflare a terminé son audit ISO annuel auprès de l'auditeur tiers Schellman ; le nouveau certificat couvrant les normes ISO 27001:2013, ISO 27018:2019 et ISO 27701:2019 est désormais disponible en téléchargement depuis le tableau de bord de Cloudflare.
Et ce n'est pas tout ! Comme nous l'avons mentionné dans notre article de blog de janvier consacré à la Journée de la protection des données, nous suivons avec intérêt l'évolution de la certification émergente Global Cross Border Privacy Rules (CBPR). Cette proposition de certification mondiale unique pourrait suffire pour permettre aux entreprises participantes de transférer en toute sécurité des données personnelles entre les pays signataires du monde entier ; puisqu'elle a déjà reçu le soutien de plusieurs gouvernements d'Amérique du Nord et d'Asie, elle paraît très prometteuse à cet égard.
Les certifications obtenues par Cloudflare
Découvrez comment les clients existants peuvent télécharger une copie des certifications et des rapports de Cloudflare depuis le tableau de bord de Cloudflare. Les nouveaux clients peuvent les demander à leur représentant commercial.
Pour consulter les dernières informations sur nos certifications et rapports, veuillez accéder à notre Centre de confiance.