How to Build a Global Network that Complies with Local Law

Nous avons consacré beaucoup de temps cette semaine à parler des ingénieurs de Cloudflare qui élaborent des solutions techniques pour améliorer la confidentialité, renforcer le contrôle des données, et ainsi, aider nos clients à relever les défis réglementaires. Cependant, l’ingénierie ne permet pas de résoudre tous les défis. Nous devons parfois élaborer des politiques et des procédures qui anticipent les préoccupations de nos clients. C’est une approche que nous employons depuis des années déjà pour répondre aux demandes de données émanant du gouvernement et d’autres instances juridiques.

Les gouvernements du monde entier souhaitent depuis longtemps bénéficier d'un accès aux documents en ligne. Parfois, les forces de l'ordre recherchent des preuves pertinentes dans le cadre d'enquêtes criminelles. Parfois, les agences de renseignement cherchent à s'informer sur ce que font des gouvernements ou des acteurs étrangers. Enfin, les fournisseurs de services en ligne de toute sorte constituent souvent un point d'accès à ces documents électroniques.

Pour les prestataires de services comme Cloudflare, cependant, ces demandes peuvent être lourdes de conséquences. Le travail qu'accomplissent les forces de l'ordre et les autres instances gouvernementales est important. Cependant, les données que cherchent à obtenir les forces de l'ordre et les autres instances gouvernementales ne nous appartiennent pas. En utilisant nos services, nos clients nous ont accordé leur confiance concernant le traitement de ces données. La préservation de cette confiance est fondamentale pour notre entreprise et nos valeurs.

Ces tensions sont aggravées par le fait que différents gouvernements ont des normes différentes en matière de protection des données personnelles. Les États-Unis, par exemple, interdisent aux entreprises de divulguer le contenu des communications, notamment aux gouvernements non-Américains, excepté dans certaines circonstances définies par la loi. L’Union européenne, qui a longtemps considéré la confidentialité des communications et la protection des données personnelles comme des droits de l’homme fondamentaux, protège toutes les données personnelles dans l’UE par le biais du règlement général sur la protection des données (RGPD). Bien que ces protections se chevauchent à certains égards, elles diffèrent à la fois au regard de leur portée et des entités qu’elles protègent.

Les différences entre ces cadres juridiques sont importantes, notamment lorsqu’il s’agit de déterminer si les demandes juridiques d’informations émanant de gouvernements étrangers peuvent être considérées comme conformes aux exigences en matière de confidentialité. Ces dernières années, par exemple, la Cour de justice de l’Union européenne (CJUE) a conclu à plusieurs reprises que les restrictions légales américaines en matière de collecte de données, ainsi que certains engagements volontaires tels que le Bouclier de protection des données (« Privacy Shield ») ou son prédécesseur, la Sphère de sécurité (« Safe Harbor ») États-Unis-UE, ne sont pas suffisants pour assurer la conformité aux exigences de l’UE en matière de protection de la confidentialité, en grande partie à cause des lois américaines qui permettent aux instances juridiques de collecter des informations sur des citoyens non américains pour le renseignement étranger. En effet, le Conseil européen de protection des données (CEPD) a pris position en déclarant qu’une demande de données au titre du droit pénal américain (en dehors d’un recours juridique, où les pays de l’UE conservent un certain contrôle sur les informations présentées) ne constitue pas un fondement légitime au transfert de données personnelles couvertes par le RGPD.

Fondamentalement, l’objet de ces querelles est de déterminer dans quelles circonstances il est approprié qu’un gouvernement recoure à des ordonnances juridiques ou emploie d’autres recours juridiques pour accéder à des données concernant les citoyens d’un autre pays. Et ces querelles n’ont pas uniquement lieu en Europe. Bien que leurs réponses en termes de politiques ne soient pas cohérentes, un nombre croissant de pays considèrent désormais l’accès aux données de leurs citoyens comme un problème de sécurité nationale. De notre point de vue, ces querelles entre États nations sont des querelles entre géants. Toutefois, elles étaient prévisibles.

Préparer des politiques pour les querelles entre géants

Cloudflare dispose depuis longtemps de politiques pour répondre aux préoccupations en matière d’accès aux données personnelles, à la fois parce que c’est ce que nous pensons être juste et parce que les conflits de lois que nous constatons aujourd’hui paraissaient inévitables. En tant qu’entreprise mondiale avec des clients, des équipements et des employés dans de nombreux pays, nous comprenons que différents pays ont des normes juridiques différentes. Cependant, lorsqu’un conflit survient entre deux normes juridiques différentes, nous optons par défaut pour celle qui protège le mieux la confidentialité. Et nous exigeons toujours un recours juridique, car lorsque vous avez ouvert la porte qui permet d’accéder aux données, il peut être difficile de la fermer.

Depuis notre tout premier rapport de transparence, dans lequel étaient détaillées les demandes de données émanant des forces de l’ordre en 2013, nous avons pris des engagements publics concernant la façon dont nous traitons les demandes de données, et nous avons effectué des déclarations publiques concernant les choses que nous n’avons jamais faites. Nous appelons ces déclarations publiques des « warrant canaries », avec l’idée qu’elles permettent d’adresser un signal au monde extérieur. Elles constituent une déclaration publique indiquant que nous n’effectuerions pas certaines actions de notre plein gré, ainsi qu’un mécanisme de transmission d’informations (par le retrait de la déclaration du site) que nous ne pourrions peut-être pas divulguer autrement. Nous nous engageons également à contester devant un tribunal, si nécessaire, toute ordonnance juridique cherchant à nous faire revenir sur ces engagements. Notre objectif était d’être très clairs (aussi bien envers nos clients qu’envers les gouvernements du monde entier) au regard des limites que nous établissions.

Les entités réglementaires ont commencé à reconnaître la valeur des engagements en matière de confidentialité, en particulier lorsqu'ils peuvent être mis en œuvre par voie contractuelle. En effet, les engagements que nous incluons depuis des années dans nos rapports de transparence sont exactement les types d'engagements que la Commission européenne a recommandé d'inclure dans son projet de clauses contractuelles types pour la conformité au RGPD.

Les « warrant canaries » de Cloudflare

En tant qu’entreprise de sécurité, nous savons que la préservation du contrôle de l’accès à nos réseaux est un impératif absolu. C’est pourquoi notre équipe de sécurité s’est concentrée sur les contrôles d’accès, la journalisation et la surveillance, et se soumet chaque année à plusieurs évaluations par des tiers. Nous voulons nous assurer que nos clients comprennent que ces contrôles ne comportent aucune exemption pour les forces de l’ordre ou les instances gouvernementales. C’est pourquoi nous déclarons que Cloudflare n’a jamais installé de logiciels ou d’équipements des forces de l’ordre sur son réseau et n’a jamais fourni, à quelque organisation gouvernementale que ce soit, un flux de contenus de nos clients transitant sur notre réseau.

Cloudflare considère qu’un chiffrement fort (aussi bien pour les contenus que pour les métadonnées) est nécessaire à la protection de la confidentialité en ligne. Si un pays cherche à empêcher un service de renseignement étranger d’accéder aux données personnelles de ses citoyens, la première étape doit être le chiffrement de ces données personnelles. Cependant, les clients et les régulateurs doivent également avoir la certitude que le chiffrement lui-même est digne de confiance. C’est pourquoi nous avons pris les engagements de n’avoir jamais transmis à quiconque nos clés de chiffrement ou d’authentification, ni les clés de chiffrement ou d’authentification de nos clients, et de n’avoir jamais affaibli, compromis ou subverti notre chiffrement à la demande des forces de l’ordre ou de tout autre tiers.

Les autres engagements de Cloudflare concernent l’intégrité de l’Internet lui-même. Nous ne croyons pas que nos systèmes doivent être exploités pour mener les personnes vers des sites qu’elles n’avaient pas l’intention de consulter, ni pour modifier les contenus auxquels elles accèdent en ligne. Nous avons donc déclaré publiquement que nous n’avons jamais modifié, à la demande des forces de l’ordre ou de quelque autre tiers, les contenus de clients ou la destination prévue des réponses DNS.

Informer nos clients en cas de demandes émanant du gouvernement

Cloudflare croit depuis longtemps que ses clients méritent d’être informés lorsqu’une entité (notamment un organisme des forces de l’ordre ou toute autre instance gouvernementale) emploie un recours juridique pour demander ses données, afin qu’ils puissent contester la demande. En effet, depuis les débuts de notre entreprise, notre politique consiste à informer nos clients. En 2014, nous avons collaboré avec Electronic Frontier Foundation pour contester en justice une lettre de sécurité nationale qui limitait notre capacité à divulguer à quiconque la réception de la lettre. Le tribunal a finalement décidé, après trois longues années de litige, que nous étions autorisés à divulguer publiquement la lettre de sécurité nationale.

Si nous reconnaissons que dans certaines circonstances, les forces de l’ordre peuvent légitimement restreindre temporairement la divulgation afin de préserver la viabilité d’une enquête, nous pensons que le gouvernement devrait être tenu de justifier toute disposition de non-divulgation, et que toute disposition de non-divulgation devrait être explicitement limitée dans le temps au minimum nécessaire pour l’objectif concerné. Les tribunaux américains ayant laissé entendre que les ordonnances de non-divulgation avec une durée indéterminée soulevaient des problèmes constitutionnels, le ministère américain de la Justice a publié en 2017 des directives enjoignant les procureurs fédéraux à limiter à un an la durée maximale des ordonnances de non-divulgation, sauf dans des circonstances exceptionnelles.

Cela n'a cependant pas empêché toutes les instances des forces de l'ordre américaines de solliciter des ordonnances de non-divulgation avec une durée indéterminée. En effet, depuis 2017, nous avons reçu pas moins de 28 ordonnances de non-divulgation ne comportant pas de date de fin. En collaboration avec l'Union américaine pour les libertés civiles (ACLU), Cloudflare a brandi la menace de poursuites judiciaires lorsque nous avons reçu ces ordonnances de non-divulgation avec une durée indéterminée. Dans chaque cas, le gouvernement a ensuite inséré des limites de temps applicables aux exigences de non-divulgation de ces ordonnances, ce qui nous a permis d'informer nos clients de ces demandes.

Traitement des conflits de lois

Maintenir la conformité à des lois telles que le RGPD, en particulier en présence d’ordonnances pouvant nous mettre dans la position difficile d’être obligés de l’enfreindre, nécessite l’implication des tribunaux. Un fournisseur de services tel que Cloudflare peut demander à un tribunal d’annuler des demandes juridiques en raison d’un conflit de droit, et nous nous sommes engagés, tant dans nos déclarations publiques que contractuellement, dans notre addendum relatif au traitement des données, à prendre cette disposition si nécessaire, afin d’éviter un tel conflit. Nous considérons que le conflit doit être remis à sa juste place : entre les deux gouvernements qui se querellent pour savoir qui devrait avoir le droit d’accéder aux informations.

Conclusion

En fin de compte, relever les défis que comporte la gestion d'un réseau mondial conforme aux différentes lois sur la confidentialité implique de revenir aux valeurs que nous défendons depuis les débuts de notre entreprise : faire preuve de principes et de transparence, respecter la confidentialité, exiger la vigilance et informer nos clients pour qu'ils puissent prendre leurs propres décisions concernant leurs données.