Nous publions aujourd'hui le rapport de transparence de Cloudflare pour le premier semestre 2019. Nous sommes conscients de la nécessité de publier des rapports actualisés, mais leur élaboration nous a pris un peu plus de temps que d'habitude. Nous avons quelques informations importantes à vous communiquer.
Retrait d’une garantie canari
Depuis la publication de notre tout premier rapport de transparence en 2014, nous avons pris un certain nombre d'engagements (connus sous le nom de « garanties canari » ) concernant les mesures que nous prenons et la manière dont nous répondons à certains types de demandes relatives à l’application de la loi. Nous avons pris ces engagements initiaux en début d'année, de sorte que nos garanties canari actuelles établissent que Cloudflare n'a jamais :
- Remis ses clés de chiffrement ou d'authentification ou les clés de chiffrement ou d'authentification de ses clients à qui que ce soit.
- Installé un logiciel ou un équipement lié à l'application de la loi où que ce soit sur son réseau.
- Résilié le compte d'un client ou retiré un contenu en raison de pressions politiques*
- Transmis à un organisme d'application de la loi des informations relatives aux contenus transmis par ses clients sur son réseau.
- Modifié des contenus fournis par des clients à la demande de services chargés de faire appliquer la loi ou de tiers.
- Modifié la destination prévue des réponses DNS à la demande de services chargés de faire appliquer la loi ou de tiers.
- Affaibli, compromis ou subverti son chiffrement à la demande de services chargés de faire appliquer la loi ou de tiers.
Ces engagements servent de déclarations de valeurs pour réaffirmer les points qui sont importants pour nous en tant qu'entreprise, et faire comprendre non seulement notre action, mais aussi nos convictions. À nous de maintenir ces engagements. Nous devons croire non seulement que nous les avons respectés jusqu'à présent, mais aussi que nous sommes capables de continuer à les respecter.
Malheureusement, l'une de ces garanties canari ne remplit plus les conditions requises pour rester sur notre site web. Lorsque Cloudlfare a arrêté de fournir ses services au Daily Stormer en 2017, Matthew a déclaré :
« Nous allons avoir un long débat en interne pour savoir s'il faut retirer le paragraphe concernant le fait de ne pas résilier un contrat avec un client en raison de pressions politiques. Il est important de pouvoir dire que nous ne l’avons jamais fait. Et, à compter d'aujourd'hui, vous devez savoir qu'il sera un peu plus difficile pour nous de nous opposer à ce qu'un gouvernement, quelque part, fasse pression sur nous pour que nous supprimions un site qui lui déplaît. »
Nous avons abordé ce sujet dans nos rapports de transparence suivants en conservant notre déclaration, mais en ajoutant un astérisque identifiant le débat du Daily Stormer et les critiques que nous avions reçues à la suite de notre décision d'arrêter de leur fournir nos services. Notre objectif était de montrer que nous restions attachés au principe selon lequel nous ne devons pas résilier l'abonnement d'un client en raison de pressions politiques, sans pour autant ignorer cette résiliation. Nous avons également souhaité informer le public de la résiliation et des raisons de notre décision, afin que celle-ci ne passe pas inaperçue.
Bien que cette résiliation ait suscité un débat important quant au fait de savoir si les entreprises spécialisées dans les infrastructures devaient ou non décider des contenus qui pouvaient rester en ligne, nous n’avons pour l’instant vu aucun responsable politique proposer de réelles solutions de rechange pour s'attaquer aux contenus et aux comportements les plus préoccupants sur Internet. Depuis lors, nous avons constaté toujours plus les répercussions dans le monde réel de la propagation de contenus haineux en ligne, des propos alarmants publiés en réaction aux attentats terroristes de Christchurch, Poway et El Paso à la publication de vidéos faisant l’apologie de ces attaques. En effet, en l'absence de véritables mesures politiques visant à régler ces problèmes, la pression exercée sur les entreprises de technologie (même les entreprises spécialisées dans les infrastructures Internet complexes comme Cloudflare) pour qu'elles se prononcent sur ce qui doit rester en ligne ou non n'a fait qu'augmenter.
En août 2019, Cloudflare a arrêté de fournir ses services à 8chan au motif qu'ils n'avaient pas réussi à modérer leur plate-forme truffée de messages haineux ayant entraîné des actes meurtriers. Bien que nous ne pensions pas qu'il soit judicieux de priver un site de ses services de cybersécurité pour le forcer à fermer ses portes, le fait qu'un site ne prenne pas la responsabilité d'empêcher ou d'atténuer les préjudices causés par sa plate-forme laisse peu de choix à des fournisseurs de services comme nous. Nous avons fini par admettre que l'anarchie constante et persistante qui règne chez certains pourrait nécessiter une action de la part de ceux qui se trouvent en dessous d'eux au niveau de la pile technologique. Bien que nous préférerions que les gouvernements reconnaissent cette nécessité et mettent en place des dispositifs permettant de respecter une procédure légale, s'ils n'agissent pas, les sociétés spécialisées dans les infrastructures pourraient être contraintes de prendre des mesures pour limiter les risques.
Et cela nous ramène à notre garantie canari. Si nous estimons que nous pourrions être contraints de résilier les comptes de certains clients, même s'il s'agit seulement de quelques cas, nous ne pouvons pas nous engager à ne jamais le faire en raison de pressions politiques. En théorie, nous pourrions argumenter en disant que la résiliation du compte d'un client anarchique comme 8chan n'était pas une résiliation liée à des pressions politiques. Mais cela semble faux. Nous ne devrions pas chercher à nous justifier en expliquant pourquoi nous ne pensons pas avoir transgressé les règles.
Nous restons attachés au principe selon lequel il est essentiel de fournir des services de cybersécurité à tous, quel que soit le type de contenus proposés, afin de rendre internet meilleur. Même si nous retirons cet engagement de notre site web, nous pensons que pour gagner et conserver la confiance de nos utilisateurs, nous devons être transparents quant aux actions que nous entreprenons. Nous nous engageons donc à faire état de toute action que nous entreprenons pour résilier le compte d'un utilisateur qui pourrait être considéré comme une résiliation due à une pression politique.
Accord Cloud entre le Royaume-Uni et les États-Unis
Comme nous l'avons expliqué précédemment, les gouvernements s'efforcent de trouver des moyens d'améliorer l'accès des organismes chargés de l'application de la loi aux pièces à conviction numériques au niveau international. Ces efforts ont abouti à une nouvelle loi américaine, le Clarifying Lawful Overseas Use of Data (CLOUD) Act, qui repose sur l'idée que les services chargés de l'application de la loi dans le monde entier devraient pouvoir accéder aux contenus électroniques sur leurs citoyens lorsqu'ils mènent des enquêtes, quel que soit l'endroit où ces données sont stockées, dans la mesure où ils sont soumis à des garde-fous suffisants pour assurer une procédure correcte.
Le 3 octobre 2019, les États-Unis et le Royaume-Uni ont signé le premier accord exécutif en vertu de cette loi. Conformément aux dispositions du droit américain, cet accord entrera en vigueur dans 180 jours, en mars 2020, à moins que le Congrès ne prenne des mesures pour le bloquer. Un débat est en cours pour déterminer si l'accord prévoit des garanties suffisantes en matière de respect des procédures et de protection de la vie privée. Nous allons attendre de voir comment les choses évolueront et nous examinerons avec attention toutes les demandes que nous recevrons après l'entrée en vigueur de l'accord.
Pour le moment, Cloudflare a l'intention de se conformer aux demandes de renseignements des autorités du Royaume-Uni, dûment délimitées et ciblées, à condition que ces demandes respectent la loi et les règles internationales en matière de droits de l'homme. Les informations concernant les demandes de nature juridique que Cloudflare reçoit de la part de gouvernements non américains en vertu de la loi CLOUD seront incluses dans les futurs rapports de transparence.