Cette semaine verra l'annonce de la semaine Cloudflare consacrée à la confidentialité et à la conformité. Nous annoncerons ces prochains jours plusieurs moyens par lesquels nos clients peuvent utiliser nos services afin de s'assurer de leur conformité avec un corpus de règles et de lois internationales de plus en plus complexe.
Aux débuts de Cloudflare, le mot « confiance » revenait sans cesse lorsque Michelle, Lee et moi évoquions l'entreprise que nous souhaitions créer. Nous avons très vite compris que si nous n'étions pas dignes de confiance, personne ne choisirait jamais de nous confier l'acheminement de son trafic Internet. Plus que sur toute autre valeur, notre secteur repose avant tout sur la confiance.
Chaque employé de Cloudflare passe par un programme d'orientation. Lorsque je présente l'une des sessions intitulées « Qu'est-ce que Cloudflare ? », je remplis plusieurs tableaux blancs avec des notes et des diagrammes traitant de la position que nous occupons sur le marché, mais je laisse de la place pour la fin, afin de pouvoir écrire le mot CONFIANCE (en majuscules) et le souligner trois fois. La confiance constitue la pierre angulaire de notre activité.
Défendre les intérêts de nos clients, depuis nos premiers jours
C'est la raison pour laquelle nous avons pris des décisions que d'autres entreprises n'auraient peut-être pas jugé bon de prendre. En janvier 2013, le FBI s'est présenté chez nous avec une lettre de sécurité nationale (c'est-à-dire une assignation administrative émise à des fins de sécurité nationale) sollicitant des informations sur un client. Une expérience particulièrement inquiétante.
L'entreprise comptait moins de 30 employés à l'époque. Tout en restant parfaitement professionnels, les agents se montraient incroyablement intimidants. En outre, cette lettre nous ordonnait de divulguer des informations et nous interdisait de discuter de cette affaire avec quiconque, hormis nos avocats.
Les forces de l'ordre ont leur rôle à jouer, mais les lettres de sécurité nationale (qui à l'époque n'étaient pratiquement pas contrôlées, pouvaient être rédigées et mises en application par une seule branche du gouvernement américain, et empêchaient indéfiniment les destinataires de les évoquer) enfreignaient les principes fondateurs du traitement équitable. Nous avons donc décidé de poursuivre le gouvernement des États-Unis.
Je suis reconnaissant au conseil d'administration de Cloudflare de nous avoir encouragés à toujours nous battre pour nos valeurs. Je suis également reconnaissant à l'Electronic Frontier Foundation, qui nous a servi de représentant juridique dans cette affaire. La procédure a demandé plusieurs années (pendant lesquelles nous ne pouvions d'ailleurs pas nous exprimer sur le sujet, jusqu'en 2017), mais en définitive Le FBI a retiré sa lettre et le Congrès a pris des mesures pour réformer la loi et garantir un meilleur contrôle. Les autorités ont un rôle indéniable à jouer dans la société, mais lorsqu'elles franchissent la limite et enfreignent les principes fondamentaux d'une procédure régulière, nous pensons qu'il est important de les remettre en question.
C'est une question de confiance.
Se souvenir que les données que nous traitons ne sont pas les nôtres
Il en va de même pour l'aspect commercial de notre entreprise. Dès que l'activité de Cloudflare a décollé, les entreprises de technologie publicitaire ont frappé à notre porte : « Avez-vous une idée de ce que vous pourriez gagner si vous nous laissiez placer des cookies et recibler les individus transitant par votre réseau ? » J'ai rencontré beaucoup de leurs représentants à nos débuts, mais je suis toujours ressorti de ces discussions avec un sentiment de malaise. Lorsque j'en ai parlé avec Michelle, elle a exprimé de manière concise pourquoi nous ne donnerions jamais dans la publicité : « Ce ne sont pas nos données. »
C'est un constat on ne peut plus vrai. La vente des données de nos clients qui diffusent des publicités sur leurs sites reviendrait à saper leur efficacité. À un niveau plus fondamental, si nous étions une sorte de service invisible suivant vos activités en ligne à votre insu, l'idée même serait particulièrement perturbante. Nous sommes convaincus que de bonnes entreprises soutenues par la publicité existent, mais Cloudflare ne suivra jamais cette voie.
Par conséquent, nous avons toujours considéré l'ensemble des données à caractère personnel qui transitent sur notre réseau comme des actifs toxiques et les avons purgées le plus rapidement possible. Il peut en résulter une certaine tension, car nous sommes une entreprise de sécurité et qu'une partie de cette dernière nous contraint à savoir si, par exemple, une adresse IP particulière envoie du trafic DDoS. Toutefois, nous avons investi dans la mise en œuvre ou le développement de technologies (comme Universal SSL, Privacy Pass, le chiffrement DNS et ESNI) capables de préserver la confidentialité de vos données privées, y compris de nous.
Encore une fois, c'est une question de confiance.
La confidentialité au cœur de nos gènes
Si Cloudflare a vu le jour en Californie, notre vision s'inscrit dans une perspective mondiale depuis le départ. Aujourd'hui, près de la moitié de nos cadres dirigeants sont européens, notamment notre directeur de la technologie (CTO), notre directeur informatique (CIO) et notre directeur financier (CFO). Michelle, cofondatrice et directrice générale (COO) de Cloudflare, est canadienne, un pays qui partage de nombreuses valeurs propres à l'Europe en matière de confidentialité. Nous disposons de bureaux dans le monde entier et bien plus de nos ingénieurs travaillent hors de la Silicon Valley qu'en son sein.
J'ai rédigé la première version de notre politique de confidentialité au début de l'année 2010, avant même l'inscription de notre premier client. Dès cette version, la politique contenait cette déclaration sans équivoque : « Cloudflare ne vendra, ne louera ni ne communiquera aucune de vos données personnelles sans votre consentement. Notre principe fondamental en matière de protection de la confidentialité repose sur la préservation du caractère privé de toute information personnelle que vous nous confiez. » Cette affirmation est encore vraie aujourd'hui. Tandis que d'autres entreprises de technologie ont assoupli leurs politiques au fil du temps, nous avons rendu les nôtres plus strictes, notamment en nous engageant à respecter une liste d'actions que nous n'avons jamais effectuées et que nous nous évertuerons à ne jamais pratiquer :
Cloudflare n'a jamais remis à quiconque ses clés de chiffrement ou d'authentification, ni celles de ses clients.
Cloudflare n'a jamais installé d'outil logiciel ou d'équipement physique de surveillance en matière d'application de la loi sur son réseau.
Cloudflare n'a jamais communiqué de flux relatif au contenu client transitant par notre réseau à un quelconque organisme chargé de l'application de la loi.
Cloudflare n'a jamais modifié le contenu d'un client à la demande des autorités ou d'un tiers.
Cloudflare n'a jamais modifié la destination prévue des réponses DNS à la demande des autorités ou d'un tiers.
Cloudflare n'a jamais affaibli, altéré ou détourné l'un de ses mécanismes de chiffrement à la demande des autorités ou d'un tiers.
Alors que de nombreuses entreprises de technologie ont connu des difficultés pour se conformer aux réglementations relatives à la protection de la confidentialité, comme le RGPD, la tâche fut relativement facile chez Cloudflare, car les principes imposés par ces règles faisaient partie de nos valeurs fondamentales depuis les premiers jours de notre société. Notre activité ne peut avoir lieu sans confiance. Il est donc essentiel pour nous de mériter continuellement cette dernière en faisant preuve de transparence, en montrant que nous avons des principes et en respectant l'inviolabilité des données personnelles.
Améliorer la confidentialité de nos services
Nous ne devons cependant pas nous arrêter en si bon chemin : nous pouvons faire plus encore. Certains aspects des services que nous proposons m'irritent depuis longtemps. Par exemple, le cookie _cfduid, que nous utilisons depuis nos premiers jours pour nous aider dans certaines de nos fonctions de sécurité. L'emploi de ce dernier signifie que l'utilisation des solutions Cloudflare ne s'effectue jamais complètement sans cookie. Un peu plus tôt cette année, John Graham-Cumming et moi-même avons demandé à notre équipe si nous pouvions nous débarrasser de ce cookie. L'équipe a relevé le défi et nous annoncerons cette semaine la dépréciation du cookie _cfduid. À mon avis, cette annonce vaut à elle seule une semaine entière de célébrations.
Nous disposons de plusieurs centres de données à travers le monde chargés de regrouper et de traiter les données afin d'afficher des journaux et de proposer nos fonctionnalités. Si la redondance géographique contribue à la disponibilité, certains clients souhaitent s'assurer que leurs données ne quittent jamais une région particulière. Cette semaine, nous offrirons à nos utilisateurs un degré de contrôle plus étendu sur la nature des données traitées et les lieux où ce traitement s'effectue.
En outre, comme nous l'avons fait au cours des semaines consacrées à la confidentialité et au chiffrement des années passées, nous continuerons à investir dans les technologies permettant un meilleur chiffrement et une utilisation toujours plus privée des services Internet de base, comme le DNS. Ne serait-il pas formidable que nous puissions, par exemple, garantir qu'aucun fournisseur de DNS ne puisse jamais voir à la fois qui utilise son service et l'endroit vers lequel se dirige le trafic de ces utilisateurs sur Internet ? Restez à l'écoute !
Aider les clients à relever des défis de plus en plus complexes en matière de conformité
Tandis que nous poursuivons nos investissements afin de nous assurer que Cloudflare continue à ouvrir la voie en matière de protection de la confidentialité, de plus en plus de nos clients recherchent également des solutions leur offrant un surcroît de vie privée. Nous prévoyons que la nouvelle loi sur les services numériques de l'UE (Digital Services Act) sera proposée ce mois-ci. Nous nous attendons à ce qu'elle continue d'élever le niveau quant à la manière dont les entreprises présentes en Europe doivent gérer les données de leurs clients. Si les géants de l'Internet disposent des ressources nécessaires pour se conformer à ces exigences accrues, ces dernières créeront de nouveaux défis pour tous les autres acteurs.
À cette fin, nous présenterons cette semaine la Data Localization Suite de Cloudflare. Elle offrira à nos clients un ensemble d'outils puissants leur permettant de s'assurer qu'ils disposent du contrôle sur la façon de traiter leurs données et les lieux où ce traitement s'effectue, de manière à les aider à se conformer aux exigences locales de plus en plus complexes en matière de traitement des données locales. Ces outils comprennent des améliorations apportées à Workers, notre plate-forme de stockage et d'informatique périphérique, afin d'aider les applications modernes à se développer de telle sorte que les données des utilisateurs ne quittent jamais leur propre pays ou région.
Il est clair pour nous que le modèle consistant à renvoyer toutes les données de vos clients vers un datacenter situé à Ashburn, en Virginie, quel que soit l'endroit où se trouvent ces clients dans le monde, sera de plus en plus dépassé au sein d'un monde de plus en plus axé sur la confidentialité, comme l'envoi d'une pile de cartes perforées vers un ordinateur central le serait aujourd'hui. Dans un avenir relativement proche, les réglementations vont inévitablement obliger le stockage et le traitement des données à s'effectuer de manière locale. Avec un réseau couvrant aujourd'hui déjà plus de 100 pays, Cloudflare sera là pour aider ses clients à rendre cet avenir toujours plus privé.
Restez à l'écoute
Restez à l'écoute de notre blog cette semaine afin de découvrir notre série d'annonces. Comme il s'agit de sujets particulièrement importants en Europe à l'heure actuelle, nos publications seront disponibles simultanément en français, italien, espagnol, portugais et allemand, ainsi qu'en anglais. N'oubliez pas de vous rendre également sur Cloudflare TV. Nous nous y entretiendrons avec plusieurs intervenants dont nous respectons la vision de la confidentialité et la conformité, et dont nous avons beaucoup appris.
Cloudflare s'est donné pour mission de contribuer à bâtir un Internet meilleur, et cet objectif ne pourra être atteint qu'à l'aide d'un Internet plus privé. En gardant ceci à l'esprit, nous vous souhaitons la bienvenue dans la semaine consacrée à la confidentialité et à la conformité.