Cloudflare a été fondée voilà près de douze ans. L'entreprise s'est développée et exploite aujourd'hui un réseau couvrant plus de 275 villes, dans plus de 100 pays. Elle possède des millions de clients, de petites entreprises et de développeurs individuels à quelque 30 % des entreprises du classement Fortune 500. Aujourd'hui, plus de 20 % du web dépend directement des services de Cloudflare.
Depuis notre lancement, notre portefeuille de services est devenu beaucoup plus complexe. Avec cette complexité, nous avons élaboré des politiques déterminant de quelle façon nous traitons l'utilisation abusive des différentes fonctionnalités de Cloudflare. De la même manière qu'une vaste plateforme comme Google dispose de différentes politiques en matière d'utilisation abusive pour son moteur de recherche, Gmail, YouTube et Blogger, Cloudflare a élaboré différentes politiques en matière d'utilisation abusive à mesure que de nouveaux produits ont été introduits.
Nous avons publié une mise à jour de notre approche de l'utilisation abusive l'année dernière, à l'adresse :
https://www.cloudflare.com/trust-hub/abuse-approach/
Cependant, puisque des questions ont été soulevées, nous avons pensé qu'il était judicieux de décrire ces politiques plus en détail ici.
Les politiques que nous avons élaborées reflètent les idées et les recommandations d'experts des droits de l'homme, de militants, d'universitaires et de régulateurs. Conformément à nos principes directeurs, nos politiques en matière d'utilisation abusive doivent être spécifiques au service utilisé. Ceci vise à assurer que toutes les dispositions que nous prenons reflètent la capacité à traiter le préjudice et à minimiser les conséquences indésirables. Nous pensons qu'une personne souhaitant déposer une plainte suite à une utilisation abusive doit disposer d'une procédure lui permettant de contacter les personnes les plus à même de traiter sa plainte de manière efficace et précise – de manière anonyme, si nécessaire. Et surtout, nous nous efforçons de toujours faire preuve de transparence au regard de nos politiques et des dispositions que nous prenons.
Les produits de Cloudflare
Cloudflare propose une vaste gamme de produits, qui sont généralement répartis en trois catégories : les produits d'hébergement (par ex., Cloudflare Pages, Cloudflare Stream, Workers KV, pages d'erreur personnalisées), les services de sécurité (par ex., atténuation des attaques DDoS, pare-feu d'applications web, Cloudflare Access, limitation du taux) et les services de technologie Internet essentiels (par ex., DNS de référence, DNS récursif/1.1.1.1, WARP). Pour une liste complète de nos produits et de leur correspondance avec ces catégories, vous pouvez consulter notre portail d'informations concernant l'utilisation abusive.
Comme nous le décrivons ci-dessous, nos politiques suivent une approche différente, produit par produit, dans chacune de ces catégories.
Produits d'hébergement
Les produits d'hébergement sont les produits pour lesquels Cloudflare est l'hôte final du contenu. Ces produits diffèrent de ceux pour lesquels nous fournissons simplement des services de sécurité ou de mise en cache temporaire, tandis que le contenu est hébergé ailleurs. Bien que de nombreuses personnes confondent nos produits de sécurité avec des services d'hébergement, nous disposons de politiques distinctes pour chacun. Puisque l'immense majorité des clients de Cloudflare n'utilise pas encore nos produits d'hébergement, les plaintes et actions suite à une utilisation abusive de ces produits sont actuellement relativement rares.
Notre décision de désactiver l'accès au contenu de produits d'hébergement entraîne fondamentalement la mise hors ligne de ce contenu, du moins jusqu'à ce qu'il soit republié ailleurs. Les produits d'hébergement sont réglementés par notre Politique d'hébergement de contenus acceptables. En vertu de cette politique, pour ces produits, nous pouvons supprimer ou désactiver l'accès à tout contenu qui, selon nous :
Contient, affiche, distribue ou encourage la création de contenu à caractère pédopornographique, ou exploite ou encourage de toute autre manière l'exploitation de mineurs.
Enfreint les droits de propriété intellectuelle.
A été jugé diffamatoire ou calomnieux à l'issue d'une procédure juridique appropriée.
Contribue à la distribution illégale de substances contrôlées.
Facilite la traite des êtres humains ou la prostitution, en violation de la loi.
Contient, installe ou diffuse un logiciel malveillant actif ou utilise notre plateforme pour la diffusion d'exploits (par ex., dans le cadre d'un système de commande et de contrôle).
Est de quelque autre manière illégal ou nuisible, ou viole les droits d'autrui ; ceci concerne notamment tout contenu divulguant des informations personnelles sensibles, incitant ou exploitant la violence contre les personnes ou les animaux ou cherchant à frauder le public.
Nous faisons preuve de discrétion quant à l'application de notre Politique d'hébergement de contenus acceptables, et nous cherchons généralement à appliquer les restrictions en matière de contenu de manière aussi précise que possible. Par exemple, si une plateforme de paniers d'achats comptant des millions de clients utilise Cloudflare Workers KV et l'un de ses clients enfreint notre politique d'hébergement de contenus acceptables, nous ne résilierons pas automatiquement l'utilisation de Cloudflare Workers KV pour l'ensemble de la plateforme.
Notre principe directeur est que les organisations les plus proches du contenu sont les mieux placées pour déterminer quels contenus sont abusifs. Il reconnaît également que des désactivations trop étendues peuvent avoir un impact indésirable considérable sur l'accès aux contenus en ligne.
Services de sécurité
L'immense majorité des millions de clients de Cloudflare utilise uniquement les services de sécurité de l'entreprise. En tant qu'entreprise, Cloudflare a décidé, très tôt dans son histoire, qu'elle souhaitait rendre les outils de sécurité aussi largement disponibles que possible. Cela signifie que nous avons fourni de nombreux outils à titre gratuit ou à un coût minime, afin de limiter au mieux l'impact et l'efficacité d'un large éventail de cyberattaques. La plupart de nos clients ne nous versent aucun paiement.
Donner à chacun la possibilité de s'inscrire pour utiliser nos services en ligne reflète également notre conviction que les cyberattaques ne doivent non seulement pas être utilisées pour réduire au silence des groupes vulnérables, mais ne constituent par ailleurs pas un mécanisme approprié pour réagir aux contenus problématiques en ligne. Nous pensons que les cyberattaques, sous quelque forme que ce soit, devraient être reléguées aux oubliettes de l'histoire.
La décision de fournir des outils de sécurité à si grande échelle nous a contraints à réfléchir avec prudence au moment où nous mettrons fin, le cas échéant, à l'accès à ces services. Nous avons pris conscience que nous devions réfléchir à l'effet qu'aurait l'arrêt de ces services et à la possibilité d'établir des normes qui pourraient être appliquées de manière équitable, transparente et non discriminatoire, conformément aux principes des droits de l'homme.
Cela vaut non seulement pour le contenu au sujet duquel une plainte peut avoir été déposée, mais également pour le précédent que crée cette suppression. Notre conclusion, fondée sur les nombreuses conversations que nous avons eues et les discussions réfléchies au sein de la communauté, au sens large, est que la résiliation volontaire de l'accès aux services de protection contre les cyberattaques n'est pas la bonne approche.
Éviter un abus de pouvoir
Certains affirment que nous devrions mettre fin à ces services pour les contenus que nous considérons comme répréhensibles, afin que d'autres puissent lancer des attaques pour les mettre hors ligne. C'est l'équivalent de l'argument, dans le monde physique, selon lequel les pompiers ne devraient pas éteindre les incendies dans les maisons de personnes possédant pas une qualité morale suffisante. Que ce soit dans le monde physique ou en ligne, cela constitue un dangereux précédent qui, à long terme, est susceptible de nuire de manière disproportionnée aux communautés vulnérables et marginalisées.
Aujourd'hui, plus de 20 % du web utilise les services de sécurité de Cloudflare. Lorsque nous réfléchissons à nos politiques, nous devons être conscients de l'impact que nous avons et du précédent que nous créons pour l'Internet dans son ensemble. La résiliation des services de sécurité pour des contenus que notre équipe juge personnellement dégoûtants et immoraux serait le choix le plus plébiscité. À long terme, toutefois, de tels choix rendent plus difficile la protection contre les attaques contre des contenus soutenant des voix opprimées et marginalisées.
Affiner notre politique en fonction de ce que nous avons appris
Ceci n'a rien d'hypothétique. Des milliers de fois par jour, nous recevons des appels nous demandant de résilier les services de sécurité en raison de contenus qu'une personne a signalés comme offensants. La plupart de ces demandes ne sont jamais évoquées dans l'actualité. La plupart du temps, ces décisions ne sont pas en contradiction avec nos opinions morales. Pourtant, à deux reprises dans le passé, nous avons décidé d'exclure des contenus de nos services de sécurité parce que nous les trouvions répréhensibles. En 2017, nous avons désactivé le site de trollage néonazi The Daily Stormer. Et en 2019, nous avons désactivé le forum consacré aux théories du complot 8chan.
Dans une réaction profondément troublante, après ces deux résiliations, nous avons constaté une augmentation spectaculaire des demandes émanant de régimes autoritaires qui tentaient de nous faire résilier les services de sécurité d'organisations de défense des droits de l'homme, en citant souvent les termes de notre propre justification.
Depuis ces décisions, nous avons eu des discussions importantes avec les décideurs politiques du monde entier. Après ces discussions, nous avons conclu que le pouvoir de résilier les services de sécurité pour des sites n'était pas un pouvoir que devrait détenir Cloudflare, non pas parce que le contenu de ces sites n'était pas odieux (il l'était), mais parce que les services de sécurité s'apparentent fortement à des services publics sur Internet.
De la même manière que votre opérateur de téléphonie ne résiliera pas votre abonnement parce que vous tenez des propos horribles, racistes et sectaires, nous avons conclu, après avoir consulté des politiciens, des décideurs politiques et des experts, que résilier les services de sécurité parce que nous considérons que des contenus publiés sont méprisables est une mauvaise politique. Pour être clairs, ce n'est pas parce que nous l'avons fait auparavant, dans un nombre limité de cas, que nous avions raison lorsque nous l'avons fait. Ou que nous le referons un jour.
Cependant, cela ne signifie pas que Cloudflare ne peut pas jouer un rôle important dans la protection de personnes ciblées par d'autres individus sur Internet. Nous soutenons depuis longtemps les groupes de défense des droits de l'homme, les journalistes et d'autres entités particulièrement vulnérables en ligne par le biais de l'initiative Project Galileo. Project Galileo propose des services de cybersécurité gratuits aux organisations à but non lucratif et aux groupes de défense des droits qui contribuent à renforcer nos communautés.
Dans le cadre de l'initiative Project Athenian, nous jouons également un rôle dans la protection des systèmes électoraux aux États-Unis et à l'étranger. Les élections figurent parmi les domaines dans lesquels les systèmes d'administration doivent être fondamentalement dignes de confiance et neutres. Faire des choix concernant les contenus qui méritent ou non de bénéficier des services de sécurité, en particulier d'une manière qui pourrait être interprétée comme politique, compromettrait notre capacité à assurer une protection fiable de l'infrastructure électorale.
Réalités réglementaires
Nos politiques répondent également aux réalités réglementaires. Les lois en matière de réglementation des contenus d'Internet adoptées au cours des cinq dernières années dans le monde entier ont largement établi une distinction entre les services qui hébergent des contenus et ceux qui fournissent des services de sécurité et d'acheminement. Même lorsque ces réglementations imposent aux plateformes ou aux hébergeurs l'obligation de modérer les contenus, elles exemptent les services de sécurité et d'acheminement de jouer le rôle de modérateur sans procédure juridique. Il s'agit d'une réglementation raisonnable, issue d'un processus réglementaire approfondi.
Nos politiques suivent ces orientations réglementaires mûrement réfléchies. Nous empêchons l'utilisation des services de sécurité par certaines organisations et personnes sanctionnées. Nous résilions également les services de sécurité en cas de contenus illégaux aux États-Unis, où se trouve le siège de Cloudflare. Cela inclut les contenus à caractère pédopornographique, ainsi que les contenus soumis à la loi FOSTA (Fight Online Sex Trafficking Act). Toutefois, nous pensons que les cyberattaques sont une chose dont chacun devrait être protégé, même si nous sommes fondamentalement en désaccord avec les contenus concernés.
Dans le respect de la primauté du droit et de l'équité procédurale, nous nous conformons à la procédure juridique lorsque nous contrôlons les services de sécurité. Nous restreindrons l'accès aux contenus dans les zones géographiques où nous avons reçu des ordonnances juridiques à cet effet. Par exemple, si un tribunal d'un pays interdit l'accès à certains contenus, nous restreindrons généralement l'accès à ces contenus dans ce pays, conformément à l'ordonnance de ce tribunal. Dans de nombreux cas, cela limitera la possibilité d'accéder aux contenus concernés dans le pays. Cependant, nous reconnaissons que ce n'est pas parce que des contenus sont illégaux dans une juridiction qu'ils le sont dans une autre. C'est pourquoi nous adaptons précisément ces restrictions, afin qu'elles correspondent à la juridiction du tribunal ou de l'autorité juridique.
Si nous respectons les procédures juridiques, nous pensons également que la transparence est d'une importance capitale. À cette fin, dans tous les endroits où sont imposées ces restrictions relatives aux contenus, nous essayons d'établir un lien avec l'ordonnance juridique particulière ayant exigé la restriction des contenus. Cette transparence est nécessaire pour que les personnes puissent s'impliquer dans le processus juridique et législatif. Nous trouvons profondément troublant que les fournisseurs d'accès à Internet se conforment à des ordonnances juridiques en mettant des contenus sous séquestre, de manière invisible, sans fournir aux personnes qui tentent d'y accéder la moindre idée du régime juridique qui les interdit. La liberté d'expression peut être restreinte par la loi, mais l'application correcte de la primauté du droit exige que quiconque la restreint fasse preuve de transparence quant aux raisons de cette restriction.
Services technologiques fondamentaux d'Internet
Si nous nous conformons généralement aux ordonnances juridiques relatives à la restriction des services de sécurité et d'acheminement, nos exigences sont plus élevées lorsqu'il s'agit des services technologiques fondamentaux d'Internet, tels que DNS de référence, DNS récursif/1.1.1.1 et WARP. La difficulté de ces services est que les restrictions qui leur sont imposées sont de nature mondiale. Il est difficile de les restreindre dans une seule juridiction, et la loi la plus restrictive finit par s'appliquer au niveau mondial.
En règle générale, nous avons contesté ou fait appel des ordonnances juridiques qui tentent de restreindre l'accès à ces services technologiques fondamentaux d'Internet, même lorsqu'une décision s'appliquait uniquement à nos clients gratuits. Dans ces situations, nous tentons de suggérer aux régulateurs ou aux tribunaux des moyens plus adaptés pour restreindre les contenus qui les préoccupent.
Malheureusement, ces cas deviennent de plus en plus fréquents, tandis que les détenteurs de droits d'auteur tentent d'obtenir une décision dans une juridiction et de la faire appliquer dans le monde entier, dans le but de mettre fin aux services technologiques fondamentaux d'Internet et d'obtenir la suppression effective de contenus. Une fois encore, nous pensons qu'il s'agit d'un dangereux précédent, qui place le contrôle des contenus autorisés en ligne entre les mains de toute juridiction qui acceptera d'être la plus restrictive.
Jusqu'à présent, nous avons largement réussi à faire valoir qu'il ne s'agit pas de la bonne façon de réglementer l'Internet, et sommes parvenus à faire annuler ces affaires. Nous pensons qu'il est fondamental de tenir cette ligne pour préserver le bon fonctionnement de l'Internet mondial. Toutefois, chaque démonstration de discrétion concernant nos services de sécurité ou nos services technologiques fondamentaux d'Internet affaiblit notre argumentaire dans ces affaires importantes.
Clients payants et clients gratuits
Cloudflare propose des services gratuits et payants dans toutes les catégories ci-dessus. Encore une fois, la majorité de nos clients utilisent nos services gratuits et ne nous versent aucun paiement.
Bien que la plupart des problèmes que nous constatons dans le cadre de notre processus de signalement d'utilisation abusive concernent nos clients gratuits, notre politique de modération ne diffère pas selon qu'un client a souscrit une offre gratuite ou payante. Nous pensons cependant que, dans les cas où nos valeurs sont diamétralement opposées à celles d'un client payant, nous devons prendre des dispositions supplémentaires, non seulement pour ne pas réaliser de profits avec ce client, mais également pour utiliser d'éventuelles recettes pour promouvoir les valeurs de notre entreprise et s'opposer aux siennes.
Par exemple, lorsqu'un site hostile aux droits des personnes LGBTQ+ a souscrit une version payante du service d'atténuation des attaques DDoS, nous avons travaillé avec le groupe d'employés Proudflare afin d'identifier une organisation qui soutient les droits des personnes LGBTQ+ et lui adresser un don équivalent à 100 % des frais facturés pour nos services. Nous n'évoquons pas publiquement ces initiatives et ne comptons pas le faire, parce que nous ne les prenons pas à des fins de marketing ; nous les prenons parce qu'elles sont en accord avec ce que nous pensons être moralement correct.
Primauté du droit
Si nous pensons avoir l'obligation de restreindre l'accès à des contenus que nous hébergeons nous-mêmes, nous ne pensons pas posséder la légitimité politique de déterminer, de manière générale, ce qui peut ou non être en ligne en restreignant la sécurité ou les services fondamentaux d'Internet. Si ces contenus sont malveillants, c'est à la législation qu'il incombe de les restreindre.
Nous pensons également qu'un Internet où les cyberattaques sont utilisées pour réduire au silence des contenus en ligne est un Internet défaillant, quelle que soit l'empathie que l'on peut avoir pour la finalité. C'est pourquoi nous nous fonderons sur la procédure juridique, et non sur l'opinion publique, pour guider nos décisions relatives à la résiliation de nos services de sécurité ou nos services technologiques Internet fondamentaux.
Malgré ce que peuvent prétendre certains, nous ne sommes pas des absolutistes de la liberté d'expression. Cependant, nous croyons à la primauté du droit. Différents pays et juridictions dans le monde détermineront quels contenus sont autorisés ou non en fonction de leurs normes et leurs lois. Pour évaluer nos obligations, nous vérifions si ces lois sont limitées à la juridiction concernée et si elles sont compatibles avec nos obligations de respecter les droits de l'homme, conformément aux Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l'homme.
Il subsiste encore de nombreuses injustices dans le monde et, malheureusement, beaucoup de contenus en ligne que nous trouvons répréhensibles. Nous pouvons résoudre certaines de ces injustices, mais nous ne pouvons pas les résoudre toutes. Toutefois, tandis que nous œuvrons pour améliorer la sécurité et le fonctionnement d'Internet, nous devons nous assurer de ne pas lui causer de dommages à long terme.Nous continuerons à discuter de ces défis et de la meilleure façon de protéger l'Internet mondial contre les cyberattaques. Nous continuerons également à coopérer avec les forces de l'ordre légitimes afin de soutenir les enquêtes sur des crimes, à faire don de fonds et de services dans le but de soutenir l'égalité, les droits de l'homme et les autres causes auxquelles nous croyons, et à participer à l'élaboration de politiques dans le monde entier, afin d'aider à préserver l'Internet libre et ouvert.