Happy Data Privacy Day!

Bonne journée de la protection des données 2022 ! Chaque jour chez Cloudflare constitue évidemment une journée consacrée à la protection des données, mais la date d'aujourd'hui nous donne une excuse formidable pour parler de l'un de nos thèmes préférés.

En l'honneur de la journée de la protection des données, nous discuterons de certains sujets clés qui ont contribué à façonner le panorama de 2021 (en termes de protection et de confidentialité des données), ainsi que des problématiques auxquelles nous devrons réfléchir en 2022. La première catégorie à attirer notre attention est l'intersection entre la sécurité des données et la confidentialité de ces dernières. Cloudflare a investi dans des technologies privilégiant le respect de la vie privée et des mesures de sécurité venant renforcer cette notion, afin de contribuer à bâtir la troisième phase d'Internet, la phase de Confidentialité. Nous comptons d'ailleurs mettre les bouchées doubles sur ces développements en 2022.

La deuxième catégorie concerne la régionalisation des données. Si nous ne considérons pas la régionalisation comme nécessaire pour atteindre la confidentialité, les deux concepts s'avèrent inextricablement liés, notamment au sein du paysage réglementaire de l'UE.

Troisièmement, les récentes mesures d'exécution de la réglementation mises en œuvre au sein de l'UE contre l'utilisation des cookies par les sites web nous poussent à nous demander ce que nous pouvons faire pour aider les sites à exécuter certains outils, comme les outils d'analyse, de manière plus rapide, plus sécurisée et plus respectueuse de la confidentialité.

Enfin, nous continuerons à nous concentrer sur l'introduction de nouveaux règlements en matière de protection des données (ou la mise à jour de règles existantes), ainsi que sur la réglementation régissant les services numériques. En effet, ces règlements auront inévitablement des implications sur la manière dont les données personnelles et non personnelles sont utilisées et transmises à travers le monde.

La sécurité pour assurer la confidentialité

La mission fondatrice de Cloudflare visant à bâtir un Internet meilleur a toujours intégré une attention spéciale accordée au développement de produits et de services privilégiant le respect de la vie privée. Nous avons déjà publié un article consacré à notre point de vue selon lequel un élément essentiel de l'amélioration de la confidentialité consiste à réduire la quantité de données personnelles circulant sur Internet. Cette vision a conduit au développement et au déploiement de technologies permettant d'aider à préserver le caractère privé des données personnelles et à assurer leur sécurité contre les agresseurs potentiels. Ces technologies importantes comprennent, par exemple, le résolveur DNS public 1.1.1.1 de Cloudflare (le résolveur DNS public respectueux de la vie privée le plus rapide d'Internet, qui ne conserve aucune donnée personnelle sur les requêtes effectuées) et Oblivious DNS over HTTPs (ODoH) une proposition de norme DNS (cosignée par les ingénieurs de Cloudflare, Apple et Fastly) permettant de séparer les adresses IP des requêtes, de sorte qu'aucune entité ne puisse voir les deux en même temps.

Nous sommes impatients de poursuivre nos travaux consacrés aux technologies de renforcement de la confidentialité en 2022, notamment nos efforts visant à généraliser la norme ODoH à l'ensemble du trafic HTTP des applications par l'intermédiaire du protocole Oblivious HTTP (OHTTP). Cloudflare se félicite d'être un contributeur actif de l'Internet Engineering Task Force dans le cadre du groupe de travail OHAI (Oblivious HTTP Application Intermediation) au sein duquel l'Oblivious HTTP sera développé. À l'instar de l'ODoH, l'OHTTP permet à un client d'effectuer plusieurs requêtes à un serveur sans que ce dernier puisse lier les requêtes au client ni identifier les requêtes comme provenant du même client.

La conservation de l'identité constitue néanmoins un facteur important à certains moments, comme lorsque vous essayez d'accéder au réseau de votre employeur pendant une journée de télétravail (une situation que bon nombre d'entre nous ne connaissent que trop bien depuis deux ans). Toutefois, les entreprises ne devraient pas avoir à faire un choix entre la protection de la vie privée et la mise en œuvre de solutions Zero Trust pour protéger leurs réseaux des écueils les plus courants en matière de travail à distance : les collaborateurs en télétravail qui ne parviennent pas à accéder au réseau de leur entreprise en suivant des méthodes sécurisées ou les employés qui succombent aux attaques de phishing (hameçonnage) et de logiciels malveillants.

Nous n'avons donc pas uniquement développé les services Zero Trust de Cloudflare pour aider les entreprises à sécuriser leurs réseaux, nous sommes allés au-delà de la simple sécurité afin de créer des produits Zero Trust capables de renforcer le respect de la vie privée. En 2021, l'équipe Zero Trust de Cloudflare a fait d'énormes progrès sur le plan de la confidentialité en développant et en lançant la journalisation sélective (Selective Logging) dans le cadre de Cloudflare Gateway. La solution Cloudflare Gateway est l'un des composants de notre suite de services permettant d'aider les entreprises à sécuriser leurs réseaux. Les autres composants comprennent un système Zero Trust de contrôle des accès aux applications de l'entreprise autorisant l'authentification des utilisateurs sur notre réseau mondial, ainsi qu'une solution de navigation à distance fiable et rapide permettant aux entreprises d'exécuter l'ensemble du code du navigateur dans le cloud.

Grâce à la journalisation sélective, les administrateurs de Gateway peuvent désormais personnaliser leurs logs selon leurs besoins ou désactiver l'intégralité de la journalisation Gateway afin de correspondre à la stratégie de confidentialité de l'entreprise. Les administrateurs peuvent ainsi « Activer la journalisation des actions de blocage uniquement », « Désactiver la journalisation Gateway pour les informations personnelles » ou simplement « Désactiver l'intégralité de la journalisation Gateway ». Ces options permettent à une entreprise de décider de ne pas collecter de données personnelles pour les utilisateurs qui accèdent à ses réseaux organisationnels privés. Moins l'entreprise collecte de données à caractère personnel, moins ces données ont de chances d'être volées, de fuiter ou d'être utilisées de manière malveillante. Pendant ce temps, Gateway continue à protéger les entreprises en bloquant les logiciels malveillants, ainsi que les sites de Command & Control, les sites de phishing et les autres URL non autorisées par la politique de sécurité de l'entreprise.

Comme de nombreux employeurs sont désormais passés au télétravail à titre permanent (ou, au minimum, à temps partiel), les solutions Zero Trust conserveront toute leur importance en 2022. Nous sommes heureux de pouvoir proposer à ces entreprises des outils qui les aideront à sécuriser leurs réseaux, tout en leur permettant de protéger simultanément la vie privée de leurs collaborateurs.

Bien entendu, nous ne pouvons pas parler des problèmes de sécurité axés autour de la confidentialité sans mentionner la vulnérabilité Log4j révélée le mois dernier. Cette dernière a mis en lumière l'importance critique de la sécurité en matière de protection des données personnelles. Nous avons déjà détaillé en profondeur le fonctionnement de cette vulnérabilité, mais pour résumer, elle permettait à un acteur malveillant d'exécuter du code sur un serveur distant. Cette opération ouvrait ainsi les portes à l'exploitation des logiciels (basés sur Java et connectés à Internet) utilisant la bibliothèque Log4j. La vulnérabilité Log4j se montrait d'autant plus insidieuse que les logiciels non connectés à Internet pouvaient également faire l'objet d'une exploitation en transmettant les données de système en système. Pour prendre un exemple, une chaîne Utilisateur-Agent contenant le code malveillant pouvait être transmise à un système de back-end (rédigé en Java) utilisé à des fins d'indexation ou de science des données (data science) et l'exploitation pouvait ainsi se retrouver journalisée. Même si le logiciel connecté à Internet n'est pas rédigé en Java, la transmission de chaînes à d'autres systèmes codés en Java reste possible et l'exploitation peut alors se produire.

Ce mode de fonctionnement implique que tant que la vulnérabilité n'est pas corrigée, un acteur malveillant peut exécuter du code permettant non seulement d'exfiltrer des données d'un serveur web, mais aussi de dérober des données personnelles dans des bases de données back-end non connectées à Internet, comme les systèmes de facturation. De plus, comme le Java et la bibliothèque Log4j connaissent un usage largement répandu, des milliers de serveurs et de systèmes étaient affectés, soit un risque pour les données personnelles de millions d'utilisateurs.

Nous sommes fiers d'avoir (seulement quelques heures après avoir appris l'existence de la vulnérabilité Log4j) déployé de nouvelles règles de pare-feu WAF conçues pour protéger l'ensemble des sites de nos clients, de même que les nôtres, contre cette faille de sécurité. En outre, nos clients et nous-mêmes avons pu utiliser notre produit Zero Trust, Cloudflare Access, pour protéger l'accès à nos systèmes internes. Une fois la solution Cloudflare Access activée sur la surface d'attaque identifiée, toute tentative d'exploitation sur les systèmes de Cloudflare ou de nos clients utilisateurs du service aurait nécessité que le pirate s'authentifie. La capacité d'analyser les données serveur, réseau ou trafic générées par Cloudflare dans le cadre de la fourniture de nos services aux innombrables applications Internet qui utilisent nos produits nous a aidés à mieux protéger l'ensemble des clients de Cloudflare. Nous avons pu non seulement mettre à jour les règles de pare-feu WAF afin d'atténuer la vulnérabilité, mais Cloudflare a également pu s'appuyer sur les données pour identifier les schémas d'évasion et les tentatives d'exfiltration du pare-feu WAF. Ces informations ont permis à nos clients de reconnaître rapidement les vecteurs d'attaque sur leurs propres réseaux et d'atténuer les risques de préjudice.

Comme nous le verrons plus loin, nous nous attendons à ce que les débats autour de la régionalisation des données se poursuivent en 2022. Dans le même temps, il s'avère important de bien comprendre que si les entreprises avaient été contraintes de segmenter les données par juridiction ou d'empêcher les accès transjuridictionnels aux données, il aurait été encore plus difficile de mettre en œuvre le type de réponse que nous avons pu rapidement apporter à nos clients afin de les aider à protéger leurs sites et réseaux contre la vulnérabilité Log4j. Notre objectif consiste à assurer à la fois la confidentialité et la sécurité des données, indépendamment des juridictions dans lesquelles ces données sont stockées ou qu'elles doivent traverser pour atteindre leur destination. Nous pensons également que ceux qui insistent pour que la régionalisation des données soit considérée comme le premier dispositif de proxy en termes de protection des données (avant même tous les autres) desservent littéralement d'autres mesures de sécurité tout aussi importantes, si ce n'est plus, que les règlements relatifs à la protection du caractère confidentiel des données personnelles.

Régionalisation des données

La régionalisation des données figurait parmi les thèmes majeurs de 2021 et l'idée ne présente aucun signe de ralentissement en 2022. En réalité, l'autorité autrichienne de protection des données (la Datenschutzbehörde) a largement défini le ton au sein de l'UE pour cette année. Elle a publié, le 13 janvier, une décision déclarant qu'un pays européen ne pouvait utiliser les services de Google Analytics, car cette utilisation impliquerait la transmission de données personnelles européennes vers les États-Unis, selon un schéma que le régulateur considérait comme une violation du Règlement général sur la protection des données (RGPD) européen, tel qu'interprété par la décision prononcée en 2020 par la Cour de justice de l'Union européenne dans le cadre de l'affaire « Schrems II ».

Nous continuons à exprimer notre désaccord avec les prémisses de la décision Schrems II qui impliquent l'interdiction de la transmission des données personnelles européennes vers les États-Unis. Nous pensons à la place que des garanties peuvent être mises en place pour autoriser ces transmissions, conformément aux clauses contractuelles types en vigueur dans l'UE (SCC, Standard Contractual Clauses, les clauses contractuelles approuvées par la Commission européenne afin d'autoriser la transmission de données personnelles européennes en dehors de l'UE) et de manière cohérente avec la décision Schrems II. Cloudflare dispose de garanties de protection des données déjà en place depuis bien avant l'affaire Schrems II, comme nos engagements leaders sur le marché concernant les demandes de données émanant des gouvernements. Nous avons mis à jour notre Addendum relatif au traitement des données (ATD) afin qu'il intègre les SCC approuvées par la Commission européenne en 2021. Nous avons également ajouté des garanties supplémentaires, telles que décrites dans les recommandations sur les mesures supplémentaires émises par l'EDPB en juin 2021. Enfin, les services Cloudflare sont certifiés selon la norme ISO 27701, qui inscrit ces derniers dans les exigences du RGPD.

À la lumière de ces mesures, nos clients européens peuvent utiliser les services Cloudflare de manière conforme au RGPD et à la décision Schrems II. Nous reconnaissons toutefois bien volontiers que bon nombre de nos clients souhaitent que leurs données personnelles européennes restent au sein de l'UE. Certains de nos clients, officiant dans des secteurs tels que la santé, le droit et la finance, peuvent ainsi avoir des exigences supplémentaires. Toutes ces raisons sont à l'origine du développement de la Data Localization Suite (suite d'outils de régionalisation des données), qui permet à nos clients de garder le contrôle sur l'endroit où leurs données sont traitées et stockées.

La Data Localization Suite de Cloudflare propose une solution viable à nos clients qui souhaitent éviter la transmission des données personnelles des utilisateurs européens en dehors de l'UE à un moment où les législateurs européens deviennent de plus en plus critiques vis-à-vis des transmissions de données vers les États-Unis. Nous nous réjouissons particulièrement du développement de l'isolement géographique des métadonnées du client, un composant de la Data Localization Suite. En effet, grâce à ce dernier, nous avons trouvé un moyen de conserver au sein de l'UE les données de journalisation susceptibles d'identifier les clients par l'intermédiaire des données des utilisateurs finaux. Les clients qui le souhaitent peuvent ainsi opter pour cette fonctionnalité, sans sacrifier notre capacité à assurer les services de sécurité que l'ensemble de nos clients attendent de nous.

En 2022, nous continuerons à affiner notre offre de régionalisation des données et poursuivrons nos efforts visant à étendre cette dernière, afin de desservir d'autres régions dans lesquelles les clients éprouvent le besoin de régionaliser leurs données. L'année 2021 a vu l'entrée en vigueur de la loi chinoise sur la protection des informations personnelles, avec ses exigences en matière de régionalisation des données et de transferts de données transfrontaliers. Nous verrons probablement d'autres juridictions leur emboîter le pays sous une forme ou une autre en 2022 (peut-être par l'émission de directives spécifiques par secteur).

Des outils d’analyse privilégiant la confidentialité

Nous nous attendons à ce que les trackers (cookies, balises web, etc.) demeurent une préoccupation centrale en 2022. Nous nous réjouissons également de jouer un rôle dans l'avènement d'une nouvelle ère en aidant les sites web à exécuter des outils tiers (comme les outils d'analyse) de manière plus rapide, sécurisée et plus respectueuse de la vie privée. Nous avions déjà cette idée d'outils d'analyse privilégiant la confidentialité en 2020 avec le lancement de notre solution Web Analytics, un produit qui permettait aux sites web de collecter des informations d'analyse sur leurs utilisateurs sans impliquer de code côté client.

Quoi qu'il en soit, les cookies, balises web et autres trackers similaires côté client restent omniprésents sur Internet. Chaque fois qu'un exploitant de site utilise ces trackers, il ouvre son site aux vulnérabilités de sécurité potentielles et risque de saper la confiance de ses utilisateurs. En effet, bon nombre de ces derniers se sont lassés des bandeaux de « consentement aux cookies » et s'inquiètent de voir leurs données personnelles collectées et pistées à l'échelle d'Internet. Il doit exister un meilleur moyen, non ? Fort heureusement, la réponse est oui.

Comme expliqué plus en détail dans cet article de blog, le produit Zaraz de Cloudflare permet non seulement à un site web de se charger plus rapidement et d'être plus interactif, mais réduit également la quantité de code tiers nécessaire pour gérer le site. La sécurité de ce dernier s'en trouve donc accrue. Cette solution place également la confidentialité au centre des préoccupations en accordant le contrôle sur les données envoyées aux tiers à l'exploitant du site web. Grâce au déplacement de l'exécution des outils tiers vers notre réseau, les exploitants de sites pourront identifier les tentatives de collecte de données personnelles par les outils. Le cas échéant, ils pourront ainsi modifier les données avant leur envoi aux fournisseurs d'analyse (par exemple, en éliminant toutes les informations des requêtes d'URL ou en supprimant les adresses IP des utilisateurs finaux). Comme nous l'avons si souvent dit, si nous parvenons à réduire la quantité de données personnelles envoyées sur Internet, ce sera une grande victoire pour le respect de la vie privée.

Transformer le panorama de la confidentialité

Comme le dit le vieil adage : « rien n'est permanent, sauf le changement ». Aussi, tout comme 2021, 2022 sera sans conteste une année de poursuite des transformations réglementaires, à mesure que nous assisterons au vote, à l'amendement ou à l'entrée en vigueur de nouvelles lois qui réguleront, directement ou indirectement, la collecte, l'utilisation et la circulation transfrontalière des données personnelles.

Aux États-Unis, par exemple, l'année 2022 demandera aux entreprises de se préparer pour la California Privacy Rights Act (CPRA, la loi californienne sur le droit à la vie privée), qui entrera en vigueur le 1er janvier 2023. Concept important, la CPRA disposera d'« exigences rétrospectives », c'est-à-dire obligeant les entreprises à se retourner sur leurs actions passées et à appliquer les règles aux données personnelles collectées à compter du 1er janvier 2022. Sur le même principe, les lois sur la confidentialité de Virginie et du Colorado entreront également en vigueur en 2023. Un certain nombre d'autres États, comprenant sans s'y limiter la Floride, le Washington, l'Indiana et le district de Columbia, ont proposé leurs propres lois en la matière. Pour la plus grande partie, ces projets de loi ont pour objectif d'accorder aux consommateurs un plus grand degré de contrôle sur leurs données personnelles (en établissant, par exemple, les droits des consommateurs à accéder et à supprimer leurs données). Ils font également reposer sur les entreprises l'obligation de s'assurer que ces droits soient protégés et respectés.

Nous constatons une transformation de la législation en matière de confidentialité des données partout ailleurs dans le monde. Les lois sur la protection des données ne se concentrent plus uniquement sur les données personnelles, mais leur portée s'étend pour réguler la circulation de l'ensemble des types de données. L'Inde constitue le meilleur exemple de cette mutation. En effet, en décembre 2021, un comité parlementaire a émis des dispositions recommandant que le « Personal Data Protection Bill » (le projet de loi sur la protection des données personnelles) soit renommé « Data Protection Bill » (projet de loi sur la protection des données) et que sa portée soit étendue, de manière à inclure les données non personnelles. Le projet de loi imposerait ainsi aux entreprises d'accorder aux données non personnelles la même protection que les lois existantes en matière de protection des données accordent aux données personnelles. Les implications des amendements proposés au « Data Protection Bill » sont considérables. Ils pourraient présenter une incidence spectaculaire sur la manière dont les entreprises utilisent les données non personnelles à des fins d'analyse et d'amélioration opérationnelles.

L'Inde n'est pas le seul pays à proposer l'extension de la portée de la réglementation régissant les données afin d'inclure les données non personnelles. La Data Strategy de l'Union européenne (la stratégie en matière de données) vise à proposer un cadre sécurisé permettant de renforcer le partage de données, avec l'objectif avoué que ce type de partage se révèle moteur d'innovation et accélère la numérisation de l'économie européenne.

Les autres législations en matière de confidentialité des données sur lesquelles garder un œil au cours de l'année 2022 sont les amendements en discussion au Japon quant à sa loi sur la protection des informations personnelles (Act on Protection of Personal Information, APPI) et la loi thaïlandaise sur la protection des données personnelles (Personal Data Protection Act, PDPA), qui entreront en vigueur en 2022. Les amendements proposés à l'APPI japonaise comprennent des exigences à respecter pour transmettre des données personnelles japonaises en dehors du Japon et l'introduction d'exigences relatives à la notification en cas de violation de données. Pendant ce temps, et à l'instar du RGPD, le PDPA thaïlandais vise à protéger les données personnelles des individus en imposant des obligations aux entreprises qui collectent, traitent et transfèrent ces données.

En voyant l'ensemble de ces technologies de renforcement de la vie privée se profiler à l'horizon, sans oublier les transformations réglementaires en la matière, nous nous attendons à ce que 2022 constitue une nouvelle année passionnante dans l'univers de la protection des données et de la confidentialité. Bonne journée de la protection des données !