La régionalisation des données a beaucoup attiré l'attention ces dernières années, car un certain nombre de pays la considèrent comme un moyen de contrôler ou de protéger les données de leurs citoyens. Certains pays, comme l'Australie, la Chine, l'Inde, le Brésil et la Corée du Sud, ont déjà mis au point ou sont en train de mettre en place des règlements permettant de garantir, d'une façon ou d'une autre, leur souveraineté juridique sur les données personnelles de leurs citoyens. Les données relatives à la santé doivent ainsi être stockées localement, les établissements publics ne peuvent établir de contrats qu'avec des fournisseurs de services locaux, etc.
Dans l'UE, le récent arrêt pris dans le cadre de l'affaire « Schrems II » a donné lieu à des conditions supplémentaires pour les entreprises qui transfèrent des données personnelles en dehors du territoire européen. Quelques secteurs hautement régulés exigent en outre que certains types spécifiques de données personnelles restent à l'intérieur des frontières de l'UE.
En tant qu'entreprise, Cloudflare s'est engagée à aider ses clients à conserver leurs données personnelles au sein de l'UE. L'année dernière, nous avons lancé la Data Localisation Suite (suite de régionalisation des données), qui permet à nos clients de garder le contrôle sur l'endroit où leurs données sont inspectées et conservées.
Nous sommes heureux de vous présenter aujourd'hui notre fonctionnalité d'isolement géographique des métadonnées du client, qui étend les possibilités de la Data Localisation Suite dans l'objectif de s'assurer que les métadonnées du trafic des utilisateurs finaux d'un client demeurent au sein de l'UE.
Introduction au concept de métadonnées
Le concept de « métadonnées » peut paraître un peu effrayant, mais l'idée véhiculée s'avère plutôt simple : elles constituent tout simplement des « données sur les données ». En d'autres termes, il s'agit de la description d'une activité survenue sur notre réseau. Tous les services sur Internet collectent des métadonnées sous une forme ou une autre et ces dernières se révèlent essentielles à la sécurité des utilisateurs et à la disponibilité du réseau.
Cloudflare recueille des métadonnées sur l'utilisation de ses produits à différentes fins :
- l'établissement de résultats d'analyse via nos tableaux de bord et nos API ;
- le partage de journaux avec nos clients ;
- le blocage des menaces, comme les bots ou les attaques DDoS ;
- l'amélioration des performances de notre réseau ;
- la préservation de la fiabilité et de la résilience de notre réseau.
À quoi cette collecte ressemble-t-elle en pratique chez Cloudflare ? Notre réseau se compose de dizaines de services, parmi lesquels notre pare-feu, notre cache, notre résolveur DNS, nos systèmes de protection contre les attaques DDoS et l'environnement d'exécution Workers. Chacun de ces services émet des messages sous forme de journaux structurés contenant divers champs, comme l'horodatage, des URL, des informations sur les fonctionnalités Cloudflare utilisées, ainsi que l'identifiant du compte et de la zone du client.
Ces messages ne renferment pas le contenu du trafic du client et ne contiennent donc pas de noms d'utilisateurs, de mots de passe, d'informations personnelles ni d'autres détails privés sur les utilisateurs finaux du client. Ces journaux peuvent néanmoins contenir les adresses IP des utilisateurs finaux, c'est-à-dire des informations considérées comme des données personnelles au sein de l'UE.
La régionalisation des données au sein de l'UE
Le Règlement général sur la protection des données (ou RGPD) de l'UE constitue l'une des lois les plus exhaustives (et les plus connues) au monde en matière de confidentialité des données. Toutefois, le RGPD n'insiste pas sur le fait que les données personnelles doivent rester en Europe. Il propose plutôt un certain nombre de mécanismes juridiques permettant de s'assurer que des protections comparables à celles offertes par le RGPD soient disponibles pour protéger les données personnelles européennes en cas de transmission vers un pays tiers situé en dehors de l'UE, comme les États-Unis par exemple. Les transferts de données depuis l'UE vers les États-Unis étaient encore récemment autorisés en vertu d'un accord appelé Bouclier de protection des données UE-États-Unis (EU-U.S. Privacy Shield Framework).
Peu après l'entrée en vigueur du RGPD, un activiste de la protection de la vie privée nommé Max Schrems a porté plainte contre Facebook pour contester ses pratiques en matière de collecte des données. En juillet 2020, la Cour de justice de l'UE a rendu l'arrêt « Schrems II » qui invalidait, entre autres, le bouclier de protection des données. La cour a toutefois maintenu la validité d'autres mécanismes de transfert des données permettant de s'assurer que les autorités publiques américaines ne puissent accéder aux données personnelles européennes d'une manière contrevenant au RGPD.
Depuis l'arrêt Schrems II, de nombreux clients nous demandent comment nous protégeons les données des citoyens de l'UE. Heureusement, Cloudflare avait mis en place des garanties de protection des données bien avant cette affaire, comme nos engagements leaders sur le marché concernant les demandes de données émanant des gouvernements. Afin de répondre à l'affaire Schrems II, en particulier, nous avons mis à jour notre Addendum relatif au traitement des données (ATD) et intégré les dernières Clauses contractuelles types (des accords juridiques approuvés par la Commission européenne autorisant le transfert des données). Nous avons également ajouté des garanties supplémentaires, telles que décrites dans les recommandations sur les mesures supplémentaires émises par l'EDPB en juin 2021. Enfin, les services Cloudflare sont certifiés selon la norme ISO 27701, qui inscrit ces derniers dans les exigences du RGPD.
À la lumière de ces mesures, nous pensons que nos clients européens peuvent utiliser les services Cloudflare de manière conforme au RGPD et à l'arrêt Schrems II. Nous reconnaissons toutefois bien volontiers que bon nombre de nos clients souhaitent que leurs données personnelles européennes restent au sein de l'UE. Certains de nos clients, officiant dans des secteurs tels que la santé, le droit et la finance, peuvent ainsi avoir des exigences supplémentaires. C'est pour répondre à ces dernières que nous avons développé une suite de services optionnelle, à laquelle nous avons donné le nom de Data Localisation Suite.
Le soutien apporté par la Data Localisation Suite à l'heure actuelle
La régionalisation des données reste une opération difficile pour les clients du fait du volume et de la variété des données qu'ils traitent. Nous avons ainsi découvert que trois questions taraudent principalement nos clients en ce qui concerne leur trafic sur Cloudflare :
- Comment m'assurer que mes clés de chiffrement restent au sein de l'UE ?
- Comment m'assurer que les services comme la mise en cache et le pare-feu WAF s'exécutent uniquement dans l'UE ?
- Comment m'assurer que mes métadonnées ne soient jamais transférées en dehors de l'UE ?
Pour répondre à la première interrogation, Cloudflare propose depuis longtemps les solutions SSL sans clé et Geo Key Manager, conçues pour garantir que les informations liées à la clé privée SSL/TLS ne quittent jamais l'UE. Le SSL sans clé permet de faire en sorte que Cloudflare ne rentre jamais en possession d'aucune information de clé privée, tandis que la fonctionnalité Geo Key Manager s'appuie sur le SSL sans clé pour s'assurer que les clés ne quittent jamais la région spécifiée.
L'année dernière, nous avons répondu à la deuxième question en lançant les services régionaux, qui permettent de faire en sorte que Cloudflare ne puisse déchiffrer et inspecter le contenu du trafic HTTP qu'au sein de l'UE. En d'autres termes, les connexions SSL ne peuvent aboutir que dans l'UE et l'ensemble de nos services de couche 7 visant à l'amélioration de la sécurité et des performances ne s'exécuteront que dans nos datacenters européens.
Aujourd'hui, nous offrons à nos clients la possibilité de répondre à la troisième et dernière préoccupation, à savoir conserver les métadonnées à l'échelle locale.
Fonctionnement de l'isolement géographique des métadonnées
L'isolement géographique des métadonnées du client permet de s'assurer que l'ensemble des métadonnées du trafic susceptibles d'identifier un client restent dans l'UE. L'opération inclut tous les journaux et résultats d'analyse visibles par un client.
Comment y parvenons-nous ? Toutes les métadonnées susceptibles d'identifier un client circulent à travers un service unique en périphérie de notre réseau, avant d'être transmises à l'un de nos datacenters principaux.
Lorsque l'isolement géographique des métadonnées est activé pour un client, notre périphérie s'assure que les messages de journaux susceptibles de permettre l'identification d'un client (c'est-à-dire les messages qui contiennent l'ID de compte de ce client) ne sont pas envoyés hors de l'UE. Ces messages seront uniquement envoyés à notre datacenter principal européen et non à notre datacenter principal situé aux États-Unis.
Et maintenant ?
Notre Data Localisation Suite a aujourd'hui pour objectif d'aider nos clients européens à régionaliser les données de leur trafic HTTP entrant. Le trafic concerné inclut celui de plusieurs de nos produits, comme le cache, le pare-feu, la protection contre les attaques DDoS et la gestion des bots.
Nous avons entendu certains clients nous dire qu'ils souhaiteraient profiter de la régionalisation des données pour davantage de produits et de régions. Cette possibilité impliquerait que tous nos produits de régionalisation des données, y compris la solution Geo Key Manager et les services régionaux, puissent fonctionner à l'échelle mondiale. Nous travaillons également à étendre la fonctionnalité d'isolement géographique des métadonnées afin d'y inclure nos produits Zero Trust, comme Cloudflare for Teams. Restez à l'écoute !